ユーザ用ツール

サイト用ツール


aws:vpc:operation:endpoint

Amazon VPC (Virtual Private Cloud)で、プライベートクラウド

AWS VPC エンドポイントとは。設定手順・利用手順

エンドポイントとは

S3を利用したり、aws clieを利用する際に、通常はインターネット経由で接続するのですが、
インターネットに接続できない環境もあると思います。
そのような環境で、エンドポイントを利用すると、AWSにインターネット経由ではなく、AWS内経由でアクセスできます。

エンドポイントが必要な例

インターネット接続できない環境で、以下を利用したい場合エンドポイントが必要になります。

Amazon Linuxで、yumを使いたい場合。

Amazon Linuxのyumは、S3を利用しますので、エンドポント(S3)が必要になります。
S3のゲートウェイタイプが必要になり、ルートテーブルの編集が必要です。

参考:インターネットにアクセスせずに自分の AL1 または AL2 EC2 インスタンスで yum を更新する


aws cliを使いたい場合
#EC2のエンドポイント
aws ec2 describe-instances --endpoint-url https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com

※サービスデフォルトのDNSを利用していて、エンドポイントを作る際に「プライベートDNS名を有効にする」にした場合、
--endpoint-url https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com は不要になります。


エンドポイントの種類

ゲートウェイタイプ
  • S3とDynamoDBのみが対応
  • インターネットゲートウェイやNATゲートウェイみたいな、ゲートウェイタイプ
  • ターゲット(例S3)に対してルートテーブルを設定する
  • AWS PrivateLink を使用するには、サービスの VPC エンドポイントを VPC 内に作成します。
  • ENI(Elastic Network Interface)がサブネットに作成され、そのプライベート IP アドレスがサービスへのトラフィックのエントリポイントとなります。
  • re:Invent 2020の発表で、S3 VPC エンドポイント(PrivateLink)ができるようになり、DXやVPN経由でS3に接続できるようになりました。
  • EC2など (S3とDnamoDBを除いたサービスが対応)
  • 「PrivateLink」とも言われます。
  • プライベートIPを持つENI
  • AWS CLIで、EC2に行く場合には、コマンドで、エンドポイントURLを指定する必要があります。


エンドポイントの作成

「VPC」で、[エンドポイント] - 「エンドポイントの作成」ボタンをクリック

ゲートウェイタイプ「S3」の場合

ターゲット(例S3)に対してルートテーブルを設定する

サービスカテゴリ AWSサービス
サービス名 xxxxxxxxx.s3
VPC 適用するVPCを選択します。
ルートテーブルの設定 適用したいルートテーブルを選択します。
ポリシー フルアクセス VPC エンドポイントにアタッチするポリシー
フルアクセスかカスタムを選べます。
フルアクセスだと、VPC 内のすべてのユーザーまたはサービスが、
この AWS のサービスのすべてのリソースへアクセスすることが可能です。

追加されたルートテーブルの例

送信先  : pl-61xxxxx(com.amazonaws.ap-northeast-1.s3,52.x.x.0/20, 52.x.x.0/22,52.x.x.x/22, 52.xx.x.x/22)
ターゲット : vpce-xxxxxxxxxxxx


インターフェースタイプ「EC2」の場合

ENI(Elastic Network Interface)がサブネットに作成され、そのプライベート IP アドレスがサービスへのトラフィックのエントリポイントとなります。

サービスカテゴリ AWSサービス
サービス名 xxxxxxxxx.ec2
VPC 適用するVPCを選択します。
サブネット 適用するサブネットを選択します。
プライベートDNS名を有効にする 有効 「DNS ホスト名を有効化」および
「DNS サポートを有効化」属性が VPC に対して「true」になっていることを確認します。
セキュリティグループ 適用するセキュリティグループを選択 ENIに関連付けるセキュリティーグループを選択します。
443のインバウンドを許可が必要
ポリシー フルアクセス VPC エンドポイントにアタッチするポリシー
フルアクセスかカスタム
フルアクセスだと、VPC 内のすべてのユーザーまたはサービスが、
この AWS のサービスのすべてのリソースへアクセスすることが可能です。

エンドポイントの作成が完了したら、エンドポイントURLを確認しましょう。
https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com

aws/vpc/operation/endpoint.txt · 最終更新: 2021/08/12 00:29 by kurihara

ページ用ツール