翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC リソースのリソース設定
<a name="resource-configuration"></a>

リソース設定は、他の VPC やアカウント内のクライアントがアクセスできるようにしたいリソースまたはリソースのグループを表します。リソース設定を定義することで、他の VPC やアカウント内のクライアントからの VPC 内のリソースに対するプライベートかつセキュアな一方向ネットワーク接続を許可できます。リソース設定は、トラフィックを受信するために経由するリソースゲートウェイに関連付けられます。

**Topics**
+ [リソース設定のタイプ](#resource-configuration-types)
+ [リソースゲートウェイ](#resource-gateway)
+ [リソースプロバイダーのカスタムドメイン名](#custom-domain-name-resource-providers)
+ [リソースコンシューマーのカスタムドメイン名](#custom-domain-name-resource-consumers)
+ [サービスネットワーク所有者のカスタムドメイン名](#resource-configuration-custom-domain-name-service-network-owners)
+ [リソース定義](#resource-definition)
+ [プロトコル](#resource-configuration-protocol)
+ [ポート範囲](#resource-configuration-port)
+ [リソースへのアクセス](#resource-configuration-accessing)
+ [サービスネットワークタイプとの関連付け](#resource-configuration-service-network-association)
+ [サービスネットワークのタイプ](#service-network-types)
+ [を使用したリソース設定の共有 AWS RAM](#sharing-resource-configuration-ram)
+ [モニタリング](#resource-configuration-monitoring)
+ [リソース設定を作成する](create-resource-configuration.md)
+ [関連付けを管理する](resource-configuration-associations.md)

## リソース設定のタイプ
<a name="resource-configuration-types"></a>

リソース設定にはいくつかのタイプがあります。異なるタイプは、異なる種類のリソースを表すために役立ちます。タイプは次のとおりです。
+ **単一リソース設定**: IP アドレスまたはドメイン名。個別に共有できます。
+ **グループリソース設定**: 子リソース設定のコレクション。個別に共有できます。
+ **子リソース設定**: グループリソース設定のメンバー。IP アドレスまたはドメイン名を表します。この設定を個別に共有することはできず、グループの一部としての共有のみが可能です。グループからシームレスに追加および削除できます。追加されると、グループにアクセスできるクライアントが自動的にアクセスできるようになります。
+ **ARN リソース設定**: AWS サービスによってプロビジョニングされるサポートされているリソースタイプを表します。例えば、Amazon RDS データベースなどです。子リソース設定は、 AWSによって自動的に管理されます。

## リソースゲートウェイ
<a name="resource-gateway"></a>

リソース設定はリソースゲートウェイに関連付けられています。リソースゲートウェイは、リソースが存在する VPC へのイングレスポイントとして機能する一連の ENI です。複数のリソース設定を同じリソースゲートウェイに関連付けることができます。他の VPC またはアカウント内のクライアントが VPC 内のリソースにアクセスする場合、リソースはその VPC 内のリソースゲートウェイからローカルに送られるトラフィックを認識します。

## リソースプロバイダーのカスタムドメイン名
<a name="custom-domain-name-resource-providers"></a>

リソースプロバイダーは、リソースコンシューマーがリソース設定にアクセスするために使用できる `example.com`などのリソース設定にカスタムドメイン名をアタッチできます。カスタムドメイン名は、リソースプロバイダーによって所有および検証することも、サードパーティーまたは AWS ドメインにすることもできます。リソースプロバイダーは、リソース設定を使用して、キャッシュクラスターと Kafka クラスター、TLS ベースのアプリケーション、またはその他の AWS リソースを共有できます。

リソース設定のプロバイダーには、以下の考慮事項が適用されます。
+ リソース設定には、1 つのカスタムドメインのみを含めることができます。
+ リソース設定のカスタムドメイン名は変更できません。
+ カスタムドメイン名は、すべてのリソース設定コンシューマーに表示されます。
+ VPC Lattice のドメイン名検証プロセスを使用して、カスタムドメイン名を検証できます。詳細については、「」を参照してください[https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html)。
+ タイプグループと子のリソース設定では、まずグループリソース設定でグループドメインを指定する必要があります。その後、子リソース設定には、グループドメインのサブドメインであるカスタムドメインを含めることができます。グループにグループドメインがない場合は、子の任意のカスタムドメイン名を使用できますが、VPC Lattice はリソースコンシューマーの VPC 内の子ドメイン名のホストゾーンをプロビジョニングしません。

## リソースコンシューマーのカスタムドメイン名
<a name="custom-domain-name-resource-consumers"></a>

リソースコンシューマーがカスタムドメイン名を持つリソース設定への接続を有効にすると、VPC Lattice が VPC 内の Route 53 プライベートホストゾーンを管理できるようになります。リソースコンシューマーには、VPC Lattice がプライベートホストゾーンを管理できるようにするドメインの詳細なオプションがあります。

リソースコンシューマーは、リソースエンドポイント、サービスネットワークエンドポイント、またはサービスネットワーク VPC の関連付けを介してリソース設定への接続を有効にするときに、 `private-dns-enabled`パラメータを設定できます。`private-dns-enabled` パラメータに加えて、コンシューマーは DNS オプションを使用して、VPC Lattice がプライベートホストゾーンを管理するドメインを指定できます。コンシューマーは、次のプライベート DNS 設定から選択できます。

**`ALL_DOMAINS`**  
VPC Lattice は、すべてのカスタムドメイン名にプライベートホストゾーンをプロビジョニングします。

**`VERIFIED_DOMAINS_ONLY`**  
VPC Lattice は、カスタムドメイン名がプロバイダーによって検証された場合にのみ、プライベートホストゾーンをプロビジョニングします。

**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**  
VPC Lattice は、リソースコンシューマーが指定するすべての検証済みカスタムドメイン名と他のドメイン名にプライベートホストゾーンをプロビジョニングします。リソースコンシューマーは、 `private DNS specified domains`パラメータでドメイン名を指定します。

**`SPECIFIED_DOMAINS_ONLY`**  
VPC Lattice は、リソースコンシューマーによって指定されたドメイン名のプライベートホストゾーンをプロビジョニングします。リソースコンシューマーは、 `private DNS specified domains `パラメータでドメイン名を指定します。

プライベート DNS を有効にすると、VPC Lattice はリソース設定に関連付けられたカスタムドメイン名のプライベートホストゾーンを VPC に作成します。デフォルトでは、プライベート DNS 設定は に設定されます`VERIFIED_DOMAINS_ONLY`。つまり、プライベートホストゾーンは、カスタムドメイン名がリソースプロバイダーによって検証された場合にのみ作成されます。プライベート DNS 設定を `ALL_DOMAINS`または に設定すると`SPECIFIED_DOMAINS_ONLY`、VPC Lattice はカスタムドメイン名の検証ステータスに関係なくプライベートホストゾーンを作成します。特定のドメインに対してプライベートホストゾーンが作成されると、VPC からそのドメインへのすべてのトラフィックは VPC Lattice を介してルーティングされます。これらのカスタムドメイン名へのトラフィックが VPC Lattice を通過する場合にのみ`ALL_DOMAINS`、`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`、、または `SPECIFIED_DOMAINS_ONLY`設定を使用することをお勧めします。

リソースコンシューマーは、プライベート DNS 設定を に設定することをお勧めします`VERIFIED_DOMAINS_ONLY`。これにより、コンシューマーは、VPC Lattice がリソースコンシューマーのアカウントで検証済みドメインのプライベートホストゾーンをプロビジョニングすることのみを許可することで、セキュリティ境界を強化できます。

プライベート DNS 指定ドメインのドメインを選択するには、リソースコンシューマーは などの完全修飾ドメイン名を入力する`my.example.com`か、 などのワイルドカードを使用できます`*.example.com`。

リソース設定のコンシューマーには、次の考慮事項が適用されます。
+ プライベート DNS 対応パラメータは変更できません。
+ VPC でプライベートホストを作成するには、サービスネットワークリソースの関連付けでプライベート DNS を有効にする必要があります。リソース設定の場合、サービスネットワークリソース関連付けのプライベート DNS 対応ステータスは、サービスネットワークエンドポイントまたはサービスネットワーク VPC 関連付けのプライベート DNS 対応ステータスを上書きします。

ドメイン名ターゲットであるリソース設定の場合、以下が当てはまる場合、プライベートホストゾーンエントリは作成されません。
+ リソースゲートウェイは、サービスネットワーク VPC エンドポイント/サービスネットワーク VPC の関連付けと同じ VPC にあります。
+ DNS 解決は、リソースゲートウェイで IN\_VPC に設定されます。
+ カスタムドメイン名またはグループドメインは、ドメイン名ターゲットと同じかそれ以上のレベルのドメインです。

## サービスネットワーク所有者のカスタムドメイン名
<a name="resource-configuration-custom-domain-name-service-network-owners"></a>

サービスネットワークリソース関連付けのプライベート DNS 対応プロパティは、サービスネットワークエンドポイントとサービスネットワーク VPC 関連付けのプライベート DNS 対応プロパティを上書きします。

サービスネットワーク所有者がサービスネットワークリソースの関連付けを作成し、プライベート DNS を有効にしない場合、VPC Lattice は、プライベート DNS がサービスネットワークエンドポイントまたはサービスネットワーク VPC の関連付けで有効であっても、サービスネットワークが接続されている VPCs でそのリソース設定のプライベートホストゾーンをプロビジョニングしません。

ARN タイプのリソース設定の場合、プライベート DNS フラグは true でイミュータブルです。

## リソース定義
<a name="resource-definition"></a>

リソース設定では、次のいずれかの方法でリソースを識別します。
+ **Amazon リソースネーム (ARN)** 別: AWS サービスによってプロビジョニングされるサポートされているリソースタイプは、ARN によって識別できます。Amazon RDS データベースのみがサポートされています。パブリックアクセスが可能なクラスターのリソース設定を作成することはできません。
+ **ドメイン名ターゲット**別: 任意のドメイン名を使用できます。プライベート DNS サーバーを使用するか、ドメインが Route53 プライベートホストゾーンにある場合、リソースゲートウェイは DNS 解決を IN\_VPC に設定する必要があります。ドメイン名が VPC 外にある IP をポイントする場合は、VPC 内に NAT ゲートウェイが必要です。
+ **IP アドレス**を使用: IPv4 の場合は、10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16 の範囲からプライベート IP を指定します。IPv6 の場合は、VPC から IP を指定します。パブリック IP はサポートされていません。

## プロトコル
<a name="resource-configuration-protocol"></a>

リソース設定を作成するときは、リソースがサポートするプロトコルを定義できます。現在、TCP プロトコルのみがサポートされています。

## ポート範囲
<a name="resource-configuration-port"></a>

リソース設定を作成するときは、リクエストを受け入れるポートを定義できます。他のポートでのクライアントアクセスは許可されません。

## リソースへのアクセス
<a name="resource-configuration-accessing"></a>

コンシューマーは、VPC エンドポイントを使用する、またはサービスネットワークを経由することで、VPC からリソース設定に直接アクセスできます。コンシューマーとして、ユーザーはアカウント内のリソース設定、または AWS RAM経由で別のアカウントから共有されたリソース設定に対する VPC からのアクセスを有効にできます。
+ *リソース設定への直接的なアクセス*

   AWS PrivateLink VPC にリソースタイプ (リソースエンドポイント) の VPC エンドポイントを作成して、VPC からリソース設定にプライベートにアクセスできます。リソースエンドポイントの作成方法に関する詳細については、「*AWS PrivateLink User Guide*」の「[Accessing VPC resources](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html)」を参照してください。
+ *サービスネットワーク経由でのリソース設定へのアクセス*

  リソース設定をサービスネットワークに関連付けて、VPC をサービスネットワークに接続することができます。VPC をサービスネットワークに接続するには、関連付けを使用するか、 AWS PrivateLink サービスネットワーク VPC エンドポイントを使用します。

  サービスネットワークの関連付けの詳細については、「[Manage the associations for a VPC Lattice service network](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)」を参照してください。

  サービスネットワーク VPC エンドポイントの詳細については、「*AWS PrivateLink User Guide*」の「[Access service networks](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html)」を参照してください。

VPC でプライベート DNS が有効化されていると、同じリソース設定にリソースエンドポイントとサービスネットワークエンドポイントを作成することはできません。

## サービスネットワークタイプとの関連付け
<a name="resource-configuration-service-network-association"></a>

リソース設定をコンシューマーアカウントと共有する場合、例えば Account-B は を介して AWS RAM、リソース VPC エンドポイントまたはサービスネットワークを介してリソース設定に直接アクセスできます。

Account-B がサービスネットワーク経由でリソース設定にアクセスするには、リソース設定をサービスネットワークに関連付ける必要があります。サービスネットワークはアカウント間で共有できます。そのため、Account-B はそのサービスネットワーク (リソース設定が関連付けられているもの) を Account-C と共有し、Account-C がリソースにアクセスできるようにすることが可能です。

このような推移的共有を防ぐため、アカウント間で共有できるサービスネットワークにはリソース設定を追加できないと指定することができます。これを指定しておくと、Account-B がリソース設定を共有のサービスネットワークに追加したり、将来別のアカウントと共有したりすることができなくなります。

## サービスネットワークのタイプ
<a name="service-network-types"></a>

リソース設定を Account-B などの別のアカウントと共有する場合、Account-B は AWS RAM 3 つの方法のいずれかでリソースにアクセスできます。
+ *リソース*タイプの VPC エンドポイント (リソース VPC エンドポイント)。
+ *サービスネットワーク*タイプの VPC エンドポイント (サービスネットワーク VPC エンドポイント)。
+ サービスネットワーク VPC の関連付け。

  サービスネットワークの関連付けを使用する場合、各リソースには、 AWS 所有およびルーティング不可の 129.224.0.0/17 ブロックからサブネットごとに IP が割り当てられます。これは、VPC Lattice が VPC Lattice ネットワーク経由でトラフィックをサービスにルーティングするために使用する[マネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc-lattice/latest/ug/security-groups.html#managed-prefix-list)に加えて割り当てられるものです。これらの IP は、どちらも VPC ルートテーブルに更新されます。

サービスネットワーク VPC エンドポイントとサービスネットワーク VPC の関連付けでは、Account-B のサービスネットワーク内にリソース設定を含める必要があります。サービスネットワークはアカウント間で共有できます。そのため、Account-B はそのサービスネットワーク (リソース設定が含まれているもの) を Account-C と共有し、Account-C がリソースにアクセスできるようにすることが可能です。このような推移的共有を防ぐため、アカウント間で共有できるサービスネットワークへのリソース設定の追加を禁止することができます。禁止する場合、共有されているサービスネットワーク、または別のアカウントと共有できるサービスネットワークに Account-B がリソース設定を追加できなくなります。

## を使用したリソース設定の共有 AWS RAM
<a name="sharing-resource-configuration-ram"></a>

リソース設定は と統合されています AWS Resource Access Manager。リソース設定は、 AWS RAM経由で別のアカウントと共有できます。リソース設定を AWS アカウントと共有すると、そのアカウントのクライアントはリソースにプライベートにアクセスできます。リソース設定は、 AWS RAMの[リソース共有](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)を使用して共有できます。

 AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有リソース、およびリソースを共有している AWS アカウントを表示します。詳細については、「*AWS RAM User Guide*」の「[Resources shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)」を参照してください。

リソース設定と同じアカウントの別の VPC からリソースにアクセスするには、リソース設定を共有する必要はありません AWS RAM。

## モニタリング
<a name="resource-configuration-monitoring"></a>

リソース設定でモニタリングログを有効にできます。ログの送信先を選択できます。