翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon VPC Lattice の VPC リソース
VPC リソースは、組織内の他のチームや外部の独立系ソフトウェアベンダー (ISV) パートナーと共有できます。VPC リソースは、Amazon RDS データベース、ドメイン名、IP アドレスなどの AWSネイティブリソースにすることができます。リソースは VPC またはオンプレミスネットワークにあり、負荷分散する必要はありません。を使用して AWS RAM 、リソースにアクセスできるプリンシパルを指定します。リソースにアクセスできるリソースゲートウェイを作成します。また、共有するリソースまたはリソースのグループを表すリソース設定を作成します。
リソースを共有するプリンシパルは、VPC エンドポイントを使用してこれらのリソースにプライベートにアクセスできます。リソース VPC エンドポイントを使用して、VPC Lattice サービスネットワーク内の 1 つのリソースにアクセスするか、複数のリソースをプールし、サービスネットワーク VPC エンドポイントを使用してサービスネットワークにアクセスできます。
以下のセクションでは、VPC Lattice で VPC リソースを作成および管理する方法を説明します。
**Topics**
+ [リソースゲートウェイ](resource-gateway.md)
+ [リソース設定](resource-configuration.md)
# VPC Lattice のリソースゲートウェイ
*リソースゲートウェイ*は、リソースが存在する VPC へのトラフィックを受信するポイントです。リソースゲートウェイは複数のアベイラビリティーゾーンを対象としています。
VPC 内のリソースを他の VPC またはアカウントからアクセスできるようにしようと計画している場合は、VPC にリソースゲートウェイが必要です。共有するすべてのリソースは、リソースゲートウェイに関連付けられます。他の VPC またはアカウント内のクライアントが VPC 内のリソースにアクセスする場合、リソースはその VPC 内のリソースゲートウェイからローカルに送られるトラフィックを認識します。トラフィックの送信元 IP アドレスは、アベイラビリティーゾーン内のリソースゲートウェイの IP アドレスです。それぞれに複数のリソースを持つ複数のリソース設定をリソースゲートウェイにアタッチできます。
次の図は、クライアントがリソースゲートウェイを介してリソースにアクセスする方法を示しています。
![\[リソースゲートウェイを介してリソースにアクセスするクライアント。\]](http://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [考慮事項](#resource-gateway-considerations)
+ [セキュリティグループ](#resource-gateway-security-groups)
+ [IP アドレスのタイプ](#resource-gateway-ip-address-type)
+ [ENI あたりの IPv4 アドレス](#ipv4-address-type-per-eni)
+ [リソースゲートウェイの作成](create-resource-gateway.md)
+ [リソースゲートウェイを削除する](delete-resource-gateway.md)
## 考慮事項
リソースゲートウェイには、以下の考慮事項が適用されます。
+ すべての[アベイラビリティーゾーン](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)からリソースにアクセスできるようにするには、可能な限り多くのアベイラビリティーゾーンを対象とするリソースゲートウェイを作成する必要があります。
+ VPC エンドポイントとリソースゲートウェイのアベイラビリティーゾーンが少なくとも 1 つ重複している必要があります。
+ VPC には最大 100 個のリソースゲートウェイを設定できます。詳細については、「[Quotas for VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)」を参照してください。
+ VPC Lattice は、リソースゲートウェイに新しい ENIs を追加する場合があります。
+ 共有 VPC サブネットを持つリソースゲートウェイ:
+ リソースゲートウェイは、VPC を所有するアカウントによってのみ、共有 VPC サブネットにデプロイできます。
+ リソースゲートウェイのリソース設定は、リソースゲートウェイを所有するアカウントによってのみ作成できます。
## セキュリティグループ
セキュリティグループをリソースゲートウェイにアタッチできます。リソースゲートウェイ用のセキュリティグループルールは、リソースゲートウェイからリソースへのアウトバウンドトラフィックを制御します。
** リソースゲートウェイからデータベースリソースに送られるトラフィック向けに推奨されるアウトバウンドルール**
トラフィックをリソースゲートウェイからリソースに送るには、リソースが受け入れるリスナープロトコルとポート範囲に関するアウトバウンドルールを作成する必要があります。
| 目的地 | プロトコル | ポート範囲 | コメント |
| --- | --- | --- | --- |
| リソースの CIDR 範囲 | TCP | 3306 | リソースゲートウェイからデータベースへのトラフィックを許可します。 |
## IP アドレスのタイプ
リソースゲートウェイには、IPv4、IPv6、またはデュアルスタックのアドレスを設定できます。以下の説明にあるように、リソースゲートウェイの IP アドレスタイプには、リソースゲートウェイのサブネット、およびリソースの IP アドレスタイプとの互換性がある必要があります。
+ **IPv4** – リソースゲートウェイネットワークインターフェイスに IPv4 アドレスを割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲があり、リソースにも IPv4 アドレスがある場合にのみサポートされます。このオプションを使用すると、リソースゲートウェイ ENI あたりの IPv4 アドレスの数を設定できます。
+ **IPv6** – リソースゲートウェイネットワークインターフェイスに IPv6 アドレスを割り当てます。このオプションは、選択したすべてのサブネットが IPv6 限定のサブネットで、リソースにも IPv6 アドレスがある場合にのみサポートされます。このオプションを使用すると、IPv6 アドレスが自動的に割り当てられるため、管理する必要はありません。
+ **デュアルスタック** – リソースゲートウェイネットワークインターフェイスに IPv4 アドレスと IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲があり、リソースに IPv4 または IPv6 アドレスのどちらかがある場合にのみサポートされます。このオプションを使用すると、リソースゲートウェイ ENI あたりの IPv4 アドレスの数を設定できます。
リソースゲートウェイの IP アドレスタイプは、クライアント、またはリソースへのアクセス時に経由する VPC エンドポイントの IP アドレスタイプに依存しません。
## ENI あたりの IPv4 アドレス
リソースゲートウェイに IPv4 またはデュアルスタックの IP アドレスタイプが設定されている場合は、リソースゲートウェイの各 ENI に割り当てられる IPv4 アドレスの数を設定できます。リソースゲートウェイを作成するときは、1~62 個の IPv4 アドレスから選択します。IPv4 アドレスの数を設定した後で値を変更することはできません。
IPv4 アドレスはネットワークアドレス変換に使用され、リソースに対する同時 IPv4 接続の最大数を決定します。各 IPv4 アドレスは、送信先 IP あたり最大 55,000 の同時接続をサポートできます。デフォルトで、すべてのリソースゲートウェイには ENI ごとに 16 個の IPv4 アドレスが割り当てられます。
リソースゲートウェイが IPv6 アドレスタイプを使用している場合、リソースゲートウェイは ENI ごとに /80 CIDR を自動的に受け取ります。この値は変更できません。接続あたりの最大送信単位 (MTU) は 8500 バイトです。
# VPC Lattice でリソースゲートウェイを作成する
コンソールを使用してリソースゲートウェイを作成します。
**コンソールを使用してリソースゲートウェイを作成する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[PrivateLink と Lattice]** で **[リソースゲートウェイ]** を選択します。
1. **[リソースゲートウェイを作成]** を選択します。
1. **リソースゲートウェイ名**には、 AWS アカウント内で一意の名前を入力します。
1. **[IP アドレスタイプ]** で、リソースゲートウェイの IP アドレスタイプを選択します。
1. **[IP アドレスタイプ]** に **[IPv4]** または **[デュアルスタック]** を選択した場合は、リソースゲートウェイの ENI あたりの IPv4 アドレスの数を入力できます。
デフォルトは、ENI あたり 16 個の IPv4 アドレスです。これは、バックエンドリソースとの接続の形成に適した IP の数です。
1. **VPC** の場合は、リソースゲートウェイを作成する VPC とサブネットを選択します。
1. **セキュリティグループ**では、最大 5 つのセキュリティグループを選択して、VPC からサービスネットワークへのインバウンドトラフィックを制御します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. **[リソースゲートウェイを作成]** を選択します。
**を使用してリソースゲートウェイを作成するには AWS CLI**
[create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html) コマンドを使用します。
# VPC Lattice でリソースゲートウェイを削除する
コンソールを使用してリソースゲートウェイを削除します。
**コンソールを使用してリソースゲートウェイを削除する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[PrivateLink と Lattice]** で **[リソースゲートウェイ]** を選択します。
1. 削除するリソースゲートウェイのチェックボックスをオンにして、**[アクション]**、**[削除]** の順に選択します。確認を求められたら、**confirm**と入力し、[**削除**] を選択します。
**を使用してリソースゲートウェイを削除するには AWS CLI**
[delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html) コマンドを使用します。
# VPC リソースのリソース設定
リソース設定は、他の VPC やアカウント内のクライアントがアクセスできるようにしたいリソースまたはリソースのグループを表します。リソース設定を定義することで、他の VPC やアカウント内のクライアントからの VPC 内のリソースに対するプライベートかつセキュアな一方向ネットワーク接続を許可できます。リソース設定は、トラフィックを受信するために経由するリソースゲートウェイに関連付けられます。別の VPC からリソースにアクセスするには、リソース設定が必要です。
**Topics**
+ [リソース設定のタイプ](#resource-configuration-types)
+ [プロトコル](#resource-configuration-protocol)
+ [リソースゲートウェイ](#resource-gateway)
+ [リソースプロバイダーのカスタムドメイン名](#custom-domain-name-resource-providers)
+ [リソースコンシューマーのカスタムドメイン名](#custom-domain-name-resource-consumers)
+ [サービスネットワーク所有者のカスタムドメイン名](#resource-configuration-custom-domain-name-service-network-owners)
+ [リソース定義](#resource-definition)
+ [ポート範囲](#resource-configuration-port)
+ [リソースへのアクセス](#resource-configuration-accessing)
+ [サービスネットワークタイプとの関連付け](#resource-configuration-service-network-association)
+ [サービスネットワークのタイプ](#service-network-types)
+ [を使用したリソース設定の共有 AWS RAM](#sharing-resource-configuration-ram)
+ [モニタリング](#resource-configuration-monitoring)
+ [ドメインの作成と検証](create-and-verify.md)
+ [リソース設定を作成する](create-resource-configuration.md)
+ [関連付けを管理する](resource-configuration-associations.md)
## リソース設定のタイプ
リソース設定にはいくつかのタイプがあります。異なるタイプは、異なる種類のリソースを表すために役立ちます。タイプは次のとおりです。
+ **単一リソース設定**: IP アドレスまたはドメイン名を表します。個別に共有できます。
+ **グループリソース設定**: 子リソース設定のコレクションです。これは、DNS エンドポイントと IP アドレスエンドポイントのグループを表すために使用できます。
+ **子リソース設定**: グループリソース設定のメンバーです。IP アドレスまたはドメイン名を表します。個別に共有することはできません。グループの一部としてのみ共有できます。グループに追加したり、グループから削除したりできます。追加されると、グループにアクセスできるクライアントが自動的にアクセスできるようになります。
+ **ARN リソース設定**: AWS サービスによってプロビジョニングされるサポートされているリソースタイプを表します。グループと子の関係は自動的に処理されます。
次の図は、単一、子、およびグループのリソース設定を示しています。
![\[シングル、子、およびグループのリソース設定。\]](http://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/images/resource-config-types.png)
## プロトコル
リソース設定を作成するときは、リソースがサポートするプロトコルを定義できます。現在、TCP プロトコルのみがサポートされています。
## リソースゲートウェイ
リソース設定はリソースゲートウェイに関連付けられています。リソースゲートウェイは、リソースが存在する VPC へのイングレスポイントとして機能する一連の ENI です。複数のリソース設定を同じリソースゲートウェイに関連付けることができます。他の VPCs またはアカウントのクライアントが VPC 内のリソースにアクセスすると、リソースはその VPC 内のリソースゲートウェイの IP アドレスからローカルに送信されるトラフィックを確認します。
## リソースプロバイダーのカスタムドメイン名
リソースプロバイダーは、リソースコンシューマーがリソース設定にアクセスするために使用できる `example.com`などのリソース設定にカスタムドメイン名をアタッチできます。カスタムドメイン名は、リソースプロバイダーによって所有および検証することも、サードパーティーまたは AWS ドメインにすることもできます。リソースプロバイダーは、リソース設定を使用して、キャッシュクラスターと Kafka クラスター、TLS ベースのアプリケーション、またはその他の AWS リソースを共有できます。
リソース設定のプロバイダーには、次の考慮事項が適用されます。
+ リソース設定には、1 つのカスタムドメインのみを含めることができます。
+ リソース設定のカスタムドメイン名は変更できません。
+ カスタムドメイン名は、すべてのリソース設定コンシューマーに表示されます。
+ VPC Lattice のドメイン名検証プロセスを使用して、カスタムドメイン名を検証できます。詳細については、「」を参照してください[ドメインの作成と検証](create-and-verify.md)。
+ タイプグループと子のリソース設定では、まずグループリソース設定でグループドメインを指定する必要があります。その後、子リソース設定には、グループドメインのサブドメインであるカスタムドメインを含めることができます。グループにグループドメインがない場合は、子の任意のカスタムドメイン名を使用できますが、VPC Lattice はリソースコンシューマーの VPC 内の子ドメイン名のホストゾーンをプロビジョニングしません。
## リソースコンシューマーのカスタムドメイン名
リソースコンシューマーがカスタムドメイン名を持つリソース設定への接続を有効にすると、VPC Lattice が VPC 内の Route 53 プライベートホストゾーンを管理できるようになります。リソースコンシューマーには、VPC Lattice がプライベートホストゾーンを管理できるようにするドメインの詳細なオプションがあります。
リソースコンシューマーは、リソースエンドポイント、サービスネットワークエンドポイント、またはサービスネットワーク VPC 関連付けを介してリソース設定への接続を有効にするときに、 `private-dns-enabled`パラメータを設定できます。`private-dns-enabled` パラメータに加えて、コンシューマーは DNS オプションを使用して、VPC Lattice がプライベートホストゾーンを管理するドメインを指定できます。コンシューマーは、次のプライベート DNS 設定から選択できます。
**`ALL_DOMAINS`**
VPC Lattice は、すべてのカスタムドメイン名にプライベートホストゾーンをプロビジョニングします。
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice は、カスタムドメイン名がプロバイダーによって検証された場合にのみ、プライベートホストゾーンをプロビジョニングします。
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice は、リソースコンシューマーが指定するすべての検証済みカスタムドメイン名と他のドメイン名にプライベートホストゾーンをプロビジョニングします。リソースコンシューマーは、 `private DNS specified domains`パラメータでドメイン名を指定します。
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice は、リソースコンシューマーによって指定されたドメイン名のプライベートホストゾーンをプロビジョニングします。リソースコンシューマーは、 `private DNS specified domains `パラメータでドメイン名を指定します。
プライベート DNS を有効にすると、VPC Lattice はリソース設定に関連付けられたカスタムドメイン名のプライベートホストゾーンを VPC に作成します。デフォルトでは、プライベート DNS 設定は に設定されます`VERIFIED_DOMAINS_ONLY`。つまり、プライベートホストゾーンは、カスタムドメイン名がリソースプロバイダーによって検証された場合にのみ作成されます。プライベート DNS 設定を `ALL_DOMAINS`または に設定すると`SPECIFIED_DOMAINS_ONLY`、VPC Lattice はカスタムドメイン名の検証ステータスに関係なくプライベートホストゾーンを作成します。特定のドメインに対してプライベートホストゾーンが作成されると、VPC からそのドメインへのすべてのトラフィックは VPC Lattice を介してルーティングされます。これらのカスタムドメイン名へのトラフィックが VPC Lattice を通過する場合にのみ`ALL_DOMAINS`、`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`、、または `SPECIFIED_DOMAINS_ONLY`設定を使用することをお勧めします。
リソースコンシューマーは、プライベート DNS 設定を に設定することをお勧めします`VERIFIED_DOMAINS_ONLY`。これにより、コンシューマーは、VPC Lattice がリソースコンシューマーのアカウントで検証済みドメインのプライベートホストゾーンをプロビジョニングすることのみを許可することで、セキュリティ境界を強化できます。
プライベート DNS 指定ドメインのドメインを選択するには、リソースコンシューマーは などの完全修飾ドメイン名を入力する`my.example.com`か、 などのワイルドカードを使用できます`*.example.com`。
リソース設定のコンシューマーには、次の考慮事項が適用されます。
+ プライベート DNS 対応パラメータは変更できません。
+ VPC でプライベートホストを作成するには、サービスネットワークリソースの関連付けでプライベート DNS を有効にする必要があります。リソース設定の場合、サービスネットワークリソース関連付けのプライベート DNS 対応ステータスは、サービスネットワークエンドポイントまたはサービスネットワーク VPC 関連付けのプライベート DNS 対応ステータスを上書きします。
## サービスネットワーク所有者のカスタムドメイン名
サービスネットワークリソース関連付けのプライベート DNS 対応プロパティは、サービスネットワークエンドポイントのプライベート DNS 対応プロパティとサービスネットワーク VPC 関連付けを上書きします。
サービスネットワーク所有者がサービスネットワークリソースの関連付けを作成し、プライベート DNS を有効にしない場合、VPC Lattice は、プライベート DNS がサービスネットワークエンドポイントまたはサービスネットワーク VPC の関連付けで有効であっても、サービスネットワークが接続されている VPCs でそのリソース設定のプライベートホストゾーンをプロビジョニングしません。
ARN タイプのリソース設定の場合、プライベート DNS フラグは true でイミュータブルです。
## リソース定義
リソース設定では、次のいずれかの方法でリソースを識別します。
+ **Amazon リソースネーム (ARN)** 別: AWS サービスによってプロビジョニングされるサポートされているリソースタイプは、ARN によって識別できます。Amazon RDS データベースのみがサポートされています。パブリックアクセスが可能なクラスターのリソース設定を作成することはできません。
+ **ドメイン名ターゲット**別: パブリックに解決可能な任意のドメイン名を使用できます。ドメイン名が VPC 外にある IP をポイントする場合は、VPC 内に NAT ゲートウェイが必要です。
+ **IP アドレス**を使用: IPv4 の場合は、10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16 の範囲からプライベート IP を指定します。IPv6 の場合は、VPC から IP を指定します。パブリック IP はサポートされていません。
## ポート範囲
リソース設定を作成するときは、リクエストを受け入れるポートを定義できます。他のポートでのクライアントアクセスは許可されません。
## リソースへのアクセス
コンシューマーは、VPC エンドポイントを使用する、またはサービスネットワークを経由することで、VPC からリソース設定に直接アクセスできます。コンシューマーとして、ユーザーはアカウント内のリソース設定、または AWS RAM経由で別のアカウントから共有されたリソース設定に対する VPC からのアクセスを有効にできます。
+ *リソース設定への直接的なアクセス*
AWS PrivateLink VPC にリソースタイプ (リソースエンドポイント) の VPC エンドポイントを作成して、VPC からリソース設定にプライベートにアクセスできます。リソースエンドポイントの作成方法に関する詳細については、「*AWS PrivateLink User Guide*」の「[Accessing VPC resources](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html)」を参照してください。
+ *サービスネットワーク経由でのリソース設定へのアクセス*
リソース設定をサービスネットワークに関連付けて、VPC をサービスネットワークに接続することができます。VPC をサービスネットワークに接続するには、関連付けを使用するか、 AWS PrivateLink サービスネットワーク VPC エンドポイントを使用します。
サービスネットワークの関連付けの詳細については、「[Manage the associations for a VPC Lattice service network](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)」を参照してください。
サービスネットワーク VPC エンドポイントの詳細については、「*AWS PrivateLink User Guide*」の「[Access service networks](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html)」を参照してください。
VPC でプライベート DNS が有効化されていると、同じリソース設定にリソースエンドポイントとサービスネットワークエンドポイントを作成することはできません。
## サービスネットワークタイプとの関連付け
リソース設定をコンシューマーアカウントと共有する場合、例えば Account-B は を介して AWS RAM、リソース VPC エンドポイントまたはサービスネットワークを介してリソース設定に直接アクセスできます。
Account-B がサービスネットワーク経由でリソース設定にアクセスするには、リソース設定をサービスネットワークに関連付ける必要があります。サービスネットワークはアカウント間で共有できます。そのため、Account-B はそのサービスネットワーク (リソース設定が関連付けられているもの) を Account-C と共有し、Account-C がリソースにアクセスできるようにすることが可能です。
このような推移的共有を防ぐため、アカウント間で共有できるサービスネットワークにはリソース設定を追加できないと指定することができます。これを指定しておくと、Account-B がリソース設定を共有のサービスネットワークに追加したり、将来別のアカウントと共有したりすることができなくなります。
## サービスネットワークのタイプ
リソース設定を Account-B などの別のアカウントと共有する場合、Account-B は AWS RAM 3 つの方法のいずれかでリソース設定で指定されたリソースにアクセスできます。
+ *リソース*タイプの VPC エンドポイント (リソース VPC エンドポイント)。
+ *サービスネットワーク*タイプの VPC エンドポイント (サービスネットワーク VPC エンドポイント)。
+ サービスネットワーク VPC の関連付け。
サービスネットワークの関連付けを使用する場合、各リソースには、 AWS 所有およびルーティング不可の 129.224.0.0/17 ブロックからサブネットごとに IP が割り当てられます。これは、VPC Lattice が VPC Lattice ネットワーク経由でトラフィックをサービスにルーティングするために使用する[マネージドプレフィックスリスト](security-groups.md#managed-prefix-list)に加えて割り当てられるものです。これらの IP は、どちらも VPC ルートテーブルに更新されます。
サービスネットワーク VPC エンドポイントとサービスネットワーク VPC の関連付けの場合、リソース設定は Account-B のサービスネットワークに関連付ける必要があります。 サービスネットワークはアカウント間で共有できます。そのため、Account-B はそのサービスネットワーク (リソース設定が含まれているもの) を Account-C と共有し、Account-C がリソースにアクセスできるようにすることが可能です。このような推移的共有を防ぐため、アカウント間で共有できるサービスネットワークへのリソース設定の追加を禁止することができます。禁止する場合、共有されているサービスネットワーク、または別のアカウントと共有できるサービスネットワークに Account-B がリソース設定を追加できなくなります。
## を使用したリソース設定の共有 AWS RAM
リソース設定は と統合されています AWS Resource Access Manager。リソース設定は、 AWS RAM経由で別のアカウントと共有できます。リソース設定を AWS アカウントと共有すると、そのアカウントのクライアントはリソースにプライベートにアクセスできます。リソース設定は、 AWS RAMの[リソース共有](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)を使用して共有できます。
AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有リソース、およびリソースを共有している AWS アカウントを表示します。詳細については、「*AWS RAM User Guide*」の「[Resources shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)」を参照してください。
リソース設定と同じアカウントの別の VPC からリソースにアクセスするには、リソース設定を共有する必要はありません AWS RAM。
## モニタリング
リソース設定でモニタリングログを有効にできます。ログの送信先を選択できます。
# ドメインの作成と検証
ドメイン名の検証は、特定のドメインの所有権を証明することができるエンティティです。リソースプロバイダーとして、ドメインとそのサブドメインをリソース設定のカスタムドメイン名として使用できます。リソースコンシューマーは、リソース設定を記述するときに、カスタムドメイン名の検証ステータスを確認できます。
## ドメイン検証を開始する
VPC Lattice を使用してドメイン名の検証を開始し、DNS ゾーンを使用してプロセスを完了します。
------
#### [ AWS マネジメントコンソール ]
**ドメイン名の検証を開始するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **PrivateLink と Lattice **で、**ドメイン検証を選択します。**
1. **ドメイン検証の開始** を選択します。
1. **ドメイン名**には、所有しているドメイン名を入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. **Start domain name verification** を選択します。
ドメイン名の検証が正常に開始されると、VPC Lattice は `Id`と を返します`txtMethodConfig`。を使用して、ドメイン名の検証`txtMethodConfig`を完了します。
------
#### [ AWS CLI ]
次の`start-domain-verification`コマンドは、ドメイン名の検証を開始します。
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
出力は次のようになります。
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice は `Id`と を返します`txtMethodConfig`。を使用して、ドメイン名の検証`txtMethodConfig`を完了します。この例では、 `txtMethodConfig`は次のとおりです。
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## ドメイン名の検証を完了する
ドメイン名の検証を完了するには、DNS ゾーンに TXT レコードを追加します。Route 53 を使用する場合は、ドメイン名のホストゾーンを使用します。ドメイン名を検証すると、サブドメインも検証されます。たとえば、 を検証する場合`example.com`、追加の検証を実行`beta.example.com`せずに、リソース設定を `alpha.example.com`および に関連付けることができます。
を使用して TXT レコードを作成するには AWS マネジメントコンソール、[「Amazon Route 53 コンソールを使用したレコードの作成](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)」を参照してください。
**AWS CLI Route 53 の を使用して TXT レコードを作成するには**
1. 次のサンプル`TXT-record.json`ファイルで [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html) コマンドを使用します。
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. 次の AWS CLI コマンドを使用して、前のステップの TXT レコードを Route 53 ホストゾーンに追加します。
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
`hosted-zone-id` を、アカウントのホストゾーンの Route 53 ホストゾーン ID に置き換えます。change-batch パラメータ値は、フォルダ (path/to/your) 内の JSON ファイル (TXT-record.json) を指します。
ドメイン名の検証ステータスを確認するには、VPC Lattice コンソールまたは `get-domain-verification` コマンドを使用できます。
ドメイン名を検証すると、削除されるまで検証されたままになります。DNS ゾーンから TXT レコードを削除すると、VPC Lattice は を削除`verification-id`し、ドメイン名を再検証する必要があります。DNS ゾーンの TXT レコードを削除すると、VPC Lattice はドメイン名の検証ステータスを に設定します`UNVERIFIED`。これは、既存のリソースエンドポイント、サービスネットワークエンドポイント、またはサービスネットワーク VPC のリソース設定への関連付けには影響しません。ドメイン名を再検証するには、ドメイン名の検証プロセスを開始します。
# VPC Lattice でリソース設定を作成する
リソース設定を作成します。
------
#### [ AWS マネジメントコンソール ]
**コンソールを使用してライセンス設定を作成する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[PrivateLink と Lattice]** で **[リソース設定]** を選択します。
1. **[リソース設定を作成]** を選択します。
1. AWS アカウント内で一意の名前を入力します。リソース設定の作成後にこの名前を変更することはできません。
1. **[設定タイプ]** には、単一または子リソース用の **[リソース]** を選択するか、子リソースのグループ用の **[リソースグループ]** を選択します。
1. 以前に作成したリソースゲートウェイを選択するか、この時点でリソースゲートウェイを作成します。
1. (オプション) カスタムドメイン名を入力するには、次のいずれかを実行します。
+ Single タイプのリソース設定がある場合は、カスタムドメイン名を入力できます。リソースコンシューマーは、このドメイン名を使用してリソース設定にアクセスできます。
+ タイプグループと子のリソース設定がある場合は、まずグループリソース設定でグループドメインを指定する必要があります。次に、子リソース設定には、グループドメインのサブドメインであるカスタムドメインを含めることができます。
1. (オプション) 検証 ID を入力します。
ドメイン名を検証する場合は、検証 ID を指定します。これにより、リソースコンシューマーは、ドメイン名を所有していることを知ることができます。
1. このリソース設定で表すリソースの識別子を選択します。
1. リソースの共有に使用するポート範囲を選択します。
1. **[関連付けの設定]** では、このリソース設定を共有可能なサービスネットワークに関連付けることができるかどうかを指定します。
1. **[リソース設定を共有]** で、このリソースにアクセスできるプリンシパルを識別するリソース共有を選択します。
1. (オプション) リソース設定との間でのリクエストと応答を監視したい場合は、**[モニタリング]** で **[リソースアクセスログ]** を有効にし、配信先を選択します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. **[リソース設定を作成]** を選択します。
------
#### [ AWS CLI ]
次の [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) コマンドは、単一のリソース設定を作成し、カスタムドメイン名 に関連付けます`example.com`。
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
次の [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) コマンドは、グループリソース設定を作成し、カスタムドメイン名 に関連付けます`example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
次の [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) コマンドは、子リソース設定を作成し、カスタムドメイン名 に関連付けます`child.example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# VPC Lattice のリソース設定の関連付けを管理する
アカウント内の および クライアントとリソース設定を共有するコンシューマーアカウントは、 タイプのリソースの VPC エンドポイントを直接使用するか、 タイプのサービスネットワークの VPC エンドポイントを使用してリソース設定にアクセスできます。その結果、リソース設定にはエンドポイントの関連付けとサービスネットワークの関連付けが含まれます。
## サービスネットワークリソースの関連付けを管理する
サービスネットワークの関連付けを作成または削除します。
**注記**
サービスネットワークとリソース設定間の関連付けの作成中にアクセス拒否メッセージが表示された場合は、 AWS RAM ポリシーのバージョンを確認し、それがバージョン 2 であることを確認します。詳細については、 [AWS RAM ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)を参照してください。
**コンソールを使用してサービスネットワークの関連付けを管理する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[PrivateLink と Lattice]** で **[リソース設定]** を選択します。
1. リソース設定の名前を選択して詳細ページを開きます。
1. **[サービスネットワークの関連付け]** タブを選択します。
1. **[関連付けを作成]** を選択します。
1. **[VPC Lattice サービスネットワーク]** からサービスネットワークを選択します。サービスネットワークを作成するには、**[VPC Lattice ネットワークを作成]** を選択します。
1. (オプション) タグを追加するには、**[サービス関連付けのタグ]** を展開して、**[新しいタグを追加]** を選択し、タグキーとタグ値を入力します。
1. (オプション) このサービスネットワークリソースの関連付けでプライベート DNS 名を有効にするには、**プライベート DNS 名を有効にする**を選択します。詳細については、「[サービスネットワーク所有者のカスタムドメイン名](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners)」を参照してください。
1. **[Save changes]** (変更の保存) をクリックします。
1. 関連付けを削除するには、関連付けのチェックボックスをオンにしてから、**[アクション]**、**[削除]** と選択します。確認を求められたら、**confirm**と入力し、[**削除**] を選択します。
**を使用してサービスネットワークの関連付けを作成するには AWS CLI**
[create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html) コマンドを使用します。
**を使用してサービスネットワークの関連付けを削除するには AWS CLI**
[delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html) コマンドを使用します。
## リソース VPC エンドポイントの関連付けを管理する
リソース設定にアクセスできるコンシューマーアカウントまたはアカウント内のクライアントは、リソース VPC エンドポイントを使用してリソース設定にアクセスできます。リソース設定にカスタムドメイン名がある場合は、プライベート DNS を有効にするを使用して、VPC Lattice がリソースエンドポイントまたはサービスネットワークエンドポイントのプライベートホストゾーンをプロビジョニングできるようにします。これにより、クライアントはドメイン名を直接カーリングしてリソース設定にアクセスできます。詳細については、「[リソースコンシューマーのカスタムドメイン名](resource-configuration.md#custom-domain-name-resource-consumers)」を参照してください。
------
#### [ AWS マネジメントコンソール ]
1. エンドポイントの新しい関連付けを作成するには、左側のナビゲーションペインにある **[PrivateLink と Lattice]** にアクセスし、**[エンドポイント]** を選択します。
1. **[エンドポイントを作成]** を選択します。
1. VPC に接続するリソース設定を選択します。
1. VPC、サブネット、セキュリティグループを選択します。
1. (オプション) プライベート DNS を有効にして DNS オプションを設定するには、**プライベート DNS 名を有効にする**を選択します。
1. (オプション) VPC エンドポイントにタグ付けするには、**[新しいタグを追加]** を選択して、タグキーとタグ値を入力します。
1. **エンドポイントの作成** を選択します。
------
#### [ AWS CLI ]
次の [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html) コマンドは、プライベート DNS を使用する VPC エンドポイントを作成します。プライベート DNS 設定は に設定`VERIFIED_AND_SELECTED`され、選択したドメインは `example.com`および です`example.org`。VPC Lattice は、検証済みドメインまたは `example.com`または に対してのみプライベートホストゾーンをプロビジョニングします`example.org`。
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**を使用して VPC エンドポイントの関連付けを作成するには AWS CLI**
[create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) コマンドを使用します。
**を使用して VPC エンドポイントの関連付けを削除するには AWS CLI**
[delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html) コマンドを使用します。