エンドポイントサービスを設定する - Amazon Virtual Private Cloud
許可を管理する接続リクエストを承諾または拒否するロードバランサーを管理するプライベート DNS 名を関連付けるサポートされている IP アドレスのタイプを変更するタグの管理

エンドポイントサービスを設定する

エンドポイントサービスを作成したら、その設定を更新できます。

許可を管理する

許可と承諾設定を組み合わせると、エンドポイントサービスにアクセスできるサービスコンシューマー (AWS プリンシパル) を管理するのに役立ちます。例えば、信頼している特定のプリンシパルに許可を付与して自動的にすべての接続リクエストを承諾するか、プリンシパルのより広範なグループに許可を付与して、信頼している特定の接続リクエストを手動で承諾できます。

デフォルトでは、サービスコンシューマーはエンドポイントサービスを使用できません。特定の AWS プリンシパルで、エンドポイントサービスに接続するインターフェイス VPC エンドポイントを作成できるようにする許可を追加する必要があります。AWS プリンシパルの許可を追加するには、Amazon リソースネーム (ARN) が必要です。次のリストには、サポートされている AWS プリンシパルの ARN 例が含まれています。

AWS プリンシパルの ARN
AWS アカウント (アカウントのすべてのプリンシパルを含む)

arn:aws:iam::account_id:root

ロール

arn:aws:iam::account_id:role/role_name

ユーザー

arn:aws:iam::account_id:user/user_name

すべての AWS アカウント のすべてのプリンシパル

*

考慮事項

  • すべてのユーザーにエンドポイントサービスにアクセスするための許可を付与し、すべてのリクエストを受け入れるようにエンドポイントサービスを設定すると、パブリック IP アドレスがなくてもロードバランサーはパブリックになります。

  • アクセス許可を削除しても、エンドポイントと以前に受け入れられたサービス間の既存の接続には影響しません。

コンソールを使用してエンドポイントサービスの許可を管理するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択し、[Allow principals] (プリンシパルを許可) タブを選択します。

  4. 許可を追加するには、[Allow principals] (プリンシパルを許可) を選択します。[Principals to add] (追加するプリンシパル) で、プリンシパルの ARN を入力します。さらにプリンシパルを追加するには、[プリンシパルを追加] を選択します。プリンシパルの追加が完了したら、[Allow principals] (プリンシパルを許可) を選択します。

  5. 許可を削除するには、プリンシパルを選択し、[Actions] (アクション)、[Delete] (削除) を選択します。確認を求められたら、deleteと入力し、[削除] を選択します。

コマンドラインを使用してエンドポイントサービスの許可を追加するには

接続リクエストを承諾または拒否する

許可と承諾設定を組み合わせると、エンドポイントサービスにアクセスできるサービスコンシューマー (AWS プリンシパル) を管理するのに役立ちます。例えば、信頼している特定のプリンシパルに許可を付与して自動的にすべての接続リクエストを承諾するか、プリンシパルのより広範なグループに許可を付与して、信頼している特定の接続リクエストを手動で承諾できます。

接続リクエストを自動的に受け入れるようにエンドポイントサービスを設定できます。それ以外の場合、手動で承諾または拒否する必要があります。接続リクエストを承諾しない場合、サービスコンシューマーはエンドポイントサービスにアクセスできません。

すべてのユーザーにエンドポイントサービスにアクセスするための許可を付与し、すべてのリクエストを受け入れるようにエンドポイントサービスを設定すると、パブリック IP アドレスがなくてもロードバランサーはパブリックになります。

接続リクエストが承認または拒否されたときに通知を受け取ることができます。詳細については、「エンドポイントサービスイベントのアラートを受け取る」を参照してください。

コンソールを使用して承諾の設定を変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択します。

  4. [Actions]、[Modify endpoint acceptance setting] の順に選択します。

  5. [Acceptance required] (承認が必要) を選択または選択解除します。

  6. [Save changes] (変更の保存) を選択します。

コマンドラインを使用して承諾の設定を変更するには
コンソールを使用して接続リクエストを承諾または拒否するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択します。

  4. [Endpoint connections] (エンドポイント接続) タブで、エンドポイント接続を選択します。

  5. 接続リクエストを承諾するには、[Actions] (アクション)、[Accept endpoint connection request] (エンドポイント接続リクエストを承諾) の順に選択します。確認を求められたら、accept と入力し、[Accept] (承諾) を選択します。

  6. 接続リクエストを拒否するには、[アクション][エンドポイント接続リクエストを拒否] の順に選択します。確認を求められたら、reject と入力し、[Reject] (拒否) を選択します。

コマンドラインを使用して接続リクエストを承諾または拒否するには

ロードバランサーを管理する

エンドポイントサービスに関連付けられているロードバランサーを管理できます。エンドポイントサービスにエンドポイントが接続されている場合、ロードバランサーの関連付けを解除することはできません。

Network Load Balancer の別のアベイラビリティーゾーンを有効にすると、エンドポイントサービスのアベイラビリティーゾーンも有効にすることができます。エンドポイントサービスのアベイラビリティーゾーンを有効にすると、サービスコンシューマーはそのアベイラビリティーゾーンからインターフェイス VPC エンドポイントにサブネットを追加できます。

コンソールを使用してエンドポイントサービスのロードバランサーを管理するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択します。

  4. [Actions] (アクション)、[Associate or disassociate load balancers] (ロードバランサーの関連付け/関連付けの解除) の順に選択します。

  5. 必要に応じてエンドポイントサービス設定を変更します。例:

    • ロードバランサーのチェックボックスをオンにすると、エンドポイントサービスに関連付けられます。

    • ロードバランサーのチェックボックスをオフにすると、エンドポイントサービスとの関連付けを解除します。少なくとも 1 つのロードバランサーを選択する必要があります。

    • ロードバランサーの別のアベイラビリティーゾーンを最近有効にした場合は、[含まれるアベイラビリティーゾーン] の下に表示されます。次のステップで変更を保存すると、新しいアベイラビリティーゾーンのエンドポイントサービスが有効になります。

  6. [Save changes] (変更の保存) を選択します。

コマンドラインを使用してエンドポイントサービスのロードバランサーを管理するには

ロードバランサーで最近有効になったアベイラビリティーゾーンでエンドポイントサービスを有効にするには、エンドポイントサービスの ID を使用してコマンドを呼び出します。

プライベート DNS 名を関連付ける

プライベート DNS 名をエンドポイントサービスに関連付けることができます。プライベート DNS 名を関連付けたら、DNS サーバー上のドメインのエントリを更新する必要があります。サービスコンシューマーがプライベート DNS 名を使用する前に、サービスプロバイダーはドメインを所有していることを確認する必要があります。詳細については、「DNS 名を管理する」を参照してください。

コンソールを使用してエンドポイントサービスのプライベート DNS 名を変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択します。

  4. [Actions] (アクション)、[Modify private DNS name] (プライベート DNS 名の変更) の順に選択します。

  5. [Associate a private DNS name with the service] (プライベート DNS 名をサービスに関連付ける) を選択して、プライベート DNS 名を入力します。

    • ドメイン名には小文字を使用する必要があります。

    • ドメイン名にはワイルドカードを使用できます (例: *.myexampleservice.com)。

  6. [Save changes] (変更の保存) をクリックします。

  7. プライベート DNS 名は、検証ステータスが [verified] (検証済み) になると、サービスコンシューマーによる使用が可能となります。検証ステータスが変更された場合、新しい接続リクエストは拒否されますが、既存の接続には影響しません。

コマンドラインを使用してエンドポイントサービスのプライベート DNS 名を変更するには
コンソールを使用してドメイン検証プロセスを開始するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. エンドポイントサービスを選択します。

  4. [Actions] (アクション) を選択し、[Verify domain ownership for private DNS name] (プライベート DNS 名のドメイン所有権を検証) を選択します。

  5. 確認を求められたら、「verify」と入力し、[検証] を選択します。

コマンドラインを使用してドメイン検証プロセスを開始するには

サポートされている IP アドレスのタイプを変更する

エンドポイントサービスでサポートされている IP アドレスのタイプを変更できます。

考慮事項

エンドポイントサービスが IPv6 リクエストを受け入れることができるようにするには、Network Load Balancers は dualstack IP アドレスのタイプを使用する必要があります。ターゲットは IPv6 トラフィックをサポートする必要はありません。詳細については、「Network Load Balancer のユーザーガイド」の「IP アドレスのタイプ」を参照してください。

コンソールを使用してサポートされている IP アドレスのタイプを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. VPC エンドポイントサービスを選択します。

  4. [Actions] (アクション)、[Modify supported IP address types] (サポートされる IP アドレスのタイプを変更) を選択します。

  5. [Supported IP address types] (サポートされている IP アドレスのタイプ) で、次のいずれかを実行します。

    • [IPv4] を選択 – エンドポイントサービスが IPv4 リクエストを受け入れることができるようにします。

    • [IPv6] を選択 – エンドポイントサービスが IPv6 リクエストを受け入れることができるようにします。

    • [IPv4][IPv6] を選択 – エンドポイントサービスが IPv4 と IPv6 の両方のリクエストを受け入れることができるようにします。

  6. [Save changes] (変更の保存) をクリックします。

コマンドラインを使用してサポートされている IP アドレスのタイプを変更するには

タグの管理

リソースにタグを付けて、識別しやすくしたり、組織のニーズに応じて分類したりできます。

コンソールを使用してエンドポイントサービスのタグを管理するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. VPC エンドポイントサービスを選択します。

  4. [Actions] (アクション)、[Manage tags] (タグの管理) を選択します。

  5. 追加するタグごとに、[Add new tag] (新しいタグを追加) を選択し、タグキーとタグ値を入力します。

  6. タグを削除するには、タグのキーと値の右側にある [Remove] (削除) を選択します。

  7. [Save] を選択します。

コンソールを使用してエンドポイント接続のタグを管理するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. VPC エンドポイントサービスを選択し、[Endpoint connections] (エンドポイント接続) タブを選択します。

  4. エンドポイント接続を選択後、[Actions] (アクション)、[Manage tags] (タグを管理) の順に選択します。

  5. 追加するタグごとに、[Add new tag] (新しいタグを追加) を選択し、タグキーとタグ値を入力します。

  6. タグを削除するには、タグのキーと値の右側にある [Remove] (削除) を選択します。

  7. [Save] を選択します。

コンソールを使用してエンドポイントサービスの許可のタグを管理するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. VPC エンドポイントサービスを選択し、[Allow principals] (プリンシパルを許可) タブを選択します。

  4. プリンシパルを選択し、[Actions] (アクション)、[Manage tags] (タグを管理) の順に選択します。

  5. 追加するタグごとに、[Add new tag] (新しいタグを追加) を選択し、タグキーとタグ値を入力します。

  6. タグを削除するには、タグのキーと値の右側にある [Remove] (削除) を選択します。

  7. [Save] を選択します。

コマンドラインを使用してタグを追加および削除するには