翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# VPC Lattice のサービス
VPC Lattice 内のサービスは、特定のタスクまたは機能を提供する、独立してデプロイ可能なソフトウェアユニットです。サービスは、アカウントまたは仮想プライベートクラウド (VPC) 内で、インスタンスやコンテナで実行したり、サーバーレス関数として実行したりできます。サービスには、リスナールールと呼ばれるルールを使用するリスナーがあります。リスナールールは、ターゲットへのトラフィックのルーティングに役立つように設定できます。サポートされているターゲットタイプには、EC2 インスタンス、IP アドレス、Lambda 関数、Application Load Balancer、Amazon ECS タスク、Kubernetes Pod などがあります。詳細については、「[VPC Lattice のターゲットグループ](target-groups.md)」を参照してください。1 つのサービスを複数のサービスネットワークに関連付けることができます。次の図は、VPC Lattice 内の一般的なサービスの主要コンポーネントを示しています。
![\[リスナー 1 つ、リスナールール、ターゲットグループ 2 つを含むサービス。\]](http://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/images/service.png)
サービスは名前と説明を付けて作成できます。ただし、サービスへのトラフィックを制御し、モニタリングするには、アクセス設定とモニタリングの詳細を含めることが重要です。サービスからターゲットにトラフィックを送信するには、リスナーをセットアップしてルールを設定する必要があります。サービスネットワークからサービスにトラフィックが流れるようにするには、サービスをサービスネットワークに関連付ける必要があります。
ターゲットへの接続には、アイドルタイムアウトと全体的な接続タイムアウトがあります。アイドル接続タイムアウトは 1 分です。この時間が過ぎると接続が閉じられす。最大継続時間は 10 分です。この時間が過ぎると、その接続を介した新しいストリームは許可されなくなり、既存のストリームを閉じる処理が開始されます。
**Topics**
+ [ステップ 1: VPC Lattice サービスを作成する](#create-service)
+ [ステップ 2: ルーティングを定義する](#define-routing)
+ [ステップ 3: ネットワークの関連付けを作成する](#associate-to-networks)
+ [ステップ 4: 確認して作成する](#review-and-create)
+ [関連付けを管理する](service-associations.md)
+ [アクセス設定を編集する](service-access.md)
+ [モニタリングの詳細を編集する](service-monitoring.md)
+ [タグの管理](service-tags.md)
+ [カスタムドメイン名を設定する](service-custom-domain-name.md)
+ [BYOC](service-byoc.md)
+ [サービスを削除する](delete-service.md)
## ステップ 1: VPC Lattice サービスを作成する
アクセス設定とモニタリングの詳細を含む基本的な VPC Lattice サービスを作成します。ただし、ルーティング設定を定義してサービスネットワークに関連付けるまで、サービスは完全には機能しません。
**コンソールを使用して基本サービスを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. **[サービスを作成]** を選択します。
1. **[識別子]** では、次の手順を実行します。
1. サービスの名前を入力します。名前は 3~40 文字で、小文字、数字、ハイフンを使用する必要があります。名前の最初と最後は、文字または数字でなければなりません。ダブルハイフンは使用しないでください。
1. (オプション) サービスネットワークの説明を入力します。説明は、作成中または作成後に設定または変更できます。説明の長さは、最大 256 文字です。
1. サービスのカスタムドメイン名を指定するには、**カスタムドメイン名の設定を指定**を選択し、カスタムドメイン名を入力します。
HTTPS リスナーの場合、VPC Lattice が TLS 終了の実行に使用する証明書を選択できます。ここで証明書を選択しない場合は、サービスの HTTPS リスナーを作成するときに選択できます。
TCP リスナーの場合は、サービスのカスタムドメイン名を指定する必要があります。証明書を指定した場合、その証明書は使用されません。代わりに、アプリケーションで TLS 終了を実行します。
1. サービスネットワークに関連付けられた VPC のクライアントがサービスにアクセスできるようにするには、**[サービスアクセス]** で **[なし]** を選択します。[認証ポリシー](auth-policies.md)を適用してサービスへのアクセスを制御するには、**[AWS IAM]** を選択します。リソースポリシーをサービスに適用するには、**認証ポリシー**に対して次のいずれかを実行します。
+ 入力フィールドにポリシーを入力します。コピーして貼り付けることができるポリシーの例の場合は、**[ポリシーの例]** を選択します。
+ **[ポリシーテンプレートを適用]** を選択し、**[Allow authenticated and unauthenticated access]** テンプレートを選択します。このテンプレートを使用すると、別のアカウントのクライアントは、リクエストに署名する (認証) か、匿名 (未認証) でサービスにアクセスできます。
+ **[ポリシーテンプレートを適用]** を選択し、**[認証されたアクセスのみを許可]** テンプレートを選択します。このテンプレートを使用すると、別のアカウントのクライアントは、リクエストに署名すること (認証) によってのみサービスにアクセスできます。
1. (オプション) [アクセスログ](monitoring-access-logs.md)を有効にするには、**[アクセスログ]** トグルスイッチをオンにし、アクセスログの保存先を次のように指定します。
+ **[CloudWatch ロググループ]** を選択し、CloudWatch ロググループを選択します。ロググループを作成するには、**[CloudWatch でロググループを作成する]** を選択します。
+ **[S3 バケット]** を選択し、プレフィックスを含む S3 バケットパスを入力します。S3 バケットを検索するには、**[S3 を参照]** を選択します。
+ **[Kinesis Data Firehose 配信ストリーム]** を選択し、配信ストリームを選択します。配信ストリームを作成するには、**[Kinesis で配信ストリームを作成]** を選択します。
1. (オプション) [サービスを他のアカウント](sharing.md)と共有するには、 AWS RAM リソース共有から**リソース共有**を選択します。リソース共有を作成するには、**[RAM コンソールでリソース共有を作成]** を選択します。
1. 設定を確認してサービスを作成するには、**[スキップして確認と作成に進む]** を選択します。それ以外の場合は、**[次へ]** を選択してサービスのルーティング設定を定義します。
## ステップ 2: ルーティングを定義する
指定したターゲットにサービスがトラフィックを送信できるように、リスナーを使用してルーティング設定を定義します。
**前提条件**
リスナーを追加する前に、VPC Lattice ターゲットグループを作成する必要があります。詳細については、「[VPC Lattice ターゲットグループを作成する](create-target-group.md)」を参照してください。
**コンソールを使用してサービスのルーティングを定義するには**
1. **[リスナーの追加]** を選択します。
1. **[リスナー名]** には、カスタムのリスナー名を指定するか、リスナーのプロトコルとポートをリスナー名として使用できます。指定するカスタム名は最大 63 文字で、アカウント内のサービスごとに一意である必要があります。使用できる文字は a~z、0~9、- (ハイフン) です。最初または最後の文字をハイフンにしたり、別のハイフンの直後にハイフンを入れたりすることはできません。作成後にリスナー名を変更することはできません。
1. プロトコルを選択し、ポート番号を入力します。
1. **[デフォルトアクション]** では、トラフィックを受信する VPC Lattice ターゲットグループを選択し、このターゲットグループの重み付けを選択します。オプションで、デフォルトアクションに別のターゲットグループを追加できます。**[アクションを追加]** を選択し、別のターゲットグループを選択して、その重みを指定します。
1. (オプション) 別のルールを追加するには、**[ルールを追加]** を選択し、ルールの名前、優先度、条件、アクションを入力します。
各ルールに 1~100 の範囲で優先度を指定できます。リスナーは同じ優先度の複数のルールを持つことはできません。ルールは優先順位の低\$1高順によって評価されます。デフォルトのルールが最後に評価されます。
**[条件]** にはパス一致条件のパスパターンを入力します。各文字列の最大サイズは 200 文字です。比較では、大文字と小文字は区別されません。
1. (オプション) タグを追加するには、**[リスナータグ]** を展開して、**[新しいタグを追加]** を選択し、タグキーとタグ値を入力します。
1. 設定を確認してサービスを作成するには、**[スキップして確認と作成に進む]** を選択します。それ以外の場合は、**[次へ]** を選択してサービスをサービスネットワークに関連付けます。
## ステップ 3: ネットワークの関連付けを作成する
クライアントが通信できるように、サービスをサービスネットワークに関連付けます。
**コンソールを使用してサービスをサービスネットワークに関連付けるには**
1. **[VPC Lattice サービスネットワーク]** では、サービスネットワークを選択します。サービスネットワークを作成するには、**[VPC Lattice ネットワークを作成]** を選択します。サービスを複数のサービスネットワークに関連付けることができます。
1. (オプション) タグを追加するには、**[サービスネットワークの関連付けタグ]** を展開して、**[新しいタグを追加]** を選択し、タグキーとタグ値を入力します。
1. [**次へ**] を選択します。
## ステップ 4: 確認して作成する
**コンソールを使用して設定を確認し、サービスを作成するには**
1. サービスの設定を確認します。
1. サービス設定の一部を変更する必要がある場合は、**[編集]** を選択します。
1. 設定の確認または編集が終了したら、**[VPC Lattice サービスを作成]** を選択します。
1. サービスにカスタムドメイン名を指定した場合は、サービスの作成後に DNS ルーティングを設定する必要があります。詳細については、「[VPC Lattice サービスのカスタムドメイン名を設定する](service-custom-domain-name.md)」を参照してください。
# VPC Lattice サービスの関連付けを管理する
サービスをサービスネットワークに関連付けると、クライアント (サービスネットワークに関連付けられた VPC 内のリソース) がこのサービスにリクエストを送信できるようになります。自分のアカウントにあるサービスや、別のアカウントで共有されているサービスを関連付けることができます。サービスを作成する場合、このステップは任意です。ただし、作成後は、サービスネットワークに関連付けるまで、そのサービスは他のサービスと通信できません。サービス所有者は、自分のアカウントに必要なアクセス権があれば、自分のサービスをサービスネットワークに関連付けることができます。詳細については、「[VPC Lattice の仕組み](how-it-works.md)」を参照してください。
**コンソールを使用してサービスネットワークの関連付けを管理するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. サービスの名前を選択して、その詳細ページを開きます。
1. **[サービスネットワークの関連付け]** タブを選択します。
1. 関連付けを作成するには、次の手順を実行します。
1. **[関連付けを作成]** を選択します。
1. **[VPC Lattice サービスネットワーク]** からサービスネットワークを選択します。サービスネットワークを作成するには、**[VPC Lattice ネットワークを作成]** を選択します。
1. (オプション) タグを追加するには、**[サービス関連付けのタグ]** を展開して、**[新しいタグを追加]** を選択し、タグキーとタグ値を入力します。
1. **[Save changes]** (変更の保存) をクリックします。
1. 関連付けを削除するには、関連付けのチェックボックスをオンにし、**[アクション]**、**[ネットワークの関連付けの削除]** を選択します。確認を求められたら、**confirm**と入力し、[**削除**] を選択します。
**を使用してサービスネットワークの関連付けを作成するには AWS CLI**
[create-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-service-association.html) コマンドを使用します。
**を使用してサービスネットワークの関連付けを削除するには AWS CLI**
[delete-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-service-association.html) コマンドを使用します。
# VPC Lattice サービスのアクセス設定を編集する
アクセス設定により、サービスへのクライアントアクセスを設定および管理できます。アクセス設定には、認証タイプと認証ポリシーが含まれます。認証ポリシーは、VPC Lattice 内のサービスに流れるトラフィックを認証および認可するのに役立ちます。
認証ポリシーは、サービスネットワークレベル、サービスレベル、またはその両方で適用できます。サービスレベルでは、サービス所有者はより制限の厳しい高度なコントロールを適用できます。通常、認証ポリシーはネットワーク所有者またはクラウド管理者によって適用されます。組織内からの認証済みの呼び出しを許可したり、特定の条件に一致する匿名の GET リクエストを許可したりするなど、粒度の粗い認可を実装できます。詳細については、「[認証ポリシーを使用して VPC Lattice サービスへのアクセスを制御する](auth-policies.md)」を参照してください。
**コンソールを使用してアクセスポリシーを追加または更新するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. サービスの名前を選択して、その詳細ページを開きます。
1. **[アクセス]** タブを選択して、現在のアクセス設定を確認します。
1. アクセス設定を更新するには、**[アクセス設定を編集]** を選択します。
1. 関連するサービスネットワーク内の VPC のクライアントがサービスにアクセスできるようにするには、**[認証タイプ]** に **[なし]** を選択します。
1. リソースポリシーを適用してサービスへのアクセスを制御するには、**[認証タイプ]** に **[AWS IAM]** を選択し、**[認証ポリシー]** で次のいずれかを実行します。
+ 入力フィールドにポリシーを入力します。コピーして貼り付けることができるポリシーの例の場合は、**[ポリシーの例]** を選択します。
+ **[ポリシーテンプレートを適用]** を選択し、**[Allow authenticated and unauthenticated access]** テンプレートを選択します。このテンプレートを使用すると、別のアカウントのクライアントは、リクエストに署名する (認証) か、匿名 (未認証) でサービスにアクセスできます。
+ **[ポリシーテンプレートを適用]** を選択し、**[認証されたアクセスのみを許可]** テンプレートを選択します。このテンプレートを使用すると、別のアカウントのクライアントは、リクエストに署名すること (認証) によってのみサービスにアクセスできます。
1. **[Save changes]** (変更の保存) をクリックします。
**を使用してアクセスポリシーを追加または更新するには AWS CLI**
[put-auth-policy](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/put-auth-policy.html) コマンドを使用します。
# VPC Lattice サービスのモニタリングの詳細を編集する
VPC Lattice はリクエストとレスポンスのたびにメトリクスとログを生成するため、アプリケーションのモニタリングとトラブルシューティングがより効率的になります。
アクセスログを有効にして、ログの送信先リソースを指定できます。VPC Lattice は、CloudWatch Log グループ、Firehose 配信ストリーム、S3 バケットのリソースにログを送信できます。
**コンソールを使用してアクセスログを有効にするか、ログの送信先を更新するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. サービスの名前を選択して、その詳細ページを開きます。
1. **[モニタリング]** タブを選択し、**[ログ]** を選択します。**[アクセスログ]** をチェックして、アクセスログが有効になっているかどうかを確認します。
1. アクセスログを有効または無効にするには、**[アクセスログを編集]** を選択し、**[アクセスログ]** トグルスイッチをオンまたはオフにします。
1. アクセスログを有効にする場合は、配信先のタイプを選択し、アクセスログの送信先を作成または選択する必要があります。また、配信先はいつでも変更できます。例えば、次のようになります。
+ **[CloudWatch ロググループ]** を選択し、CloudWatch ロググループを選択します。ロググループを作成するには、**[CloudWatch でロググループを作成する]** を選択します。
+ **[S3 バケット]** を選択し、プレフィックスを含む S3 バケットパスを入力します。S3 バケットを検索するには、**[S3 を参照]** を選択します。
+ **[Kinesis Data Firehose 配信ストリーム]** を選択し、配信ストリームを選択します。配信ストリームを作成するには、**[Kinesis で配信ストリームを作成]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**を使用してアクセスログを有効にするには AWS CLI**
[create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html) コマンドを使用します。
**を使用してログの送信先を更新するには AWS CLI**
[update-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-access-log-subscription.html) コマンドを使用します。
**を使用してアクセスログを無効にするには AWS CLI**
[delete-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-access-log-subscription.html) コマンドを使用します。
# VPC Lattice サービスのタグを管理する
タグを使用すると、サービスを目的、所有者、環境などのさまざまな方法で分類することができます。
各サービスに複数のタグを追加できます。タグキーは、サービスごとに一意である必要があります。既にサービスに関連付けられているキーを持つタグを追加すると、そのタグの値を更新します。使用できる文字は、アルファベット、スペース、数字 (UTF-8)、特殊文字 (\$1-=. \$1:/@) です。ただし、先頭または末尾にはスペースを使用しないでください。タグ値は大文字と小文字が区別されます。
**コンソールを使用してタグを追加または削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. サービスの名前を選択して、その詳細ページを開きます。
1. **[タグ]** タブを選択します。
1. タグを追加するには、**[タグを追加]** を選択し、タグキーとタグ値を入力します。別のタグを追加するには、**[新しいタグを追加]** を選択します。タグの追加を完了したら、**[Save changes]** (変更の保存) を選択します。
1. タグを削除するには、タグのチェックボックスを選択し、**[削除]** を選択します。確認を求められたら、**confirm**と入力し、[**削除**] を選択します。
**を使用してタグを追加または削除するには AWS CLI**
[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) コマンドと [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html) コマンドを使用します。
# VPC Lattice サービスのカスタムドメイン名を設定する
新しいサービスを作成すると、VPC Lattice は次の構文でサービスの一意の完全修飾ドメイン名 (FQDN) を生成します。
```
service_name-service_id.partition_id.vpc-lattice-svcs.region.on.aws
```
ただし、VPC Lattice が提供するドメイン名は、ユーザーが覚えやすいものではありません。カスタムドメイン名は、ユーザーに提供できるシンプルで直感的な URLs です。VPC Lattice が生成した DNS 名ではなく、`www.parking.example.com` のようなカスタムドメイン名をサービスに使用する場合は、VPC Lattice サービスを作成するときに設定できます。クライアントがカスタムドメイン名を使用してリクエストを行うと、DNS サーバーが VPC Lattice が生成したドメイン名に解決します。
**前提条件**
+ サービス用に登録されたドメイン名が必要です。ドメイン名をまだ登録していない場合は、Amazon Route 53 やその他の商用レジストラから登録できます。
+ HTTPS リクエストを受信するには、 AWS Certificate Managerで独自の証明書を提供する必要があります。VPC Lattice はフォールバックとしてデフォルト証明書をサポートしていません。そのため、カスタムドメイン名に対応する SSL/TLS 証明書を提供しない場合、カスタムドメイン名への HTTPS 接続はすべて失敗します。詳細については、「[VPC Lattice の独自の証明書を使用する (BYOC)](service-byoc.md)」を参照してください。
**制約事項と考慮事項**
+ 1 つのサービスに複数のカスタムドメイン名を設定することはできません。
+ サービスの作成後にカスタムドメイン名を変更することはできません。
+ カスタムドメイン名は、サービスネットワークごとに一意である必要があります。つまり、同じサービスネットワーク内に (別のサービス用の) 既存のカスタムドメイン名を使用してサービスを作成することはできません。
次の手順は、サービスのカスタムドメイン名を設定する方法を示しています。
------
#### [ AWS マネジメントコンソール ]
**サービスのカスタムドメイン名を設定するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. **[サービスを作成]** を選択します。**[ステップ 1: サービスを作成する]** に移動します。
1. **[カスタムドメイン設定]** セクションで、**[カスタムドメイン設定を指定]** を選択します。
1. カスタムドメイン名を入力します。
1. HTTPS リクエストを処理するには、**[カスタム SSL/TLS 証明書]** でカスタムドメイン名と一致する SSL/TLS 証明書を選択します。証明書がまだない場合、または今すぐ追加しない場合は、HTTPS リスナーの作成時に証明書を追加できます。ただし、証明書がないと、カスタムドメイン名は HTTPS リクエストを処理できません。詳細については、「[HTTPS リスナーの追加](https-listeners.md#add-https-listener)」を参照してください。
1. サービスを作成するためのその他の情報をすべて追加し終えたら、**[作成]** を選択します。
------
#### [ AWS CLI ]
**サービスのカスタムドメイン名を設定するには**
[create-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service.html) コマンドを使用します。
```
aws vpc-lattice create-service --name service_name --custom-domain-name your_custom_domain_name --type https --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
上記のコマンドの `--name` にサービスの名前を入力します。`--custom-domain-name` には、`parking.example.com` などのサービスのドメイン名を入力します。`--certificate-arn` には、ACM の証明書の ARN を入力します。証明書 ARN は、 AWS Certificate Managerのアカウントで利用できます。
------
## カスタムドメイン名をサービスに関連付ける
まず、カスタムドメイン名をまだ登録していない場合は、登録します。インターネットのドメイン名は、Internet Corporation for Assigned Names and Numbers (ICANN) によって管理されています。ドメイン名は、ドメイン名のレジストリを管理する ICANN 認定機関である*ドメイン名レジストラ*を使用して登録します。レジストラのウェブサイトで、ドメイン名の登録に関する詳細な手順と料金情報を確認します。詳細については、以下のリソースを参照してください。
+ Amazon Route 53 を使用してドメイン名を登録するには、*Amazon Route 53 開発者ガイド*の「[Route 53 を使用したドメイン名の登録](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)」を参照してください。
+ 認定されているレジストラのリストについては、「[認定レジストラディレクトリ](http://www.internic.net/regist.html)」を参照してください。
次に、ドメインレジストラなどの DNS サービスを使用して、クエリをサービスにルーティングするレコードを作成します。詳細については、DNS サービスのドキュメントを参照してください。前出と別に、DNS サービスとして Route 53 を使用する方法もあります。
Route 53 を使用している場合は、エイリアスレコードまたは CNAME レコードを使用して、クエリをサービスにルーティングできます。ゾーン頂点とも呼ばれる DNS 名前空間の上部ノードにエイリアスレコードを作成できるため、エイリアスレコードを使用することをお勧めします。
Route 53 を使用している場合は、まずホストゾーンを作成する必要があります。ホストゾーンには、ドメインのインターネット上のトラフィックをルーティングする方法に関する情報が含まれています。プライベートホストゾーンまたはパブリックホストゾーンを作成したら、 などのカスタムドメイン名が `parking.example.com`などの VPC Lattice 自動生成されたドメイン名にマッピングされるようにレコードを作成します`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`。このマッピングがないと、カスタムドメイン名は VPC Lattice で機能しません。
次の手順は、Route 53 を使用してプライベートホストゾーンまたはパブリックホストゾーンを作成する方法を示しています。
------
#### [ AWS マネジメントコンソール ]
Route 53 を使用してサービスにクエリをルーティングするエイリアスレコードを作成するには、[「Amazon VPC Lattice サービスドメインエンドポイントへのトラフィックのルーティング](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-vpc-lattice-service.html)」を参照してください。
サービスに VPC Lattice が生成したドメイン名を使用します。たとえば、 **値**`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`に使用します。この自動生成されたドメイン名は、サービスページの VPC Lattice コンソールにあります。
------
#### [ AWS CLI ]
**ホストゾーンにエイリアスレコードを作成するには**
1. サービスの VPC Lattice 生成ドメイン名を取得します (例: `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`)。
1. エイリアスを設定するには、以下のコマンドを使用します。
```
aws route53 change-resource-record-sets --hosted-zone-id your-hosted-zone-ID --change-batch file://~/Desktop/change-set.json
```
`change-set.json` ファイルは、次の JSON 例の内容で JSON ファイルを作成し、ローカルマシンに保存します。上記のコマンドの *file://\$1/Desktop/change-set.json* を、ローカルマシンに保存されている JSON ファイルのパスに置き換えます。次の JSON の "Type" は A または AAAA レコードタイプであることに注意してください。
```
{
"Comment": "my-custom-domain-name.com alias",
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "my-custom-domain-name.com",
"Type": "alias-record-type",
"AliasTarget": {
"HostedZoneId": "your-hosted-zone-ID",
"DNSName": "lattice-generated-domain-name",
"EvaluateTargetHealth": true
}
}
}
]
}
```
------
# VPC Lattice の独自の証明書を使用する (BYOC)
HTTPS リクエストを処理するには、カスタムドメイン名をセットアップする前に、 AWS Certificate Manager (ACM) で独自の SSL/TLS 証明書を準備する必要があります。これらの証明書には、サービスのカスタムドメイン名と一致するサブジェクト代替名 (SAN) または共通名 (CN) が必要です。SAN がある場合は、SAN リスト内でのみ一致がチェックされます。SAN がない場合は、CN に一致があるかどうかがチェックされます。
VPC Lattice は、Server Name Indication (SNI) を使用して HTTPS リクエストを処理します。DNS は、カスタムドメイン名とこのドメイン名に一致する証明書に基づいて HTTPS リクエストを VPC Lattice サービスにルーティングします。ACM でドメイン名の SSL/TLS 証明書をリクエストするか、これを ACM にインポートするには、「AWS Certificate Manager ユーザーガイド」の「[証明書を発行して管理する](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」と「[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)」を参照してください。ACM で独自の証明書をリクエストまたはインポートできない場合は、VPC Lattice が生成したドメイン名と証明書を使用してください。
VPC Lattice は、サービスごとにカスタム証明書を 1 つだけ受け入れます。ただし、1 つのカスタム証明書を複数のカスタムドメインに使用できます。つまり、1 つのカスタムドメイン名で作成したすべての VPC Lattice サービスに同じ証明書を使用できます。
ACM コンソールを使用して証明書を表示するには、**[証明書]** を開いて証明書 ID を選択します。**[関連リソース]** に、その証明書に関連付けられた VPC Lattice サービスが表示されます。
**制約事項と考慮事項**
+ VPC Lattice では、関連する証明書のサブジェクト代替名 (SAN) または共通名 (CN) の 1 レベル深いワイルドカード一致が可能です。例えば、カスタムドメイン名 `parking.example.com` でサービスを作成し、独自の証明書を SAN の `*.example.com` に関連付けるとします。`parking.example.com` にリクエストが送信されると、VPC Lattice は SAN を apex ドメイン `example.com` を持つ任意のドメイン名と照合します。ただし、カスタムドメインが `parking.different.example.com` で、証明書の SAN が `*.example.com` である場合、リクエストは失敗します。
+ VPC Lattice は 1 レベルのワイルドカードドメイン一致をサポートします。つまり、ワイルドカードは第 1 レベルのサブドメインとしてのみ使用でき、1 つのサブドメインレベルのみを保護します。例えば、証明書の SAN が `*.example.com` の場合、`parking.*.example.com` はサポートされません。
+ VPC Lattice は、ドメイン名ごとに 1 つのワイルドカードをサポートします。つまり、`*.*.example.com` は無効です。詳細については、「AWS Certificate Manager ユーザーガイド」の「[パブリック証明書をリクエストする](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)」を参照してください。
+ VPC Lattice は 2048 ビットの RSA キーを使用した証明書のみをサポートしています。
+ ACM の SSL/TLS 証明書は、関連付けている VPC Lattice サービスと同じリージョンにある必要があります。
## 証明書のプライベートキーを保護する
ACM を使用して SSL/TLS 証明書をリクエストすると、ACM はパブリックキーとプライベートキーペアを生成します。証明書をインポートすると、キーペアが生成されます。パブリックキーは証明書の一部となります。プライベートキーを安全に保存するために、ACM は AWS KMS KMS キーと呼ばれる別のキーを作成し、エイリアス **aws/acm**. はこのキー AWS KMS を使用して証明書のプライベートキーを暗号化します。詳細については、「*AWS Certificate Manager ユーザーガイド*」の「[Data protection in AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html)」を参照してください。
VPC Lattice AWS は、TLS Connection Manager を使用します。TLS Connection Manager は、証明書のプライベートキーを AWS のサービス保護および使用するためにのみアクセス可能なサービスです。ACM 証明書を使用して VPC Lattice サービスを作成すると、VPC Lattice は証明書を AWS TLS Connection Manager に関連付けます。これを行うには、 AWS マネージドキー AWS KMS に対して で権限を作成します。この許可により、TLS Connection Manager は AWS KMS を使用して証明書のプライベートキーを復号できます。TLS 接続マネージャは、証明書と復号された (プレーンテキストの) プライベートキーを使用して VPC Lattice サービスのクライアントとの安全な接続 (SSL/TLS セッション) を確立します。証明書と VPC Lattice サービスとの関連付けが解除されると、この許可は廃止されます。詳細については、「AWS Key Management Service デベロッパーガイド」の「[グラント](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。
詳細については、「[保管中の暗号化](data-protection.md#encryption-rest)」を参照してください。
# VPC Lattice サービスを削除する
VPC Lattice サービスを削除するには、まず、サービスとサービスネットワークとの関連付けをすべて削除する必要があります。サービスを削除すると、リソースポリシー、認証ポリシー、リスナー、リスナールール、アクセスログサブスクリプションなど、サービスに関連するすべてのリソースも削除されます。
**コンソールを使用してサービスを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。
1. **[サービス]** ページで、削除するサービスを選択し、**[アクション]**、**[サービスを削除]** の順に選択します。
1. 確認を求めるメッセージが表示されたら、[削除] を選択してください。****
**を使用してサービスを削除するには AWS CLI**
[delete-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service.html) コマンドを使用します。