翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 経由でサービスネットワークにアクセスする AWS PrivateLink
サービスネットワークには、サービスネットワーク VPC エンドポイント (サービスネットワークエンドポイント) を使用して VPC からプライベートに接続できます。サービスネットワークエンドポイントは、サービスネットワークに関連付けられているリソースやサービスへのプライベートかつセキュアなアクセスを可能にします。この方法を使用することで、単一の VPC エンドポイント経由で複数のリソースやサービスにプライベートにアクセスできます。
サービスネットワークは、リソース設定と VPC Lattice サービスの論理的なコレクションです。サービスネットワークエンドポイントを使用することで、サービスネットワークを VPC に接続し、VPC またはオンプレミスからこれらのリソースやサービスにプライベートにアクセスできます。サービスネットワークエンドポイントでは、1 つのサービスネットワークに接続できます。VPC から複数のサービスネットワークに接続する場合は、それぞれが異なるサービスネットワークをポイントする複数のサービスネットワークエンドポイントを作成できます。
サービスネットワークは AWS Resource Access Manager () と統合されていますAWS RAM。サービスネットワークは、 AWS RAM経由で別のアカウントと共有できます。サービスネットワークを別の AWS アカウントと共有する場合、そのアカウントはサービスネットワークエンドポイントを作成してサービスネットワークに接続できます。サービスネットワークは、 AWS RAMの[リソース共有](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)を使用して共有できます。
AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有サービスネットワーク、リソースを共有した AWS アカウントを表示します。詳細については、「*AWS RAM User Guide*」の「[Resources shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)」を参照してください。
**料金**
サービスネットワークに関連付けられたリソース設定の料金が 1 時間単位で請求されます。また、サービスネットワーク VPC エンドポイント経由でリソースにアクセスするときは、処理されるデータの料金が GB 単位で請求されます。サービスネットワーク VPC エンドポイント自体に 1 時間単位の料金は請求されません。詳細については、[Amazon VPC Lattice 料金表](https://aws.amazon.com/vpc/lattice/pricing/)を参照してください。
**Topics**
+ [概要:](#sn-network-overview)
+ [DNS ホスト名](#sn-endpoint-dns)
+ [DNS 解決](#sn-endpoint-dns-resolution)
+ [プライベート DNS](#sn-endpoint-private-dns)
+ [サブネットとアベイラビリティーゾーン](#sn-endpoint-subnets-zones)
+ [IP アドレスのタイプ](#sn-endpoint-ip-address-type)
+ [サービスネットワークエンドポイントを作成する](access-with-service-network-endpoint.md)
+ [サービスネットワークエンドポイントを管理する](manage-sn-endpoint.md)
## 概要:
独自のサービスネットワークを作成するか、別のアカウントから共有されたサービスネットワークを使用することができます。いずれの場合も、VPC からサービスネットワークに接続するためのサービスネットワークエンドポイントを作成できます。サービスネットワークを作成してリソース設定を関連付ける方法の詳細については、[「Amazon VPC Lattice ユーザーガイド](https://docs.aws.amazon.com/vpc-lattice/latest/ug/)」を参照してください。
次の図は、VPC 内のサービスネットワークエンドポイントがサービスネットワークにアクセスする方法を示しています。
![\[サービスネットワークエンドポイントがサービスネットワークに接続します。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/service-network-endpoint.png)
ネットワーク接続を開始できるのは、サービスネットワーク内のリソースとサービスに対するサービスネットワークエンドポイントが設定された VPC からのみです。リソースとサービスが存在する VPC がエンドポイント VPC へのネットワーク接続を開始することはできません。
## DNS ホスト名
では AWS PrivateLink、プライベートエンドポイントを使用してサービスネットワークにトラフィックを送信します。サービスネットワーク VPC エンドポイントを作成すると、リソースとサービスそれぞれにリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。これらは、VPC やオンプレミスからリソースとサービスと通信するために使用できます。エンドポイントに関連付けられた IP アドレスは変更できます。サービスネットワークへの接続には、エンドポイント IP ではなく DNS を使用することをお勧めします。
サービスネットワーク内にあるリソースのデフォルト DNS 名には次の構文があります。
```
endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws
```
サービスネットワーク内にある Lattice サービスのデフォルト DNS 名には次の構文があります。
```
endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws
```
を使用している場合は AWS マネジメントコンソール、**関連付け**タブで DNS 名を確認できます。を使用している場合は AWS CLI、[describe-vpc-endpoint-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html) コマンドを使用します。
[プライベート DNS](privatelink-access-aws-services.md#interface-endpoint-private-dns) を有効にできるのは、サービスネットワークに Amazon RDS データベースサービスに対する ARN タイプのリソース設定が存在する場合のみです。プライベート DNS を使用すると、 AWS サービスネットワーク VPC エンドポイントを介したプライベート接続を活用しながら、サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「[DNS 解決](privatelink-access-resources.md#resource-endpoint-dns-resolution)」を参照してください。
## DNS 解決
サービスネットワークエンドポイントを作成すると、サービスネットワークに関連付けられているリソース設定と Lattice サービスそれぞれに DNS 名が作成されます。これらの DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外からの DNS リクエストは、引き続きサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。サービスネットワークエンドポイントがある VPN にアクセスできるならば、これらの DNS 名を使用して、VPN または Direct Connect 経由でオンプレミスからリソースやサービスにアクセスできます。
## プライベート DNS
サービスネットワーク VPC エンドポイントでプライベート DNS を有効にし、VPC で [DNS ホスト名と DNS 解決](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)の両方が有効になっている場合、カスタム DNS 名を持つリソース設定に対して非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンにはリソースのデフォルト DNS 名のレコードセットが含まれており、デフォルト DNS 名を VPC 内にあるサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。
Amazon は、「[Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、デフォルト DNS 名か、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 [AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)」を参照してください。
## サブネットとアベイラビリティーゾーン
アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。そうすると、サブネット内にある VPC エンドポイントのエンドポイントネットワークインターフェイスが作成されます。VPC エンドポイントの [IP アドレスタイプ](privatelink-access-resources.md#resource-endpoint-ip-address-type)が IPv4 である場合は、そのサブネットから各 Elastic Network Interface に /28 の倍数で IP アドレスが割り当てられます。各サブネットで割り当てられた IP アドレスの数はリソース設定の数によって異なり、必要に応じて IP が /28 ブロックで追加されます。本番環境では、高可用性とレジリエンシーを確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、連続する IP を利用可能にすることをお勧めします。
## IP アドレスのタイプ
サービスネットワークエンドポイントは、IPv4、IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。以下の説明にあるように、サービスネットワークエンドポイントの IP アドレスのタイプには、リソースエンドポイントのサブネットとの互換性がある必要があります。
+ **[IPv4]** — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。
+ **[IPv6]** — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。
+ **[Dualstack]** — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。
サービスネットワーク VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv4 アドレスになります。サービスネットワーク VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv6 アドレスになります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、`denyAllIgwTraffic` が有効になっていることに注意してください。
# サービスネットワークエンドポイント経由でサービスネットワークにアクセスする
サービスネットワークには、サービスネットワークエンドポイントを使用してアクセスできます。サービスネットワークエンドポイントは、サービスネットワーク内のリソース設定とサービスに対するプライベートアクセスを提供します。
## 前提条件
サービスネットワークエンドポイントを作成するには、次の前提条件を満たす必要があります。
+ 作成したサービスネットワーク、または AWS RAM経由で別のアカウントから共有されたサービスネットワークが必要です。
+ サービスネットワークが別のアカウントから共有されたものである場合は、サービスネットワークが含まれるリソース共有を確認して受け入れる必要があります。詳細については、「**AWS RAM ユーザーガイド」の「[招待の承諾と拒否](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)」を参照してください。
+ サービスネットワークエンドポイントには最初に、アベイラビリティーゾーンで利用可能になっている IPv4 アドレスの連続する /28 ブロックが必要です。エンドポイントに関連付けられているサービスネットワークにリソース設定を追加する場合、同じサブネット内で利用できる追加の /28 ブロックが必要になります。これは、各リソースがアベイラビリティーゾーンごとに一意の IP を消費するためです。
サービスネットワークに 16 個を超えるリソース設定を追加する予定の場合は、新しいリソースに対応するためにサービスネットワークエンドポイントで追加の /28 ブロックが消費されます。VPC CIDR IP の使用を避ける必要がある場合は、サービスネットワーク VPC の関連付けを使用することをお勧めします。詳細については、「*Amazon VPC Lattice User Guide*」の「[Manage VPC endpoint associations](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html#service-network-vpc-endpoint-associations)」を参照してください。
## サービスネットワークエンドポイントを作成する
共有されたサービスネットワークにアクセスするためのサービスネットワークエンドポイントを作成します。サービスネットワークエンドポイントを作成した後で変更できるのは、そのセキュリティグループまたはタグのみです。
**サービスネットワークエンドポイントを作成する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[PrivateLink と Lattice]** で **[エンドポイント]** を選択します。
1. **エンドポイントの作成** を選択します。
1. エンドポイントの名前を指定して、検索と管理を容易に行えるようにします。
1. **[タイプ]** で **[サービスネットワーク]** を選択します。
1. **[サービスネットワーク]** でサービスネットワークを選択します。
1. **[ネットワーク設定]** でサービスネットワークのアクセス元になる VPC を選択します。
1. プライベート DNS サポートを設定する場合は、**追加設定**、**プライベート DNS 名を有効にする**を選択します。この機能を使用するには、VPC に対して **[DNS ホスト名を有効化]** と **[DNS サポートを有効化]** の各属性が有効になっていることを確認してください。
1. **[サブネット]** には、エンドポイントネットワークインターフェイスの作成先になるサブネットを選択します。
本番環境では、高可用性とレジリエンシーを確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定することをお勧めします。
1. **[セキュリティグループ]** でセキュリティグループを選択します。
セキュリティグループを指定しないと、VPC のデフォルトのセキュリティグループが関連付けられます。
1. **エンドポイントの作成** を選択します。
**コマンドラインを使用してサービスネットワークエンドポイントを作成する**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
# サービスネットワークエンドポイントを管理する
サービスネットワークエンドポイントの作成後は、そのセキュリティグループまたはタグを更新できます。
**Topics**
+ [エンドポイントの削除](#delete-sn-endpoint)
+ [サービスネットワークエンドポイントの更新](#update-sn-endpoint)
## エンドポイントの削除
不要になった VPC エンドポイントは、削除することができます。
**コンソールを使用してエンドポイントを削除する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. サービスネットワークエンドポイントを選択します。
1. **[アクション]**、**[VPC エンドポイントを削除]** の順に選択してください。
1. 確認を求められたら、**delete** をクリックしてください。
1. **[削除]** を選択します。
**コマンドラインを使用してエンドポイントを削除する**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## サービスネットワークエンドポイントの更新
VPC エンドポイントを更新できます。
**コンソールを使用してエンドポイントを更新する**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. エンドポイントを選択します。
1. **[アクション]** で適切なオプションを選択します。
1. コンソールの手順に従って更新を送信します。
**コマンドラインを使用してエンドポイントを更新する**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)