翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Verified Access エンドポイント
Verified Access エンドポイントはアプリケーションを表します。各エンドポイントは Verified Access グループに関連付けられ、グループのアクセスポリシーを継承します。オプションで、アプリケーション固有のエンドポイントポリシーを各エンドポイントに添付することができます。
**Topics**
+ [Verified Access エンドポイントタイプ](#endpoint-types)
+ [Verified Access と共有 VPC およびサブネットの動作](#shared-vpc)
+ [Verified Access 用のロードバランサーエンドポイントを作成する](create-load-balancer-endpoint.md)
+ [Verified Access のネットワークインターフェイスのエンドポイントを作成する](create-network-interface-endpoint.md)
+ [Verified Access 用のネットワーク CIDR エンドポイントを作成する](create-network-cidr-endpoint.md)
+ [Verified Access 用の Amazon Relational Database Service エンドポイントを作成する](create-rds-endpoint.md)
+ [Verified Access エンドポイントから発信されるトラフィックを許可する](configure-endpoint-security-group.md)
+ [Verified Access エンドポイントの変更](modify-endpoint.md)
+ [Verified Access エンドポイントポリシーの変更](modify-endpoint-policy.md)
+ [Verified Access エンドポイントの削除](delete-endpoint.md)
## Verified Access エンドポイントタイプ
Verified Access エンドポイントには次のタイプがあります。
+ **ロードバランサー** — アプリケーションリクエストはロードバランサーに送信され、アプリケーションに配布されます。詳細については、「[ロードバランサーエンドポイントの作成](create-load-balancer-endpoint.md)」を参照してください。
+ **ネットワークインターフェース** — アプリケーションリクエストは、指定されたプロトコルとポートを使用してネットワークインターフェースに送信されます。詳細については、「[ネットワークインターフェイスエンドポイントの作成](create-network-interface-endpoint.md)」を参照してください。
+ **ネットワーク CIDR** – アプリケーションリクエストは、指定された CIDR ブロックに送信されます。詳細については、「[ネットワーク CIDR エンドポイントを作成する](create-network-cidr-endpoint.md)」を参照してください。
+ **Amazon Relational Database Service (RDS)** – アプリケーションリクエストは、RDS インスタンス、RDS クラスター、または RDS DB プロキシに送信されます。詳細については、「[Amazon Relational Database Service エンドポイントを作成する](create-rds-endpoint.md)」を参照してください。
## Verified Access と共有 VPC およびサブネットの動作
共有 VPC サブネットに関する動作は次のとおりです。
+ Verified Access エンドポイントは VPC サブネット共有でサポートされています。参加者は共有サブネットに Verified Access エンドポイントを作成できます。
+ エンドポイントを作成した参加者がエンドポイントの所有者となり、エンドポイントを変更できるのはその参加者だけです。VPC 所有者はエンドポイントの変更を許可されません。
+ Verified Access エンドポイントは AWS ローカルゾーンで作成できないため、ローカルゾーンを介した共有はできません。
詳細については、「*Amazon VPC ユーザーガイド*」の「[他のアカウントと VPC を共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
# Verified Access 用のロードバランサーエンドポイントを作成する
Verified Access のロードバランサーエンドポイントを作成するには、次の手順に従います。ロードバランサーの詳細については、「[Elastic Load Balancing ユーザーガイド](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)」を参照してください。
**要件**
+ サポートされているのは IPv4 トラフィックのみです。
+ WebSocket 接続などの存続期間の長い HTTPS 接続は、TCP を介してのみサポートされます。
+ ロードバランサーは、Application Load Balancer または Network Load Balancer のいずれかで、内部ロードバランサーである必要があります。
+ ロードバランサーとサブネットは同じ仮想プライベートクラウド (VPC) に属している必要があります。
+ HTTPS ロードバランサーは、自己署名 TLS 証明書またはパブリック TLS 証明書のどちらでも使用できます。キー長が 1,024 または 2,048 の RSA 証明書を使用してください。
+ Verified Access エンドポイントを作成する前に、Verified Access グループを作成する必要があります。詳細については、「[Verified Access グループの作成](create-verified-access-group.md#create-group)」を参照してください。
+ アプリケーションのドメイン名を入力する必要があります。これは、ユーザーがアプリケーションにアクセスするために使用するパブリック DNS 名です。また、このドメイン名と一致する CN を含むパブリック SSL 証明書を入力する必要があります。を使用して証明書を作成またはインポートできます AWS Certificate Manager。
**コンソールを使用してロードバランサーエンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. [**Verified Access エンドポイントの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、エンドポイントの名前と説明を入力します。
1. **Verified Access グループ**で、Verified Access グループを選択します。
1. [**エンドポイント詳細**] では、次の操作を行います。
1. Protocol で****、プロトコルを選択します。
1. [**添付タイプ**] で、[**VPC**] を選択します。
1. [**エンドポイントタイプ**] で、[**ロードバランサー**] を選択します。
1. (HTTP/HTTPS) **ポート**には、ポート番号を入力します。(TCP) **ポート範囲**にポート範囲を入力し、**ポートの追加**を選択します。
1. **ロードバランサー ARN** で、ロードバランサーを選択します。
1. **Subnet** で、サブネットを選択します。アベイラビリティーゾーンごとに 1 つだけサブネットを指定できます。
1. [**セキュリティグループ**] で、VPC エンドポイントのセキュリティグループを選択します。これらのセキュリティグループは、Verified Access エンドポイントのインバウンドトラフィックとアウトバウンドトラフィックを制御します。
1. [**エンドポイントドメインプレフィックス**] には、Verified Access がエンドポイント用に生成する DNS 名の頭にカスタム識別子を入力します。
1. (HTTP/HTTPS) **アプリケーションの詳細については**、以下を実行します。
1. [**アプリケーションドメイン**] には、アプリケーションの DNS 名を入力します。
1. **ドメイン証明書 ARN** で、パブリック TLS 証明書を選択します。
1. (オプション) [**ポリシー定義**] には、エンドポイントの Verified Access ポリシーを入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [**Verified Access エンドポイントの作成**] を選択します。
**を使用して Verified Access エンドポイントを作成するには AWS CLI**
[create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) コマンドを使用します。
# Verified Access のネットワークインターフェイスのエンドポイントを作成する
次の手順に従って、 ネットワークインターフェイスエンドポイントを作成します。
**要件**
+ サポートされているのは IPv4 トラフィックのみです。
+ ネットワークインターフェイスは、セキュリティグループと同じ仮想プライベートクラウド (VPC) に属している必要があります。
+ ネットワークインターフェースのプライベート IP を使用してトラフィックを転送します。
+ Verified Access エンドポイントを作成する前に、Verified Access グループを作成する必要があります。詳細については、「[Verified Access グループの作成](create-verified-access-group.md#create-group)」を参照してください。
+ アプリケーションのドメイン名を入力する必要があります。これは、ユーザーがアプリケーションにアクセスするために使用するパブリック DNS 名です。また、このドメイン名と一致する CN を含むパブリック SSL 証明書を入力する必要があります。を使用して証明書を作成またはインポートできます AWS Certificate Manager。
**コンソールを使用してネットワークインターフェイスエンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. [**Verified Access エンドポイントの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、エンドポイントの名前と説明を入力します。
1. **Verified Access グループ**で、Verified Access グループを選択します。
1. [**エンドポイント詳細**] では、次の操作を行います。
1. Protocol で****、プロトコルを選択します。
1. [**添付タイプ**] で、[**VPC**] を選択します。
1. [**エンドポイントタイプ**] で、[**ネットワークインターフェイス**] を選択します。
1. (HTTP/HTTPS) **ポート**には、ポート番号を入力します。(TCP) **ポート範囲**にポート範囲を入力し、**ポートの追加**を選択します。
1. **ネットワークインターフェイス**で、ネットワークインターフェイスを選択します。
1. [**セキュリティグループ**] で、VPC エンドポイントのセキュリティグループを選択します。これらのセキュリティグループは、Verified Access エンドポイントのインバウンドトラフィックとアウトバウンドトラフィックを制御します。
1. [**エンドポイントドメインプレフィックス**] には、Verified Access がエンドポイント用に生成する DNS 名の頭にカスタム識別子を入力します。
1. (HTTP/HTTPS) **アプリケーションの詳細については**、以下を実行します。
1. [**アプリケーションドメイン**] には、アプリケーションの DNS 名を入力します。
1. **ドメイン証明書 ARN** で、パブリック TLS 証明書を選択します。
1. (オプション) [**ポリシー定義**] には、エンドポイントの Verified Access ポリシーを入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [**Verified Access エンドポイントの作成**] を選択します。
**を使用して Verified Access エンドポイントを作成するには AWS CLI**
[create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) コマンドを使用します。
# Verified Access 用のネットワーク CIDR エンドポイントを作成する
ネットワーク CIDR エンドポイントを作成するには、次の手順に従います。たとえば、ネットワーク CIDR エンドポイントを使用して、ポート 22 (SSH) 経由で特定のサブネット内の EC2 インスタンスへのアクセスを有効にすることができます。
**要件**
+ TCP プロトコルのみがサポートされています。
+ Verified Access は、リソースで使用される CIDR 範囲内の各 IP アドレスの DNS レコードを提供します。リソースを削除すると、その IP アドレスは使用されなくなり、Verified Access は対応する DNS レコードを削除します。
+ カスタムサブドメインを指定した場合、Verified Access は、指定された CIDR 範囲内にあり、サブドメインで使用されるエンドポイントサブネット内の各 IP アドレスの DNS レコードを提供し、その DNS サーバーの IP アドレスを提供します。Verified Access DNS サーバーを指すようにサブドメインの転送ルールを設定できます。ドメイン内のレコードに対して行われたリクエストは、Verified Access DNS サーバーによって、リクエストされたリソースの IP アドレスに解決されます。
+ Verified Access エンドポイントを作成する前に、Verified Access グループを作成する必要があります。詳細については、「[Verified Access グループの作成](create-verified-access-group.md#create-group)」を参照してください。
+ エンドポイントを作成し、 を使用してアプリケーションに接続します[接続クライアント](connectivity-client.md)。
**コンソールを使用してネットワーク CIDR エンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. [**Verified Access エンドポイントの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、エンドポイントの名前と説明を入力します。
1. [**Verified Access グループ**] では、エンドポイントの Verified Access グループを選択します。
1. [**エンドポイント詳細**] では、次の操作を行います。
1. [**プロトコル**] で [**TCP**] を選択します。
1. [**添付タイプ**] で、[**VPC**] を選択します。
1. **エンドポイントタイプ**で、**ネットワーク CIDR** を選択します。
1. **ポート範囲**にポート範囲を入力し、**ポートの追加**を選択します。
1. **Subnet** で、サブネットを選択します。
1. [**セキュリティグループ**] で、VPC エンドポイントのセキュリティグループを選択します。これらのセキュリティグループは、Verified Access エンドポイントのインバウンドトラフィックとアウトバウンドトラフィックを制御します。
1. (オプション) **エンドポイントドメインプレフィックス**に、Verified Access がエンドポイントに対して生成する DNS 名の前に追加するカスタム識別子を入力します。
1. (オプション) [**ポリシー定義**] には、エンドポイントの Verified Access ポリシーを入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [**Verified Access エンドポイントの作成**] を選択します。
**を使用して Verified Access エンドポイントを作成するには AWS CLI**
[create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) コマンドを使用します。
# Verified Access 用の Amazon Relational Database Service エンドポイントを作成する
Amazon Relational Database Service (RDS) エンドポイントを作成するには、次の手順に従います。
**要件**
+ TCP プロトコルのみがサポートされています。
+ RDS インスタンス、RDS クラスター、または RDS DB プロキシを作成します。
+ Verified Access エンドポイントを作成する前に、Verified Access グループを作成する必要があります。詳細については、「[Verified Access グループの作成](create-verified-access-group.md#create-group)」を参照してください。
+ エンドポイントを作成し、 を使用してアプリケーションに接続します[接続クライアント](connectivity-client.md)。
**コンソールを使用して Amazon Relational Database Service エンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. [**Verified Access エンドポイントの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、エンドポイントの名前と説明を入力します。
1. [**Verified Access グループ**] では、エンドポイントの Verified Access グループを選択します。
1. [**エンドポイント詳細**] では、次の操作を行います。
1. [**プロトコル**] で [**TCP**] を選択します。
1. [**添付タイプ**] で、[**VPC**] を選択します。
1. **エンドポイントタイプ**で、**Amazon Relational Database Service (RDS)** を選択します。
1. **RDS ターゲットタイプ**の場合は、次のいずれかを実行します。
+ **RDS インスタンス**を選択し、RDS インスタンスから **RDS インスタンス**を選択します。
+ **RDS クラスター**を選択し、RDS クラスターから **RDS クラスター**を選択します。
+ **RDS DB プロキシ**を選択し、RDS DB プロキシから **RDS DB プロキシ**を選択します。
1. **RDS エンドポイント**で、前のステップで選択した RDS リソースに関連する RDS エンドポイントを選択します。
1. [**ポート**] に、ポート番号を入力します。
1. **Subnet** で、サブネットを選択します。アベイラビリティーゾーンごとに 1 つだけサブネットを指定できます。
1. [**セキュリティグループ**] で、VPC エンドポイントのセキュリティグループを選択します。これらのセキュリティグループは、Verified Access エンドポイントのインバウンドトラフィックとアウトバウンドトラフィックを制御します。
1. (オプション) **エンドポイントドメインプレフィックス**に、Verified Access がエンドポイントに対して生成する DNS 名の前に追加するカスタム識別子を入力します。
1. (オプション) [**ポリシー定義**] には、エンドポイントの Verified Access ポリシーを入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [**Verified Access エンドポイントの作成**] を選択します。
**を使用して Verified Access エンドポイントを作成するには AWS CLI**
[create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) コマンドを使用します。
# Verified Access エンドポイントから発信されるトラフィックを許可する
Verified Access エンドポイントから発信されるトラフィックを許可するように、アプリケーションのセキュリティグループを設定できます。そのためには、エンドポイントのセキュリティグループをソースとして指定するインバウンドルールを追加します。アプリケーションが Verified Access エンドポイントからのトラフィックのみを受信するように、その他のインバウンドルールを削除することをお勧めします。
既存のアウトバウンドルールは維持することをお勧めします。
**コンソールを使用してアプリケーションのセキュリティグループルールを更新するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. Verified Access エンドポイントを選択し、[**詳細**] タブで**セキュリティグループ ID** を探し、エンドポイントのセキュリティグループの ID をコピーします。
1. ナビゲーションペインで、[**セキュリティグループ**] を選択します。
1. ターゲットに関連付けられているセキュリティグループのチェックボックスを選択し、[**アクション**]、[**インバウンドルールの編集]** を選択します。
1. Verified Access エンドポイントから発信するトラフィックを許可するセキュリティグループルールを追加するには、次の操作を行います。
1. [**ルールを追加**] を選択してください。
1. [**タイプ**] で、[**すべてのトラフィック**]、または許可する特定のトラフィックを選択します。
1. [**ソース**] で、[**カスタム**] を選択し、エンドポイントのセキュリティグループの ID を貼り付けます。
1. (オプション) トラフィックが Verified Access エンドポイントからのみ発信するようにするには、他のインバウンドセキュリティグループルールをすべて削除します。
1. [**ルールの保存**] を選択します。
**を使用してアプリケーションのセキュリティグループルールを更新するには AWS CLI**
[describe-verified-access-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-endpoints.html) コマンドを使用してセキュリティグループの ID を取得し、 [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) コマンドを使用してインバウンドルールを追加します。
# Verified Access エンドポイントの変更
Verified Access エンドポイントを変更するには、次の手順に従います。
**コンソールを使用して Verified Access エンドポイントを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. エンドポイントを選択します。
1. [**アクション**]、[**Verified Access エンドポイントの変更**] を選択します。
1. 必要に応じてエンドポイントの詳細を変更します。
1. [**Verified Access エンドポイントの変更**] を選択します。
**を使用して Verified Access エンドポイントを変更するには AWS CLI**
[modify-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint.html) コマンドを使用します。
# Verified Access エンドポイントポリシーの変更
Verified Access エンドポイントのポリシーを変更するには、次の手順に従います。変更を行った後、変更が有効になるまでには数分かかります。
**コンソールを使用して Verified Access エンドポイントポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. エンドポイントを選択します。
1. [**アクション**]、[**Verified Access エンドポイントポリシーの変更]** を選択します。
1. (オプション) 必要に応じて **[ポリシーを有効にする]** をオンまたはオフにします。
1. (オプション) **[ポリシー]** に、エンドポイントに適用する Verified Access ポリシーを入力します。
1. [**Verified Access エンドポイントポリシーの変更**]を選択します。
**を使用して Verified Access エンドポイントポリシーを変更するには AWS CLI**
[modify-verified-access-endpoint-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint-policy.html) コマンドを使用します。
# Verified Access エンドポイントの削除
不要になった Verified Access エンドポイントは、削除することができます。
**コンソールを使用して Verified Access エンドポイントを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**Verified Access エンドポイント**] を選択します。
1. エンドポイントを選択します。
1. [**アクション**]、[**Verified Access エンドポイントの削除]** を選択します。
1. 確認を求められたら、**delete**と入力し、[**削除**] を選択します。
**を使用して Verified Access エンドポイントを削除するには AWS CLI**
[delete-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-endpoint.html) コマンドを使用します。