Hyperforce 用の AWS Direct Connect (DX) 設定

規制やセキュリティなどの理由により会社のネットワークから Hyperforce への直接接続ソリューションが必要な場合は、AWS Direct Connect (DX) をお勧めします。DX は、オンプレミスインフラストラクチャと AWS 上の Hyperforce リソース間の直接接続を提供する AWS サービスです。パブリック VIF を介して Hyperforce にアクセスするように設定できます。プライベート VIF を介したアクセスはサポートされていません。

注意: Salesforce プライベートコネクトを使用して、オンプレミスの会社のユーザーの Hyperforce への UI アクセスを保護することはできません。Salesforce プライベートコネクトは、Salesforce 以外の AWS 環境との間のSalesforce API 接続を保護するために使用されます。プライベートコネクトでの DX の使用について説明するAWSのブログでは、このアーキテクチャが Salesforce UI のアクセスに関するものではないことが説明されています。

速度と利用状況のニーズに応じて、ホスト型または専用の DX 接続を選択できます。専用接続は、1、10、100 Gbps の高速で提供され、AWS から直接購入します。

ホスト接続は、さまざまな速度のバリエーションで導入できるため、帯域幅のニーズに細やかに適合し、コストを節約できる可能性があります。ホスト接続は、さまざまなパートナーから入手できます。現在、SEC (Salesforce Express Connect) を使用している場合は、既存の SEC プロバイダーが DX デリバリーパートナーであるか確認します。

この手順は、Hyperforce に接続するためのネットワークおよびセキュリティ設定を管理するネットワークおよびセキュリティチームを対象としており、ネットワーク概念に関する実務知識と、Hyperforce リージョンに関する知識を持っていることを前提としています。

AWS Direct Connect (DX) を使用した Hyperforce への接続

まず、ホスト接続または専用接続を選択します。ホスト接続を使用するには、AWS DX デリバリーパートナーと協力します。

Hyperforce リージョン内またはその近辺の接続プロバイダーから提供される AWS DX ロケーションを選択します。プロバイダーと協力して、お客様のインフラストラクチャと Hyperforce 間の AWS DX 接続を作成します。

推奨事項

転送中のデータのセキュリティを強化するには、接続で MacSEC 暗号化を使用します。
フェイルオーバー時間を短縮するには、双方向フォワーディング検出 (BFD) を実装します。
ユーザーが DX 接続を介してのみ Hyperforce にアクセスできるようにするには、パブリック IP アドレス空間を DX にのみアドバタイズし、パブリックインターネットにはアドバタイズしません。次に、IP プレフィックスを組織の信頼済み IP 範囲に追加します。
DX 接続をすべての AWS パブリック IP ではなくHyperforce IP に制限するには、「Hyperforce IP の管理」セクションで説明されている IP を許可リストに登録します。
DX 接続と ISP 接続からのルーティング情報の競合を回避するには、DX 接続を優先するようにオンプレミスのルーティングポリシーを設定します。

これらの推奨事項については、AWS/Salesforce の共著ブログ記事「How to Access Salesforce Hyperforce Securely and Reliably with AWS Direct Connect」で詳しく説明されています。

Diagram showing traffic flowing from on-prem datacenter through DX to public VIF in the AWS cloud through Salesforce Edge to Hyperforce

Hyperforce IP の管理

次の 3 組の Salesforce IP を管理するように DX を設定することが必要になる場合があります。 Hyperforce パブリック IP、短期の Salesforce Edge 用 AWS IP、メール転送エージェント (MTA) で使用されるメール IP です。

Hyperforce パブリック IP を許可

許可リストの使用を選択した DX ユーザーは、自分の国の IP 範囲だけでなく、Hyperforce パブリック IP 範囲全体を許可する必要があります。Hyperforce パブリック IP は、次の URL から JSON 形式でダウンロードできます。https://ip-ranges.salesforce.com/ip-ranges.json

含まれるサービス

JSON リストには、外部ソースからの Hyperforceへのインバウンド接続のIP (Salesforce Edge の一部を含む) と、Hyperforce からお客様のネットワークへのアウトバウンド接続の IP が含まれます。これらのアドレスは、Salesforce Cloud、Service Cloud、Industries Cloud、Tableau Cloud などの Salesforce プラットフォームおよび MuleSoft Anypoint プラットフォームで構築された製品を対象としています。

含まれないサービス

JSON リストには、メール、Marketing Cloud、Commerce Cloud、Slack サービスの IP アドレスは含まれません。

Hyperforce の進化に伴い、Salesforce は実際に使用する 30 日以上前に JSON ファイルに IP アドレスを追加および変更します。変更通知を購読してルーターの IP を最新に保つための手順の詳細については、「Hyperforce IP の許可 - Sales、Service、Industries、および Tableau Cloud」を参照してください。

DX 用の Salesforce Edge の設定

Salesforce Edge は、パフォーマンスの向上や高度なアプリケーションセキュリティ保護などのセキュリティを含む高度なネットワークエクスペリエンスを提供するコンテンツ配信ネットワーク(CDN)です。Edge と AWS DX では、トラフィックは DX を介して対象の AWS リージョン、最も近い使用可能な Edge ポイントオブプレゼンス (PoP)、Salesforce 組織にルーティングされます。

遅延の最小化

Hyperforce インスタンスに最も近い AWS リージョンに接続するように DX を構成します。
Hyperforce インスタンスに最も近い AWS リージョンに接続するようにオンプレミス DNS サーバーを設定します。

‎各 DX 回線で 1 つの AWS リージョンへの接続が確立されます。複数の地域に Salesforce 組織がある場合は、複数の DX 回線を設定することを検討してください。
地域のデータレジデンシーや内部セキュリティポリシーなどのコンプライアンス要件がある場合は、カスタマーサクセスマネージャーまでご連絡いただき、具体的なご要件についてご相談ください。

短期の Edge IP 範囲の許可

Hyperforce Edge 用の短期の AWS IP 範囲の表には、Hyperforce に流入するトラフィックに関する世界中の各地域で AWS が所有する Salesforce Edge IP が記載されています。

今後、Salesforce は Edge IP を Salesforce が管理する https://ip-ranges.salesforce.com/ip-ranges.json の Hyperforce パブリック IP 範囲に移行する予定*です。Hyperforce パブリック IP 範囲全体を許可すると、移行時にも接続性を維持できます。AWS 範囲の廃止日を確認して許可リストから削除できるように、この記事を定期的に参照することをお勧めします。

AWS は Salesforce Edge の範囲を直接アドバタイズしません。代わりに、AWS は /16 など、より大きな IP 範囲をアドバタイズします。Salesforce Edge の範囲を許可するには、https://ip-ranges.amazonaws.com/ip-ranges.jsonにあるリストから、Salesforce Edge の範囲を含む AWS によってアドバタイズされた範囲を見つけて許可します。

次に、必要なトラフィックのみを許可するように、AWS がアドバタイズする /16 全体ではなく、特定の Salesforce Edge /28 サブネットへのトラフィックのみを許可するようにファイアウォールを設定します。これを実現するには、BGP インポートフィルターまたはファイアウォール規則を適用して、ダウンストリームピアのアクセスを /28 サブネットに制限します。

AWS はアドバタイズする IP 範囲を所有しており、いつでも範囲を変更できます。接続の中断を回避するには、AWS JSON ファイルを定期的にポーリングするように計画し、必要に応じてファイアウォールルールを更新します。Edge IP が Hyperforce パブリック IP 範囲に移行されると、AWS 範囲のポーリング、許可、フィルタリングが不要になります。

受信トラフィックはエンドユーザーの地理的な場所に最も近いエッジに自動的にルーティングされるため、ユーザーをブロックしないために、すべての Salesforce IP 範囲を許可することをお勧めします。自分の国または地域の範囲のみを許可すると、他の場所のユーザーからの受信トラフィックをブロックする可能性があります。

Hyperforce Edge 用の短期の AWS IP 範囲

国	AWS リージョン	IP 範囲 /28
オーストラリア	ap-southeast-2	13.210.3.208/28
ブラジル	sa-east-1	54.233.205.0/28
カナダ	ca-central-1	35.182.14.32/28
フランス	eu-west-3	13.36.84.96/28
ドイツ	eu-central-1	35.158.127.48/28
インド	ap-south-1	13.126.23.64/28
インドネシア	ap-southeast-3	16.78.19.16/28
イスラエル	il-central-1	51.17.195.96/28
イタリア	eu-south-1	18.102.214.64/28
日本	ap-northeast-1	13.113.196.48/28
シンガポール	ap-southeast-1	13.228.64.80/28
韓国	ap-northeast-2	43.201.151.176/28
スウェーデン	eu-north-1	13.50.12.176/28
スイス	eu-central-2	16.63.106.240/28
アラブ首長国連邦	me-central-1	51.112.11.192/28
イギリス	eu-west-2	35.176.92.16/28
アメリカ合衆国	us-east-1	34.226.36.48/28
アメリカ合衆国	us-east-2	3.146.43.224/28
アメリカ合衆国	us-west-2	34.211.108.32/28

メール IP の管理

AWS DX 回線を介してメールトラフィックをルーティングする場合は、「Route Email Through AWS DX」を参照してください。メール用の追加の IP を許可リストに登録する必要があります。

AWS DX 接続のテスト

AWS DXの設定と Hyperforce および Edge IP アドレスのプロビジョニングアクセスが完了したら、必ずパフォーマンステストを実行して AWS DX ネットワークパスが正しく機能していることを確認します。詳細は、「Regular Performance Testing」を参照してください。

Salesforce Express Connect の維持

Hyperforce をご利用の場合でも、login.salesforce.com からのパスワードのヒントや *.force.com とのサードパーティインテグレーションなど、Hyperforce 以外のインフラストラクチャを介してのみ提供される機能セットがいくつかあります。これらの機能を直接接続を介して提供する必要がある場合、Hyperforce-AWS で機能が使用できるようになるまで、SEC (Salesforce Express Connect) 接続を維持する必要があります。

サポート

コンプライアンスやデータレジデンシーに関するご質問は、カスタマーサクセスマネージャーにお問い合わせください。
Edge の設定に関するご質問は、Salesforce サポートにお問い合わせください。
DX の設定に関するご質問は、AWS または DX サービスプロバイダーにお問い合わせください。

* 将来の見通しに関する記述が含まれています。

改訂履歴

改訂日	改訂内容
2025 年 10 月 22 日	Hyperforce パブリック IP の許可に関するセクションを更新しました。JSON ファイルに受信接続と送信接続の両方の IP アドレスが含まれるようになりました。
2025 年 7 月 10 日	AWS IP の短期的な性質を明記しました。短期 IP テーブルから ap-south-2 領域が削除されました。これは、AWS 範囲ではなく、Hyperforce パブリック IP にすでに含まれているためです。プライベートコネクトは UI を介した直接接続用ではないという内容のメモを追加しました。DX 接続をテストするためのアドバイスを追加しました。
2025 年 5 月 27 日	初版