コンバージョンAPI

スタートガイド

事業者は数回クリックするだけで、Metaイベントマネージャ内のセルフサービスフローからコンバージョンAPIゲートウェイをデプロイすることができます。このセットアップフローでは、Amazon Web Service (AWS)やGoogle Cloud Platform (GCP)などのサードパーティクラウドプロバイダーを使用して、事業者に代わってサーバーインスタンスをデプロイします。

事業者はコンバージョンAPIゲートウェイをデプロイするために、Metaイベントマネージャ内のセルフサービスフローを使うことができます。数回クリックするだけで、事業者のために、サードパーティのクラウドプロバイダーアカウント内にサーバーインスタンスが構成されデプロイされます。

コンバージョンAPIゲートウェイは、ウェブイベントをレポートするウェブサイトのサブドメインから配信されます。このサブドメインは、ファーストパーティドメインとも呼ばれています(レポート用のMetaピクセルと同じeTLD+1にある必要があります)。ファーストパーティドメインで構成されているコンバージョンAPIゲートウェイは、データフローが事業者の信頼するインフラストラクチャのみを通過するようにするのに役立ちます。

前提条件

コンバージョンAPIゲートウェイをデプロイするには、次のプロパティとアクセス権が必要です。

  • MetaピクセルID
  • Metaピクセルに関連付けられたイベントマネージャの管理者アクセス権(部分的なアクセス許可では機能しません)
  • このMetaピクセルに関連付けられたすべてのウェブサイトドメインを更新するためのアクセス権
  • これらのドメインのDNSプロバイダーを使用して更新を行うためのアクセス権(サブドメインを構成できる必要があります)
  • クラウドプロバイダーサービス(AWSやGCPなど)の管理者アクセス権

推奨事項: Metaピクセルで詳細マッチングを有効にすると、コンバージョンAPIゲートウェイ統合のパフォーマンスを最大限に高められます。詳細マッチングを使用すると、ハッシュ化された顧客連絡先情報とピクセルイベントを送信できるため、アトリビューションされるコンバージョンの件数を増やして、より多くの人にリーチできるようになります。詳しくは、こちらをご覧ください。

ネットワークとセキュリティ

クラウドアカウントの分離

事業者は、既存のサードパーティのクラウドアカウントに、またはメインアセットから分離された新しいクラウドアカウントに、コンバージョンAPIゲートウェイをデプロイすることができます。コンバージョンAPIゲートウェイは、事業者のサーバー側のアセットとはインタラクションを行わないように設計されているため、どちらのオプションでもインフラストラクチャは分離されます。コンバージョンAPIゲートウェイは、デフォルトのVirtual Private Cloud (VPC)ネットワーク内にプロビジョニングされます。

許可されるネットワークトラフィック

正しく動作するためには、コンバージョンAPIゲートウェイで次のインバウンドとアウトバウンドのネットワークトラフィックが開かれている必要があります。デフォルト設定では、必須トラフィックのみが許可されます。

ソース宛先プロトコル/ポート説明

コンバージョンAPIゲートウェイのインスタンス

0.0.0.0/0

すべて

コンバージョンAPIゲートウェイからインターネットへのアウトバウンド接続を許可して、イベントをMetaに渡したり、外部リポジトリからパッケージをダウンロードしたりします。次のような例があります。

  • ECRからDockerコンテナにソフトウェアをダウンロードする
  • ログをAWS CloudFormation Logsに送信する
  • システムヘルス情報のデータ転送をオプトインしている場合、問題のモニタリングとトラブルシューティングのために、事業者によるコンバージョンAPIゲートウェイインストールの使用/運用に関するシステムのステータスデータをMetaに定期的に送信する
  • AWS EKSサービスと通信する

0.0.0.0/0

コンバージョンAPIゲートウェイのインスタンス

TCP/80

コンバージョンAPIゲートウェイへのインバウンドHTTP接続を許可します。

このポートはTCP/443に自動的にリダイレクトされます。

0.0.0.0/0

コンバージョンAPIゲートウェイのインスタンス

TCP/443

コンバージョンAPIゲートウェイへのインバウンドHTTPS接続を許可します。

ブラウザーがWebSocket Secure (WSS)またはHTTPSを介してイベントを送信するために使用します。

エンドポイントと転送中のデータ

エンドポイントはTLSおよびSSLを介して保護され、転送中のデータは暗号化されます。コンバージョンAPIゲートウェイは、インターネットに接続する次の2つのエンドポイントを公開します。

  • ブラウザーからイベントを受け取るためのHTTPSおよびWebSocket Secure (WSS)エンドポイント
  • サーバーを管理するためのHTTPS管理者フロントエンド

これらのエンドポイントは、TLS (TLS 1.2と1.3に対応)を通して、およびサーバープロビジョニング中に自動生成されるSSL (デフォルトの暗号リスト)証明書を使って、セキュリティ保護されています。デフォルト証明書の有効期限は1年であり、インストール中に設定された2つのDNSレコードが変更されない限り定期的に更新されます。

デフォルトのドメインはAWS Cloudfrontエンドポイントを使用します。ユーザーがカスタムドメインを設定した場合は、AWS管理の証明書を使用します。TLSはプライベートVPCに転送する前にロードバランサーレベルで終了します。

その他のセキュリティ保護

事業者はコンバージョンAPIゲートウェイエンドポイントの保護を強化するために、AWSやその他のサードパーティプロバイダーが提供するクラウドベースのセキュリティソリューションを好みに応じて使用できます。こうした保護は、対応するサービスプロバイダーを通じてコンバージョンAPIゲートウェイトラフィックを中継し、そのサービスプロバイダーからのインバウンドトラフィックのみを許可することにより設定されます。

データストレージとリテンションポリシー

コンバージョンAPIゲートウェイは、設定データに加えて、イベント統計などの操作ログを保存し、ログの保存のためにインスタンスディスクストレージを使用します。

AWSをサードパーティのクラウドプロバイダーとして使用するインスタンスでは、ログがCloudWatchに保存されます。これらのログへのアクセスは、AWSのデータアクセスポリシーとその組織内で実装されているその他のポリシーによって決定されます。運用ログをサポート担当者に共有することもできます。ログの抽出についての詳細をご覧ください。

スケーラビリティ

コンバージョンAPIゲートウェイのサーバー容量は、設定されたインスタンスの最大数で決まります。インストール中、またはインストール後のコンバージョンAPIゲートウェイ管理UIでわかります。

  • 各インスタンスは毎秒100件のクエリをサポートすることができます。
  • 少なくとも2つのインスタンスを実行する必要があります。


参考情報