VPC評価項目でAWS X-Rayを使用する - AWS X-Ray

VPC評価項目でAWS X-Rayを使用する

Amazon Virtual Private Cloud(Amazon VPC)AWSを使用してリソースを主催している場合、VPCおよびX-Rayの間にプライベート接続を確立することができます。これによりAmazon VPC内のリソースが公衆インターネットを経由せずに、X-Rayサービスと通信できるようになります。

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービス です。VPC を使用すると、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPCをX-Rayに接続するには、インターフェイスのVPC評価項目を定義します。この評価項目は、インターネットゲートウェイ、ネットワークアドレス変換(NAT)の場合、またはVPN接続を必要とせず、X-Rayへの信頼性が高く拡張性のある接続性を提供します。詳細については、『Amazon VPC ユーザーガイド』「Amazon VPCとは何か」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink を使用しています。これは、Elastic Network Interface とプライベート IP アドレスを使用して AWS のサービス の間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、New – AWS PrivateLink for AWS のサービス ブログ投稿と「Amazon VPC ユーザーガイド」の「はじめに」を参照してください。

選択した AWS リージョン で X-Ray の VPC エンドポイントを確実に作成できるようにするためにはサポートされている地域を参照してください。

X-Ray用のVPC評価項目の作成

VPCでX-Rayの使用を開始するには、X-Rey用のインターフェイスVPC評価項目を作成します。

  1. (https://console.aws.amazon.com/vpc/)Amazon VPC制御盤を開きます。

  2. ナビゲーションペイン内の、「評価項目」に移動して評価項目の作成を選択します。

  3. サービス名を検索して選択してください。AWS X-Raycom.amazonaws.region.xray

    サービスを選択します。
  4. インターフェイス評価項目を使用して目的のVPCを選択し、VPC内のサブネットを選択します。選択したサブネットに評価項目のネットワークインターフェイスが作成されます。サービスでサポートされている異なる可用性の範囲に複数のサブネットを指定することで、可用性の範囲の障害に対応したインターフェイス評価項目を、より確実に回復できます。この操作を行うと、指定した各サブネットでインターフェイスのネットワークインターフェイスが作成されます。

    VPCとサブネットを選択します。
  5. (オプション)初期設定の情報システムのDNSホスト名を使用してX-Rayのリクエストを行うには、評価項目のDNSプライベート情報システムが初期設定で有効になっています。無効にすることも可能です。

  6. 評価項目ネットワークインターフェイスに関連付けるセキュリティグループを指定します。

    セキュリティグループを選択します。
  7. (オプション)X-Rayサービスへのアクセス許可を制御するカスタムポリシーを指定します。初期設定では、数多くのアクセスが許可されています。

X-RayVPCの情報システム評価項目へのアクセスの制御

VPC評価項目ポリシーは、評価項目の作成時または変更時に評価項目に加える国際機械技術者協会(IAM)のリソースポリシーです。評価項目の作成時にポリシーを加えない場合、サービスへの数多くのアクセスを許可する初期設定のポリシーがAmazon VPCによって自動的に接続されます。評価項目ポリシーは、IAMユーザーポリシーやサービス固有のポリシーを上書き、または置き換えたりするものではありません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。評価項目のポリシーは、JSON形式で記載する必要があります。詳細については、「Amazon VPCユーザーガイド」の「VPC評価項目によるサービスのアクセス制御」を参照してください。

VPC評価項目ポリシーを使用すると、さまざまなX-Ray行為に対するアクセス許可を制御することができます。たとえば、putTraceSegmentのみを許可し、その他のすべての行為を拒否するポリシーを作成することができます。これにより、VPC内のワークロードおよびサービスは、X-Rayにトレースデータのみを送信し、データの取得、暗号化設定の変更、グループの作成/更新など、その他の行為を拒否するように制限されます。

X-Rayの評価項目ポリシーの例を以下に示します。このポリシーは、VPCを介してX-Rayに接続するユーザーに対して、セグメントデータをX-Reyに送信することを許可し、また他のX-Rey行為を実行することを禁止します。

{"Statement": [ {"Sid": "Allow PutTraceSegments", "Principal": "*", "Action": [ "xray:PutTraceSegments" ], "Effect": "Allow", "Resource": "*" } ] }
X-RayのVPC評価項目ポリシーを編集するには
  1. Amazon VPCコンソール(https://console.aws.amazon.com/vpc/)を開きます。

  2. ナビゲーションペインで、[評価項目]を選択します。

  3. X-Ray用の評価項目を、まだ作成していない場合は、X-Ray用のVPC評価項目の作成の手順に従います。

  4. [com.amazonaws.地域.xray]評価項目を選択し、[ポリシー]タブを選択します。

  5. [ポリシーの編集]を選択し、変更を加えます。

サポートされている地域

現在、X-Ray は、以下の AWS リージョン でVPC エンドポイントをサポートしています :

  • 米国東部(オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アフリカ (ケープタウン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (大阪)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ミラノ)

  • ヨーロッパ (パリ)

  • ヨーロッパ (ストックホルム)

  • 中東 (バーレーン)

  • 南米 (サンパウロ)

  • AWS GovCloud (米国東部)

  • AWSGovCloud(米国西部)