Amazon Virtual Private Cloud ユーザーガイド Amazon Virtual Private Cloud ユーザーガイド Amazon Virtual Private Cloud ユーザーガイド Amazon Virtual Private Cloud: ユーザーガイド Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon. Amazon Virtual Private Cloud ユーザーガイド Table of Contents Amazon VPC とは? ...................................................................................................................... 1 Amazon VPC の概念 ............................................................................................................. 1 VPC とサブネット ........................................................................................................ 1 サポートされているプラットフォーム .............................................................................. 2 値とデフォルト以外の VPCs .......................................................................................... 2 インターネットにアクセスする ....................................................................................... 2 企業ネットワークまたはホームネットワークにアクセスする ............................................... 5 Amazon VPC の使用を開始する方法 ........................................................................................ 6 他の AWS サービスで Amazon VPC を使用する ....................................................................... 7 Amazon VPC へのアクセス .................................................................................................... 8 Amazon VPC の料金表 .......................................................................................................... 8 Amazon VPC 制限 ................................................................................................................ 8 PCI DSS への準拠 ................................................................................................................ 8 はじめに ...................................................................................................................................... 9 Amazon VPC の使用を開始する .............................................................................................. 9 ステップ 1: VPC を作成する ......................................................................................... 10 ステップ 2: セキュリティグループを作成する ................................................................. 13 ステップ 3: インスタンスを VPC 内で起動する ............................................................... 15 ステップ 4: Elastic IP アドレスをインスタンスに割り当てる .............................................. 17 ステップ 5: クリーンアップ .......................................................................................... 19 IPv6 の使用開始 .................................................................................................................. 19 ステップ 1: VPC を作成する ......................................................................................... 20 ステップ 2: セキュリティグループを作成する ................................................................. 22 ステップ 3: インスタンスを起動する .............................................................................. 24 シナリオと例 .............................................................................................................................. 26 シナリオ 1: 単一のパブリックサブネットを持つ VPC ............................................................... 26 概要 .......................................................................................................................... 27 ルーティング .............................................................................................................. 29 セキュリティ .............................................................................................................. 30 シナリオ 1 を実装する ................................................................................................. 32 シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT) ........................... 34 概要 .......................................................................................................................... 35 ルーティング .............................................................................................................. 37 セキュリティ .............................................................................................................. 39 シナリオ 2 を実装する ................................................................................................. 42 NAT インスタンスを使用してシナリオ 2 を実装する ........................................................ 46 シナリオ 3: パブリックおよびプライベートのサブネットを持つ VPC とハードウェア VPN アクセ ス ..................................................................................................................................... 48 概要 .......................................................................................................................... 48 ルーティング .............................................................................................................. 51 セキュリティ .............................................................................................................. 53 シナリオ 3 を実装する ................................................................................................. 57 シナリオ 4: プライベートサブネットのみを持つ VPC とハードウェア VPN アクセス ..................... 61 概要 .......................................................................................................................... 62 ルーティング .............................................................................................................. 64 セキュリティ .............................................................................................................. 64 シナリオ 4 を実装する ................................................................................................. 65 例: AWS CLI を使用して IPv4 VPC とサブネットを作成 ........................................................... 68 ステップ 1: VPC とサブネットを作成する ...................................................................... 68 ステップ2: サブネットをパブリックにします。 ............................................................... 69 ステップ 3: サブネット内にインスタンスを起動する ........................................................ 71 手順 4: クリーンアップ ................................................................................................ 72 例: AWS CLI を使用して IPv6 VPC とサブネットを作成 ........................................................... 73 ステップ 1: VPC とサブネットを作成する ...................................................................... 73 ステップ 2: パブリックサブネットを設定する ................................................................. 74 iv Amazon Virtual Private Cloud ユーザーガイド ステップ 3: Egress-Only プライベートサブネットを設定する ............................................. 77 ステップ 4: サブネットの IPv6 アドレス動作を変更する ................................................... 78 ステップ 5: パブリックサブネット内にインスタンスを起動する ......................................... 78 ステップ 6: プライベートサブネット内にインスタンスを起動するには ................................ 80 ステップ 7: クリーンアップ .......................................................................................... 81 VPC とサブネット ...................................................................................................................... 83 VPC とサブネットの基本 ..................................................................................................... 83 VPC とサブネットのサイズ設定 ............................................................................................ 86 IPv4 用の VPC とサブネットのサイズ設定 ...................................................................... 86 IPv6 用の VPC とサブネットのサイズ設定 ...................................................................... 87 サブネットのルーティング .................................................................................................... 87 サブネットのセキュリティ .................................................................................................... 88 ローカルネットワークおよびその他の VPC との接続 ................................................................ 88 VPC とサブネットの使用 ..................................................................................................... 89 VPC を作成する .......................................................................................................... 89 IPv6 CIDR ブロックと VPC の関連付け ......................................................................... 90 サブネットを VPC に追加する ...................................................................................... 90 IPv6 CIDR ブロックとサブネットの関連付け ................................................................... 91 サブネット内にインスタンスを起動する ......................................................................... 91 VPC またはサブネットからの IPv6 CIDR ブロックの関連付けの解除 .................................. 92 サブネットを削除する .................................................................................................. 92 VPC を削除する .......................................................................................................... 93 CLI の概要 ......................................................................................................................... 93 デフォルト VPC とデフォルトサブネット ....................................................................................... 95 デフォルトの VPC の基本 .................................................................................................... 95 可用性 ....................................................................................................................... 95 コンポーネント ........................................................................................................... 96 デフォルトのサブネット ............................................................................................... 97 サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する ..................... 98 コンソールを使用してプラットフォームのサポートを確認する ........................................... 98 コマンドラインを使用してプラットフォームのサポートを確認する .................................... 98 EC2 インスタンスをデフォルトの VPC 内に起動する ............................................................... 99 コンソールを使用して EC2 インスタンスを起動する ........................................................ 99 コマンドラインを使用して EC2 インスタンスを起動する .................................................. 99 デフォルトサブネットとデフォルト VPC の削除 .................................................................... 100 IP アドレス指定 ........................................................................................................................ 101 プライベート IPv4 アドレス ................................................................................................ 103 パブリック IPv4 アドレス ................................................................................................... 103 IPv6 アドレス ................................................................................................................... 104 サブネットの IP アドレス指定動作 ....................................................................................... 105 IP アドレスの操作 ............................................................................................................ 105 サブネットのパブリック IPv4 アドレス属性を変更する ................................................... 105 サブネットのパブリック IPv6 アドレス属性を変更する ................................................... 105 インスタンス起動時のパブリック IPv4 アドレスの割り当て ............................................. 106 インスタンス起動時に IPv6 アドレスを割り当てる ......................................................... 107 インスタンスへの IPv6 アドレスの割り当て .................................................................. 108 インスタンスからの IPv6 アドレスの割り当て解除 ......................................................... 108 API とコマンドの概要 ................................................................................................ 108 IPv6 への移行 ................................................................................................................... 109 例: パブリックサブネットとプライベートサブネット持つ VPC 内で IPv6 を有効化する ........ 110 セキュリティ ............................................................................................................................ 119 セキュリティグループとネットワーク ACL の比較 ................................................................. 120 セキュリティグループ ........................................................................................................ 121 セキュリティグループの基本 ....................................................................................... 122 VPC のデフォルトセキュリティグループ ...................................................................... 122 セキュリティグループのルール .................................................................................... 123 EC2-Classic と EC2-VPC のセキュリティグループの違い ................................................ 125 セキュリティグループを操作する ................................................................................. 126 v Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 ..................................................................................................... 129 ネットワーク ACL ............................................................................................................. 129 ネットワーク ACL の基本 ........................................................................................... 130 ネットワーク ACL ルール ........................................................................................... 130 デフォルトのネットワーク ACL ................................................................................... 131 カスタムネットワーク ACL ......................................................................................... 132 一時ポート ............................................................................................................... 137 ネットワーク ACL の操作 ........................................................................................... 138 例: サブネットのインスタンスへのアクセスの制御 ......................................................... 141 API とコマンドの概要 ................................................................................................ 144 VPC に推奨されるネットワーク ACL ルール ......................................................................... 145 シナリオ 1 に推奨されるルール ................................................................................... 145 シナリオ 2 に推奨されるルール ................................................................................... 148 シナリオ 3 に推奨されるルール ................................................................................... 154 シナリオ 4 に推奨されるルール ................................................................................... 161 アクセスの制御 ................................................................................................................. 162 AWS CLI または SDK のサンプルポリシー .................................................................... 163 コンソールのサンプルポリシー .................................................................................... 171 VPC フローログ ................................................................................................................ 175 フローログの基礎 ...................................................................................................... 176 フローログの制限事項 ................................................................................................ 176 フローログレコード ................................................................................................... 177 フローログの IAM ロール ........................................................................................... 178 フローログを使用する ................................................................................................ 179 トラブルシューティング ............................................................................................. 182 API と CLI の概要 ..................................................................................................... 182 例: フローログレコード .............................................................................................. 183 例: フローログの CloudWatch メトリクスフィルタとアラームの作成 ................................. 184 VPC のネットワーキングコンポーネント ...................................................................................... 186 ネットワークインターフェイス ............................................................................................ 186 ルートテーブル ................................................................................................................. 187 ルートテーブルの基本 ................................................................................................ 188 ルーティングの優先度 ................................................................................................ 191 ルーティングオプション ............................................................................................. 192 ルートテーブルを操作する .......................................................................................... 195 API とコマンドの概要 ................................................................................................ 199 インターネットゲートウェイ ............................................................................................... 200 インターネットアクセスを有効にする ........................................................................... 200 インターネットゲートウェイを関連付けた VPC の作成 ................................................... 203 Egress-Only インターネットゲートウェイ ............................................................................. 206 Egress-Only インターネットゲートウェイの基本 ............................................................ 207 Egress-Only インターネットゲートウェイでの作業 ......................................................... 208 API と CLI の概要 ..................................................................................................... 209 NAT ................................................................................................................................. 210 NAT ゲートウェイ ..................................................................................................... 210 NAT インスタンス ..................................................................................................... 221 NAT インスタンスと NAT ゲートウェイの比較 .............................................................. 230 DHCP オプションセット .................................................................................................... 231 DHCP オプションセットの概要 ................................................................................... 231 Amazon DNS サーバー .............................................................................................. 233 DHCP オプションを変更する ...................................................................................... 233 DHCP オプションセットを使用する ............................................................................. 233 API とコマンドの概要 ................................................................................................ 235 DNS ................................................................................................................................ 236 DNS ホスト名 ........................................................................................................... 236 VPC の DNS サポート ............................................................................................... 237 EC2 インスタンスの DNS ホスト名を確認する .............................................................. 238 VPC の DNS サポートを更新する ................................................................................ 238 vi Amazon Virtual Private Cloud ユーザーガイド プライベートホストゾーンの使用 ................................................................................. VPC ピア接続 ................................................................................................................... Elastic IP アドレス ............................................................................................................ Elastic IP アドレスの基本 ........................................................................................... Elastic IP アドレスの操作 ........................................................................................... API と CLI の概要 ..................................................................................................... VPC エンドポイント .......................................................................................................... エンドポイントの基本 ................................................................................................ エンドポイントの使用の管理 ....................................................................................... サービスへのアクセスの制御 ....................................................................................... Amazon S3 におけるエンドポイント ............................................................................ エンドポイントの使用 ................................................................................................ API と CLI の概要 ..................................................................................................... ClassicLink ....................................................................................................................... VPN 接続 ................................................................................................................................. ハードウェア仮想プライベートゲートウェイ ......................................................................... VPN のコンポーネント ............................................................................................... VPN の設定例 ........................................................................................................... VPN のルーティングオプション .................................................................................. VPN 接続に必要なもの ............................................................................................... VPN 接続用に 2 つの VPN トンネルを設定する ............................................................. 冗長な VPN 接続を使用してフェイルオーバーを提供する ................................................ VPN 接続を設定する .................................................................................................. インスタンスのエンドツーエンド接続のテスト .............................................................. 漏洩した認証情報の置き換え ....................................................................................... VPN 接続の静的ルートの編集 ...................................................................................... VPN 接続を削除する .................................................................................................. API と CLI の概要 ..................................................................................................... VPN CloudHub .................................................................................................................. ハードウェア専有インスタンス .................................................................................................... ハードウェア専有インスタンスの基礎 ................................................................................... ハードウェア専有インスタンスの制限事項 .................................................................... Amazon EBS とハードウェア専有インスタンス ............................................................. 専有テナント属性を所有するリザーブドインスタンス ..................................................... ハードウェア専有インスタンスの Auto Scaling .............................................................. ハードウェア専有インスタンスの価格設定 .................................................................... ハードウェア専有インスタンスの使用 ................................................................................... インスタンスのテナント属性が専有である VPC を作成する ............................................. ハードウェア専有インスタンスを VPC 内に起動する ...................................................... テナント属性情報を表示する ....................................................................................... インスタンスのテナント属性の変更 .............................................................................. API とコマンドの概要 ........................................................................................................ 制限 ......................................................................................................................................... VPC とサブネット ............................................................................................................. Elastic IP アドレス (IPv4) ................................................................................................... フローログ ....................................................................................................................... ゲートウェイ .................................................................................................................... ネットワーク ACL ............................................................................................................. ネットワークインターフェイス ............................................................................................ ルートテーブル ................................................................................................................. セキュリティグループ ........................................................................................................ VPC ピアリング接続 .......................................................................................................... VPC エンドポイント .......................................................................................................... VPN 接続 ......................................................................................................................... ドキュメント履歴 ...................................................................................................................... AWS の用語集 .......................................................................................................................... vii 239 240 240 240 241 242 243 244 247 247 248 253 255 256 258 259 259 260 261 262 262 263 265 267 268 268 269 270 271 274 274 275 275 275 276 276 276 276 277 277 278 278 280 280 281 281 281 282 282 283 283 284 284 285 286 289 Amazon Virtual Private Cloud ユーザーガイド Amazon VPC の概念 Amazon VPC とは? Amazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワーク内にアマゾ ン ウェブ サービス (AWS) リソースを起動できます。仮想ネットワークは、お客様自身のデータセン ターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラスト ラクチャを使用できるというメリットがあります。 トピック • Amazon VPC の概念 (p. 1) • Amazon VPC の使用を開始する方法 (p. 6) • 他の AWS サービスで Amazon VPC を使用する (p. 7) • Amazon VPC へのアクセス (p. 8) • Amazon VPC の料金表 (p. 8) • Amazon VPC 制限 (p. 8) • PCI DSS への準拠 (p. 8) Amazon VPC の概念 Amazon VPC を開始する場合、この仮想ネットワークの重要な概念と、ご自身のネットワークとの類 似点または相違点を理解する必要があります。このセクションでは、Amazon VPC の重要な概念につ いて簡単に説明します。 Amazon VPC は、Amazon EC2 のネットワーキングレイヤーです。Amazon EC2 を始めて使う場合 は、Amazon EC2 の概要をご覧ください。」 (Linux インスタンス用 Amazon EC2 ユーザーガイド) で その概要を確認してください。 VPC とサブネット Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラ ウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース (例えば Amazon EC2 インスタンス) を VPC 内に起動できます。VPC は設定できます。例えば、IP アドレス範囲の選択、 サブネットの作成、ルートテーブル、ネットワークゲートウェイ、セキュリティの設定などが可能で す。 サブネットは、VPC の IP アドレスの範囲です。AWS リソースは、選択したサブネット内に起動でき ます。インターネットに接続する必要があるリソースにはパブリックサブネットを、インターネット に接続されないリソースにはプライベートサブネットを使用してください。パブリックサブネットと プライベートサブネットの詳細については、「VPC とサブネットの基本 (p. 83)」を参照してくだ さい。 1 Amazon Virtual Private Cloud ユーザーガイド サポートされているプラットフォーム 各サブネットでの AWS リソースの保護には、セキュリティグループ、ネットワークアクセスコント ロールリスト (ACL) など、複数のセキュリティレイヤーを使用できます。詳細については、「セキュ リティ (p. 119)」を参照してください。 サポートされているプラットフォーム オリジナルリリースの Amazon EC2 は、ほかのカスタマーと共用していた EC2-Classic プラット フォームという名の単一のフラットネットワークをサポートしていました。以前の AWS アカウント では、現在でもこのプラットフォームをサポートしており、EC2-Classic または VPC にインスタン スを起動できます。2013 年 12 月 4 日以降に作成されたアカウントは EC2-VPC のみをサポートしま す。詳細については、「サポートされているプラットフォームとデフォルト VPC があるかどうかを確 認する (p. 98)」を参照してください。 EC2-Classic の代わりに VPC でインスタンスを起動すると、次が可能になります。 • 開始から停止までの間に維持される静的プライベート IPv4 アドレスをインスタンスに割り当てる。 • オプションで、IPv6 CIDR ブロックを VPC に関連付け、IPv6 アドレスをインスタンスに割り当て る。 • 複数の IP アドレスをインスタンスに割り当てる • ネットワークインターフェイスを定義し、1 つまたは複数のネットワークインターフェイスをイン スタンスに割り当てる • 実行中にインスタンスのセキュリティグループメンバーシップを変更する • インスタンスからのアウトバウンドトラフィックを制御し (egress フィルタリング)、インスタンス へのインバウンドトラフィックを制御する (ingress フィルタリング) • ネットワークアクセスコントロールリスト (ACL) の形でインスタンスにアクセス制御の層を追加す る • 単一テナントハードウェアでインスタンスを実行する 値とデフォルト以外の VPCs アカウントが EC2-VPC プラットフォームのみをサポートする場合は、各アベイラビリティーゾーン でデフォルトサブネットを持つデフォルト VPC が作成されます。デフォルト VPC は EC2-VPC によ る高度な機能のメリットがあり、即時に利用することができます。デフォルト VPC をお持ちのお客様 が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォ ルト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関す る知識は必要ありません。 アカウントがサポートするプラットフォームのタイプにかわらず、必要に応じた独自の VPC を作成 および設定をすることができます。これはデフォルト以外の VPC と呼ばれます。デフォルト以外の VPC で作成するサブネット、そしてデフォルト VPC で作成する追加サブネットは、デフォルト以外 のサブネットと呼ばれます。 インターネットにアクセスする VPC 内に起動するインスタンスが VPC 外のリソースにどのようにアクセスするかをコントロールし ます。 デフォルトの VPC にはインターネットゲートウェイが含まれ、各デフォルトのサブネットはパブリッ クサブネットです。デフォルトのサブネット内に起動するインスタンスにはそれぞれ、プライベート IPv4 アドレスとパブリック IPv4 アドレスが割り当てられています。これらのインスタンスは、この インターネットゲートウェイを介してインターネットと通信できます。インターネットゲートウェイ を使用すると、インスタンスが Amazon EC2 ネットワークエッジを介してインターネットに接続でき ます。 2 Amazon Virtual Private Cloud ユーザーガイド インターネットにアクセスする デフォルトでは、デフォルト以外のサブネットで起動した各インスタンスにはプライベート IPv4 アド レスが割り当てられていますが、パブリック IPv4 アドレスは割り当てられていません。ただし、起動 時に明示的にパブリック IP アドレスを割り当てた場合や、サブネットのパブリック IP アドレス属性 を変更した場合は例外です。これらのインスタンスは相互に通信できますが、インターネットにアク セスできません。 3 Amazon Virtual Private Cloud ユーザーガイド インターネットにアクセスする デフォルト以外のサブネットで起動するインスタンスのインターネットアクセスを有効にするには、 インターネットゲートウェイをその VPC にアタッチし (その VPC がデフォルトの VPC でない場 合)、インスタンスに Elastic IP アドレスを関連付けます。 4 Amazon Virtual Private Cloud ユーザーガイド 企業ネットワークまたはホー ムネットワークにアクセスする また、IPv4 トラフィック用にネットワークアドレス変換 (NAT) デバイスを使用して、VPC のインス タンスによるインターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾 のインバウンド接続を拒否することもできます。NAT では、複数のプライベート IPv4 アドレスが 1 つのパブリック IPv4 アドレスにマッピングされます。NAT デバイスは Elastic IP アドレスを持ち、 インターネットゲートウェイを介してインターネットに接続されます。プライベートサブネットのイ ンスタンスをインターネットに接続するには、この NAT デバイスを使用します。これにより、トラ フィックがインスタンスからインターネットゲートウェイにルーティングされ、すべての応答がイン スタンスにルーティングされます。 詳細については、「NAT (p. 210)」を参照してください。 オプションで、Amazon が提供する IPv6 CIDR ブロックを VPC と関連付け、インスタンスに IPv6 アドレスを割り当てることができます。インスタンスは、インターネットゲートウェイを介して IPv6 経由でインターネットに接続できます。また、Egress-Only インターネットゲートウェイを使 用して、IPv6 経由でインターネットへのアウトバウンド接続を開始できます。詳細については、 「Egress-Only インターネットゲートウェイ (p. 206)」を参照してください。IPv6 トラフィックは IPv4 トラフィックと異なるため、IPv6 トラフィックの別のルートをルートテーブルに含める必要があ ります。 企業ネットワークまたはホームネットワークにアク セスする オプションで、IPsec ハードウェア VPN 接続を使用して、VPC をご自身の企業データセンターに接 続し、AWS クラウドをデータセンターの拡張機能にすることができます。 5 Amazon Virtual Private Cloud ユーザーガイド Amazon VPC の使用を開始する方法 VPN 接続は、VPC にアタッチされている仮想プライベートゲートウェイと、データセンターに配置 されているカスタマーゲートウェイで構成されています。仮想プライベートゲートウェイは、VPN 接 続の Amazon 側にある VPN コンセントレータです。カスタマーゲートウェイは、VPN 接続のお客様 側の物理デバイスまたはソフトウェアアプライアンスです。 詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 259)」を参照 してください。 Amazon VPC の使用を開始する方法 Amazon VPC の実践入門をするには、チュートリアル「ご利用開始にあたって (p. 9)」を行って ください。この演習では、パブリックサブネットでデフォルト以外の VPC を作成して、サブネット内 にインスタンスを起動する手順を説明します。 デフォルト VPC があり、VPC の追加設定を一切行わずに VPC にインスタンスの起動を始める場合 は、「EC2 インスタンスをデフォルトの VPC 内に起動する (p. 99)」を参照してください。 Amazon VPC の基本的なシナリオについては、「シナリオと例 (p. 26)」を参照してくださ い。VPC とサブネットは、お客様のニーズに合わせて他の方法でも設定できます。 以下の表は、本サービスを利用する際に役立つ関連リソースをまとめたものです。 6 Amazon Virtual Private Cloud ユーザーガイド 他の AWS サービスで Amazon VPC を使用する リソース 説明 Amazon Virtual Private Cloud Connectivity Options ネットワーク接続のオプションの概要が記載されているホ ワイトペーパーです。 Amazon VPC forum Amazon VPC に関する技術的な疑問について話し合うコ ミュニティフォーラムです。 AWS の開発者用リソース ドキュメンテーション、コードサンプル、リリースノート をはじめとする、AWS ベースの革新的なアプリケーショ ン開発に役立つさまざまな情報が収められた、中心的起点 となるリソースセンターです。 AWS サポートセンター AWS サポートのホームページです。 お問い合わせ AWS の請求、アカウント、イベントに関するお問い合わ せの受付窓口です。 他の AWS サービスで Amazon VPC を使用する Amazon VPC は他の多くの AWS サービスと統合します。また、一部のサービスでは、特定の関数を 実行するアカウントで VPC が必要になります。Amazon VPC を使用するサービスの例を次に示しま す。 サービス 関連トピック AWS Data Pipeline VPC に対するパイプラインのリソースの起動 Amazon EC2 Amazon EC2 と Amazon VPC Auto Scaling Auto Scaling と Amazon VPC Elastic Beanstalk Amazon VPC で AWS Elastic Beanstalk を使用する Elastic Load Balancing Elastic Load Balancing をセットアップする Amazon ElastiCache Amazon VPC で ElastiCache を使用する Amazon EMR クラスターのサブネットを選択する AWS OpsWorks VPC でのスタックの実行 Amazon RDS Amazon RDS と Amazon VPC Amazon Redshift VPC でクラスターを管理する Amazon Route 53 プライベートホストゾーンの使用 Amazon WorkSpaces VPC の作成と設定 AWS Config サービスを使用すると、アカウントの VPC、サブネット、およびその他の VPC リソー スの詳細、さらにこれらの相互関係を確認することができます。詳細については、「AWS Config と は何ですか?」を参照してください。」 (AWS Config Developer Guide) を参照してください。 7 Amazon Virtual Private Cloud ユーザーガイド Amazon VPC へのアクセス Amazon VPC へのアクセス Amazon VPC には、Amazon VPC コンソールというウェブベースのユーザーインターフェイスがあ ります。AWS アカウントにサインアップ済みの場合は、AWS マネジメントコンソールにサインイン し、コンソールのホームページから [VPC] を選択することで Amazon VPC コンソールにアクセスで きます。 コマンドラインインターフェイスを使用する場合は、以下の選択肢があります。 AWS コマンドラインインターフェイス (CLI) さまざまな AWS 製品用のコマンドが用意されており、Windows、Mac、および Linux/UNIX でサ ポートされています。開始するには、AWS Command Line Interface ユーザーガイド を参照して ください。Amazon VPC 用のコマンドの詳細については、「ec2」を参照してください。 AWS Tools for Windows PowerShell PowerShell 環境でスクリプトを記述するユーザー向けに、さまざまな AWS 製品用のコマンドが 用意されています。開始するには、「AWS Tools for Windows PowerShell ユーザーガイド」を参 照してください。 Amazon VPC にはクエリ API が用意されています。このリクエストは、HTTP 動詞 (GET または POST) とクエリパラメータ Action で記述する HTTP または HTTPS リクエストです。Amazon VPC 用の API アクションの詳細については、「Amazon EC2 API Reference」の「Actions」を参照してく ださい。 HTTP または HTTPS を介してリクエストを送信する代わりに、言語固有の API を使用してアプリ ケーションを構築することを希望する場合に備えて、AWS には、ソフトウェア開発者向けのライブラ リ、サンプルコード、チュートリアル、その他のリソースが用意されています。これらのライブラリ には、リクエストの暗号化署名、リクエストの再試行、エラーレスポンスの処理などのタスクを自動 処理する基本機能が用意されているので、開発を簡単に始められます。AWS SDK のダウンロードの 詳細については、「AWS SDK とツール」を参照してください。 Amazon VPC の料金表 Amazon VPC は追加料金なしで使用できます。使用するインスタンスおよびその他の Amazon EC2 機能に対して標準料金がかかります。ハードウェア VPN 接続と NAT ゲートウェイを使用するための 料金が発生します。詳細については、「Amazon VPC 料金表」および「Amazon EC2 料金表」を参照 してください。 Amazon VPC 制限 プロビジョニングできる Amazon VPC コンポーネントの数には制限があります。これらの制限のい くつかは、リクエストによって引き上げることができます。詳細については、「Amazon VPC の制 限 (p. 280)」を参照してください。 PCI DSS への準拠 Amazon VPC は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、 ストレージ、および伝送をサポートしており、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI DSS の詳細 (AWS PCI Compliance Package の コピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。 8 Amazon Virtual Private Cloud ユーザーガイド Amazon VPC の使用を開始する ご利用開始にあたって 以下のトピックでは、デフォルト以外の VPC をかんたんにセットアップする方法を説明します。すで にデフォルト VPC を持っていて、そこにインスタンスを作成する場合 (新しい VPC を作成または構 成しない場合)、「EC2 インスタンスをデフォルトの VPC 内に起動する」を参照してください。 VPC 内のリソースを IPv6 経由で通信する場合、IPv6 CIDR ブロックを関連付けた VPC をセットアッ プできます。 トピック • Amazon VPC の使用を開始する (p. 9) • Amazon VPC の IPv6 の使用開始 (p. 19) Amazon VPC の使用を開始する この演習では、IPv4 CIDR ブロックを持つ VPC、IPv4 CIDR ブロックを持つサブネットを作成し、パ ブリックインスタンスをサブネットに起動します。インスタンスはインターネットとは通信できるよ うになり、SSH (Linux インスタンスの場合) またはリモートデスクトップ (Windows インスタンスの 場合) を使用して、ローカルコンピュータからインスタンスにアクセスできるようになります。実際の 環境では、このシナリオを使用して、たとえばブログをホストするなどのパブリック側のウェブサー バーを作成できます。 Note この演習では、独自のデフォルト以外の VPC を迅速にセットアップするためのヘルプを目的 としています。すでにデフォルト VPC を持っていて、そこにインスタンスを作成する場合 (新しい VPC を作成または構成しない場合)、「EC2 インスタンスをデフォルトの VPC 内に 起動する」を参照してください。IPv6 をサポートするデフォルト以外の VPC の設定を開始す る方法は、「Getting Started with IPv6 for Amazon VPC」を参照してください。 この演習を完了するには、次のタスクを実行してください。 • 1 つのパブリックサブネットを持つデフォルト以外の VPC を作成する。サブネットを使うと、イ ンスタンスをセキュリティや運用上の必要に応じてグループ化することができます。パブリックサ 9 Amazon Virtual Private Cloud ユーザーガイド ステップ 1: VPC を作成する ブネットとは、インターネットゲートウェイを通してインターネットにアクセスするサブネットで す。 • 特定のポートのみからトラフィックを許可するセキュリティグループをインスタンスに作成しま す。 • サブネット内に Amazon EC2 インスタンスを起動します。 • Elastic IP アドレスをインスタンスに関連付ける. これでインスタンスがインターネットにアクセス できるようになります。 初めて Amazon VPC を使用する際には、Amazon Web Services (AWS) にサインアップする必要が あります。サインアップすると、Amazon VPC を含む AWS のすべてのサービスに対して AWS ア カウントが自動的にサインアップされます。AWS アカウントをまだ作成していない場合は、[http:// aws.amazon.com] にアクセスし、[Create a Free Account] を選択します。 Note この演習では、アカウントが EC2-VPC プラットフォームのみをサポートするものと仮定しま す。アカウントが以前の EC2-Classic プラットフォームをサポートしている場合でも、この 演習の手順に従うことができます。ただし、そのアカウントにはデフォルト以外の VPC と比 較するためのデフォルトの VPC はありません。詳細については、Supported Platforms を参 照してください。 目次 • ステップ 1: VPC を作成する (p. 10) • ステップ 2: セキュリティグループを作成する (p. 13) • ステップ 3: インスタンスを VPC 内で起動する (p. 15) • ステップ 4: Elastic IP アドレスをインスタンスに割り当てる (p. 17) • ステップ 5: クリーンアップ (p. 19) ステップ 1: VPC を作成する このステップでは、Amazon VPC コンソールの Amazon VPC ウィザードを使用して、VPC を作成し ます。ウィザードは次の手順を自動的に行います。 • /16 の IPv4 CIDR ブロック (65,536 個のプライベート IP アドレスのネットワーク) を持つ VPC を作 成します。VPC の CIDR 表記とサイズについての詳細は、「Your VPC」を参照してください。 • インターネットゲートウェイをこの VPC にアタッチします。詳細については、「インターネット ゲートウェイ」を参照してください。 • サイズ /24 の IPv4 サブネット (256 個のプライベート IP アドレスを含む範囲) を VPC に作成しま す。 • カスタムルートテーブルを作成し、サブネットに関連付けると、サブネットとインターネットゲー トウェイ間でトラフィックが転送されます。ルートテーブルに関する詳細については、「ルート テーブル」を参照してください。 次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。 10 Amazon Virtual Private Cloud ユーザーガイド ステップ 1: VPC を作成する Note この演習では、VPC ウィザードの最初のシナリオを扱います。そのほかのシナリオについて は、「Scenarios for Amazon VPC」を参照してください。 Amazon VPC ウィザードを使用して VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションバーの右上から、VPC を作成するリージョンをメモしておきます。別のリージョ ンから VPC 内にインスタンスを起動できないので、この演習が終了するまでは同じリージョンで 作業を続けるようにしてください。リージョンの詳細については、「リージョンとアベイラビリ ティーゾーン」を参照してください。 3. ナビゲーションペインで、[VPC dashboard] を選択します。次に、[VPC ウィザードの起動] を選 択します。 11 Amazon Virtual Private Cloud ユーザーガイド ステップ 1: VPC を作成する Note ナビゲーションペインで [Your VPCs] を選択しないでください。このページから VPC ウィザードにアクセスすることはできません。 4. 最初のオプション [VPC with a Single Public Subnet] を選択し、続いて [Select] を選択します。 5. 設定ページで [VPC name] フィールドに VPC の名前を入力します (たとえば、my-vpc)。続い て、[Subnet name] フィールドにサブネットの名前を入力します。これは、VPC およびサブネッ トを作成後に Amazon VPC においてそれらを識別するのに役立ちます。この演習では、その他の 設定をページに残したまま、[Create VPC] を選択することができます。 (オプション) 必要に応じて、設定を次のように変更してから、[Create VPC] を選択します。 • [IPv4 CIDR block] には、VPC に使用する IPv4 アドレス範囲が表示され (10.0.0.0/16)、また [Public subnet's IPv4 CIDR] フィールドには、サブネットに使用する IPv4 アドレス範囲が表示 されます (10.0.0.0/24)。デフォルト CIDR の範囲を使用しない場合は、独自の値を指定でき ます。詳細については、「VPC とサブネットのサイズ設定」を参照してください。 • [Availability Zone] リストから、サブネットを作成するアベイラビリティーゾーンの選択ができ ます。アベイラビリティーゾーンを AWS で自動的に選択するには、[No Preference] を選択し ます。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。 • [Service endpoints] セクションでは、Amazon S3 への VPC エンドポイントを同一リージョン 内に作成するサブネットを選択できます。 詳細については、「VPC エンドポイント」を参照し てください。 • [Enable DNS hostnames] オプションで [Yes] を選択すると、VPC で起動されるインスタンス が DNS ホスト名を受信するようになります。詳細については、「Using DNS with Your VPC」 を参照してください。 • [Hardware tenancy] オプションでは、VPC で起動されるインスタンスが共有または専用のハー ドウェアで実行されるかを選択することができます。専有テナンシーの選択には追加コストが 発生します。ハードウェアテナンシーの詳細については、「ハードウェア専有インスタンス」 を参照してください。 6. ステータスウィンドウに、作業の進行状況が表示されます。作業が完了したら、[OK] を選択して ステータスウィンドウを閉じます。 7. [Your VPCs] ページは、今作成したデフォルト VPC とその他の VPC が表示されます。デフォル ト以外の VPC を作成した場合には、[Default VPC] 列に [No] と表示されます。 12 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: セキュリティグループを作成する VPC に関する情報の表示 VPC を作成したら、そのサブネット、インターネットゲートウェイ、およびルートテーブルに関する 情報を表示できます。作成した VPC には 2 個のルートテーブルがあります — すべての VPCs にある メインルートテーブル、そしてウィザードから作成したカスタムルートテーブルです。このカスタム ルートテーブルにはサブネットが関連付けられます。したがって、サブネットへのトラフィックの流 れ方は、このテーブル内のルートから決定されます。VPC に新規のサブネットを追加する場合、その サブネットはデフォルトでメインルートテーブルを使用します。 VPC に関する情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 画面左枠のナビゲーションペインで、[Your VPCs] を選択します。作成した VPC の名前と ID を 書き留めておきます ([Name] および [VPC ID] 列を参照します)。この情報で VPC に関連付けられ るコンポーネントを識別することができます。 3. ナビゲーションペインで、[Subnets] を選択します。コンソールには、VPC を作成した時に作成 されたサブネットが表示されます。[Name] 列からその名前でサブネットを識別したり、前記の手 順で VPC 情報を入手して、[VPC] 列から確認できます。 4. ナビゲーションペインで、[Internet Gateways] を選択します。VPC にアタッチしているインター ネットゲートウェイは、[VPC] 列から確認でき、ここから VPC の ID と名前 (適用できれば) が表 示されます。 5. ナビゲーションペインで、[Route Tables] を選択します。VPC に関連付けられる 2 つのルート テーブルがあります。カスタムルートテーブル ([Main] 列に [No] と表示されているもの) を選択 し、[Routes] タブを選択すると、ルート情報が詳細ペインに表示されます。 • テーブルの 1 行目がローカルルートで、これによってインスタンスは VPC 内で通信できるよ うになります。このルートは、どのルートテーブルにもデフォルトで存在するものであり、削 除することはできません。 • 2 行目は Amazon VPC ウィザードがテーブルに追加したルートです。これにより、VPC の外 の IPv4 アドレス (0.0.0.0/0) に向けられたトラフィックが、サブネットからインターネット ゲートウェイに流れるようになります。 6. メインルートテーブルを選択します。メインルートテーブルはローカルルートだけで、それ以外 のルートがありません。 ステップ 2: セキュリティグループを作成する セキュリティグループは、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのト ラフィックを管理します。セキュリティグループを使用するには、インスタンスの出力トラフィック を制御するインバウンドルール、およびインスタンスから送信されるトラフィックを制御するアウト バンドルールを追加します。インスタンスにセキュリティグループを関連付けるには、インスタンス の起動時にセキュリティグループを指定します。セキュリティーグループのルールを追加したり削除 したりすると、そのグループに関連するインスタンスすべてに、同じ変更が自動的に適用されます。 VPC には、デフォルトのセキュリティグループが用意されています。起動時に他のセキュリティグ ループに関連付けられていないインスタンスは、デフォルトのセキュリティグループに関連付けられ ます。この演習では、新しいセキュリティグループを作成し、WebServerSG、続いて VPC でインス タンスを起動するときにこのセキュリティグループを指定します。 トピック • WebServerSG セキュリティグループのルール (p. 14) • WebserverSG セキュリティグループを作成する (p. 14) 13 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: セキュリティグループを作成する WebServerSG セキュリティグループのルール 以下の表では、WebServerSG セキュリティグループのインバウンドとアウトバウンドのルールにつ いて説明します。インバウンドルールを各自で追加してください。アウトバウンドルールとは、あら ゆる場所へのアウトバウンド通信を許可するデフォルトのルールです— ユーザーがこのルールを追加 する必要はありません。 インバウンド 送信元 IP プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 任意の IPv4 アドレスからのインバウ ンド HTTP アクセスを許可します。 0.0.0.0/0 TCP 443 任意の IPv4 アドレスからのインバウ ンド HTTPS アクセスを許可します。 ホームネットワー クのパブリック IPv4 アドレスの 範囲 TCP 22 ホームネットワークから Linux/UNIX インスタンスへのインバウンド SSH アクセスを許可します。 ホームネットワー クのパブリック IPv4 アドレスの 範囲 TCP 3389 ホームネットワークから Windows イ ンスタンスへのインバウンド RDP ア クセスを許可します。 送信先 IP プロトコル ポート範囲 コメント 0.0.0.0/0 すべて すべて デフォルトのアウトバウンドルール は、すべてのアウトバウンド IPv4 通 信を許可します。 アウトバウンド WebserverSG セキュリティグループを作成する Amazon VPC コンソールを使いセキュリティグループを作成することができます。 WebServerSG セキュリティグループを作成し、ルールを追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. [Create Security Group] を選択します。 4. [Group name] フィールドで、セキュリティグループ名として WebServerSG を入力し、説明を入 力します。オプションで [Name tag] フィールドを使用して、キー Name および指定する値で、セ キュリティグループのタグを作成できます。 5. [VPC] メニューで VPC の ID を選択し、[Yes, Create] を選択します。 6. 作成した WebServerSG セキュリティグループを選択します (グループ名は [Group Name] 列で確 認できます)。 7. [Inbound Rules] タブで [Edit] を選択し、次に示すようにインバウンドトラフィックのルールを追 加が完了したら、続いて [Save] を選択します。 a. [Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。 b. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択し、[Source] フィールドに 「0.0.0.0/0」と入力します。 14 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: インスタンスを VPC 内で起動する c. [Add another rule] を選択します。Linux インスタンスを起動した場合、[Type] リストから [SSH] を選択し、Windows インスタンスを起動した場合には、[Type] リストから [RDP] を選 択します。[Source] フィールドに、ネットワークのパブリック IP アドレスの範囲を入力しま す。このアドレス範囲が不明の場合は、この実習では 0.0.0.0/0 を使用してください。 Caution 0.0.0.0/0 を使うと、すべての IP アドレスから SSH や RDP 経由でインスタンス にアクセスすることが許可されます。これは、短期間の実習では許容されますが、 本稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特 定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。 ステップ 3: インスタンスを VPC 内で起動する EC2 インスタンスを VPC 内で起動するときは、どのサブネットでインスタンスを起動するかを指定 する必要があります。この場合、作成した VPC のパブリックサブネットにインスタンスを起動しま す。Amazon EC2 コンソールで Amazon EC2 起動ウィザードを使用して、インスタンスを起動しま す。 次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。 15 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: インスタンスを VPC 内で起動する EC2 インスタンスを VPC 内で起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションバーの右上で、VPC とセキュリティグループを作成したリージョンが選択されて いることを確認します。 3. ダッシュボードから、[Launch Instance] を選択します。 4. ウィザードの最初のページで、使用する AMI を選択します。この演習では、Amazon Linux AMI または Windows AMI を選択することをお勧めします。 5. [Choose an Instance Type] ページで、起動するインスタンスのハードウェア設定とサイズを選択 できます。デフォルトでは、お客様が選択した AMI に基づいて使用可能な最初のインスタンス タイプがウィザードで選択されます。デフォルトの選択のまま残して [Next: Configure Instance Details を選択できます。 6. [Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、[Subnet] リストからサブネットを選択します。デフォルト設定の残りを終了して、ウィザードに [Tag Instance] ページが表示されるまでページを移動します。 7. [Tag Instance] のページで、Name タグを利用してインスタンスをタグできます。たとえ ばName=MyWebServer。これはインスタンスが起動した後、Amazon EC2 コンソールでインスタ ンスを識別するのに役立ちます。完了したら、[Next: Configure Security Group] を選択します。 16 Amazon Virtual Private Cloud ユーザーガイド ステップ 4: Elastic IP アドレ スをインスタンスに割り当てる 8. [Configure Security Group] ページで、ウィザードは自動的に launch-wizard-x セキュリティグ ループを定義して、インスタンスに接続できるようにします。代わりに、[Select an existing security group] オプションを選択し、以前から作成してある [WebServerSG] グループを選び、続 いて [Review and Launch] を選択します。 9. [Review Instance Launch] ページでインスタンスの詳細を確認して、続いて [Launch] を選択しま す。 10. [Select an existing key pair or create a new key pair] ダイアログボックスで、既存のキーペアを 選択するか、新しいキーペアを作成できます。新しいキーペアを作成する場合、ファイルをダウ ンロードして、安全な場所に保存してください。起動後にインスタンスに接続するには、プライ ベートキーの内容が必要になります。 インスタンスを起動するには、確認のチェックボックスをオンにし、続いて [Launch Instances] を選択します。 11. 確認ページで、[View Instances] を選択して、[Instances] ページのインスタンスを表示します。 インターフェースを選択し、[Description] タブで詳細を表示します。[Private IPs] フィールドは、 サブネットの IP アドレスの範囲からのインスタンスに割り当てられたプライベート IP アドレス が表示されます。 Amazon EC2 起動ウィザードで使用できるオプションの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド で「、Launching an Instance を参照してください。 ステップ 4: Elastic IP アドレスをインスタンスに割 り当てる これまでのステップでは、パブリックサブネット内にインスタンスを起動しました— インターネット ゲートウェイへのルートが存在するサブネット。ただし、サブネットのインスタンスは、パブリック IPv4 アドレスでインターネットと通信できることも必要です。デフォルトでは、デフォルト以外の VPC のインスタンスはパブリック IPv4 アドレスを割り当てられません。このステップでは、Elastic IP アドレスをアカウントに割り当て、それをインスタンスに関連付けます。Elastic IP アドレスの詳 細については、「Elastic IP アドレス」を参照してください。 次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。 17 Amazon Virtual Private Cloud ユーザーガイド ステップ 4: Elastic IP アドレ スをインスタンスに割り当てる Elastic IP アドレスを割り当てるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IPs] を選択します。 3. [Allocate New Address を選択し、続いて [Yes, Allocate] を選択します。 Note アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 4. リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate Address] を選択しま す。 5. ダイアログボックスの [Associate with] リストから [Instance] を選択し、続いて [Instance] リスト からユーザーのインスタンスを選択します。以上が完了したら、[Yes, Associate] を選択します。 インスタンスが、インターネットからアクセス可能になりました。SSH またはホームネットワークか らリモートデスクトップを使って、Elastic IP アドレスからインスタンスに接続できます。Linux イン スタンスに接続する方法の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」 の「Connecting to Your Linux Instance」を参照してください。Windows インスタンスに接続する方法 18 Amazon Virtual Private Cloud ユーザーガイド ステップ 5: クリーンアップ については、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance Using RDP を参照してください。 これで実習は終了します。このまま VPC でインスタンスを使用し続けることができます。もしこのイ ンスタンスが不要な場合には、アドレスへの料金発生を防ぐためにインスタンスを終了して Elastic IP アドレスを解除してください。VPC を削除することもできます— この演習で作成された VPC および VPC のコンポーネントには料金が発生しないことを注記します (サブネットやルートテーブルなど)。 ステップ 5: クリーンアップ VPC を削除する前に、VPC で実行中のすべてのインスタンスを停止する必要があります。VPC コンソールを使用して VPC を削除すると、サブネット、セキュリティグループ、ネットワーク ACLs、DHCP オプションセット、ルートテーブル、インターネットゲートウェイなどこの VPC に関 連付けられたリソースも削除されます。 インスタンスを終了し、Elastic IP アドレスを解除して VPC を削除するには 1. 2. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 ナビゲーションペインで、[インスタンス] を選択します。 3. インスタンスを選び、[Actions] を選択し、[Instance State] を選択した後、[Terminate] を選択し ます。 ダイアログボックスで [Release attached Elastic IPs] セクションを展開し、Elastic IP アドレスの 横にあるチェックボックスを選択します。[Yes, Terminate] を選択します。 4. 5. 6. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 画面左枠のナビゲーションペインで、[VPC] を選択します。 7. 8. VPC を選び、[Actions] を選択後、[Delete VPC] を選択します。 確認を求めるメッセージが表示されたら、[Yes, Delete] を選択します。 Amazon VPC の IPv6 の使用開始 この演習では、IPv6 CIDR ブロックを持つ VPC、IPv6 CIDR ブロックを持つサブネットを作成し、パ ブリックインスタンスをサブネットに起動します。インスタンスは、IPv6 経由でインターネットと通 信できるようになり、SSH (Linux インスタンスの場合) またはリモートデスクトップ (Windows イン スタンスの場合) を使用して、ローカルコンピューターから IPv6 経由でインスタンスにアクセスでき るようになります。実際の環境では、このシナリオを使用して、たとえばブログをホストするなどの パブリック側のウェブサーバーを作成できます。 この演習を完了するには、以下の作業を行います。 • IPv6 CIDR ブロックと 1 つのパブリックサブネットを持つデフォルトでない VPC を作成します。 サブネットを使うと、インスタンスをセキュリティや運用上の必要に応じてグループ化することが できます。パブリックサブネットとは、インターネットゲートウェイを通してインターネットにア クセスするサブネットです。 • 特定のポートのみからトラフィックを許可するセキュリティグループをインスタンスに作成しま す。 • サブネット内に Amazon EC2 インスタンスを起動し、起動時に IPv6 アドレスをインスタンスに関 連付けます。IPv6 アドレスはグローバルに一意であり、インスタンスがインターネットと通信でき るようにします。 IPv4 アドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定」を参照してくださ い。 初めて Amazon VPC を使用する際には、Amazon Web Services (AWS) にサインアップする必要 があります。サインアップすると、Amazon VPC を含む AWS のすべてのサービスに対して AWS 19 Amazon Virtual Private Cloud ユーザーガイド ステップ 1: VPC を作成する アカウントが自動的にサインアップされます。AWS アカウントをお持ちでない場合は、「http:// aws.amazon.com」にアクセスし、[Create a Free Account] を選択します。 目次 • ステップ 1: VPC を作成する (p. 20) • ステップ 2: セキュリティグループを作成する (p. 22) • ステップ 3: インスタンスを起動する (p. 24) ステップ 1: VPC を作成する このステップでは、Amazon VPC コンソールの Amazon VPC ウィザードを使用して、VPC を作成し ます。ウィザードは次の手順を自動的に行います。 • /16 の IPv4 CIDR ブロックを持つ VPC を作成し、/56 の IPv6 CIDR ブロックを VPC と関連付けま す。詳細については、「Your VPC」を参照してください。IPv6 CIDR ブロックのサイズ (/56) は固 定されており、IPv6 アドレスの範囲は、Amazon の IPv6 アドレスのプールから自動的に割り当て られます (独自の IPv6 アドレス範囲を指定することはできません)。 • インターネットゲートウェイをこの VPC にアタッチします。詳細については、「インターネット ゲートウェイ」を参照してください。 • /24 の IPv4 CIDR ブロックと、/64 の IPv6 CIDR ブロックを持つサブネットを VPC 内に作成しま す。IPv6 CIDR ブロックのサイズは固定されています (/64)。 • カスタムルートテーブルを作成し、サブネットに関連付けると、サブネットとインターネットゲー トウェイ間でトラフィックが転送されます。ルートテーブルに関する詳細については、「ルート テーブル」を参照してください。 次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。 20 Amazon Virtual Private Cloud ユーザーガイド ステップ 1: VPC を作成する Note この演習では、VPC ウィザードの最初のシナリオを扱います。そのほかのシナリオについて は、「Scenarios for Amazon VPC」を参照してください。 Amazon VPC ウィザードを使用して VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションバーの右上から、VPC を作成中のリージョンをメモしておきます。別のリージョ ンから VPC 内にインスタンスを起動できないので、この演習が終了するまでは同じリージョンで 作業を続けるようにしてください。リージョンの詳細については、「リージョンとアベイラビリ ティーゾーン」を参照してください。 3. ナビゲーションペインで、[VPC dashboard] を選択し、[Start VPC Wizard] を選択します。 Note ナビゲーションペインで [Your VPCs] を選択しないでください。このページから VPC ウィザードにアクセスすることはできません。 4. 最初のオプション [VPC with a Single Public Subnet] を選択し、[Select] を選択します。 5. 設定ページで [VPC name] に VPC の名前 (例: my-vpc) を入力後、[Subnet name] にサブネットの 名前を入力します。これは、VPC およびサブネットを作成後に Amazon VPC においてそれらを 識別するのに役立ちます。 6. [IPv4 CIDR block] の場合は、デフォルト設定 (10.0.0.0/16) のままにするか、独自の設定を指 定できます。詳細については、「VPC Sizing」を参照してください。 [IPv6 CIDR block] の場合は、[Amazon-provided IPv6 CIDR block] を選択します。 7. [Public subnet's IPv4 CIDR] の場合は、デフォルト設定のままにするか、または独自の設定を 指定します。[Public subnet's IPv6 CIDR] の場合は、[Specify a custom IPv6 CIDR] を選択しま す。IPv6 サブネットは、デフォルトの 16 進法のキーペア値 (00) のまま残すことができます。 8. 他の設定についてもデフォルト設定のままにして、[Create a VPC] を選択します。 9. ステータスウィンドウに、作業の進行状況が表示されます。作業が完了したら、[OK] を選択して ステータスウィンドウを閉じます。 10. [Your VPCs] ページは、今作成したデフォルト VPC とその他の VPC が表示されます。 VPC に関する情報の表示 VPC を作成したら、該当するサブネット、インターネットゲートウェイ、ルートテーブルに関する情 報を表示できます。作成した VPC には 2 個のルートテーブルがあります — すべての VPCs にある メインルートテーブル、そしてウィザードから作成したカスタムルートテーブルです。このカスタム ルートテーブルにはサブネットが関連付けられます。したがって、サブネットへのトラフィックの流 れ方は、このテーブル内のルートから決定されます。VPC に新規のサブネットを追加する場合、その サブネットはデフォルトでメインルートテーブルを使用します。 VPC に関する情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 21 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: セキュリティグループを作成する 2. 画面左枠のナビゲーションペインで、[Your VPCs] を選択します。作成した VPC の名前と ID を 書き留めておきます ([Name] および [VPC ID] 列を参照します)。この情報は、VPC に関連付けら れているコンポーネントを識別するために使用します。 3. ナビゲーションペインで、[Subnets] を選択します。コンソールには、VPC を作成した時に作成 されたサブネットが表示されます。[Name] 列からその名前でサブネットを識別したり、前記の手 順で VPC 情報を入手して、[VPC] 列から確認できます。 4. ナビゲーションペインで、[Internet Gateways] を選択します。VPC にアタッチしているインター ネットゲートウェイは、[VPC] 列から確認でき、ここから VPC の ID と名前 (適用できれば) が表 示されます。 5. ナビゲーションペインで、[Route Tables] を選択します。VPC に関連付けられる 2 つのルート テーブルがあります。カスタムルートテーブル ([Main] 列に [No] と表示されているもの) を選択 し、[Routes] タブを選択すると、ルート情報が詳細ペインに表示されます。 • テーブル内の最初の 2 行はローカルルートです。VPC 内のインスタンスが IPv4 および IPv6 経 由で通信できるようにします。これ • 次の行は、Amazon VPC ウィザードで追加したルートを表します。これにより、VPC の外の IPv4 アドレス (0.0.0.0/0) に向けられたトラフィックが、サブネットからインターネット ゲートウェイに流れるようになります。 • 次の行は、VPC の外の IPv6 アドレス (::/0) に向けられたトラフィックが、サブネットからイ ンターネットゲートウェイに流れるようにするルートを表します。 6. メインルートテーブルを選択します。メインルートテーブルはローカルルートだけで、それ以外 のルートがありません。 ステップ 2: セキュリティグループを作成する セキュリティグループは、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのト ラフィックを管理します。セキュリティグループを使用するには、インスタンスの出力トラフィック を制御するインバウンドルール、およびインスタンスから送信されるトラフィックを制御するアウト バンドルールを追加します。インスタンスにセキュリティグループを関連付けるには、インスタンス の起動時にセキュリティグループを指定します。 VPC には、デフォルトのセキュリティグループが用意されています。起動時に他のセキュリティグ ループに関連付けられていないインスタンスは、デフォルトのセキュリティグループに関連付けられ ます。この演習では、新しいセキュリティグループを作成し、WebServerSG、続いて VPC でインス タンスを起動するときにこのセキュリティグループを指定します。 トピック • WebServerSG セキュリティグループのルール (p. 22) • WebserverSG セキュリティグループを作成する (p. 23) WebServerSG セキュリティグループのルール 以下の表では、WebServerSG セキュリティグループのインバウンドとアウトバウンドのルールにつ いて説明します。インバウンドルールは各自で追加してください。アウトバウンドルールとは、あら ゆる場所へのアウトバウンド通信を許可するデフォルトのルールです— ユーザーがこのルールを追加 する必要はありません。 インバウンド 送信元 IP プロトコル ポート範囲 コメント ::/0 TCP 80 任意の IPv6 アドレスからのインバウ ンド HTTP アクセスを許可します。 22 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: セキュリティグループを作成する ::/0 TCP 443 すべての IPv6 アドレスからのインバ ウンド HTTPS トラフィックを許可し ます。 ホームネットワー クの IPv6 アドレ ス範囲 TCP 22 または 3389 ホームネットワークの IPv6 アドレス の範囲から Linux/UNIX インスタン スへのインバウンド SSH アクセス (ポート 22) を許可します。インスタ ンスが Windows インスタンスの場合 は、RDP アクセス (ポート 3389) を許 可するルールが必要です。 送信先 IP プロトコル ポート範囲 コメント 0.0.0.0/0 すべて すべて デフォルトのアウトバウンドルール は、すべてのアウトバウンド IPv4 通 信を許可します。この演習で使用する このルールを変更する必要はありませ ん。 ::/0 すべて すべて デフォルトのアウトバウンドルール は、すべてのアウトバウンド IPv6 通 信を許可します。この演習で使用する このルールを変更する必要はありませ ん。 アウトバウンド Note IPv4 トラフィックに対してもウェブサーバーインスタンスを使用するには、IPv4 経由でアク セスできるようにするルールを追加します。この場合、すべての IPv4 アドレスからの HTTP および HTTPS トラフィック (0.0.0.0/0) と、ホームネットワークの IPv4 アドレス範囲からの SSH/RDP アクセスを許可するルールを作成します。 WebserverSG セキュリティグループを作成する Amazon VPC コンソールを使いセキュリティグループを作成することができます。 WebServerSG セキュリティグループを作成し、ルールを追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [セキュリティグループ] を選択して、[セキュリティグループの作成] を 選択します。 3. [Group name] で、セキュリティグループ名に WebServerSG と入力し、説明を入力します。オ プションで [Name tag] フィールドを使用して、キー Name および指定する値で、セキュリティグ ループのタグを作成できます。 4. [VPC] メニューで VPC の ID を選択し、[Yes, Create] を選択します。 5. 作成した WebServerSG セキュリティグループを選択します (グループ名は [Group Name] 列で確 認できます)。 6. [Inbound Rules] タブで、[Edit] を選択し、次に示すようにインバウンドトラフィックのルールを 追加が完了したら、[Save] を選択します。 a. [Type] で、[HTTP] を選択し、[Source] フィールドに ::/0 と入力します。 23 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: インスタンスを起動する b. [Add another rule] を選択し、[Type] で [HTTPS] を選択し、[Source] フィールドに ::/0 と入 力します。 c. [Add another rule] を選択します。Linux インスタンスを起動した場合は、[Type] で [SSH] を選択します。Windows インスタンスを起動した場合は、[RDP] を選択します。[Source] フィールドに、ネットワークのパブリック IPv6 アドレスの範囲を入力します。このアドレス 範囲が不明の場合は、この実習では ::/0 を使用してください。 Caution ::/0 を使用すると、すべての IPv6 アドレスから SSH や RDP 経由でインスタンス にアクセスできるようになります。これは、短期間の実習では許容されますが、本 稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定 のアドレス範囲にのみ、インスタンスへのアクセスを限定します。 ステップ 3: インスタンスを起動する EC2 インスタンスを VPC 内で起動するときは、どのサブネットでインスタンスを起動するかを指定 する必要があります。この場合、作成した VPC のパブリックサブネットにインスタンスを起動しま す。Amazon EC2 コンソールで Amazon EC2 起動ウィザードを使用して、インスタンスを起動しま す。 インターネットからインスタンスにアクセスできることを確認するには、起動時に、サブネットの範 囲からインスタンスへ IPv6 アドレスを割り当てます。これにより、インスタンスは、IPv6 経由でイ ンターネットと通信できるようになります。 次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。 24 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: インスタンスを起動する EC2 インスタンスを VPC 内で起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションバーの右上で、VPC とセキュリティグループを作成したリージョンが選択されて いることを確認します。 3. 4. ダッシュボードから、[Launch Instance] を選択します。 ウィザードの最初のページで、使用する AMI を選択します。この演習では、Amazon Linux AMI または Windows AMI を選択することをお勧めします。 5. [Choose an Instance Type] ページで、起動するインスタンスのハードウェア設定とサイズを選択 できます。デフォルトでは、お客様が選択した AMI に基づいて使用可能な最初のインスタンスタ イプがウィザードで選択されます。デフォルト設定のまま、[Next: Configure Instance Details] を 選択できます。 6. [Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、[Subnet] リストからサブネットを選択します。 7. [Auto-assign IPv6 IP] で、[Enable] を選択します。 8. デフォルト設定の残りを終了して、ウィザードに [Tag Instance] ページが表示されるまでページ を移動します。 9. [Tag Instance] のページで、Name タグを利用してインスタンスをタグできます。たとえ ばName=MyWebServer。これはインスタンスが起動した後、Amazon EC2 コンソールでインスタ ンスを識別するのに役立ちます。完了したら、[Next: Configure Security Group] を選択します。 10. [Configure Security Group] ページで、ウィザードは自動的に launch-wizard-x セキュリティグ ループを定義して、インスタンスに接続できるようにします。代わりに、[Select an existing security group] オプションを選択し、以前から作成してある [WebServerSG] グループを選び、続 いて [Review and Launch] を選択します。 11. [Review Instance Launch] ページでインスタンスの詳細を確認後、[Launch] を選択します。 12. [Select an existing key pair or create a new key pair] ダイアログボックスで、既存のキーペアを選 択するか、新しいキーペアを作成できます。新しいキーペアを作成する場合、ファイルをダウン ロードして、安全な場所に保存してください。起動後にインスタンスに接続するには、このプラ イベートキーの内容が必要になります。 インスタンスを起動するには、確認のチェックボックスをオンにし、[Launch Instances] を選択 します。 13. 確認ページで、[View Instances] を選択して、[Instances] ページのインスタンスを表示します。 インターフェースを選択し、[Description] タブで詳細を表示します。[Private IPs] フィールドに は、サブネットの IPv4 アドレスの範囲のインスタンスに割り当てられたプライベート IPv4 アド レスが表示されます。[IPv6 IPs] フィールドには、サブネットの IPv6 アドレスの範囲のインスタ ンスに割り当てられたプライベート IPv6 アドレスが表示されます。 Amazon EC2 起動ウィザードで使用できるオプションの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド で「、Launching an Instance を参照してください。 SSH またはホームネットワークからリモートデスクトップを使って、IPv6 アドレスからインスタ ンスに接続できます。Linux インスタンスに接続する方法の詳細については、「Linux インスタン ス用 Amazon EC2 ユーザーガイド」の「Connecting to Your Linux Instance」を参照してくださ い。Windows インスタンスに接続する方法については、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance Using RDP を参照してください。 Note インターネット、SSH、RDP を介して IPv4 アドレス経由でインスタンスにアクセスできる ようにするには、Elastic IP アドレス (静的なパブリック IPv4 アドレス) をインスタンスに関 連付け、IPv4 経由のアクセスを許可するようにセキュリティグループルールを調整する必要 があります。これを行うには、「ご利用開始にあたって (p. 9)」のステップを参照してく ださい。 25 Amazon Virtual Private Cloud ユーザーガイド シナリオ 1: 単一のパブリックサブネットを持つ VPC シナリオと例 このセクションでは、Amazon VPC コンソールでの VPC ウィザードの使用方法などの、VPC の作成 と設定の例について説明します。 シナリオ 使用 シナリオ 1: 単一のパブ リックサブネットを持つ VPC (p. 26) VPC ウィザードを使用して、ブログやシンプルなウェブサイトな ど、シングルレイヤーの一般公開ウェブアプリケーションを実行 する VPC を作成します。 シナリオ 2: パブリックサブ ネットとプライベートサブネッ トを持つ VPC (NAT) (p. 34) 2 番目のサブネットで非公開でアクセス可能なバックエンドサー バーを維持しながら、VPC ウィザードを使用して一般公開ウェブ アプリケーションを実行する VPC を作成します。 シナリオ 3: パブリックおよび プライベートのサブネットを 持つ VPC とハードウェア VPN アクセス (p. 48) VPC ウィザードを使用して、データセンターをクラウドに拡張す るための VPC を作成し、VPC からインターネットに直接アクセ スします。 シナリオ 4: プライベートサ ブネットのみを持つ VPC と ハードウェア VPN アクセ ス (p. 61) VPC ウィザードを使用して、データセンターをクラウドに拡張す るための VPC を作成し、ネットワークをインターネットに公開せ ずに、Amazon のインフラストラクチャを利用します。 例: AWS CLI を使用して IPv4 VPC とサブネットを作 成 (p. 68) AWS CLI を使用して、VPC、パブリックサブネット、プライベー トサブネットを作成します。 例: AWS CLI を使用して IPv6 VPC とサブネットを作 成 (p. 73) AWS CLI を使用して、IPv6 CIDR ブロックと関連付けられた VPC と、それぞれが IPv6 CIDR ブロックに関連付けられたパブ リックサブネットとプライベートサブネットを作成します。 シナリオ 1: 単一のパブリックサブネットを持つ VPC このシナリオの設定には、1 つのパブリックサブネットを持つ Virtual Private Cloud (VPC) と、イン ターネットを介した通信を有効にするインターネットゲートウェイが含まれます。この設定は、ブロ 26 Amazon Virtual Private Cloud ユーザーガイド 概要 グや簡単なウェブサイトなど、単層でパブリックなウェブアプリケーションを実行する必要がある場 合にお勧めします。 ここでは、Amazon VPC コンソールの VPC ウィザードを使って VPC を作成することを前提としてい ます。 このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用し て、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。パブリックサブネット に起動されたインスタンスは、IPv6 を取得できます。また、IPv6 を使用して通信できます。IPv4 ア ドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定 (p. 101)」を参照してくださ い。 トピック • 概要 (p. 27) • ルーティング (p. 29) • セキュリティ (p. 30) • シナリオ 1 を実装する (p. 32) 概要 次の図は、このシナリオの設定に重要なコンポーネントを示しています。 27 Amazon Virtual Private Cloud ユーザーガイド 概要 Note If you completed the exercise ご利用開始にあたって (p. 9)」の演習が完了している場合、すで にこのシナリオは Amazon VPC コンソールの VPC ウィザードを使用して実装済みです。 このシナリオの設定には、以下の項目が含まれています。 • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプラ イベート IPv4 アドレスを提供します。 • サイズ /24 の IPv4 CIDR ブロック (例: 10.0.0.0/24) を持つサブネット。256 個のプライベート IPv4 アドレスを提供します。 • インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。 • サブネット範囲のプライベート IPv4 アドレス (例: 10.0.0.6) と Elastic IPv4 アドレス (例: 198.51.100.2) を持つインスタンス。前者はインスタンスが VPC 内の他のインスタンスと通信でき るようにするアドレスであり、後者はインターネットからインスタンスにアクセスできるようにす るパブリック IPv4 アドレスです。 • サブネットに関連付けられているカスタムルートテーブル。ルートテーブルのエントリにより、サ ブネットのインスタンスは IPv4 を使用して VPC 内の他のインスタンスと通信したり、インター ネットで直接通信したりできます。サブネットに関連付けられているルートテーブルにインター ネットゲートウェイへのルートがある場合、そのサブネットはパブリックサブネットと呼ばれま す。 サブネットの詳細については、「VPC とサブネット (p. 83)」を参照してください。インターネッ トゲートウェイの詳細については、「インターネットゲートウェイ (p. 200)」を参照してください。 IPv6 の概要 オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定に は、次に示す情報が含まれます。 • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。Amazon の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。 • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。サ ブネットの IPv6 CIDR ブロックのサイズを選択することはできません。 • サブネットの範囲 (例: 2001:db8:1234:1a00::123) からインスタンスへ割り当てられた IPv6 アドレ ス。 • カスタムエントリテーブル内のルートテーブルエントリ。VPC のインスタンスが IPv6 を使用して 相互通信したり、インターネット経由で直接通信したりできるようにします。 28 Amazon Virtual Private Cloud ユーザーガイド ルーティング ルーティング VPC には暗示的なルーターがあります (上の設定図を参照)。このシナリオでは、VPC ウィザードに よって、送信先が VPC 外のアドレスであるトラフィックすべてをインターネットゲートウェイにルー ティングするカスタムルートテーブルを作成し、それをサブネットに関連付けます。 次の表は、上の設定図に含まれている例のルートテーブルを示しています。最初のエントリは、VPC のローカル IPv4 ルーティングのデフォルトエントリです。このエントリによって、この VPC 内のイ ンスタンスが相互に通信できるようになります。2 番目のエントリは、他のすべての IPv4 サブネット トラフィックをインターネットゲートウェイ (例: igw-1a2b3c4d) にルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-id IPv6 のルーティング IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルート をルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのカス タムルートテーブルを次の表に示します。2 番目のエントリは、IPv6 経由で VPC 内のローカルルー 29 Amazon Virtual Private Cloud ユーザーガイド セキュリティ ティングに自動的に追加されたデフォルトルートです。4 番目のエントリは、他のすべての IPv6 サブ ネットトラフィックをインターネットゲートウェイにルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 igw-id ::/0 igw-id セキュリティ AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ リティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウ トバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドト ラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用 が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用する こともできます。詳細については、「セキュリティ (p. 119)」を参照してください。 このシナリオでは、セキュリティグループを使用し、ネットワーク ACL は使用しません。ネットワー ク ACL を使用する場合は、「シナリオ 1 に推奨されるルール (p. 145)」を参照してください。 VPC には、デフォルトのセキュリティグループ (p. 122)が用意されています。VPC 内に起動され るインスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティ グループに自動的に関連付けられます。デフォルトのセキュリティグループにルールを追加できます が、そのルールは VPC 内に起動する他のインスタンスには適切でない場合があります。代わりに、 ウェブサーバー用にカスタムセキュリティグループを作成することをお勧めします。 このシナリオでは、WebServerSG という名前のセキュリティグループを作成します。作成したセ キュリティグループには、インスタンスからのすべてのトラフィックを許可する単一のアウトバウン ドルールがあるだけです。インバウンドトラフィックを有効にし、必要に応じてアウトバウンドトラ フィックを制限するようにルールを変更する必要があります。このセキュリティグループは、VPC 内 にインスタンスを起動するときに指定します。 以下は、WebServerSG セキュリティグループの IPv4 トラフィック用インバウンドルールとアウトバ ウンドルールです。 インバウンド 送信元 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 0.0.0.0/0 TCP 443 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 ネットワークのパブリック IPv4 アドレスの範囲 TCP 22 (Linux インスタンス) ネットワー クからの IPv4 経由のインバウン ド SSH アクセスを許可する。 ローカルコンピューターのパブ リック IPv4 アドレスは、http:// checkip.amazonaws.com などの サービスを使用して取得できま 30 Amazon Virtual Private Cloud ユーザーガイド セキュリティ す。ISP 経由で、またはファイア ウォールの内側から静的な IP アド レスなしで接続している場合は、ク ライアントコンピュータで使用され ている IP アドレスの範囲を見つけ る必要があります。 ネットワークのパブリック IPv4 アドレスの範囲 TCP 3389 (Windows インスタンス) ネットワー クからの IPv4 経由のインバウンド RDP アクセスを許可する。 セキュリティグループ ID (sgxxxxxxxx) すべて すべて (オプション) このセキュリティグ ループに関連付けられた他のイン スタンスからのインバウンドトラ フィックを許可する。このルール は、VPC のデフォルトのセキュリ ティグループに自動的に追加されま す。カスタムのセキュリティグルー プを作成した場合は、この種の通信 を許可するためにルールを手動で追 加する必要があります。 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 すべて すべて 任意の IPv4 アドレスへのアウトバ ウンドアクセスを許可するデフォル トのルール。ウェブサーバーでアウ トバウンドトラフィックの開始を許 可する場合 (ソフトウェアの更新プ ログラムを取得するためになど)、 デフォルトのアウトバウンドルール をそのまま使用できます。それ以外 の場合は、このルールを削除できま す。 アウトバウンド (オプション) IPv6 のセキュリティ IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールをセキュリティグ ループに追加して、ウェブサーバーインスタンスのインバウンドおよびアウトバウンドの IPv6 トラ フィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべてのイ ンターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP ト ラフィックを受信したりできます。 WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。 インバウンド 送信元 プロトコル ポート範囲 コメント ::/0 TCP 80 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 ::/0 TCP 443 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 31 Amazon Virtual Private Cloud ユーザーガイド シナリオ 1 を実装する ネットワークの IPv6 アドレス 範囲 TCP 22 (Linux インスタンス) ネットワー クからの IPv6 経由のインバウンド SSH アクセスを許可する。 ネットワークの IPv6 アドレス 範囲 TCP 3389 (Windows インスタンス) ネットワー クからの IPv6 経由のインバウンド RDP アクセスを許可する。 送信先 プロトコル ポート範囲 コメント ::/0 すべて すべて 任意の IPv6 アドレスへのアウトバ ウンドアクセスを許可するデフォル トのルール。ウェブサーバーでアウ トバウンドトラフィックの開始を許 可する場合 (ソフトウェアの更新プ ログラムを取得するためになど)、 デフォルトのアウトバウンドルール をそのまま使用できます。それ以外 の場合は、このルールを削除できま す。 アウトバウンド (オプション) シナリオ 1 を実装する シナリオ 1 を実装するには、VPC ウィザードで VPC を作成し、WebServerSG セキュリティグルー プを作成して設定します。次に VPC 内にインスタンスを起動します。 この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内 で IPv6 を使用する場合は、上記のステップを実行する必要はありません。 VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ダッシュボードで、[VPC ウィザードの起動] を選択します。 3. 最初のオプション [VPC with a Single Public Subnet] を選択し、続いて [Select] を選択します。 4. [VPC name] と [Subnet name] で、VPC とサブネットに名前を付けると、後にコンソールで見つ けやすくなります。VPC とサブネットに独自の IPv4 CIDR ブロック範囲を指定するか、デフォル ト値 (10.0.0.0/16 または 10.0.0.0/24) のままにすることができます。 5. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Amazon-provided IPv6 CIDR block] を選択しま す。[Public subnet's IPv6 CIDR] で、[Specify a custom IPv6 CIDR] を選択し、サブネットの 16 進 法でキーペア値を選択するか、デフォルト値 (00) のままにします。 6. デフォルト設定のまま、[ Create VPC] を選択します。 WebServerSG セキュリティグループを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. [Create Security Group] を選択します。 4. セキュリティグループの名前として WebServerSG を指定し、説明を入力します。[VPC] メ ニューで VPC の ID を選択し、[Yes, Create] を選択します。 5. 先ほど作成した WebServerSG セキュリティグループを選択します。詳細ペインには、セキュリ ティグループに関する情報のタブと、インバウンドルールおよびアウトバウンドルールを操作す るためのタブがあります。 32 Amazon Virtual Private Cloud ユーザーガイド シナリオ 1 を実装する 6. [Inbound Rules] タブで [Edit] を選択し、次の操作を行います。 • [Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。 • [Add another rule] を選択し、[Type] リストから [HTTPS] を選択し、[Source] フィールドに 「0.0.0.0/0」と入力します。 • [Add another rule] を選択し、[Type] リストから [SSH] (Linux の場合) または [RDP] (Windows の場合) を選択します。[Source] フィールドに、ネットワークのパブリック IP アドレスの範囲 を入力します。 (このアドレス範囲が不明な場合は、0.0.0.0/0 を使用してテストすることが できます。本番環境では、インスタンスへのアクセスを特定の IP アドレスまたはアドレス範囲 のみに許可します)。 • (オプション) [Add another rule] を選択し、[Type] リストから [ALL] を選択します。[Source] フィールドに、WebServerSG セキュリティグループの ID を入力します。 • (オプション、IPv6 のみ) [Add another rule] をクリック後、[Type] リストから [HTTP] を選択 し、[Source] フィールドに [::/0] と入力します。 • (オプション、IPv6 のみ) [Add another rule] をクリック後、[Type] リストから [HTTPS] を選択 し、[Source] フィールドに ::/0 と入力します。 • (オプション、IPv6 のみ) [Add another rule] を選択後、[Type] リストから [SSH] (Linux の場合) または [RDP] (Windows の場合) を選択します。[Source] フィールドに、ネットワークの IPv6 アドレスの範囲を入力します。 (このアドレス範囲が不明な場合は、::/0 を使用してテストす ることができます。本番環境では、インスタンスへのアクセスを特定の IPv6 アドレスまたはア ドレス範囲のみに許可します)。 7. [Save] を選択します。 8. [Outbound Rules] タブで [Edit] を選択します。すべてのアウトバウンドトラフィックを有効にす るデフォルトのルールを見つけ、[Remove] を選択して、[Save] を選択します。 VPC 内にインスタンスを起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ダッシュボードから、[Launch Instance] を選択します。 3. ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、 [Next: Configure Instance Details] を選択します。 Note インスタンスを使用して IPv6 通信するには、サポートされているインスタンスタイプを 選択する必要があります (例: T2)。詳細については、「Amazon EC2 インスタンスタイ プ」を参照してください。 4. [Configure Instance Details] ページで、[Network] リストから手順 1 で作成した VPC を選択し、 サブネットを指定します。 5. (オプション) デフォルトでは、デフォルト以外の VPC に起動するインスタンスには、パブリック IPv4 アドレスは割り当てられません。インスタンスへの接続を可能にするには、ここでパブリッ ク IPv4 アドレスを割り当てることも、Elastic IP アドレスをアロケートし、インスタンス起動後 にそれをインスタンスに割り当てることもできます。ここでパブリック IPv4 を割り当てるために は、[Assign Public IP] リストから [Enable] を選択したことを確認します。 Note パブリック IP の自動割り当て機能は、デバイスインデックスが eth0 になっている単一 の新しいネットワークインターフェイスにのみ使用できます。詳細については、「イン スタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」を参照してくださ い。 6. (オプション、IPv6 のみ) サブネットの範囲からインスタンスに IPv6 アドレスを自動的に割り当 てることができます。[Auto-assign IPv6 IP] で、[Enable] を選択します。 33 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2: パブリックサブネットとプ ライベートサブネットを持つ VPC (NAT) 7. 8. 9. ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。 [Configure Security Group] ページで、[Select an existing security group] オプションを選択し、手 順 2 で作成した [WebServerSG] セキュリティグループを選択します。[Review and Launch] を選 択します。 選択した設定を確認します。必要な変更を行い、[作成] を選択し、キーペアを選択してインスタ ンスを起動します。 ステップ 5 でパブリック IPv4 アドレスをインスタンスに割り当てていない場合、IPv4 経由でイ ンスタンスへ接続することはできません。Elastic IP アドレスをインスタンスに割り当てる。 a. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 b. c. ナビゲーションペインで [Elastic IP] を選択します。 [新しいアドレスの割り当て] を選択します。 d. [はい、割り当てる] を選択します。 Note アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 e. リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate Address] を選択し ます。 f. [Associate Address] ダイアログボックスで、アドレスを関連付けるインスタンスを選択し、 [Yes, Associate] を選択します。 これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法に ついては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Windows インスタンス の Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。 シナリオ 2: パブリックサブネットとプライベー トサブネットを持つ VPC (NAT) このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud (VPC) が含まれます。このシナリオは、パブリックにはアクセスできないバックエンドサー バーを維持しながら、パブリックなウェブアプリケーションを実行する場合にお勧めします。一般 的な例としては、パブリックサブネットのウェブサーバーとプライベートサブネットのデータベース サーバーを持つ多階層のウェブサイトが挙げられます。ウェブサーバーがデータベースサーバーと通 信できるように、セキュリティとルーティングを設定できます。 プライベートサブネットのインスタンスがアウトバンドトラフィックを送信できな場合は、パブリッ クサブネットのインスタンスがインターネットに直接送信できます。代わりに、プライベートサブ ネットのインスタンスは、パブリックサブネット内のネットワークアドレス変換 (NAT) ゲートウェイ を使用してインターネットにアクセスできます。データベースサーバーは、NAT ゲートウェイを通じ てインターネットに接続してソフトウェアアップデートを行うことができますが、インターネットは データベースサーバーへの接続を確立できません。 Note VPC ウィザードを使用して VPC を設定するために、NATインスタンスを使用することもで きますが、代わりに NAT ゲートウェイを使用することをお勧めします。詳細については、 「NAT ゲートウェイ (p. 210)」を参照してください。 ここでは、Amazon VPC コンソールの VPC ウィザードを使って VPC および NAT ゲートウェイを作 成することを前提としています。 34 Amazon Virtual Private Cloud ユーザーガイド 概要 このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用し て、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。サブネットに起動さ れたインスタンスは、IPv6 を取得できます。また、IPv6 を使用して通信できます。プライベートサブ ネットのインスタンスは、Egress-Only インターネットゲートウェイを使用して IPv6 経由でインター ネットに接続できますが、IPv6 経由でプライベートインスタンスに接続を確立することはできませ ん。IPv4 アドレスと IPv6 アドレスの詳細については、VPC の IP アドレス指定 (p. 101) を参照して ください。 トピック • 概要 (p. 35) • ルーティング (p. 37) • セキュリティ (p. 39) • シナリオ 2 を実装する (p. 42) • NAT インスタンスを使用してシナリオ 2 を実装する (p. 46) 概要 次の図は、このシナリオの設定に重要なコンポーネントを示しています。 このシナリオの設定には、以下の項目が含まれています。 • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の VPC。65,536 個のプライベート IPv4 アドレ スを提供します。 35 Amazon Virtual Private Cloud ユーザーガイド 概要 • IPv4 CIDR ブロックサイズが /24 (例: 10.0.0.0/24) のパブリックサブネット。256 個のプライベート IPv4 アドレスを提供します。パブリックサブネットは、インターネットゲートウェイへのルートが 含まれているルートテーブルに関連付けられているサブネットです。 • IPv4 CIDR ブロックサイズが /24 (例: 10.0.1.0/24) のプライベートサブネット。256 個のプライベー ト IPv4 アドレスを提供します。 • インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。 • プライベート IPv4 アドレスがサブネットの範囲内 (例: 10.0.0.5、10.0.1.5) のインスタンス。これに より、VPC の各インスタンスは相互に通信できるようになります。 • Elastic IPv4 アドレス (例: 198.51.100.1) を使用するパブリックサブネットのインスタンス。Elastic IPv4 アドレスは、インターネットからインスタンスにアクセスできるようにするパブリック IPv4 アドレスです。インスタンスには、起動時に Elastic IP アドレスではなくパブリック IP アドレスを 割り当てることができます。プライベートサブネットのインスタンスは、インターネットからの着 信トラフィックを受信する必要がないバックエンドサーバーであるため、パブリック IP アドレスを 必要としません。ただし、NAT ゲートウェイを使用して、リクエストをインターネットに送信する ことができます (次の箇条書きを参照)。 • NAT ゲートウェイとその独自の Elastic IPv4 アドレス。プライベートサブネットのインスタンス が、IPv4 経由でリクエストをインターネットに送信できるようにします (例: ソフトウェアアップ デート)。 • パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、 サブネットのインスタンスが IPv4 経由で VPC 内の他のインスタンスと通信できるようにするエン トリと、サブネットのインスタンスが IPv4 経由でインターネットと直接通信できるようにするエン トリが含まれます。 • プライベートサブネットに関連付けられているメインルートテーブル。このルートテーブルには、 サブネットのインスタンスが IPv4 経由で VPC 内の他のインスタンスと通信できるようにするエン トリと、サブネットのインスタンスが IPv4 経由で NAT ゲートウェイを介してインターネットと通 信できるようにするエントリが含まれます。 サブネットの詳細については、「VPC とサブネット (p. 83)」を参照してください。インターネッ トゲートウェイの詳細については、「インターネットゲートウェイ (p. 200)」を参照してくださ い。NAT ゲートウェイの詳細については、「NAT ゲートウェイ (p. 210)」を参照してください IPv6 の概要 オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定に は、次に示す情報が含まれます。 • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。Amazon の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。 • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できま す。VPC の IPv6 CIDR ブロックのサイズを選択することはできません。 • プライベートサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a01::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。サ ブネットの IPv6 CIDR ブロックのサイズを選択することはできません。 • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。 • Egress-Only インターネットゲートウェイプライベートサブネットのインスタンスが、IPv6 経由 でリクエストをインターネット送信できるようにします (例: ソフトウェアアップデート)。EgressOnly インターネットゲートウェイは、プライベートサブネットのインスタンスが IPv6 経由で通信 を始められるようにする場合に必要です。詳細については、「Egress-Only インターネットゲート ウェイ (p. 206)」を参照してください。 • カスタムエントリテーブル内のルートテーブルエントリ。パブリックサブネットのインスタンスが IPv6 を使用して相互通信したり、インターネット経由で直接通信したりできるようにします。 36 Amazon Virtual Private Cloud ユーザーガイド ルーティング • メインルートテーブルのルートテーブル エントリ。プライベートサブネットのインスタンス が、IPv6 経由で相互に通信したり、Egress-Only インターネットゲートウェイを通じてインター ネット通信したりできるようにします。 ルーティング このシナリオでは、VPC ウィザードによって、プライベートサブネットで使用されるメインルート テーブルを更新し、カスタムルートテーブルを作成してパブリックサブネットに関連付けます。 このシナリオでは、各サブネットから AWS に向かう (例えば、Amazon EC2 または Amazon S3 エン ドポイントに向かう) すべてのトラフィックが、インターネットゲートウェイを介して流れます。プラ イベートサブネットのデータベースサーバーには Elastic IP アドレスがありません。したがって、イ ンターネットからのトラフィックを直接受け取ることはできません。ただし、パブリックサブネット で NAT デバイスを使用すれば、データベースサーバーでインターネットトラフィックを送受信できま す。 追加のサブネットを作成した場合、そのサブネットはデフォルトでメインルートテーブルを使用しま す。つまり、デフォルトではプライベートサブネットです。サブネットをパブリックにする場合は、 関連付けられているルートテーブルをいつでも変更できます。 以下の表は、このシナリオのルートテーブルを示しています。 メインルートテーブル 37 Amazon Virtual Private Cloud ユーザーガイド ルーティング 最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによっ て、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、他のすべての サブネットトラフィックを NAT ゲートウェイ (例: nat-12345678901234567) に送信します。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 nat-gateway-id カスタムルートテーブル 最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによっ て、この VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、他のす べてのサブネットトラフィックをインターネットゲートウェイ (例: igw-1a2b3d4d) 経由でインター ネットにルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-id IPv6 のルーティング IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルート をルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのルー トテーブルを次の表に示します。 メインルートテーブル 2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルト ルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックを Egress-Only イン ターネットゲートウェイにルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 nat-gateway-id ::/0 egress-only-igw-id カスタムルートテーブル 2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルト ルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックをインターネットゲー トウェイにルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 igw-id 38 Amazon Virtual Private Cloud ユーザーガイド セキュリティ 送信先 ターゲット ::/0 igw-id セキュリティ AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ リティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウ トバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドト ラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用 が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用する こともできます。詳細については、「セキュリティ (p. 119)」を参照してください。 シナリオ 2 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネット ワーク ACL を使用する場合は、「シナリオ 2 に推奨されるルール (p. 148)」を参照してください。 VPC には、デフォルトのセキュリティグループ (p. 122)が用意されています。VPC 内に起動される インスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティグ ループに自動的に関連付けられます。このシナリオでは、デフォルトのセキュリティグループを使用 するのではなく、以下のセキュリティグループを作成することをお勧めします。 • WebServerSG: パブリックサブネットでウェブサーバーを起動するときに、このセキュリティグ ループを指定します。 • DBServerSG: プライベートサブネットでデータベースサーバーを起動するときに、このセキュリ ティグループを指定します。 セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリ オでは、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタ ンスが特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュ リティグループに割り当てられたインスタンスはすべて、同じサブネットに属しています。 次の表では、WebServerSG セキュリティグループの推奨ルールについて説明します。このルールに より、ウェブサーバーがインターネットトラフィックを受信したり、ご利用のネットワークから SSH や RDP トラフィックを受信したりできます。また、ウェブサーバーはプライベートサブネットで、 データベースサーバーへのリクエストの読み取り/書き込みを開始し、インターネットにトラフィック を送信できます (たとえば、ソフトウェアの更新プログラムを取得するなど)。ウェブサーバーがその 他のアウトバウンド通信を開始しないため、デフォルトのアウトバウンドルールは削除されます。 Note これらの推奨事項には SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセスと MySQL アクセスの両方が含まれます。この場合は、Linux (SSH および MySQL) または Windows (RDP および Microsoft SQL Server) に対するルールのみで十分かもしれませ ん。 WebServerSG: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 39 Amazon Virtual Private Cloud ユーザーガイド セキュリティ 0.0.0.0/0 TCP 443 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 ホームネットワークのパブリッ ク IPv4 アドレスの範囲 TCP 22 ホームネットワークから Linux インスタンスへのインバウンド SSH アクセス (インターネット ゲートウェイ経由) を許可する。 ローカルコンピューターのパブ リック IPv4 アドレスは、http:// checkip.amazonaws.com などの サービスを使用して取得できま す。ISP 経由で、またはファイア ウォールの内側から静的な IP アド レスなしで接続している場合は、ク ライアントコンピュータで使用され ている IP アドレスの範囲を見つけ る必要があります。 ホームネットワークのパブリッ ク IPv4 アドレスの範囲 TCP 3389 ホームネットワークから Windows インスタンスへのインバウンド RDP アクセス (インターネットゲート ウェイ経由) を許可する。 送信先 プロトコル ポート範囲 コメント DBServerSG セキュリティグ ループの ID TCP 1433 DBServerSG セキュリティグループ に割り当てられたデータベースサー バーへのアウトバウンド Microsoft SQL Server アクセスを許可する。 DBServerSG セキュリティグ ループの ID TCP 3306 DBServerSG セキュリティグループ に割り当てられたデータベースサー バーへのアウトバウンド MySQL ア クセスを許可する。 0.0.0.0/0 TCP 80 任意の IPv4 アドレスへのアウトバ ウンド HTTP アクセスを許可しま す。 0.0.0.0/0 TCP 443 任意の IPv4 アドレスへのアウトバ ウンド HTTPS アクセスを許可しま す。 アウトバウンド 次の表では、DBServerSG セキュリティグループの推奨ルールについて説明します。このルールによ り、ウェブサーバーからの読み込みおよび書き込みデータベースリクエストが許可されます。 また、 データベースサーバーはインターネットへのトラフィックを開始することもできます (そのトラフィッ クは、ルートテーブルから NAT ゲートウェイに送信され、さらに NAT ゲートウェイからインター ネットゲートウェイを介してインターネットに転送されます)。 DBServerSG: 推奨ルール インバウンド 送信元 プロトコル 40 ポート範囲 コメント Amazon Virtual Private Cloud ユーザーガイド セキュリティ WebServerSG セキュリティグ ループの ID TCP 1433 WebServerSG セキュリティグルー プに関連付けられたウェブサーバー からのインバウンド Microsoft SQL Server アクセスを許可する。 WebServerSG セキュリティグ ループの ID TCP 3306 WebServerSG セキュリティグルー プに関連付けられたウェブサーバー からのインバウンド MySQL Server アクセスを許可する。 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 インターネットへのアウトバウンド HTTP アクセスを許可するIPv4 (例: ソフトウェアアップデート)。 0.0.0.0/0 TCP 443 インターネットへのアウトバウン ド HTTPS アクセスを許可するIPv4 (例: ソフトウェアアップデート)。 アウトバウンド (オプション) VPC のデフォルトのセキュリティグループには、割り当てられたインスタンス間で相 互に通信することを自動的に許可するルールがあります。そのような通信をカスタムセキュリティグ ループに許可するには、以下のルールを追加する必要があります。 インバウンド 送信元 プロトコル ポート範囲 コメント セキュリティグループの ID すべて すべて このセキュリティグループに割り当 てられた他のインスタンスからのイ ンバウンドトラフィックを許可す る。 送信先 プロトコル ポート範囲 コメント セキュリティグループの ID すべて すべて このセキュリティグループに割り当 てられた他のインスタンスへのアウ トバウンドトラフィックを許可す る。 アウトバウンド IPv6 のセキュリティ IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールを WebServerSG お よび DBServerSG セキュリティグループに追加して、インバウンドおよびアウトバウンドの IPv6 ト ラフィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべての インターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP トラフィックを受信したりできます。また、インターネットへのアウトバウンド IPv6 トラフィックを 開始することもできます。データベースサーバーは、インターネットへのアウトバウンド IPv6 トラ フィックを開始できます。 WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。 インバウンド 41 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 を実装する 送信元 プロトコル ポート範囲 コメント ::/0 TCP 80 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 ::/0 TCP 443 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 ネットワークの IPv6 アドレス 範囲 TCP 22 (Linux インスタンス) ネットワー クからの IPv6 経由のインバウンド SSH アクセスを許可する。 ネットワークの IPv6 アドレス 範囲 TCP 3389 (Windows インスタンス) ネットワー クからの IPv6 経由のインバウンド RDP アクセスを許可する 送信先 プロトコル ポート範囲 コメント ::/0 TCP HTTP 任意の IPv6 アドレスへのアウトバ ウンド HTTP アクセスを許可します ::/0 TCP HTTPS 任意の IPv6 アドレスへのアウトバ ウンド HTTPS アクセスを許可しま す アウトバウンド DBServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。 アウトバウンド 送信先 プロトコル ポート範囲 コメント ::/0 TCP 80 任意の IPv6 アドレスへのアウトバ ウンド HTTP アクセスを許可します ::/0 TCP 443 任意の IPv6 アドレスへのアウトバ ウンド HTTPS アクセスを許可しま す シナリオ 2 を実装する VPC ウィザードを使用して、VPC や、サブネット、NAT ゲートウェイ、さらにはオプション で、Egress-Only インターネットゲートウェイを作成できます。NAT ゲートウェイに Elastic IP アド レスを指定します。アドレスがない場合は、それを最初にアカウントに割り当てる必要があります。 既存の Elastic IP アドレスを使用する場合は、そのアドレスが別のインスタンスやネットワークイン ターフェイスに現在関連付けられていないことを確認します。NAT ゲートウェイは、VPC のパブリッ クサブネットで自動的に作成されます。 この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内 で IPv6 を使用する場合は、上記のステップを実行する必要はありません。 (オプション) Elastic IP アドレスを NAT ゲートウェイ (IPv4) に割り当てるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 42 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 を実装する 2. ナビゲーションペインで [Elastic IP] を選択します。 3. [新しいアドレスの割り当て] を選択します。 4. [はい、割り当てる] を選択します。 Note アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. VPC ダッシュボードで、[VPC ウィザードの起動] を選択します。 3. 2 つ目のオプション [パブリックとプライベート サブネットを持つ VPC] を選択し、[選択] を選択 します。 4. [VPC name]、[Public subnet name]、[Private subnet name] で、VPC とサブネットに名前を付け ると、後でコンソールで見つけやすくなります。VPC とサブネットに独自の IPv4 CIDR ブロック を指定するか、デフォルト値を使用できます。 5. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Amazon-provided IPv6 CIDR block] を選択しま す。[Public subnet's IPv6 CIDR] で、[Specify a custom IPv6 CIDR] を選択し、16 進法でサブネッ トのキーペア値を選択するか、デフォルト値のままにします。[Private subnet's IPv6 CIDR] で、 [Specify a custom IPv6 CIDR] を選択します。16 進法で IPv6 サブネットのキーペア値を選択する か、デフォルト値のままにします。 6. [Specify the details of your NAT gateway] セクションで、アカウントの Elastic IP アドレスに割り 当て ID を指定します。 7. その他についてもデフォルト値のまま、[Create VPC] を選択します。 WebServerSG セキュリティグループと DBServerSG セキュリティグループは互いに参照し合うの で、ルールを追加する前に、このシナリオで必要なすべてのセキュリティグループを作成します。 WebServerSG および DBServerSG セキュリティグループを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [セキュリティグループ] を選択して、[セキュリティグループの作成] を 選択します。 3. セキュリティグループの名前として WebServerSG を指定し、説明を入力します。[VPC] で、作 成した VPC の ID を選択し、[作成] を選択します。 4. [セキュリティグループの作成] を再度選択します。 5. セキュリティグループの名前として DBServerSG を指定し、説明を入力します。[VPC] で、VPC の ID を選択して [作成] を選択します。 ルールを WebServerSG セキュリティグループに追加するには 1. 作成した WebServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグ ループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示 されます。 2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 a. [タイプ] の [HTTP] を選択します。[送信元] に「0.0.0.0/0」と入力します。 b. [別のルールの追加] を選択し、[タイプ] の [HTTPS] を選択します。[送信元] に 「0.0.0.0/0」と入力します。 43 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 を実装する 3. c. [別のルールの追加] を選択し、[タイプ] の [SSH] を選択します。[Source] に、ネットワーク のパブリック IPv4 アドレスの範囲を入力します。 d. [別のルールの追加] を選択し、[タイプ] の [RDP] を選択します。[Source] に、ネットワーク のパブリック IPv4 アドレスの範囲を入力します。 e. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTP] を選択します。[送信元] に 「::/0」と入力します。 f. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTPS] を選択します。[送信元] に 「::/0」と入力します。 g. (オプション、IPv6 のみ) [Add another rule]、[Type]、[SSH] (Linux の場合) または [RDP] (Windows の場合) を選択します。[送信元] で、ネットワークの IPv6 アドレスの範囲を入力 します。 h. [保存] を選択します。 [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィック のルールを追加します。 a. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[削除] を 選択します。 b. [タイプ] の [MS SQL] を選択します。[送信先] に、DBServerSG セキュリティグループの ID を指定します。 c. [別のルールの追加] を選択し、[タイプ] の [MySQL] を選択します。[送信先] に、DBServerSG セキュリティグループの ID を指定します。 d. [別のルールの追加] を選択し、[タイプ] の [HTTPS] を選択します。[送信先] に 「0.0.0.0/0」と入力します。 e. [別のルールの追加] を選択し、[タイプ] の [HTTP] を選択します。[送信先] に「0.0.0.0/0」 と入力します。 f. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTPS] を選択します。[送信先] に 「::/0」と入力します。 g. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTP] を選択します。[送信先] に 「::/0」と入力します。 h. [保存] を選択します。 推奨ルールを DBServerSG セキュリティグループに追加するには 1. 作成した DBServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示され ます。 2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 3. a. [タイプ] の [MS SQL] を選択します。[送信元] フィールドに、WebServerSG セキュリティグ ループの ID を指定します。 b. [別のルールの追加] を選択し、[タイプ] の [MYSQL] を選択します。[送信元] フィールド に、WebServerSG セキュリティグループの ID を指定します。 c. [保存] を選択します。 [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィック のルールを追加します。 a. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[削除] を 選択します。 b. [タイプ] の [HTTP] を選択します。[送信先] に「0.0.0.0/0」と入力します。 c. [別のルールの追加] を選択し、[タイプ] の [HTTPS] を選択します。[送信先] に 「0.0.0.0/0」と入力します。 44 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 を実装する d. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTP] を選択します。[送信先] に 「::/0」と入力します。 e. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTPS] を選択します。[送信先] に 「::/0」と入力します。 f. [保存] を選択します。 VPC 内にインスタンスを起動できるようになりました。 インスタンスを起動するには (ウェブサーバーまたはデータベースサーバー) 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ダッシュボードから、[Launch Instance] を選択します。 3. AMI およびインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。 Note インスタンスを使用して IPv6 通信するには、サポートされているインスタンスタイプを 選択する必要があります (例: T2)。詳細については、「Amazon EC2 インスタンスタイ プ」を参照してください。 4. [インスタンスの詳細の設定] ページの [ネットワーク] で、前に作成した VPC を選択し、サブネッ トを選択します。例えば、パブリックサブネット内にウェブサーバーを起動し、プライベートサ ブネット内にデータベースサーバーを起動します。 5. (オプション) デフォルトでは、デフォルト以外の VPC に起動するインスタンスには、パブリッ ク IPv4 アドレスは割り当てられません。パブリックサブネットでインスタンスへの接続を可能 にするには、ここでパブリック IPv4 アドレスを割り当てることも、Elastic IP アドレスを割り当 て、インスタンスの起動後にそれをインスタンスに割り当てることもできます。ここでパブリッ ク IPv4 アドレスを割り当てるには、必ず [Auto-assign Public IP] リストから [Enable] を選択しま す。プライベートサブネットのインスタンスにパブリック IP アドレスを割り当てる必要はありま せん。 Note パブリック IPv4 の自動割り当て機能は、デバイスインデックスが eth0 になっている単 一の新しいネットワークインターフェイスにのみ使用できます。詳細については、「イ ンスタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」を参照してくださ い。 6. (オプション、IPv6 のみ) サブネットの範囲からインスタンスに IPv6 アドレスを自動的に割り当 てることができます。[Auto-assign IPv6 IP] で、[Enable] を選択します。 7. ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[セ キュリティグループの設定] ページで、[既存のセキュリティグループを選択する] オプションを 選択し、前に作成したセキュリティグループの 1 つ (ウェブサーバーの場合、[WebServerSG]、 データベースサーバーの場合、[DBServerSG]) を選択します。[確認と作成] を選択します。 8. 選択した設定を確認します。必要な変更を行い、[作成] を選択し、キーペアを選択してインスタ ンスを起動します。 ステップ 5 のパブリックサブネットでパブリック IPv4 アドレスをインスタンスに割り当てていない 場合、インスタンスへ接続することはできません。パブリックサブネットのインスタンスにアクセス するには、そのインスタンスに Elastic IP アドレスを割り当てておく必要があります。 Elastic IP アドレスを割り当て、インスタンスに割り当てるには (IPv4) 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 45 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンスを使用してシナリオ 2 を実装する 3. [新しいアドレスの割り当て] を選択します。 4. [はい、割り当てる] を選択します。 Note アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 5. リストから Elastic IP アドレスを選択し、[アクション] から [アドレスの関連付け] を選択しま す。 6. [Associate Address] ダイアログボックスで、ネットワークインターフェイスまたはインスタンス を選択します。[プライベート IP アドレス] で、Elastic IP アドレスを関連付けるアドレスを選択 して、[はい、関連付ける] を選択します。 これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法に ついては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Windows インスタンス の Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。 NAT インスタンスを使用してシナリオ 2 を実装す る NAT ゲートウェイの代わりに NAT インスタンスを使用してシナリオ 2 を実装できます。NAT インス タンスの詳細については、「NAT インスタンス (p. 221)」を参照してください。 上記と同じ手順に従うことができます。ただし、VPC ウィザードの NAT セクションでは、[代わりに NAT インスタンスを使用] を選択して NAT インスタンスの詳細を指定します。また、NAT インスタ ンスのセキュリティグループ (NATSG) が必要です。これにより、NAT インスタンスはプライベートサ ブネットのインスタンスからのインターネット向けトラフィックやご利用のネットワークからの SSH トラフィックを受信できるようになります。また、NAT インスタンスは、ネットワークにトラフィッ クを送信することもできます。これにより、プライベートサブネットのインスタンスがソフトウェア 更新を取得できます。 NAT インスタンスを使用して VPC を作成したら、NAT インスタンスに関連付けられているセキュリ ティグループを NATSG セキュリティグループに変更する必要があります (デフォルトでは NAT インス タンスはデフォルトのセキュリティグループを使用して起動されます)。 NATSG: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント 10.0.1.0/24 TCP 80 プライベートサブネットのデータ ベースサーバーからのインバウンド HTTP トラフィックを許可する 10.0.1.0/24 TCP 443 プライベートサブネットのデータ ベースサーバーからのインバウンド HTTPS トラフィックを許可する ネットワークのパブリック IP アドレス範囲 TCP 22 ネットワークから NAT インスタン スへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可する アウトバウンド 46 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンスを使用してシナリオ 2 を実装する 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 インターネットへのアウトバウン ド HTTP アクセス (インターネット ゲートウェイ経由) を許可する 0.0.0.0/0 TCP 443 インターネットへのアウトバウンド HTTPS アクセス (インターネット ゲートウェイ経由) を許可する NATSG セキュリティグループを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [セキュリティグループ] を選択して、[セキュリティグループの作成] を 選択します。 3. セキュリティグループの名前として NATSG を指定し、説明を入力します。[VPC] で、VPC の ID を選択して [作成] を選択します。 4. 作成した NATSG セキュリティグループを選択します。詳細ペインに、セキュリティグループの 詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま す。 5. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 6. a. [タイプ] の [HTTP] を選択します。[送信元] に、プライベートサブネットの IP アドレス範囲 を入力します。 b. [別のルールの追加] を選択し、[タイプ] の [HTTPS] を選択します。[送信元] に、プライベー トサブネットの IP アドレス範囲を入力します。 c. [別のルールの追加] を選択し、[タイプ] の [SSH] を選択します。[送信元] に、ネットワーク のパブリック IP アドレスの範囲を入力します。 d. [保存] を選択します。 [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィック のルールを追加します。 a. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[削除] を 選択します。 b. [タイプ] の [HTTP] を選択します。[送信先] に「0.0.0.0/0」と入力します。 c. [別のルールの追加] を選択し、[タイプ] の [HTTPS] を選択します。[送信先] に 「0.0.0.0/0」と入力します。 d. [保存] を選択します。 VPC ウィザードは、NAT インスタンスを起動したときに、VPC のデフォルトのセキュリティグルー プを使用しました。この NAT インスタンスは、NATSG セキュリティグループに関連付ける必要があ ります。 NAT インスタンスのセキュリティグループを変更するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[Network Interfaces] を選択します。 3. リストから NAT インスタンスのネットワークインターフェイスを選択し、[Actions]、[Change Security Groups] の順に選択します。 4. [Change Security Groups] ダイアログボックスの [Security groups] で、作成した NATSG セキュ リティグループ (「セキュリティ (p. 39)」を参照) を選択し、[Save] を選択します。 47 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3: パブリックおよびプライベートのサブ ネットを持つ VPC とハードウェア VPN アクセス シナリオ 3: パブリックおよびプライベートのサ ブネットを持つ VPC とハードウェア VPN アクセ ス このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud (VPC)、および IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プ ライベートゲートウェイが含まれます。このシナリオは、ネットワークをクラウドに拡張し、さら に、VPC からインターネットに直接アクセスする必要がある場合にお勧めします。このシナリオを 使用すると、スケーラブルなウェブフロントエンドを持つ多階層のアプリケーションをパブリックサ ブネットで実行し、IPsec VPN 接続によりネットワークに接続されているプライベートサブネットに データを保存できます。 ここでは、Amazon VPC コンソールの VPC ウィザードを使って VPC および VPN 接続を作成するこ とを前提としています。 このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用し て、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。サブネット内に起動さ れたインスタンスは、IPv6 アドレスを取得できます。現在、VPN 経由の IPv6 通信はサポートされて いません。ただし、VPC 内のインスタンスは、IPv6 経由で相互通信することができ、パブリックサ ブネット内のインスタンスは IPv6 経由でインターネット通信することが可能です。IPv4 アドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定 (p. 101)」を参照してください。 トピック • 概要 (p. 48) • ルーティング (p. 51) • セキュリティ (p. 53) • シナリオ 3 を実装する (p. 57) 概要 次の図は、このシナリオの設定に重要なコンポーネントを示しています。 48 Amazon Virtual Private Cloud ユーザーガイド 概要 Important このシナリオに関して、VPN 接続のユーザー側で Amazon VPC カスタマーゲートウェイを設 定するためにネットワーク管理者に必要な操作が、Amazon VPC ネットワーク管理者ガイド に説明されています。 このシナリオの設定には、以下の項目が含まれています。 • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプラ イベート IPv4 アドレスを提供します。 • IPv4 CIDR ブロックサイズが /24 (例: 10.0.0.0/24) のパブリックサブネット。256 個のプライベート IPv4 アドレスを提供します。パブリックサブネットは、インターネットゲートウェイへのルートが 含まれているルートテーブルに関連付けられているサブネットです。 • IPv4 CIDR ブロックサイズが /24 (例: 10.0.1.0/24) の VPN 専用サブネット。256 個のプライベート IPv4 アドレスを提供します。 • インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。 • VPC とネットワークの間の VPN 接続。この VPN 接続は、仮想プライベートゲートウェイとカスタ マーゲートウェイで構成され、前者は VPN 接続の Amazon 側、後者はお客様側に配置されていま す。 49 Amazon Virtual Private Cloud ユーザーガイド 概要 • プライベート IPv4 アドレスがサブネットの範囲内 (例: 10.0.0.5 と 10.0.1.5) であるインスタンス。 インスタンスが VPC 内で相互に、かつ他のインスタンスと通信できるようにします。 • Elastic IP アドレス (例: 198.51.100.1) を持つパブリックサブネットのインスタンス。Elastic IP ア ドレスは、インターネットからインスタンスにアクセスできるようにするパブリック IPv4 アドレ スです。インスタンスには、起動時に Elastic IP アドレスではなくパブリック IPv4 アドレスを割 り当てることができます。VPN のみのサブネットのインスタンスは、インターネットからの受信 トラフィックを受け取る必要がないバックエンドサーバーです。ただし、ネットワークからのトラ フィックを送受信できます。 • パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、 サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブ ネットのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。 • VPN のみのサブネットに関連付けられているメインルートテーブル。ルートテーブルには、サブ ネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネッ トのインスタンスがネットワークと直接通信できるようにするエントリが含まれます。 サブネットの詳細については、「VPC とサブネット (p. 83)」および「VPC の IP アドレス指 定 (p. 101)」を参照してください。インターネットゲートウェイの詳細については、「インターネッ トゲートウェイ (p. 200)」を参照してください。VPN 接続の詳細については、「VPC へのハード ウェア仮想プライベートゲートウェイの追加 (p. 259)」を参照してください。カスタマーゲートウェ イの設定の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。 IPv6 の概要 オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定に は、次に示す情報が含まれます。 • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。AWS の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。 • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できま す。IPv6 CIDR のサイズを選択することはできません。 • VPN 専用サブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a01::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できま す。IPv6 CIDR のサイズを選択することはできません。 • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。 • カスタムエントリテーブル内のルートテーブルエントリ。パブリックサブネットのインスタンスが IPv6 を使用して相互通信したり、インターネット経由で直接通信したりできるようにします。 • メインルートテーブルのルートテーブル エントリ。VPN のみのサブネットのインスタンスが、IPv6 を使用して相互に通信できるようにします。 50 Amazon Virtual Private Cloud ユーザーガイド ルーティング ルーティング VPC には暗示的なルーターがあります (このシナリオの設定図を参照)。このシナリオでは、VPC ウィ ザードによって、VPN のみのサブネットで使用されるメインルートテーブルを更新し、カスタムルー トテーブルを作成してパブリックサブネットに関連付けます。 VPN のみのサブネットのインスタンスはインターネットに直接接続することはできません。インター ネット宛てのトラフィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに 向かいます。そこでは、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタ ンスが AWS 宛てのトラフィック (Amazon S3 または Amazon EC2 API へのリクエストなど) を送信 する場合、リクエストは仮想プライベートゲートウェイを介してネットワークに向かい、AWS に到達 51 Amazon Virtual Private Cloud ユーザーガイド ルーティング する前にインターネットに達する必要があります。現在、IPv6 を使用して VPN 接続を行うことはで きません。 Tip ネットワークからのトラフィックで、パブリックサブネットのインスタンスの Elastic IP アド レスに向かうものはすべて、仮想プライベートゲートウェイではなく、インターネットを経 由します。代わりに、ネットワークからのトラフィックでパブリックサブネットに向かうも のが仮想プライベートゲートウェイを経由できるように、ルートとセキュリティグループの ルールを設定することができます。 VPN 接続は、静的にルーティングされた VPN 接続または動的にルーティングされた VPN 接続 (BGP を使用) のいずれかとして設定されます。静的なルーティングを選択すると、VPN 接続を作成すると きに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティング を選択すると、IP プレフィックスは、BGP を使用して VPC の仮想プライベートゲートウェイに自動 的にアドバタイズされます。 以下の表は、このシナリオのルートテーブルを示しています。 メインルートテーブル 最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによっ て、VPC 内のインスタンスが IPv4 を使用して相互に通信できるようになります。2 番目のエントリ は、仮想プライベートゲートウェイ (例: vgw-1a2b3c4d) を介してプライベートサブネットからご利 用のネットワークに他のすべての IPv4 サブネットトラフィックをルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 vgw-id カスタムルートテーブル 最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによっ て、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、インターネッ トゲートウェイ (例: igw-1a2b3c4d) を介してパブリックサブネットからインターネットに他のすべ ての IPv4 サブネットトラフィックをルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-id 代替ルーティング プライベートサブネットのインスタンスからインターネットにアクセスする場合、パブリックサブ ネットでネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを作成し、サブネットの インターネット宛てのトラフィックが NAT デバイスに向かうようにルーティングを設定することもで きます。これにより、VPN のみのサブネットのインスタンスから、インターネットゲートウェイ経由 でリクエストを送信できるようになります (例: ソフトウェアをアップデートする場合)。 NAT デバイスの手動設定の詳細については、「NAT (p. 210)」を参照してください。VPC ウィザー ドを使用した NAT デバイスの設定については、「シナリオ 2: パブリックサブネットとプライベート サブネットを持つ VPC (NAT) (p. 34)」を参照してください。 52 Amazon Virtual Private Cloud ユーザーガイド セキュリティ プライベートサブネットのインターネット宛てのトラフィックが NAT デバイスにアクセスできるよう にするには、メインルートテーブルを次のように更新する必要があります。 メインルートテーブル 最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。2 行目のエントリは、 カスタマーネットワーク (この場合、ローカルネットワークの IP アドレスは 172.16.0.0/12 としま す) 向けのサブネットトラフィックを仮想プライベートゲートウェイにルーティングします。3 番目の エントリは、他のすべてのサブネットトラフィックを NAT ゲートウェイに送信します。 送信先 ターゲット 10.0.0.0/16 ローカル 172.16.0.0/12 vgw-id 0.0.0.0/0 nat-gateway-id IPv6 のルーティング IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルート をルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのルー トテーブルを次の表に示します。 メインルートテーブル 2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルト ルートです。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 vgw-id カスタムルートテーブル 2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルト ルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックをインターネットゲー トウェイにルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 igw-id ::/0 igw-id セキュリティ AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ リティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウ トバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドト 53 Amazon Virtual Private Cloud ユーザーガイド セキュリティ ラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用 が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用する こともできます。詳細については、「セキュリティ (p. 119)」を参照してください。 シナリオ 3 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネット ワーク ACL を使用する場合は、「シナリオ 3 に推奨されるルール (p. 154)」を参照してください。 VPC には、デフォルトのセキュリティグループ (p. 122)が用意されています。VPC 内に起動される インスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティグ ループに自動的に関連付けられます。このシナリオでは、デフォルトのセキュリティグループを使用 するのではなく、以下のセキュリティグループを作成することをお勧めします。 • WebServerSG: パブリックサブネットでウェブサーバーを起動するときに、このセキュリティグ ループを指定します。 • DBServerSG: VPN のみのサブネットでデータベースサーバーを起動するときに、このセキュリ ティグループを指定します。 セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリ オでは、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタ ンスが特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュ リティグループに割り当てられたインスタンスはすべて、同じサブネットに属しています。 次の表では、WebServerSG セキュリティグループの推奨ルールについて説明します。このルールに より、ウェブサーバーがインターネットトラフィックを受信したり、ご利用のネットワークから SSH や RDP トラフィックを受信したりできます。また、ウェブサーバーは VPN のみのサブネットで、 データベースサーバーへのリクエストの読み取り/書き込みを開始し、インターネットにトラフィック を送信できます (たとえば、ソフトウェアの更新プログラムを取得するなど)。ウェブサーバーがその 他のアウトバウンド通信を開始しないため、デフォルトのアウトバウンドルールは削除されます。 Note グループには SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセス と MySQL アクセスの両方が含まれます。この場合は、Linux (SSH および MySQL) または Windows (RDP および Microsoft SQL Server) に対するルールのみで十分かもしれません。 WebServerSG: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 0.0.0.0/0 TCP 443 任意の IPv4 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 ネットワークのパブリック IP アドレス範囲 TCP 22 ネットワークから Linux インスタン スへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可する。 ネットワークのパブリック IP アドレス範囲 TCP 3389 ネットワークから Windows インス タンスへのインバウンド RDP アク セス (インターネットゲートウェイ 経由) を許可する。 54 Amazon Virtual Private Cloud ユーザーガイド セキュリティ アウトバウンド DBServerSG セキュリティグ ループの ID TCP 1433 DBServerSG に割り当てられたデー タベースサーバーへのアウトバウン ド Microsoft SQL Server アクセスを 許可する。 DBServerSG セキュリティグ ループの ID TCP 3306 DBServerSG に割り当てられたデー タベースサーバーへのアウトバウン ド MySQL アクセスを許可する。 0.0.0.0/0 TCP 80 インターネットへのアウトバウンド HTTP アクセスを許可する。 0.0.0.0/0 TCP 443 インターネットへのアウトバウンド HTTPS アクセスを許可する。 次の表では、DBServerSG セキュリティグループの推奨ルールについて説明します。このルールに より、ウェブサーバーからの Microsoft SQL Server と MySQL の読み取りおよび書き込みリクエスト と、ご利用のネットワークからの SSH および RDP トラフィックが許可されます。また、データベー スサーバーは、インターネットへのトラフィックを開始することもできます (ルートテーブルは、その トラフィックを仮想プライベートゲートウェイを介して送信します)。 DBServerSG: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント WebServerSG セキュリティグ ループの ID TCP 1433 WebServerSG セキュリティグルー プに関連付けられたウェブサーバー からのインバウンド Microsoft SQL Server アクセスを許可する。 WebServerSG セキュリティグ ループの ID TCP 3306 WebServerSG セキュリティグルー プに関連付けられたウェブサーバー からのインバウンド MySQL Server アクセスを許可する。 ネットワークの IPv4 アドレス 範囲 TCP 22 ネットワークから Linux インスタ ンスへのインバウンド SSH トラ フィック (仮想プライベートゲート ウェイ経由) を許可する。 ネットワークの IPv4 アドレス 範囲 TCP 3389 ネットワークから Windows インス タンスへのインバウンド RDP トラ フィック (仮想プライベートゲート ウェイ経由) を許可する。 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 仮想プライベートゲートウェイを介 したインターネットへのアウトバ ウンド IPv4 HTTP アクセス (例: ソ フトウェアアップデート) を許可す る。 アウトバウンド 55 Amazon Virtual Private Cloud ユーザーガイド セキュリティ 0.0.0.0/0 TCP 443 仮想プライベートゲートウェイを介 したインターネットへのアウトバウ ンド IPv4 HTTPS アクセス (例: ソ フトウェアアップデート) を許可す る。 (オプション) VPC のデフォルトのセキュリティグループには、割り当てられたインスタンス間で相 互に通信することを自動的に許可するルールがあります。そのような通信をカスタムセキュリティグ ループに許可するには、以下のルールを追加する必要があります。 インバウンド 送信元 プロトコル ポート範囲 コメント セキュリティグループの ID すべて すべて このセキュリティグループに割り当 てられた他のインスタンスからのイ ンバウンドトラフィックを許可す る。 送信先 プロトコル ポート範囲 コメント セキュリティグループの ID すべて すべて このセキュリティグループに割り当 てられた他のインスタンスへのアウ トバウンドトラフィックを許可す る。 アウトバウンド IPv6 のセキュリティ IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールを WebServerSG およ び DBServerSG セキュリティグループに追加して、インバウンドおよびアウトバウンドの IPv6 トラ フィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべてのイ ンターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP ト ラフィックを受信したりできます。また、インターネットへのアウトバウンド IPv6 トラフィックを開 始することもできます。データベースサーバーは、アウトバウンド IPv6 トラフィックを開始すること はできません。したがって、セキュリティグループルールを追加する必要はありません。 WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。 インバウンド 送信元 プロトコル ポート範囲 コメント ::/0 TCP 80 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTP ア クセスを許可する。 ::/0 TCP 443 任意の IPv6 アドレスからウェブ サーバーへのインバウンド HTTPS アクセスを許可する。 ネットワークの IPv6 アドレス 範囲 TCP 22 (Linux インスタンス) ネットワー クからの IPv6 経由のインバウンド SSH アクセスを許可する。 56 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 を実装する ネットワークの IPv6 アドレス 範囲 TCP 3389 (Windows インスタンス) ネットワー クからの IPv6 経由のインバウンド RDP アクセスを許可する。 送信先 プロトコル ポート範囲 コメント ::/0 TCP HTTP 任意の IPv6 アドレスへのアウトバ ウンド HTTP アクセスを許可します ::/0 TCP HTTPS 任意の IPv6 アドレスへのアウトバ ウンド HTTPS アクセスを許可しま す アウトバウンド シナリオ 3 を実装する シナリオ 3 を実装するには、カスタマーゲートウェイに関する情報を取得し、VPC ウィザードを使用 して VPC を作成します。VPC ウィザードでは、カスタマーゲートウェイと仮想プライベートゲート ウェイを使用して VPN 接続を作成します。 この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内 で IPv6 を使用する場合は、上記のステップを実行する必要はありません。 カスタマーゲートウェイを準備するには 1. カスタマーゲートウェイとして使用するデバイスを決めます。テストしたデバイスの詳細につい ては、Amazon Virtual Private Cloud のよくある質問を参照してください。カスタマーゲートウェ イの要件の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。 2. カスタマーゲートウェイの外部インターフェイスのインターネットルーティングが可能な IP アド レスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変 換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。 3. 静的にルーティングされた VPN 接続を作成する場合は、VPN 接続を介して仮想プライベート ゲートウェイにアドバタイズする内部 IP 範囲のリストを (CIDR 表記で) 取得します。詳細につい ては、「VPN のルーティングオプション (p. 261)」を参照してください。 VPC ウィザードを使用して VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ダッシュボードで、[VPC ウィザードの起動] を選択します。 3. 3 つ目のオプション [VPC with Public and Private Subnets and Hardware VPN Access] を選択 し、[Select] を選択します。 4. [VPC name]、[Public subnet name]、[Private subnet name] で、VPC とサブネットに名前を付け ると、後でコンソールで見つけやすくなります。VPC とサブネットに独自の IPv4 CIDR ブロック を指定するか、デフォルト値を使用できます。 5. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Amazon-provided IPv6 CIDR block] を選択しま す。[Public subnet's IPv6 CIDR] で、[Specify a custom IPv6 CIDR] を選択し、16 進法でサブネッ トのキーペア値を選択するか、デフォルト値のままにします。[Private subnet's IPv6 CIDR] で、 [Specify a custom IPv6 CIDR] を選択します。16 進法で IPv6 サブネットのキーペア値を選択する か、デフォルト値のままにします。 6. [Next] を選択します。 7. [Configure your VPN] ページで、次の操作を行ってから、[Create VPC] を選択します。 • [Customer Gateway IP] で、VPN ルーターのパブリック IP アドレスを指定します。 57 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 を実装する • オプションで、カスタマーゲートウェイの名前と VPN 接続の名前を指定できます。 • [Routing Type] で、次のように、ルーティングオプションのいずれかを選択します。 • VPN ルーターでボーダーゲートウェイプロトコル (BGP) がサポートされている場合は、 [Dynamic (requires BGP)] を選択します。 • VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[IP Prefix] で、 ネットワークの各 IP 範囲を CIDR 表記で追加します。 詳細については、「VPN のルーティングオプション (p. 261)」を参照してください。 8. ウィザードが完了したら、ナビゲーションペインの [VPN Connections] を選択します。ウィザー ドで作成した VPN 接続を選択し、[Download Configuration] を選択します。ダイアログボックス で、カスタマーゲートウェイ、プラットフォーム、およびソフトウェアバージョンのベンダーを 選択し、[Yes, Download] を選択します。 9. VPN 設定が含まれるテキストファイルを保存し、「Amazon VPC ネットワーク管理者ガイド」と 一緒にネットワーク管理者に提供します。VPN は、ネットワーク管理者がカスタマーゲートウェ イを設定するまで動作しません。 WebServerSG セキュリティグループと DBServerSG セキュリティグループを作成します。これらの セキュリティグループは、相互に参照するようになるので、作成した後でルールを追加する必要があ ります。 WebServerSG および DBServerSG セキュリティグループを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. [Create Security Group] を選択します。 4. [Create Security Group] ダイアログボックスで、セキュリティグループ名として WebServerSG を指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択しま す。 5. [セキュリティグループの作成] を再度選択します。 6. [Create Security Group] ダイアログボックスで、セキュリティグループ名として DBServerSG を 指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。 ルールを WebServerSG セキュリティグループに追加するには 1. 作成した WebServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグ ループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示 されます。 2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 a. [Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。 b. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択し、[Source] フィールドに 「0.0.0.0/0」と入力します。 c. [Add another rule] を選択し、[Type] リストから [SSH] を選択します。[Source] フィールド に、ネットワークのパブリック IP アドレスの範囲を入力します。 d. [Add another rule] を選択し、[Type] リストから [RDP] を選択します。[Source] フィールド に、ネットワークのパブリック IP アドレスの範囲を入力します。 e. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTP] を選択します。[送信元] に 「::/0」と入力します。 f. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTPS] を選択します。[送信元] に 「::/0」と入力します。 58 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 を実装する 3. g. (オプション、IPv6 のみ) [Add another rule]、[Type]、[SSH] (Linux の場合) または [RDP] (Windows の場合) を選択します。[送信元] で、ネットワークの IPv6 アドレスの範囲を入力 します。 h. [保存] を選択します。 [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィック のルールを追加します。 a. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove] を選択します。 b. [Type] リストから [MS SQL] を選択します。[Destination] フィールドで、DBServerSG セ キュリティグループの ID を指定します。 c. [Add another rule] を選択し、[Type] リストから [MySQL] を選択します。[Destination] フィー ルドで、DBServerSG セキュリティグループの ID を指定します。 d. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Destination] フィー ルドに「0.0.0.0/0」と入力します。 e. [Add another rule] を選択し、[Type] リストから [HTTP] を選択します。[Destination] フィー ルドに「0.0.0.0/0」と入力します。 f. [Save] を選択します。 推奨ルールを DBServerSG セキュリティグループに追加するには 1. 作成した DBServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示され ます。 2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 3. a. [Type] リストから [SSH] を選択し、[Source] フィールドにネットワークの IP アドレス範囲 を入力します。 b. [Add another rule] を選択して、[Type] リストから [RDP] を選択し、[Source] フィールドに ネットワークの IP アドレス範囲を入力します。 c. [Add another rule] を選択し、[Type] リストから [MS SQL] を選択します。[Source] フィール ドに、WebServerSG セキュリティグループの ID を指定します。 d. [Add another rule] を選択し、[Type] リストから [MYSQL] を選択します。[Source] フィール ドに、WebServerSG セキュリティグループの ID を指定します。 e. [Save] を選択します。 [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィック のルールを追加します。 a. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove] を選択します。 b. [Type] リストから [HTTP] を選択します。[Destination] フィールドに「0.0.0.0/0」と入力 します。 c. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Destination] フィー ルドに「0.0.0.0/0」と入力します。 d. [Save] を選択します。 ネットワーク管理者がカスタマーゲートウェイを設定したら、VPC 内にインスタンスを起動できま す。 インスタンスを起動するには (ウェブサーバーまたはデータベースサーバー) 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 59 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 を実装する 2. ダッシュボードで、[Launch Instance] を選択します。 3. ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、 [Next: Configure Instance Details] を選択します。 Note インスタンスを使用して IPv6 通信するには、サポートされているインスタンスタイプを 選択する必要があります (例: T2)。詳細については、「Amazon EC2 インスタンスタイ プ」を参照してください。 4. [Configure Instance Details] ページで、[Network] リストから前に作成した VPC を選択し、サブ ネットを選択します。例えば、パブリックサブネット内にウェブサーバーを起動し、プライベー トサブネット内にデータベースサーバーを起動します。 5. (オプション) デフォルトでは、デフォルト以外の VPC に起動するインスタンスには、パブリック IPv4 アドレスは割り当てられません。パブリックサブネットでインスタンスへの接続を可能にす るには、ここでパブリック IPv4 アドレスを割り当てることも、Elastic IP アドレスを割り当て、 インスタンスの起動後にそれをインスタンスに割り当てることもできます。ここでパブリック IP を割り当てるためには、[Assign Public IP] リストから [Enable] を選択したことを確認します。プ ライベートサブネットのインスタンスにパブリック IP アドレスを割り当てる必要はありません。 Note 6. パブリック IP アドレスの自動割り当て機能は、デバイスインデックスが eth0 になって いる単一の新しいネットワークインターフェイスでのみ使用できます。詳細について は、「インスタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」を参照し てください。 (オプション、IPv6 のみ) サブネットの範囲からインスタンスに IPv6 アドレスを自動的に割り当 てることができます。[Auto-assign IPv6 IP] で、[Enable] を選択します。 7. ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[セ キュリティグループの設定] ページで、[既存のセキュリティグループを選択する] オプション を選択し、前に作成したセキュリティグループの 1 つ (ウェブサーバーインスタンスの場合は [WebServerSG]、データベースサーバーインスタンスの場合は [DBServerSG]) を選択します。[確 認と作成] を選択します。 8. 選択した設定を確認します。必要な変更を行い、[作成] を選択し、キーペアを選択してインスタ ンスを起動します。 VPN のみのサブネットで実行されているインスタンスについては、ネットワークから Ping を実 行して接続をテストします。詳細については、「インスタンスのエンドツーエンド接続のテス ト (p. 267)」を参照してください。 ステップ 5 のパブリックサブネットでパブリック IPv4 アドレスをインスタンスに割り当てていない 場合、インスタンスへ接続することはできません。パブリックサブネットのインスタンスにアクセス するには、そのインスタンスに Elastic IP アドレスを割り当てておく必要があります。 コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. 4. ナビゲーションペインで [Elastic IP] を選択します。 [新しいアドレスの割り当て] を選択します。 [はい、割り当てる] を選択します。 Note 5. アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate Address] を選択しま す。 60 Amazon Virtual Private Cloud ユーザーガイド シナリオ 4: プライベートサブネットのみ を持つ VPC とハードウェア VPN アクセス 6. [Associate Address] ダイアログボックスで、ネットワークインターフェイスまたはインスタンス を選択します。対応する [Private IP address] リストから Elastic IP アドレスを関連付けるアドレ スを選択して、[Yes, Associate] を選択します。 シナリオ 3 では、パブリックサブネットがインターネットのサーバーと通信できるようにする DNS サーバーが必要です。また、VPN のみのサブネットがネットワーク内のサーバーと通信できるように する DNS サーバーも別に必要です。 VPC には、domain-name-servers=AmazonProvidedDNS を持つ DHCP オプションセットが自動的に 用意されます。これは Amazon によって提供される DNS サーバーで、VPC の任意のパブリックサ ブネットがインターネットゲートウェイを介してインターネットと通信できるようにします。また、 ご自身の DNS サーバーを提供し、VPC が使用する DNS サーバーのリストに追加する必要がありま す。オプションセットは変更できないので、ご自身の DNS サーバーと Amazon DNS サーバーの両 方が含まれる DHCP オプションセットを作成し、この新しい DHCP オプションセットをするように VPC を更新する必要があります。 DHCP オプションを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [DHCP Options Sets] を選択します。 3. [Create DHCP options set] を選択します。 4. [Create DHCP Options Set] ダイアログボックスの [Domain name servers] ボックスで、Amazon DNS サーバー (&amazondns;) のアドレスとご自身の DNS サーバーのアドレス 192.0.2.1 を カンマで区切って指定し、[Yes, Create] を選択します。 5. 画面左枠のナビゲーションペインで、[VPC] を選択します。 6. VPC を選択して、[Actions]、[Edit DHCP Options Set] の順に選択します。 7. [DHCP options set] リストから新しいオプションセットの ID を選択し、[Save] を選択します。 8. (オプション) これで VPC が新しい DHCP オプションセットを使用するようになったので、両方 の DNS サーバーにアクセスできます。VPC が使用している元のオプションセットは、必要に応 じて削除できます。 これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法に ついては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Windows インスタンス の Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。 シナリオ 4: プライベートサブネットのみを持つ VPC とハードウェア VPN アクセス このシナリオの設定には、1 つのプライベートサブネットを持つ Virtual Private Cloud (VPC)、およ び IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライベートゲート ウェイが含まれます。インターネット経由の通信を有効にするインターネットゲートウェイはありま せん。このシナリオは、ネットワークをインターネットに公開せずに、Amazon のインフラストラク チャを使用してネットワークをクラウドに拡張する場合にお勧めします。 ここでは、Amazon VPC コンソールの VPC ウィザードを使って VPC および VPN 接続を作成するこ とを前提としています。 このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用し て、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。サブネット内に起動 されたインスタンスは、IPv6 アドレスを取得できます。現在、VPN 経由の IPv6 通信はサポートされ ていません。ただし、VPC 内のインスタンスは、IPv6 経由で相互通信することができます。IPv4 ア 61 Amazon Virtual Private Cloud ユーザーガイド 概要 ドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定 (p. 101)」を参照してくださ い。 トピック • 概要 (p. 62) • ルーティング (p. 64) • セキュリティ (p. 64) • シナリオ 4 を実装する (p. 65) 概要 次の図は、このシナリオの設定に重要なコンポーネントを示しています。 Important 「Amazon VPC ネットワーク管理者ガイド」では、このシナリオに関して、ネットワーク管 理者が、お客様の VPN 接続で Amazon VPC カスタマーゲートウェイを設定する際に行う必 要があることを説明しています。 このシナリオの設定には、以下の項目が含まれています。 • CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプライ ベート IP アドレスを提供します。 • CIDR ブロックサイズが /24 (例: 10.0.0.0/24) の VPN のみのサブネット。256 個のプライベート IP アドレスを提供します。 62 Amazon Virtual Private Cloud ユーザーガイド 概要 • VPC とネットワークの間の VPN 接続。この VPN 接続は、仮想プライベートゲートウェイとカスタ マーゲートウェイで構成され、前者は VPN 接続の Amazon 側、後者はお客様側に配置されていま す。 • サブネット範囲のプライベート IP アドレス (例: 10.0.0.5、10.0.0.6、および 10.0.0.7) を持つインス タンス。そのインスタンスが VPC 内で相互に、および他のインスタンスと通信できるようにしま す。 • サブネットに関連付けられているカスタムルートテーブル。ルートテーブルには、サブネットのイ ンスタンスが VPC 内の他のインスタンスと通信できるようにするルートと、サブネットのインスタ ンスがネットワークと直接通信できるようにするルートが含まれています。 サブネットの詳細については、「VPC とサブネット (p. 83)」および「VPC の IP アドレス指 定 (p. 101)」を参照してください。VPN 接続の詳細については、「VPC へのハードウェア仮想プラ イベートゲートウェイの追加 (p. 259)」を参照してください。カスタマーゲートウェイの設定の詳細 については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。 IPv6 の概要 オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定に は、次に示す情報が含まれます。 • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。AWS の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。 • VPN 専用サブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できま す。IPv6 CIDR のサイズを選択することはできません。 • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。 • カスタムルートテーブル内のルートテーブルエントリは、プライベートサブネットのインスタンス が IPv6 を使用して相互通信できるようにします。 63 Amazon Virtual Private Cloud ユーザーガイド ルーティング ルーティング VPC には暗示的なルーターがあります (このシナリオの設定図を参照)。このシナリオでは、VPC ウィ ザードによって、送信先が VPC 外のアドレスであるトラフィックすべてを VPN 接続にルーティング するルートテーブルを作成し、それをサブネットに関連付けます。 このシナリオのルートテーブルは次のとおりです。最初のエントリは、VPC のローカルルーティング のデフォルトエントリです。このエントリによって、この VPC 内のインスタンスが相互に通信でき るようになります。2 番目のエントリは、他のすべてのサブネットトラフィックを仮想プライベート ゲートウェイ (例: vgw-1a2b3c4d) にルーティングします。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 vgw-id VPN 接続は、静的にルーティングされた VPN 接続または動的にルーティングされた VPN 接続 (BGP を使用) のいずれかとして設定されます。静的なルーティングを選択すると、VPN 接続を作成すると きに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティング を選択すると、IP プレフィックスは、BGP を使用して VPC に自動的にアドバタイズされます。 VPN のインスタンスはインターネットに直接接続することはできません。インターネットあてのトラ フィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向かいます。そこ では、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンスが AWS 宛て のトラフィック (Amazon S3 または Amazon EC2 へのリクエストなど) を送信する場合、リクエスト は仮想プライベートゲートウェイを介してネットワークに向かい、AWS に到達する前にインターネッ トに達する必要があります。現在、IPv6 を使用して VPN 接続を行うことはできません。 IPv6 のルーティング IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、ルートテーブルに IPv6 トラ フィックの別のルートを含めます。このシナリオのカスタムルートテーブルは次のとおりです。2 番 目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルー トです。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 0.0.0.0/0 vgw-id セキュリティ AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ リティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウ トバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドト ラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用 が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用する こともできます。詳細については、「セキュリティ (p. 119)」を参照してください。 シナリオ 4 では、VPC に対してデフォルトのセキュリティグループを使用し、ネットワーク ACL は 使用しません。ネットワーク ACL を使用する場合は、「シナリオ 4 に推奨されるルール (p. 161)」 を参照してください。 64 Amazon Virtual Private Cloud ユーザーガイド シナリオ 4 を実装する VPC に用意されているデフォルトのセキュリティグループの初期設定では、すべてのインバウンドト ラフィックが拒否され、すべてのアウトバウンドトラフィックと、セキュリティグループに割り当て られているインスタンス間のすべてのトラフィックが許可されます。このシナリオでは、デフォルト のセキュリティグループにインバウンドルールを追加して、ネットワークからの SSH トラフィック (Linux) とリモートデスクトップトラフィック (Windows) を許可するためことをお勧めします。 Important デフォルトのセキュリティグループでは、割り当てられたインスタンスが相互に通信するよ うに自動的に許可されます。したがって、これを許可するためのルールを追加する必要はあ りません。異なるセキュリティグループを使用する場合は、これを許可するためのルールを 追加する必要があります。 次の表では、VPC のデフォルトのセキュリティグループに追加する必要があるインバウンドルールに ついて説明します。 デフォルトのセキュリティグループ: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント ネットワークのプライベート IPv4 アドレスの範囲 TCP 22 (Linux インスタンス) ネットワー クからのインバウンド SSH トラ フィックを許可する。 ネットワークのプライベート IPv4 アドレスの範囲 TCP 3389 (Windows インスタンス) ネットワー クからのインバウンド RDP トラ フィックを許可する。 IPv6 のセキュリティ IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールをセキュリティグルー プに追加して、インバウンドおよびアウトバウンドの IPv6 トラフィックを制御する必要があります。 このシナリオでは、データベースサーバーは、IPv6 を使用した VPN 接続で到達できません。した がって、セキュリティグループのルールを追加する必要はありません。 シナリオ 4 を実装する シナリオ 4 を実装するには、カスタマーゲートウェイに関する情報を取得し、VPC ウィザードを使用 して VPC を作成します。VPC ウィザードで作成した VPN 接続には、カスタマーゲートウェイと仮想 プライベートゲートウェイが設定されています。 カスタマーゲートウェイを準備するには 1. カスタマーゲートウェイとして使用するデバイスを決めます。テストしたデバイスのリストにつ いては、Amazon Virtual Private Cloud のよくある質問を参照してください。カスタマーゲート ウェイの要件の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してくださ い。 2. カスタマーゲートウェイの外部インターフェイスのインターネットルーティングが可能な IP アド レスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変 換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。 3. 静的にルーティングされた VPN 接続を作成する場合は、VPN 接続を介して仮想プライベート ゲートウェイにアドバタイズする内部 IP 範囲のリストを (CIDR 表記で) 取得します。詳細につい ては、「VPN のルーティングオプション (p. 261)」を参照してください。 65 Amazon Virtual Private Cloud ユーザーガイド シナリオ 4 を実装する VPC ウィザードを使用して VPC と VPN 接続を作成します。 VPC ウィザードを使用して VPC を作成するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ダッシュボードで、[VPC ウィザードの起動] を選択します。 3. 4 つ目のオプションの [VPC with a Private Subnet Only and Hardware VPN Access] を選択して、 [Select] を選択します。 ウィザードの最初のページで、VPC とプライベートサブネットの詳細を確認します。VPC とサ ブネットに名前を付けると、後にコンソールで見つけやすくなります。 4. 5. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Amazon-provided IPv6 CIDR block] を選択しま す。[Private subnet's IPv6 CIDR] で、[Specify a custom IPv6 CIDR] を選択します。16 進法で IPv6 サブネットのキーペア値を選択するか、デフォルト値 (00) のままにします。 6. 7. [Next] を選択します。 [Configure your VPN] ページで、次の操作を行ってから、[Create VPC] を選択します。 • [Customer Gateway IP] で、VPN ルーターのパブリック IP アドレスを指定します。 • オプションで、カスタマーゲートウェイの名前と VPN 接続の名前を指定できます。 • [Routing Type] で、次のように、ルーティングオプションのいずれかを選択します。 • VPN ルーターでボーダーゲートウェイプロトコル (BGP) がサポートされている場合は、 [Dynamic (requires BGP)] を選択します。 • VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[IP Prefix] で、 ネットワークの各 IP 範囲を CIDR 表記で追加します。 8. 9. 詳細については、「VPN のルーティングオプション (p. 261)」を参照してください。 ウィザードが完了したら、ナビゲーションペインの [VPN Connections] を選択します。ウィザー ドで作成した VPN 接続を選択し、[Download Configuration] を選択します。ダイアログボックス で、カスタマーゲートウェイ、プラットフォーム、およびソフトウェアバージョンのベンダーを 選択し、[Yes, Download] を選択します。 VPN 設定が含まれるテキストファイルを保存し、「Amazon VPC ネットワーク管理者ガイド」と 一緒にネットワーク管理者に提供します。VPN は、ネットワーク管理者がカスタマーゲートウェ イを設定するまで動作しません。 このシナリオでは、ネットワークからの SSH およびリモートデスクトップ (RDP) アクセスを許可す る新しいインバウンドルールで、デフォルトのセキュリティグループを更新する必要があります。イ ンスタンスからアウトバウンド通信を開始しない場合は、デフォルトのアウトバウンドルールを削除 することもできます。 デフォルトのセキュリティグループのルールを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Security Groups] を選択し、VPC のデフォルトのセキュリティグループ を選択します。詳細ペインに、セキュリティグループの詳細と、インバウンドルールおよびアウ トバウンドルールを操作するためのタブが表示されます。 [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックの ルールを追加します。 3. a. b. c. 4. [Type] リストから [SSH] を選択し、[Source] フィールドにネットワークのプライベート IP アドレスの範囲 (例: 172.0.0.0/8) を入力します。 [Add another rule] を選択して、[Type] リストから [RDP] 型を選択し、[Source] フィールドに ネットワークのプライベート IP アドレスの範囲を入力します。 [Save] を選択します。 (オプション) [Outbound Rules] タブで [Edit] を選択します。すべてのアウトバウンドトラフィッ クを有効にするデフォルトルールを検索して、[Remove] を選択し、次に [Save] を選択します。 66 Amazon Virtual Private Cloud ユーザーガイド シナリオ 4 を実装する ネットワーク管理者がカスタマーゲートウェイを設定したら、VPC 内にインスタンスを起動できま す。VPC 外でのインスタンスの起動について既によくわかっている場合は、VPC 内へのインスタン スの起動に関して必要な情報は大体把握できています。 インスタンスを起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ダッシュボードで、[Launch Instance] を選択します。 3. ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、 [Next: Configure Instance Details] を選択します。 Note インスタンスを使用して IPv6 通信するには、サポートされているインスタンスタイプを 選択する必要があります (例: T2)。詳細については、「Amazon EC2 インスタンスタイ プ」を参照してください。 4. [Configure Instance Details] ページで、[Network] リストから前に作成した VPC を選択し、サブ ネットを選択します。[次の手順: ストレージの追加] を選択します。 5. ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。 [Configure Security Group] ページで、[Select an existing security group] オプションを選択し、デ フォルトのセキュリティグループを選択します。[Review and Launch] を選択します。 6. 選択した設定を確認します。必要な変更を行い、[Launch] を選択し、キーペアを選択してインス タンスを起動します。 シナリオ 4 では、VPN のみのサブネットがネットワークのサーバーと通信できるようにする DNS サーバーが必要です。ご自身の DNS サーバーが含まれる DHCP オプションセットを新しく作成し、 そのオプションセットを使用するように VPC を設定する必要があります。 Note VPC には、domain-name-servers=AmazonProvidedDNS を持つ DHCP オプションセットが 自動的に用意されます。これは Amazon によって提供される DNS サーバーで、VPC の任意 のパブリックサブネットがインターネットゲートウェイを介してインターネットと通信でき るようにします。シナリオ 4 では、パブリックサブネットは使用しないので、この DHCP オ プションセットは必要ありません。 DHCP オプションを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [DHCP Options Sets] を選択します。 3. [Create DHCP Options Set] を選択します。 4. [Create DHCP Options Set] ダイアログボックスで、[Domain name servers] ボックスにユーザー の DNS サーバーのアドレスを入力し、[Yes, Create] を選択します。この例ではご自身の DNS サーバーは 192.0.2.1 です。 5. 画面左枠のナビゲーションペインで、[Your VPCs] を選択します。 6. VPC を選択し、[Summary] タブにある [Edit] を選択します。 7. [DHCP options set] リストから新しいオプションセットの ID を選択し、[Save] を選択します。 8. (オプション) これで VPC は新しい DHCP オプションセットを使用するようになりました。した がって VPC では DNS サーバーが使用されます。VPC が使用している元のオプションセットは、 必要に応じて削除できます。 これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」 67 Amazon Virtual Private Cloud ユーザーガイド 例: AWS CLI を使用して IPv4 VPC とサブネットを作成 の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法に ついては、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。 例: AWS CLI を使用して IPv4 VPC とサブネット を作成 次の例では、AWS CLI コマンドを使用して、IPv4 CIDR ブロックを含むデフォルトではない VPC と、VPC 内にパブリックサブネット、プライベートサブネットを作成しています。VPC およびサブ ネットを作成したら、パブリックサブネット内にインスタンスを起動して、接続できるようになり ます。開始するには、最初に AWS CLI をインストールして設定する必要があります。詳細について は、「AWS コマンドラインインターフェイスの設定」を参照してください。 トピック • ステップ 1: VPC とサブネットを作成する (p. 68) • ステップ2: サブネットをパブリックにします。 (p. 69) • ステップ 3: サブネット内にインスタンスを起動する (p. 71) • 手順 4: クリーンアップ (p. 72) ステップ 1: VPC とサブネットを作成する 最初のステップは、VPC、2 つのサブネットを作成することです。この例では、VPC の CIDR ブロッ ク 10.0.0.0/16 を使用しますが、別の CIDR ブロックを選択できます。詳細については、「VPC と サブネットのサイズ設定 (p. 86)」を参照してください。 AWS CLI を使用して VPC およびサブネットを作成するには 1. 10.0.0.0/16 CIDR ブロックを持つ VPC を作成します。 aws ec2 create-vpc --cidr-block 10.0.0.0/16 返される出力で、VPC ID を書き留めておいてください。 { "Vpc": { "VpcId": "vpc-2f09a348", ... } } 2. 前の手順の VPC IDを使用して、10.0.1.0/24 CIDR ブロックを持つサブネットを作成します。 aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 3. VPC で、10.0.0.0/24 CIDR ブロックを持つ 2 番目のサブネットを作成します。 aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 68 Amazon Virtual Private Cloud ユーザーガイド ステップ2: サブネットをパブリックにします。 ステップ2: サブネットをパブリックにします。 VPC およびサブネットを作成した後、VPC にインターネットゲートウェイをアタッチして、カスタ ムルートテーブルを作成し、インターネットゲートウェイへのサブネットのルーティングを構成する と、アブネットをパブリックサブネットにすることができます。 サブネットをパブリックサブネットにするには 1. インターネットゲートウェイを作成する. aws ec2 create-internet-gateway 返される出力で示されたインターネットゲートウェイ ID を書き留めます。 { "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... } } 2. 前のステップの ID を使用して、VPC にインターネットゲートウェイをアタッチします。 aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gatewayid igw-1ff7a07b 3. VPC に対してカスタムルートテーブルを作成します。 aws ec2 create-route-table --vpc-id vpc-2f09a348 返される出力で示されたルートテーブル ID を書き留めます。 { "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... } } 4. インターネットゲートウェイへのすべてのトラフィック (0.0.0.0/0) をポイントするルートテー ブルでルートを作成します。 aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidrblock 0.0.0.0/0 --gateway-id igw-1ff7a07b 5. ルートが作成され有効になっていることを確認するには、ルートテーブルを記述して結果を表示 できます。 aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6 { "RouteTables": [ 69 Amazon Virtual Private Cloud ユーザーガイド ステップ2: サブネットをパブリックにします。 { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ] } 6. ルートテーブルは現在、サブネットには関連付けられていません。サブネットからのトラフィッ クがインターネットゲートウェイにルーティングされるよう、ルートテーブルを VPC のサブネッ トに関連付ける必要があります。最初に、describe-subnets コマンドを使用してサブネット ID を取得します。--filter オプションを使用して新しい VPC のサブネットだけを返し、-query オプションを使用してサブネット ID と CIDR ブロックだけを返します。 aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" -query 'Subnets[*].{ID:SubnetId,CIDR:CidrBlock}' [ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" }, { "CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" } ] 7. カスタムルートテーブルに関連付けるサブネット、例えば subnet-b46032ec を選択できます。 このサブネットはパブリックサブネットになります。 aws ec2 associate-route-table id rtb-c1c8faa6 8. --subnet-id subnet-b46032ec --route-table- サブネット内で起動されたインスタンスがパブリック IP アドレスを自動的に受信できるよう、オ プションで、サブネットの動作に対処しているパブリック IP を変更できます。これを行わない場 合は、インターネットからインスタンスにアクセスできるよう、起動後に Elastic IP アドレスを インスタンスに関連付ける必要があります。 aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-publicip-on-launch 70 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: サブネット内にインスタンスを起動する ステップ 3: サブネット内にインスタンスを起動す る サブネットがパブリックであること、および、サブネット内のインスタンスにインターネット経由で アクセスできることをテストするには、パブリックサブネット内でインスタンスを起動して接続しま す。最初に、インスタンスに関連付けるセキュリティグループと、インスタンスに接続するキーペア を作成する必要があります。セキュリティグループの詳細については、VPC のセキュリティグルー プ (p. 121) を参照してください。キーペアの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 Key Pairs」を参照してください。 パブリックサブネット内のインスタンスを起動して接続するには 1. キーペアを作成して、--query オプションと --output テキストオプションを使用し、.pem 拡 張機能でプライベートキーをファイルに直接パイプします。 aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' -output text > MyKeyPair.pem この例では、Amazon Linux インスタンスを起動します。Linux または Mac OS X オペレーティン グシステムの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンド を使用してプライベートキーファイルの権限を設定すると、お客様以外のユーザーはそれを読み 取ることができないようになります。 chmod 400 MyKeyPair.pem 2. VPC にセキュリティグループを作成し、SSH でどこからでもアクセスできるようにするルール を追加します。 aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348 { "GroupId": "sg-e1fb8c9a" } ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0 Note 0.0.0.0/0 を使用すると、すべての IPv4 アドレスから SSH 経由でインスタンスにアク セスすることが許可されます。これは、この短期間の実習では許容されますが、本稼働 環境では、特定の IP アドレスまたはアドレス範囲のみ許可してください。 3. 作成したセキュリティグループとキーペアを使用して、パブリックサブネット内でインスタンス を起動します。出力内のインスタンスのインスタンス ID をメモしておきます。 aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instancetype t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a -subnet-id subnet-b46032ec 71 Amazon Virtual Private Cloud ユーザーガイド 手順 4: クリーンアップ Note この例では、AMI は 米国東部(バージニア北部) リージョンの Amazon Linux AMI で す。別のリージョンの場合、リージョン内の適した AMI の AMI ID が必要になります。詳 しくは、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux AMI の検索」を参 照してください。 4. インスタンスに接続するには、そのインスタンスが running 状態になっている必要がありま す。インスタンスを記述してその状態を確認し、パブリック IP アドレスを書き留めておきます。 aws ec2 describe-instances --instance-id i-0146854b7443af453 { "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ] } 5. インスタンスが実行状態にあるときは、次のコマンドで、Linux または Mac OS X コンピュータ の SSH クライアントを使用してそのインスタンスに接続できます。 ssh -i "MyKeyPair.pem" [email protected] Windows コンピュータから接続する場合は、次の手順を使用します。PuTTYを使用した Windows から Linux インスタンスへの接続 手順 4: クリーンアップ インスタンスに接続できることを確認したあと、そのインスタンスが不要であれば終了できます。こ れを行うには、terminate-instances を使用します。この例で作成したそのほかのリソースを削除する には、 1. セキュリティグループを削除する: aws ec2 delete-security-group --group-id sg-e1fb8c9a 2. サブネットを削除する: aws ec2 delete-subnet --subnet-id subnet-b46032ec 72 Amazon Virtual Private Cloud ユーザーガイド 例: AWS CLI を使用して IPv6 VPC とサブネットを作成 aws ec2 delete-subnet --subnet-id subnet-a46032fc 3. カスタムルートテーブルを削除する: aws ec2 delete-route-table --route-table-id rtb-c1c8faa6 4. VPC からのインターネットゲートウェイのデタッチ: aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpcid vpc-2f09a348 5. インターネットゲートウェイの削除: aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b 6. VPC の削除: aws ec2 delete-vpc --vpc-id vpc-2f09a348 例: AWS CLI を使用して IPv6 VPC とサブネット を作成 次の例では、AWS CLI コマンドを使用して、IPv6 CIDR ブロックを持つデフォルト以外の VPC 、パ ブリックサブネット、アウトバウンドのインターネットアクセス専用のプライベートサブネットを作 成します。VPC およびサブネットを作成したら、パブリックサブネット内にインスタンスを起動し て、接続できるようになります。プライベートサブネット内のインスタンスを起動し、インターネッ トに接続できることを確認できます。開始するには、最初に AWS CLI をインストールして設定する 必要があります。詳細については、「AWS コマンドラインインターフェイスの設定」を参照してくだ さい。 トピック • ステップ 1: VPC とサブネットを作成する (p. 73) • ステップ 2: パブリックサブネットを設定する (p. 74) • ステップ 3: Egress-Only プライベートサブネットを設定する (p. 77) • ステップ 4: サブネットの IPv6 アドレス動作を変更する (p. 78) • ステップ 5: パブリックサブネット内にインスタンスを起動する (p. 78) • ステップ 6: プライベートサブネット内にインスタンスを起動するには (p. 80) • ステップ 7: クリーンアップ (p. 81) ステップ 1: VPC とサブネットを作成する 最初のステップは、VPC、2 つのサブネットを作成することです。この例では、VPC の IPv4 CIDR ブ ロック 10.0.0.0/16 を使用しますが、別の CIDR ブロックを選択することもできます。詳細につい ては、「VPC とサブネットのサイズ設定 (p. 86)」を参照してください。 AWS CLI を使用して VPC およびサブネットを作成するには 1. IPv6 CIDR ブロック (10.0.0.0/16) を持つ VPC を作成し、CIDR ブロックを VPC と関連付けま す。 73 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: パブリックサブネットを設定する aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidrblock 返される出力で、VPC ID を書き留めておいてください。 { "Vpc": { "VpcId": "vpc-2f09a348", ... } 2. VPC に関連付けられている IPv6 CIDR ブロックを得るために、VPC について説明します。 aws ec2 describe-vpcs --vpc-id vpc-2f09a348 { "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ... } 3. (前述のステップで返された範囲の) 10.0.0.0/24IPv4 CIDR ブロックと 2001:db8:1234:1a00::/64IPv6 CIDR ブロックを持つサブネット作成します 。 aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 -ipv6-cidr-block 2001:db8:1234:1a00::/64 4. 10.0.1.0/24IPv4 CIDR ブロックと 2001:db8:1234:1a01::/64IPv6 CIDR ブロックを持つ VPC に 2 番目のサブネットを作成します。 aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 -ipv6-cidr-block 2001:db8:1234:1a01::/64 ステップ 2: パブリックサブネットを設定する VPC およびサブネットを作成した後、VPC にインターネットゲートウェイをアタッチして、カスタ ムルートテーブルを作成し、インターネットゲートウェイへのサブネットのルーティングを構成する と、アブネットをパブリックサブネットにすることができます。この例では、IPv4 トラフィックと IPv6 トラフィックをすべてインターネットゲートウェイへルーティングするルートテーブルが作成さ れます。 サブネットをパブリックサブネットにするには 1. インターネットゲートウェイを作成する. 74 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: パブリックサブネットを設定する aws ec2 create-internet-gateway 返される出力で示されたインターネットゲートウェイ ID を書き留めます。 { "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... } } 2. 前のステップの ID を使用して、VPC にインターネットゲートウェイをアタッチします。 aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gatewayid igw-1ff7a07b 3. VPC に対してカスタムルートテーブルを作成します。 aws ec2 create-route-table --vpc-id vpc-2f09a348 返される出力で示されたルートテーブル ID を書き留めます。 { "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... } } 4. すべての IPv6 トラフィック (::/0) をインターネットゲートウェイに向けるルートをルートテー ブルに作成します。 aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6cidr-block ::/0 --gateway-id igw-1ff7a07b Note IPv4 トラフィックに対してもパブリックサブネットを使用する場合は、インターネット ゲートウェイを指すトラフィック (0.0.0.0/0) のルートを別途追加する必要がありま す。 5. ルートが作成され有効になっていることを確認するには、ルートテーブルを記述して結果を表示 できます。 aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6 { "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", 75 Amazon Virtual Private Cloud ユーザーガイド ステップ 2: パブリックサブネットを設定する "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ] } 6. ルートテーブルは、現時点でどのサブネットにも関連付けられていません。サブネットからのト ラフィックがインターネットゲートウェイにルーティングされるよう、ルートテーブルを VPC の サブネットに関連付けます。最初に、ID を取得するためのサブネットを記述します。--filter オプションを使用して新しい VPC のサブネットだけを返し、--query オプションを使用してサ ブネット ID と IPv4 および IPv6 CIDR ブロックだけを返します。 aws ec2 describe-subnets --filters "Name=vpcid,Values=vpc-2f09a348" --query 'Subnets[*]. {ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}' [ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64" ], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24" } ] 7. カスタムルートテーブルに関連付けるサブネット、例えば subnet-b46032ec を選択できます。 このサブネットはパブリックサブネットになります。 76 Amazon Virtual Private Cloud ユーザーガイド ステップ 3: Egress-Only プラ イベートサブネットを設定する aws ec2 associate-route-table id rtb-c1c8faa6 --subnet-id subnet-b46032ec --route-table- ステップ 3: Egress-Only プライベートサブネットを 設定する 2 番目のサブネットを VPC に設定すると、IPv6 の Egress-Only プライベートサブネットとして使用 できます。このサブネット内に起動されるインスタンスは、Egress-Only インターネットゲートウェ イを通じて IPv6 経由でインターネットにアクセスできますが (例: ソフトウェアアップデートの取 得)、インターネット上のホストがインスタンスに到達することはできません。 サブネットを Egress-Only プライベートサブネットにするには 1. VPC の Egress-Only インターネットゲートウェイを作成します。返される出力で示されたイン ターネットゲートウェイ ID を書き留めます。 aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348 { "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] } } 2. VPC に対してカスタムルートテーブルを作成します。返される出力で示されたルートテーブル ID を書き留めます。 aws ec2 create-route-table --vpc-id vpc-2f09a348 3. すべての IPv6 トラフィック (::/0) を Egress-Only インターネットゲートウェイに向けるルート をルートテーブルに作成します。 aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a 4. ルートテーブルを VPC 内の 2 番目のサブネット (前のセクションで説明済み) に関連付けます 。 このサブネットは、Egress-Only IPv6 でインターネットアクセスするプライベートサブネットに なります。 aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-tableid rtb-abc123ab 77 Amazon Virtual Private Cloud ユーザーガイド ステップ 4: サブネットの IPv6 アドレス動作を変更する ステップ 4: サブネットの IPv6 アドレス動作を変更 する サブネット内で起動されたインスタンスが IPv6 アドレスを自動的に取得できるように、サブネットの IP アドレス動作を変更できます。サブネットにインスタンスを起動すると、サブネットのアドレス範 囲内からインスタンスのプライマリネットワークインターフェイス (eth0) に IPv6 アドレスが 1 つ割 り当てられます。 aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6address-on-creation aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6address-on-creation ステップ 5: パブリックサブネット内にインスタン スを起動する パブリックサブネットがパブリックであること、および、サブネット内のインスタンスにインター ネットでアクセスできることをテストするには、パブリックサブネット内でインスタンスを起動して 接続します。最初に、インスタンスに関連付けるセキュリティグループと、インスタンスに接続する キーペアを作成する必要があります。セキュリティグループの詳細については、VPC のセキュリティ グループ (p. 121) を参照してください。キーペアの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 Key Pairs」を参照してください。 パブリックサブネット内のインスタンスを起動して接続するには 1. キーペアを作成して、--query オプションと --output テキストオプションを使用し、.pem 拡 張機能でプライベートキーをファイルに直接パイプします。 aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' -output text > MyKeyPair.pem この例では、Amazon Linux インスタンスを起動します。Linux または OS X オペレーティングシ ステムの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使 用してプライベートキーファイルの権限を設定すると、お客様以外のユーザーはそれを読み取る ことができないようになります。 chmod 400 MyKeyPair.pem 2. VPC のセキュリティグループを作成し、どの IPv6 アドレスからでも SSH アクセスできるように するルールを追加します。 aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348 { "GroupId": "sg-e1fb8c9a" } 78 Amazon Virtual Private Cloud ユーザーガイド ステップ 5: パブリックサブネッ ト内にインスタンスを起動する aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a -ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]' Note ::/0 を使用すると、すべての IPv6 アドレスから SSH 経由でインスタンスにアクセス できるようになります。これは、この短期間の実習では許容されますが、本稼働環境で は、特定の IP アドレスまたはアドレス範囲のみがインスタンスへのアクセスを許可され ます。 3. 作成したセキュリティグループとキーペアを使用して、パブリックサブネット内にインスタンス を起動します。出力内のインスタンスのインスタンス ID をメモしておきます。 aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instancetype t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a -subnet-id subnet-b46032ec Note この例では、AMI は 米国東部(バージニア北部) リージョンの Amazon Linux AMI で す。別のリージョンの場合、リージョン内に適した AMI の AMI ID が必要になります。詳 しくは、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux AMI の検索」を参 照してください。 4. インスタンスに接続するには、そのインスタンスが running 状態になっている必要がありま す。インスタンスを記述してその状態を確認し、IPv6 アドレスを書き留めておきます。 aws ec2 describe-instances --instance-id i-0146854b7443af453 { "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ] } 5. インスタンスが実行状態にあるときは、次のコマンドで、Linux または OS X コンピューターの SSH クライアントを使用してそのインスタンスに接続できます。ローカルコンピューターに、設 定済みの IPv6 アドレスが必要です。 79 Amazon Virtual Private Cloud ユーザーガイド ステップ 6: プライベートサブネッ ト内にインスタンスを起動するには ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123 Windows コンピュータから接続する場合は、次の手順を使用します。PuTTYを使用した Windows から Linux インスタンスへの接続 ステップ 6: プライベートサブネット内にインスタ ンスを起動するには Egress-Only プライベートサブネット内のインスタンスがインターネットにアクセスできることを確 認するには、プライベートサブネット内のインスタンスを起動し、パブリックサブネット内の踏み台 インスタンスを使用してインスタンスに接続します (前のセクションで起動したインスタンスを使用 できます)。最初に、インスタンスのセキュリティグループを作成する必要があります。このセキュ リティグループには、踏み台インスタンスで SSH 接続できるようにするルールと、ping6 コマンド (ICMPv6 トラフィック) を使用できるようにするルールが必要です。 1. VPC 内にセキュリティグループを作成し、パブリックサブネットのインスタンスの IPv6 アドレ スからのインバウンド SSH アクセスを許可するルールと、すべての ICMPv6 トラフィックを許 可するルールを追加します。 aws ec2 create-security-group --group-name SSHAccessRestricted -description "Security group for SSH access from bastion" --vpcid vpc-2f09a348 { "GroupId": "sg-aabb1122" } aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 -ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]' aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 -ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]' 2. プライベートサブネット内にインスタンスを起動します。この際、作成したセキュリティグルー プと、パブリックサブネット内にインスタンスを起動する際に使用したのと同一のキーペアを使 用します。 aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instancetype t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 -subnet-id subnet-a46032fc describe-instances コマンドを使用して、インスタンスが稼働していることを確認し、IPv6 アドレスを取得します。 3. ローカルマシンの SSH エージェント転送を設定し、パブリックサブネットのインスタンスに接続 します。Linux の場合、次のコマンドを使用します。 ssh-add MyKeyPair.pem 80 Amazon Virtual Private Cloud ユーザーガイド ステップ 7: クリーンアップ ssh -A ec2-user@2001:db8:1234:1a00::123 OS X の場合、次のコマンドを使用します。 ssh-add -K MyKeyPair.pem ssh -A ec2-user@2001:db8:1234:1a00::123 Windows の場合は、次の手順を使用します。Windows (PuTTY) 用に SSH エージェント転送を設 定するには (p. 216)IPv6 アドレスを使用して、パブリックサブネットのインスタンスに接続し ます。 4. パブリックサブネットのインスタンス (踏み台インスタンス) から、IPv6 アドレスを使用して、プ ライベートサブネットのインスタンスに接続します。 ssh ec2-user@2001:db8:1234:1a01::456 5. プライベートインスタンスから、ICMP が有効なウェブサイトに対して ping6 コマンドを実行し て、インターネットに接続できることをテストします。次に例を示します。 ping6 -n ietf.org 6. インターネットのホストがプライベートサブネットのインスタンスに到達できないことをテスト するには、IPv6 が有効になっているコンピューターから ping6 コマンドを使用します。タイム アウト応答が返ります。 ping6 2001:db8:1234:1a01::456 ステップ 7: クリーンアップ パブリックサブネットのインスタンスに接続できること、プライベートサブネットのインスタンスが インターネットにアクセスできることを確認したら、不要になったインスタンスを終了できます。こ れを行うには、terminate-instances を使用します。この例で作成したそのほかのリソースを削除する には、 1. セキュリティグループを削除する: aws ec2 delete-security-group --group-id sg-e1fb8c9a aws ec2 delete-security-group --group-id sg-aabb1122 2. サブネットを削除する: aws ec2 delete-subnet --subnet-id subnet-b46032ec aws ec2 delete-subnet --subnet-id subnet-a46032fc 3. カスタムルートテーブルを削除する: 81 Amazon Virtual Private Cloud ユーザーガイド ステップ 7: クリーンアップ aws ec2 delete-route-table --route-table-id rtb-c1c8faa6 aws ec2 delete-route-table --route-table-id rtb-abc123ab 4. VPC からのインターネットゲートウェイのデタッチ: aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpcid vpc-2f09a348 5. インターネットゲートウェイの削除: aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b 6. Egress-Only インターネットゲートウェイを削除する: aws ec2 delete-egress-only-internet-gateway gateway-id eigw-015e0e244e24dfe8a 7. VPC の削除: aws ec2 delete-vpc --vpc-id vpc-2f09a348 82 --egress-only-internet- Amazon Virtual Private Cloud ユーザーガイド VPC とサブネットの基本 VPC とサブネット Amazon Virtual Private Cloud (Amazon VPC) の使用を開始するには、VPC およびサブネットを作成し ます。Amazon VPC の概要については、「Amazon VPC とは? (p. 1)」を参照してください。 トピック • VPC とサブネットの基本 (p. 83) • VPC とサブネットのサイズ設定 (p. 86) • サブネットのルーティング (p. 87) • サブネットのセキュリティ (p. 88) • ローカルネットワークおよびその他の VPC との接続 (p. 88) • VPC とサブネットの使用 (p. 89) • CLI の概要 (p. 93) VPC とサブネットの基本 Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラ ウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース (例えば Amazon EC2 インスタンス) を VPC 内に起動できます。 VPC を作成するときに、その VPC に対して、IPv4 アドレスの範囲を Classless Inter-Domain Routing (CIDR) ブロックの形式で指定する必要があります (例: 10.0.0.0/16)。CIDR 表記の詳細について は、RFC 4632 を参照してください。 次の図は、IPv4 CIDR ブロックとメインルートテーブルがある新しい VPC を示しています。 83 Amazon Virtual Private Cloud ユーザーガイド VPC とサブネットの基本 VPC を作成する時、同じリージョンのアベイラビリティーゾーンすべてにこれがおよびます。VPC を作成したら、アベイラビリティーゾーンごとに 1 つ以上のサブネットを追加します。サブネットを 作成する際、VPC CIDR ブロックのサブセットである、サブネットの CIDR ブロックを指定します。 各サブネットが完全に 1 つのアベイラビリティーゾーン内に含まれている必要があります。1 つのサ ブネットが複数のゾーンにまたがることはできません。アベイラビリティゾーンとは、他のアベイラ ビリティーゾーンで発生した障害から切り離すために作られた場所です。個別のアベイラビリティー ゾーンでインスタンスを起動することにより、1 つの場所で発生した障害からアプリケーションを保 護できます。AWS では、各サブネットに固有の ID が割り当てられます。 さらに、オプションで IPv6 CIDR ブロックを VPC に割り当てて、IPv6 CIDR ブロックをサブネット に割り当てることができます。 84 Amazon Virtual Private Cloud ユーザーガイド VPC とサブネットの基本 次の図は、複数のアベイラビリティーゾーンにある複数のサブネットで設定された VPC を示していま す。1A、1B、2A、および 3A は VPC のインスタンスです。IPv6 CIDR ブロックは VPC に関連付け られ、IPv6 CIDR ブロックはサブネット 1 に関連付けられます。インターネットゲートウェイはイン ターネットを介した通信を有効にし、仮想プライベートネットワーク (VPN) 接続は、企業ネットワー クとの通信を有効にします。 サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネッ トはパブリックサブネットと呼ばれます。この図では、サブネット 1 がパブリックサブネットです。 パブリックサブネット内のインスタンスが IPv4 を介してインターネットと通信することが必要な場 合は、そのインスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレス (IPv4) が割り当てら れている必要があります。パブリック IPv4 アドレスの詳細については、「パブリック IPv4 アドレ ス (p. 103)」を参照してください。パブリックサブネットのインスタンスに IPv6 を介してインター ネットと通信させたい場合は、インスタンスに IPv6 アドレスが必要です。 インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれま す。この図では、サブネット 2 がプライベートサブネットです。 85 Amazon Virtual Private Cloud ユーザーガイド VPC とサブネットのサイズ設定 インターネットゲートウェイへのルートがなく、トラフィックが VPN 接続の仮想プライベートゲート ウェイにルーティングされているサブネットは、VPN のみのサブネットと呼ばれます。この図では、 サブネット 3 が VPN のみのサブネットです。現在、VPN 接続を介した IPv6 トラフィックはサポート されていません。 詳細については「シナリオと例 (p. 26)」、「インターネットゲートウェイ (p. 200)」または「VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 259)」を参照してください。 Note サブネットの種類にかかわらず、サブネット内の IPv4 アドレス範囲は常にプライベートで す。そのアドレスブロックがインターネットに公開されることはありません。 アカウント内に作成できる VPCs とサブネットの数には制限があります。詳細については、 「Amazon VPC の制限 (p. 280)」を参照してください。 VPC とサブネットのサイズ設定 Amazon VPC は IPv4 および IPv6 アドレス指定をサポートしており、それぞれについて CIDR ブロッ クサイズの制限が異なります。デフォルトでは、すべての VPC とサブネットに IPv4 CIDR が必要 で、この動作は変更できません。IPv6 CIDR ブロックを VPC と関連付けるかどうかを選択できます。 IPv4 用の VPC とサブネットのサイズ設定 1 つの CIDR ブロックを VPC に割り当てることができます。許可されているのは、/16 ネットマスク から /28 ネットマスクの間のブロックサイズです。つまり、VPC には 16~65,536 個の IP アドレス を含めることができます。 VPC を作成する場合は、RFC 1918 に指定されているように、プライベート (パブリックにルーティ ングできない) IPv4 アドレス範囲から CIDR ブロックを指定することをお勧めします。 • 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス) • 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス) • 192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス) VPC を作成する場合、RFC 1918 に指定されているプライベート IPv4 アドレスの範囲から外れる、 パブリックにルーティングできる CIDR ブロックを使うこともできますが、本書ではプライベート IPv4 アドレスを VPC の CIDR 範囲内にある IPv4 アドレスという意味で使います。 一度作成した VPC のサイズは変更できません。VPC がニーズに対して小さすぎる場合は、新しい大 きな VPC を作成し、新しい VPC にインスタンスを移行します。これを行うには、実行中のインスタ ンスから AMI を作成し、新しい大きな VPC で代替インスタンスを起動します。その後、古いインス タンスを終了し、小さい VPC を削除します。詳細については、「VPC を削除する (p. 93)」を参照 してください。 サブネットの CIDR ブロックは、VPC のサブネットが 1 つの場合、VPC の CIDR ブロックと同じに することも、あるいは複数のサブネットのサブネットと同じにすることもできます。許可されている のは、/28 ネットマスクから /16 ネットマスクの間のブロックサイズです。VPC に複数のサブネッ トを作成する場合、サブネットの CIDR ブロックは重複できません。 例えば、CIDR ブロック 10.0.0.0/24 を持つ VPC を作成した場合、その VPC では 256 個の IP アドレスがサポートされます。この CIDR ブロックは 2 つのサブネットに分割でき、それぞれのサ ブネットで 128 個の IP アドレスがサポートされています。一方のサブネットでは CIDR ブロック 10.0.0.0/25 (アドレス 10.0.0.0~10.0.0.127) が、もう一方のサブネットでは CIDR ブロック 10.0.0.128/25 (アドレス 10.0.0.128~10.0.0.255) が使用されます。 86 Amazon Virtual Private Cloud ユーザーガイド IPv6 用の VPC とサブネットのサイズ設定 サブネット CIDR ブロックを算出する際に役立つツールを数多くご用意しています。http:// www.subnet-calculator.com/cidr.php で一例をご覧ください。また、ネットワーク技術グループが、サ ブネットに指定する CIDR ブロックを特定することもできます。 各サブネット CIDR ブロックの最初の 4 つの IP アドレスと最後の IP アドレスは使用できず、インス タンスに割り当てることができません。たとえば、CIDR ブロック 10.0.0.0/24 を持つサブネット の場合、次の 5 つの IP アドレスが予約されます。 • 10.0.0.0: ネットワークアドレスです。 • 10.0.0.1: VPC ルーター用に AWS で予約されています。 • 10.0.0.2: AWS で予約されています。DNS サーバーの IP アドレスは、常に VPC ネットワークの ベースに 2 を付加したものですが、各サブネット範囲のベースに 2 を付加したアドレスも予約され ています。詳細については、「Amazon DNS サーバー (p. 233)」を参照してください。 • 10.0.0.3: 将来の利用のために AWS で予約されています。 • 10.0.0.255: ネットワークブロードキャストアドレスです。VPC ではブロードキャストがサポー トされないため、このアドレスを予約します。 IPv6 用の VPC とサブネットのサイズ設定 単一の IPv6 CIDR ブロックをアカウントの既存の VPC に関連付けるか、または新しい VPC の作成時 に関連付けることができます。CIDR ブロックは /56 の固定長プレフィックスを使用します。アドレ スの範囲または IPv6 CIDR ブロックのサイズは選択できません。どちらもアマゾンの IPv6 アドレス のプールから VPC にブロックが割り当てられます。 IPv6 CIDR ブロックと VPC を関連付けている場合、IPv6 CIDR ブロック を VPC の既存のサブネット に関連付けるか、または新しいサブネットを作成するときに関連付けることができます。サブネット の IPv6 CIDR ブロックは /64 の固定長プレフィックスを使用します。 たとえば、VPC を作成して VPC に IPv6 CIDR ブロックを関連付けるよう指定します。VPC には 2001:db8:1234:1a00::/56 の IPv6 CIDR ブロックが割り当てられます。サブネットを作成し、こ の範囲から IPv6 CIDR ブロックを関連付けることができます。例: 2001:db8:1234:1a00::/64。 サブネットから IPv6 CIDR ブロックの関連付けを解除し、VPC から IPv6 CIDR ブロックの関連付 けを解除できます。VPC から IPv6 CIDR ブロックの関連付けを解除すると、IPv6 CIDR ブロックと VPC を後で再び関連付けた場合に同じ CIDR を受け取ることは期待できません。 サブネットのルーティング 各サブネットをルートテーブルに関連付ける必要があります。サブネットを出るアウトバウンドトラ フィックに対して許可されるルートは、このテーブルによって指定されます。作成するすべてのサブ ネットが、VPC のメインルートテーブルに自動的に関連付けられます。この関連付けを変更し、メイ ンルートテーブルのコンテンツを変更できます。詳細については、「ルートテーブル (p. 187)」を参 照してください。 前の図では、サブネット 1 に関連付けられたルートテーブルは、すべての IPv4 トラフィック (0.0.0.0/0) と IPv6 トラフィック (::/0) をインターネットゲートウェイ (例: igw-1a2b3c4d) に ルーティングします。インスタンス 1A には IPv4 Elastic IP アドレスがあり、インスタンス 1B には IPv6 アドレスがあるため、これらにはそれぞれ IPv4 と IPv6 経由でインターネットからアクセスでき ます。 Note (IPv4 のみ) インスタンスに関連付けられる Elastic IPv4 アドレスまたはパブリック IPv4 ア ドレスは、VPC のインターネットゲートウェイ経由でアクセスします。インスタンスと別の ネットワーク間の VPN 接続経由で流れるトラフィックは、インターネットゲートウェイでは 87 Amazon Virtual Private Cloud ユーザーガイド サブネットのセキュリティ なく仮想プライベートゲートウェイを通過します。したがって、Elastic IPv4 アドレスまたは パブリック IPv4 アドレスにアクセスしません。 インスタンス 2A はインターネットにアクセスできませんが、VPC の他のインスタンスにはアクセス できます。ネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを使用して、VPC のイ ンスタンスによる IPv4 インターネットへのアウトバウンド接続の開始を許可し、インターネットか らの未承諾のインバウンド接続を拒否できます。Elastic IP アドレスは限られた数しかアロケートでき ないため、静的なパブリック IP アドレスを必要とするインスタンスが多く存在する場合は、NAT デ バイスの使用をお勧めします。詳細については、「NAT (p. 210)」を参照してください。IPv6 経由 のインターネットへのアウトバウンドのみの通信を開始するには、送信のみのインターネットゲート ウェイを使用できます。詳細については、「Egress-Only インターネットゲートウェイ (p. 206)」を 参照してください。 サブネット 3 に関連付けられたルートテーブルは、すべての IPv4 トラフィック (0.0.0.0/0) を仮想 プライベートゲートウェイ (例: vgw-1a2b3c4d) にルーティングします。インスタンス 3A は VPN 接 続を介して企業ネットワーク内のコンピューターに到達できます。 サブネットのセキュリティ AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ リティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウ トバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドト ラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用 が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用する こともできます。詳細については、「セキュリティ (p. 119)」を参照してください。 設計により、各サブネットをネットワーク ACL に関連付ける必要があります。作成するサブネットは すべて、VPC のデフォルトのネットワーク ACL に自動的に関連付けられます。この関連付けを変更 し、デフォルトのネットワーク ACL のコンテンツを変更できます。詳細については、「ネットワーク ACL (p. 129)」を参照してください。 VPC またはサブネットでフローログを作成し、VPC またはサブネットでネットワークインターフェ イスとの間を行き来するトラフィックをキャプチャできます。個別のネットワークインターフェイス でフローログを作成することもできます。フローログは CloudWatch Logs に発行されます。詳細につ いては、「VPC フローログ (p. 175)」を参照してください。 ローカルネットワークおよびその他の VPC との 接続 オプションで、VPC と企業またはホームネットワークの間の接続を設定できます。VPC 内に、ネッ トワークのプレフィックスの 1 つと重複する IPv4 アドレスプレフィックスがある場合、そのネット ワークのプレフィックスへのトラフィックはドロップされます。例えば、次の環境があるとします。 • • • • CIDR ブロック 10.0.0.0/16 を持つ VPC CIDR ブロック 10.0.1.0/24 を持つ VPC 内のサブネット IP アドレス 10.0.1.4 と 10.0.1.5 を持つサブネットで実行されているインスタンス CIDR ブロック 10.0.37.0/24 と 10.1.38.0/24 が使用されているオンプレミスホストネット ワーク VPC 内のこれらのインスタンスが、10.0.37.0/24 アドレス空間のホストと通信しようとすると、そ のトラフィックはドロップされます。これは、10.0.37.0/24 が、VPC に割り当てられている、より 大きなプレフィックス (10.0.0.0/16) の一部だからです。一方、10.1.38.0/24 空間のホストとは 通信できます。そのブロックは 10.0.0.0/16 の一部ではないからです。 88 Amazon Virtual Private Cloud ユーザーガイド VPC とサブネットの使用 VPC ピア接続は、自分の AWS アカウントの VPC 間や、他の AWS アカウントの VPC との間にも作 成できます。VPC ピア接続を作成すると、VPC 間でプライベート IP アドレスを使用してトラフィッ クをルーティングできるようになります。ただし、CIDR ブロックが重複する VPC 間には VPC ピア 接続を作成できません。詳細については、「VPC ピア接続 (p. 240)」を参照してください。 したがって、作成する VPC の CIDR 範囲は、今後予想される規模拡大に十分に対応でき、かつ自社 またはホームネットワークの現在または今後のいずれのサブネットとも、現在または将来の VPC の CIDR 範囲とも重複しないようにすることをお勧めします。 現在、IPv6 を使用した VPN 接続はサポートされていません。 VPC とサブネットの使用 Amazon VPC コンソールを使用して VPC とサブネットを作成できます。次の手順は、VPC およびサ ブネットを手動で作成するためです。ゲートウェイとルーティングテーブルを手動で追加する必要も あります。その代わりに、Amazon VPC ウィザードを使用して VPC とそのサブネット、ゲートウェ イ、ルーティングテーブルを一度に作成できます。詳細については、「シナリオと例 (p. 26)」を参照 してください。 トピック • VPC を作成する (p. 89) • IPv6 CIDR ブロックと VPC の関連付け (p. 90) • サブネットを VPC に追加する (p. 90) • IPv6 CIDR ブロックとサブネットの関連付け (p. 91) • サブネット内にインスタンスを起動する (p. 91) • VPC またはサブネットからの IPv6 CIDR ブロックの関連付けの解除 (p. 92) • サブネットを削除する (p. 92) • VPC を削除する (p. 93) Note (EC2-Classic) Amazon EC2 コンソールで起動ウィザードを使用して、VPC でのみ利用で きるインスタンスタイプを起動する場合に、既存の VPC がないと、ウィザードによってデ フォルト以外の VPC とサブネットが作成されます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「VPC でのみ利用可能なインスタンスタイプ」を参照してく ださい。 VPC を作成する 空の VPC は、Amazon VPC コンソールを使用して作成できます。 VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [VPC] を選択し、[Create Subnet] を選択します。 3. 必要に応じて、以下の VPC の詳細を指定し、[Create Subnet] を選択します。 • [Name tag]: オプションで、VPC の名前を指定できます。これにより、Name というキーと指定 した値を含むタグが作成されます。 • [IPv4 CIDR ブロック]: VPC 用の IPv4 CIDR ブロックを指定します。RFC 1918 で規定されて いるプライベート (パブリックにルーティングできない) IP アドレス範囲から CIDR ブロック 89 Amazon Virtual Private Cloud ユーザーガイド IPv6 CIDR ブロックと VPC の関連付け を指定することをお勧めします。たとえば、10.0.0.0/16 や 192.168.0.0/16 から指定し ます。パブリックにルーティングできる IPv4 アドレス範囲から CIDR ブロックを指定でき ますが、VPC では現在、パブリックにルーティングできる CIDR ブロックからインターネッ トへの直接アクセスはサポートされていません。Windows インスタンスは 224.0.0.0 から 255.255.255.255 (クラス D とクラス E の IP アドレス範囲) の VPC では正しく起動できませ ん。IP アドレスについては、VPC の IP アドレス指定 (p. 101) を参照してください。 • [IPv6 CIDR ブロック]: オプションで [Amazon-provided IPv6 CIDR block] を選択して、IPv6 CIDR ブロックと VPC を関連付けます。 • [Tenancy]: テナント属性オプションを選択します (たとえば、シングルテナントのハードウェア でインスタンスが確実に動作するように保証する専用のテナント属性)。ハードウェア専有イン スタンスの詳細については、「ハードウェア専有インスタンス (p. 274)」を参照してくださ い。 VPC を作成したら、サブネットを追加できます。詳細については、「サブネットを VPC に追加す る (p. 90)」を参照してください。 IPv6 CIDR ブロックと VPC の関連付け IPv6 CIDR ブロックを既存の VPC と関連付けることができます。VPC には、それに関連付けられた 既存の IPv6 CIDR ブロックがあってはなりません。 IPv6 CIDR ブロックを VPC と関連付けるには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 画面左枠のナビゲーションペインで、[VPC] を選択します。 3. 4. VPC を選択後、[Actions]、[Edit CIDRs] の順に選択します。 [Add IPv6 CIDR] を選択します。IPv6 CIDR ブロックを追加したら、[Close] を選択します。 サブネットを VPC に追加する VPC に新しいサブネットを追加するとき、サブネットを配置するアベイラビリティーゾーンを指定で きます。同じアベイラビリティーゾーン内に複数のサブネットを持つことができます。VPC の範囲の サブネットに IPv4 CIDR ブロックを指定する必要があります。IPv6 CIDR ブロックが VPC に関連付 けられている場合は、オプションでサブネットに IPv6 CIDR ブロックを指定できます。 サブネットを VPC に追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. ナビゲーションペインで [Subnets] を選択し、続いて [Create Subnet] を選択します。 必要に応じて、サブネットの詳細を指定して [Create Subnet] を選択します。 4. • [Name tag]: 必要に応じてサブネットの名前を入力します。これにより、Name というキーと指 定した値を含むタグが作成されます。 • [VPC]: サブネットを作成する VPC を選択します。 • [アベイラビリティーゾーン]: 必要に応じてサブネットが存在するアベイラビリティーゾーンを 選択するか、またはデフォルトの [No Preference] のままにして、AWS がアベイラビリティー ゾーンを選択するようにします。 • [IPv4 CIDR ブロック]: サブネットの IPv4 CIDR ブロックを指定します。例: 10.0.1.0/24。詳 細については、「IPv4 用の VPC とサブネットのサイズ設定 (p. 86)」を参照してください。 • [IPv6 CIDR ブロック]: (オプション) IPv6 CIDR ブロックを VPC に関連付けている場合は、 [Specify a custom IPv6 CIDR] を選択します。16 進法でキーペア値を選択するか、デフォルト 値のままにします。 (オプション) 必要に応じて上記の手順を繰り返し、VPC でさらにサブネットを作成します。 90 Amazon Virtual Private Cloud ユーザーガイド IPv6 CIDR ブロックとサブネットの関連付け サブネットを作成したら、次の手順を実行できます。 • ルーティングを設定します。サブネットをパブリックサブネットにするには、まず、インターネッ トゲートウェイを VPC にアタッチする必要があります。詳細については、「インターネットゲー トウェイをアタッチする (p. 203)」を参照してください。その後、カスタムルートテーブルを作 成して、ルートをインターネットゲートウェイに追加できます。詳細については、「カスタムルー トテーブルを作成する (p. 203)」を参照してください。他ルーティングのオプションについては、 「ルートテーブル (p. 187)」を参照してください。 • サブネットの設定を変更し、そのサブネットで起動されたすべてのインスタンスにパブリック IPv4 アドレス、IPv6 アドレス、またはその両方が割り当てられるようにします。詳細については、「サ ブネットの IP アドレス指定動作 (p. 105)」を参照してください。 • 必要に応じて、セキュリティグループを作成または変更します。詳細については、「VPC のセキュ リティグループ (p. 121)」を参照してください。 • 必要に応じて、ネットワーク ACL を作成または変更します。ネットワーク ACL の詳細について は、「ネットワーク ACL (p. 129)」を参照してください。 IPv6 CIDR ブロックとサブネットの関連付け IPv6 CIDR ブロックを VPC の既存のサブネットと関連付けることができます。サブネットには、それ に関連付けられた既存の IPv6 CIDR ブロックがあってはなりません。 IPv6 CIDR ブロックをサブネットと関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Subnets] を選択します。 3. サブネットを選択後、[Subnet Actions]、[Edit IPv6 CIDRs] の順に選択します。 4. [Add IPv6 CIDR] を選択します。16 進法でサブネットのキーペアを指定し (例: 00)、チェック マークアイコンを選択してエントリを確認します。 5. [Close] を選択します。 サブネット内にインスタンスを起動する サブネットを作成し、ルーティングを設定したら、Amazon EC2 コンソールを使用してサブネットに インスタンスを起動できます。 サブネット内にインスタンスを起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ダッシュボードで、[Launch Instance] を選択します。 3. ウィザードの指示にしたがって操作します。AMI およびインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。 Note インスタンスで IPv6 を介して通信する場合は、サポートされているインスタンスタイプ を選択する必要があります。M3、G2、を除くすべての現行世代のインスタンスタイプ、 サポートされている IPv6 アドレスです。 4. [Configure Instance Details] ページの [Network] リストで必要な VPC を選択していることを確認 し、インスタンスを起動するサブネットを選択します。このページの他のデフォルトの設定はそ のままにして、[Next: Add Storage] を選択します。 5. ウィザードの次のページでは、インスタンスのストレージを設定し、タグを追加できます。 [Configure Security Group] ページで、所有する既存のセキュリティグループから選択するか、 91 Amazon Virtual Private Cloud ユーザーガイド VPC またはサブネットからの IPv6 CIDR ブロックの関連付けの解除 ウィザードの指示にしたがって新しいセキュリティグループを作成します。完了したら、[Review and Launch] を選択します。 6. 設定を確認し、[Launch] を選択します。 7. 所有する既存のキーペアを選択するか、新しいキーペアを作成し、完了したら [Launch Instances] を選択します。 VPC またはサブネットからの IPv6 CIDR ブロック の関連付けの解除 VPC またはサブネットで IPv6 が不要になっても、IPv4 リソースとの通信で VPC またはサブネット を引き続き使用する場合は、IPv6 CIDR ブロックの関連付けを解除できます。 IPv6 CIDR ブロックの関連付けを解除するには、まずサブネットのすべてのインスタンスに割り当て られている IPv6 アドレスの割り当てを解除する必要があります。詳細については、「インスタンスか らの IPv6 アドレスの割り当て解除 (p. 108)」を参照してください。 サブネットから IPv6 CIDR ブロックの関連付けを解除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Subnets] を選択します。 3. サブネットを選択後、[Subnet Actions]、[Edit IPv6 CIDRs] の順に選択します。 4. クロスアイコンを選択して、サブネットの IPv6 CIDR ブロックを削除します。 5. [Close] を選択します。 VPC から IPv6 CIDR ブロックの関連付けを解除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 画面左枠のナビゲーションペインで、[VPC] を選択します。 3. VPC を選択後、[Actions]、[Edit CIDRs] の順に選択します。 4. クロスアイコンを選択して、IPv6 CIDR ブロックを削除します。 5. [Close] を選択します。 Note IPv6 CIDR ブロックの関連付けを解除しても、IPv6 ネットワーキングに対して設定したセ キュリティグループルール、ネットワーク ACL ルール、ルートテーブルは自動的に削除さ れません。手動でこれらのルールまたはルートを変更するか、または削除する必要がありま す。 サブネットを削除する サブネットが不要になった場合には、それを削除することができます。サブネット内にインスタンス が存在する場合はそれをまず終了する必要があります。 サブネットを削除するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. サブネットのすべてのインスタンスを終了します。詳細については、「EC2 User Guide」の 「Terminate Your Instance」を参照してください。 3. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 92 Amazon Virtual Private Cloud ユーザーガイド VPC を削除する 4. ナビゲーションペインで、[Subnets] を選択します。 5. 削除するサブネットを選択して、[Subnet Actions] を選択し、続いて [Delete] を選択します。 6. [Delete Subnet] ダイアログボックスで、[Yes, Delete] を選択します。 VPC を削除する VPC はいつでも削除できます。ただし、まず、VPC 内のすべてのインスタンスを終了する必要があ ります。Amazon VPC コンソールを使用して VPC を削除すると、サブネット、セキュリティグルー プ、ネットワーク ACL、インターネットゲートウェイ、VPC ピア接続、DHCP オプションなどのコ ンポーネントがすべて削除されます。 VPN 接続がある場合、その接続または VPN に関連する他のコンポーネント (カスタマーゲートウェ イ、仮想プライベートゲートウェイなど) を削除する必要はありません。他の VPC でカスタマーゲー トウェイを使用する予定がある場合は、VPN 接続とゲートウェイは保持することをお勧めします。そ れ以外の場合、VPN 接続を新しく作成したら、ネットワーク管理者がカスタマーゲートウェイを設定 する必要があります。 VPC を削除するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. VPC のすべてのインスタンスを終了します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「インスタンスの終了」を参照してください。 3. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 4. 画面左枠のナビゲーションペインで、[VPC] を選択します。 5. 削除する VPC を選択し、[Actions]、[Delete VPC] の順に選択します。 6. VPN 接続を削除するには、それを行うオプションを選択します。それ以外の場合、そのオプショ ンはオフのままにしておきます。[Yes, Delete] を選択します。 CLI の概要 このページで説明しているタスクは、コマンドラインインターフェイス (CLI) を使用して実行で きます。使用できる API アクションのリストを含む詳細については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 VPC を作成する • create-vpc (AWS CLI) • New-EC2Vpc (AWS Tools for Windows PowerShell) サブネットの作成 • create-subnet (AWS CLI) • New-EC2Subnet (AWS Tools for Windows PowerShell) IPv6 CIDR ブロックと VPC を関連付ける • associate-vpc-cidr-block (AWS CLI) IPv6 CIDR ブロックとサブネットを関連付ける • associate-subnet-cidr-block (AWS CLI) 93 Amazon Virtual Private Cloud ユーザーガイド CLI の概要 VPC から IPv6 CIDR ブロックの関連付けを解除する • disassociate-vpc-cidr-block (AWS CLI) サブネットから IPv6 CIDR ブロックの関連付けを解除する • disassociate-subnet-cidr-block (AWS CLI) VPC の説明 • describe-vpcs (AWS CLI) • Get-EC2Vpc (AWS Tools for Windows PowerShell) サブネットの説明 • describe-subnets (AWS CLI) • Get-EC2Subnet (AWS Tools for Windows PowerShell) VPC の削除 • delete-vpc (AWS CLI) • Remove-EC2Vpc (AWS Tools for Windows PowerShell) サブネットの削除 • delete-subnet (AWS CLI) • Remove-EC2Subnet (AWS Tools for Windows PowerShell) 94 Amazon Virtual Private Cloud ユーザーガイド デフォルトの VPC の基本 デフォルト VPC とデフォルトサブ ネット 2013 年 12 月 4 日より後に AWS アカウントを作成した場合、EC2-VPC のみサポートされます。こ の場合、各 AWS リージョンごとにデフォルト VPC があります。デフォルト VPC は今すぐ使用で きます— ほかの設定手順は必要なく、すぐにデフォルト VPC にインスタンスの起動を開始すること ができます。デフォルトの VPC は、EC2-VPC プラットフォームの高度なネットワーキング機能と EC2-Classic プラットフォームの使いやすさのメリットを兼ね備えています。 EC2-Classic プラットフォームと EC2-VPC プラットフォームの詳細については、「サポートされて いるプラットフォーム」を参照してください。 トピック • デフォルトの VPC の基本 (p. 95) • サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する (p. 98) • EC2 インスタンスをデフォルトの VPC 内に起動する (p. 99) • デフォルトサブネットとデフォルト VPC の削除 (p. 100) デフォルトの VPC の基本 このセクションでは、デフォルトの Virtual Private Cloud (VPC) とそのデフォルトのサブネットにつ いて説明します。 可用性 2013 年 12 月 4 日より後に AWS アカウントを作成した場合、EC2-VPC のみサポートされます。こ の場合は、AWS リージョンごとにデフォルトの VPC が作成されます。したがって、デフォルト以外 の VPC を作成し、インスタンスの起動時にそれを指定しない限り、インスタンスは、デフォルトの VPC 内に起動されます。 95 Amazon Virtual Private Cloud ユーザーガイド コンポーネント 2013 年 3 月 18 日より前に AWS アカウントを作成した場合、以前使用したことがあるリージョンで は、EC2-Classic と EC2-VPC の両方がサポートされます。使用したことがないリージョンでは EC2VPC のみがサポートされます。この場合、AWS リソースを作成しなかった各リージョンには、デ フォルトの VPC が作成されます。したがって、デフォルト以外の VPC を作成し、以前に使用したこ とがないリージョンでインスタンスを起動するときに該当する VPC を指定しない限り、インスタン スは、そのリージョンのデフォルトの VPC 内に起動されます。ただし、以前使用したことがあるリー ジョン内にインスタンスを起動する場合、そのインスタンスは EC2-Classic 内に起動されます。 2013 年 3 月 18 日から 2013 年 12 月 4 日の間に AWS アカウントを作成した場合は、EC2-VPC のみ がサポートされます。また、以前使用したことがあるリージョンによっては、EC2-Classic と EC2VPC の両方がサポートされることもあります。AWS アカウントの各リージョンがサポートするプ ラットフォームを確認する場合は、「サポートされているプラットフォームとデフォルト VPC があ るかどうかを確認する (p. 98)」を参照してください。各リージョンでデフォルトの VPC が有効に なった時期については、Amazon VPC の AWS フォーラムの「Announcement: Enabling regions for the default VPC feature set」を参照してください。 AWS アカウントが EC2-VPC のみをサポートしている場合は、その AWS アカウントに関連付けられ ている IAM アカウントも EC2-VPC のみをサポートし、AWS アカウントと同じデフォルトの VPC を 使用します。 AWS アカウントが EC2-Classic と EC2-VPC の両方をサポートしており、EC2-Classic 内にインス タンスを起動するシンプルな EC2-VPC のメリットを利用したい場合は、新しい AWS アカウントを 作成するか、以前使用したことがないリージョンにインスタンスを起動します。リージョンにないデ フォルトの VPC をそのリージョンに追加する場合は、VPC のよくある質問で「既存の EC2 アカウン トでどうしてもデフォルト VPC が使いたいのです。何か方法はありますか?" (「デフォルトの VPC についてよくある質問」) を参照してください。 コンポーネント デフォルトの VPC を作成するとき、Amazon 側で次の設定を行います。 • サイズ /16 の IPv4 CIDR ブロックの VPC を作成する。 • 各アベイラビリティーゾーンにデフォルトのサブネットを作成する。 • インターネットゲートウェイを作成して、デフォルトの VPC に接続する。 • インターネットに向かうすべての IPv4 トラフィックをインターネットゲートウェイに送信するルー ルを持つデフォルト VPC のメインルートテーブルを作成する。 • デフォルトのセキュリティグループを作成し、デフォルトの VPC に関連付ける。 • デフォルトのネットワークアクセスコントロールリスト (ACL) を作成し、デフォルトの VPC に関 連付ける。 • デフォルトの VPC を備えた AWS アカウントに、デフォルトの DHCP オプションセットを関連付 ける。 次の図は、デフォルトの VPC に対して設定する重要なコンポーネントを示します。 96 Amazon Virtual Private Cloud ユーザーガイド デフォルトのサブネット デフォルトのサブネット内に起動する各インスタンスは、パブリック IPv4 アドレスとプライベート IPv4 アドレスの両方を受け取ります。また、デフォルトのサブネット内のインスタンスは、パブリッ ク DNS ホスト名とプライベート DNS ホスト名の両方を受け取ります。デフォルト VPC 内のデフォ ルト以外のサブネット内に起動するインスタンスは、パブリック IPv4 アドレスまたはパブリック DNS ホスト名を受け取りません。サブネットのデフォルトのパブリック IP アドレス指定の動作は変 更できます。詳細については、「サブネットのパブリック IPv4 アドレス属性を変更する (p. 105)」 を参照してください。 デフォルトの VPC は、他の VPC と同じように使用できます。サブネットの追加、メインルートテー ブルの変更、ルートテーブルの追加、追加のセキュリティグループの関連付け、デフォルトのセキュ リティグループのルールの更新、および VPN 接続の追加が可能です。また、追加の VPC を作成する こともできます。 デフォルトのサブネットは、他のサブネットと同じように使用できます。カスタムルートテーブル を追加したり、ネットワーク ACL を設定したりできます。また、EC2 インスタンスを起動するとき に、デフォルトのサブネットを指定することもできます。 オプションで IPv6 CIDR ブロックをデフォルト VPC と関連付けることができます。詳細については, VPC とサブネットの使用 (p. 89). デフォルトのサブネット デフォルト VPC の CIDR ブロックは、常に /16 ネットマスク (例: 172.31.0.0/16) です。これは、最 大 65,536 個のプライベート IPv4 アドレスを提供します。デフォルトサブネットのネットマスクは 97 Amazon Virtual Private Cloud ユーザーガイド サポートされているプラットフォームとデ フォルト VPC があるかどうかを確認する 常に /20 です。これは、サブネットあたり最大 4,096 個のアドレスを提供します。この中のいくつか は、Amazon が使用するように予約されています。 デフォルトでは、デフォルトのサブネットはパブリックサブネットです。メインルートテーブルがイ ンターネット用のサブネットのトラフィックをインターネットゲートウェイに送信するためです。デ フォルトのサブネットをプライベートサブネットにするには、送信元 0.0.0.0/0 からインターネット ゲートウェイへのルートを削除します。ただし、この操作を行った場合、そのサブネットで実行され ている EC2 インスタンスすべてがインターネットにアクセスできなくなります。 AWS によって、リージョンに新しいアベイラビリティゾーンが追加される場合があります。ほとんど の場合、デフォルト VPC について、このアベイラビリティーゾーン内で自動的に新しいデフォルトの サブネットが作成されます。ただし、デフォルトの VPC への変更を行った場合、新しいデフォルトの サブネットは追加されません。新しいアベイラビリティーゾーンのデフォルトのサブネットが必要な 場合は、デフォルトのサブネットの作成について AWS サポートにお問い合わせください。 サポートされているプラットフォームとデフォル ト VPC があるかどうかを確認する デフォルトの VPC で EC2 インスタンスを起動し、Elastic Load Balancing、Amazon Relational Database Service (Amazon RDS)、および Amazon EMR (Amazon EMR) などのサービスを使用でき ます。Amazon VPC について何も意識する必要はありません。これらのサービスは、デフォルトの VPC または EC2-Classic のどちらを使っていても同じように利用できます。ただし、Amazon EC2 コ ンソールまたはコマンドラインを使用して、AWS アカウントが両方のプラットフォームをサポートし ているかどうか、およびデフォルトの VPC があるかどうかを確認できます。 コンソールを使用してプラットフォームのサポート を確認する Amazon EC2 コンソールは、EC2 インスタンスを起動できるプラットフォームと、デフォルトの VPC があるかどうかを示しています。 使用するリージョンがナビゲーションバーで選択されていることを確認してください。Amazon EC2 コンソールダッシュボード上で、 Account Attributes の下にある Supported Platforms を探します。 そこに値が 2 つ (EC2 と VPC) あれば、どちらのプラットフォームにもインスタンスを起動できます。 値が 1 つ (VPC) なら、EC2-VPC にのみインスタンスを起動できます。 例えば、次の図は、アカウントが EC2-VPC プラットフォームのみをサポートしていること、および 識別子 vpc-1a2b3c4d を持つデフォルトの VPC があることを示しています。 デフォルトの VPC を削除すると、[Default VPC] 値として None が表示されます。詳細については、 「デフォルトサブネットとデフォルト VPC の削除 (p. 100)」を参照してください。 コマンドラインを使用してプラットフォームのサ ポートを確認する supported-platforms 属性は、EC2 インスタンスを起動できるプラットフォームを示します。アカ ウントのこの属性の値を取得するには、次のいずれかのコマンドを使用します。 98 Amazon Virtual Private Cloud ユーザーガイド EC2 インスタンスをデフォルトの VPC 内に起動する • describe-account-attributes (AWS CLI) • Get-EC2AccountAttributes (AWS Tools for Windows PowerShell) また、以下のコマンドを使用して VPC を表示するときも、デフォルトの VPC が出力に表示されま す。 • describe-vpcs (AWS CLI) • Get-EC2Vpc (AWS Tools for Windows PowerShell) EC2 インスタンスをデフォルトの VPC 内に起動 する サブネットを指定せずに EC2 インスタンスを起動すると、そのインスタンスはデフォルトの VPC の デフォルトのサブネット内に自動的に起動されます。デフォルトでは、アベイラビリティーゾーン が選択され、インスタンスは、そのアベイラビリティーゾーンに対応するサブネットから起動されま す。また、インスタンスのアベイラビリティーゾーンを選択することもできます。それには、対応す るデフォルトのサブネットをコンソールで選択するか、サブネットまたはアベイラビリティーゾーン を CLI で指定します。 コンソールを使用して EC2 インスタンスを起動す る EC2 インスタンスをデフォルトの VPC 内に起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. 3. EC2 ダッシュボードから、[Launch Instance] を選択します。 ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択します。 [Review and Launch] を選択すると、ウィザードの残りの部分のデフォルト設定を確定できます。 これにより、[Review Instance Launch] ページが直接表示されます。 4. 設定を確認します。[Instance Details] セクションで、[Subnet] のデフォルトは [No preference (default subnet in any Availability Zone)] です。つまり、インスタンスは、選択したアベイラビ リティーゾーンのデフォルトのサブネット内に起動されていることを意味します。また、[Edit instance details] を選択し、特定のアベイラビリティーゾーンのデフォルトのサブネットを選択し ます。 [Launch] を選択し、キーペアを選択してインスタンスを起動します。 5. コマンドラインを使用して EC2 インスタンスを起 動する 次のいずれかのコマンドを使用して、EC2 インスタンスを起動できます。 • run-instances (AWS CLI) • New-EC2Instance (AWS Tools for Windows PowerShell) デフォルトの VPC で EC2 インスタンスを起動するには、サブネットやアベイラビリティーゾーンを 指定しないでこれらのコマンドを使用します。 EC2 インスタンスをデフォルトの VPC の特定のサブネット内に起動するには、サブネット ID または アベイラビリティーゾーンを指定します。 99 Amazon Virtual Private Cloud ユーザーガイド デフォルトサブネットとデフォルト VPC の削除 デフォルトサブネットとデフォルト VPC の削除 デフォルトのサブネットやデフォルトの VPC は、他のサブネットや VPC と同様、削除できます。デ フォルトのサブネットやデフォルトの VPC を削除する場合、インスタンスを起動する別の VPC のサ ブネットを明示的に指定する必要があります。これは、EC2-Classic でインスタンスを起動できない ためです。別の VPC がない場合は、デフォルト以外の VPC とデフォルト以外のサブネットを作成す る必要があります。詳細については、「VPC を作成する (p. 89)」を参照してください。 デフォルトのサブネットを削除した場合は、デフォルトの VPC のそのアベイラビリティーゾーンで デフォルト以外のサブネットを作成しない限り、そのアベイラビリティーゾーンでインスタンスを起 動することはできません。デフォルトのサブネットを削除した後、そのサブネットを復元する必要が ある場合は、デフォルト以外のサブネットを作成してから、AWS サポートに問い合わせて、そのサブ ネットをデフォルトのサブネットとしてマーキングするようご依頼ください。AWS アカウント ID、 リージョン、およびサブネット ID の詳細を指定する必要があります。新しいデフォルトサブネットが 想定どおりに動作することを確認するには、サブネット属性を変更して、そのサブネットで起動され たインスタンスにパブリック IP アドレスを割り当てます。詳細については、「サブネットのパブリッ ク IPv4 アドレス属性を変更する (p. 105)」を参照してください。アベイラビリティーゾーンごとに 1 つだけデフォルトサブネットを持つことができます。デフォルト以外の VPC でデフォルトサブネッ トを作成することはできません。 デフォルトの VPC を削除した後、新しいデフォルトの VPC が必要になった場合は、AWS サポート に問い合わせて、そのリージョンで新しいデフォルトの VPC を作成するようご依頼ください。既存の VPC をデフォルト VPC としてマーキングすることはできません。 Amazon VPC コンソールでデフォルトのサブネットやデフォルトの VPC を削除しようとすると、ダ イアログボックスに警告メッセージが表示され、デフォルトのサブネットまたはデフォルトの VPC を 削除してもよいかの確認を求められます。 100 Amazon Virtual Private Cloud ユーザーガイド VPC の IP アドレス指定 IP アドレスは、VPC のリソースの相互通信とインターネット上のリソースとの通信を有効にしま す。Amazon EC2 と Amazon VPC は、IPv4 と IPv6 のアドレス設定プロトコルをサポートします。 デフォルトでは、Amazon EC2 と Amazon VPC は IPv4 アドレスプロトコルを使用します。VPC の作 成時には IPv4 CIDR ブロック (プライベート IPv4 アドレスの範囲) を割り当てる必要があります。プ ライベート IPv4 アドレスには、インターネット経由では到達できません。インターネット経由でイン スタンスに接続する、またはインスタンスとパブリックエンドポイントがある他の AWS サービスと の間の通信を有効にするには、グローバルに一意なパブリック IPv4 アドレスをインスタンスに割り当 てることができます。 オプションで IPv6 CIDR ブロックを VPC およびサブネットと関連付けて、そのブロックから VPC 内 のリソースに IPv6 アドレスを割り当てることができます。IPv6 アドレスは公開され、インターネッ トに到達できます。 Note インスタンスがインターネットと確実に通信できるようにするには、VPC にインターネッ トゲートウェイをアタッチする必要があります。詳細については、「インターネットゲート ウェイ (p. 200)」を参照してください。 VPC は、デュアルスタックモードで動作し、IPv4 または IPv6 あるいは両方を介して通信できま す。IPv4 アドレスと IPv6 アドレスは互いに独立しています。VPC で IPv4 と IPv6 のルーティングと セキュリティを設定する必要があります。 次の表は、Amazon EC2 と VPC における IPv4 と IPv6 の違いをまとめたものです。 IPv4 IPv6 形式は 32 ビットで、4 桁の数字の 4 つのグルー プです。 形式は 128 ビットで、4 桁の 16 進数の 8 つのグ ループです。 デフォルトですべての VPC で必要となるため、 削除できません。 オプトインのみです。 VPC CIDR ブロックサイズは 16 ~ 28 となりま す。 VPC CIDR ブロックサイズは 56 に固定されてい ます。 サブネット CIDR ブロックサイズは 16 ~ 28 で す。 サブネット CIDR ブロックサイズは 64 に固定さ れています。 101 Amazon Virtual Private Cloud ユーザーガイド IPv4 IPv6 VPC では、プライベート IPv4 CIDR ブロックも 選択できます。 両方をアマゾンの IPv6 アドレスのプールから VPC の IPv6 CIDR ブロックを選択します。独自 の範囲を選択することはできません。 プライベート IP アドレスとパブリック IP アド レスの間には違いがあります。インターネット との通信を有効にするには、ネットワークアド レス変換 (NAT) を介してパブリック IPv4 アド レスをプライマリプライベート IPv4 アドレスに マップします。 パブリック IP アドレスとプライベート IP アド レスに違いはありません。IPv6 アドレスはパブ リックです。 すべてのインスタンスタイプでサポートされて います。 M3、G2、を除くすべての現行世代のインスタ ンスタイプでサポートされます。詳細について は、「Amazon EC2 インスタンスタイプ」を参 照してください。 EC2-Classic と、ClassicLink を介した VPC との EC2-Classic 接続でサポートされます。 EC2-Classic ではサポートされません。ま た、ClassicLink を介した VPC との EC2 Classic 接続でもサポートされません。 すべての AMI でサポートされます。 DHCPv6 用に設定された AMI で自動的にサ ポートされます。Amazon Linux バージョン 2016.09.0 以降と、Windows Server 2008 R2 以 降は DHCPv6 用に設定されます。その他の AMI では、割り当てられた IPv6 アドレスを認識する ようにインスタンスを手動で設定 (p. 115)する 必要があります。 インスタンスは、そのプライベート IPv4 アドレ スに対応するアマゾン提供のプライベート DNS ホスト名を受信します。必要に応じて、そのパ ブリック IPv4 または Elastic IP アドレスに対応 するパブリック DNS ホスト名も受信します。 Amazon が提供する DNS ホスト名はサポートさ れません。 Elastic IPv4 アドレスがサポートされます。 Elastic IPv6 アドレスはサポートされません。 VPC VPN 接続とカスタマーゲートウェイ、NAT デバイス、および VPC エンドポイントでサポー トされます。 VPC VPN 接続とカスタマーゲートウェイ、NAT デバイス、および VPC エンドポイントでサポー トされません。 すべてのリージョンでサポートされます。 現在 米国東部 (オハイオ) リージョンでのみサ ポートされています。 AWS Direct Connect 接続への仮想プライベートゲートウェイ経由の IPv6 トラフィックをサポートし ています。詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。 トピック • プライベート IPv4 アドレス (p. 103) • パブリック IPv4 アドレス (p. 103) • IPv6 アドレス (p. 104) • サブネットの IP アドレス指定動作 (p. 105) • IP アドレスの操作 (p. 105) • IPv6 への移行 (p. 109) 102 Amazon Virtual Private Cloud ユーザーガイド プライベート IPv4 アドレス プライベート IPv4 アドレス プライベート IPv4 アドレス (このトピックではプライベート IP アドレスと呼ばれる) は、インター ネットにはアクセスできず、VPC のインスタンス間の通信で使用できます。VPC でインスタンスを 起動すると、サブネットの IPv4 アドレス範囲内のプライマリプライベート IP アドレスがインスタン スのデフォルトのネットワークインターフェイス (eth0) に割り当てられます。また、各インスタンス には、インスタンスのプライベート IP アドレスに解決されるプライベート (内部) DNS ホスト名が割 り当てられます。プライマリプライベート IP アドレスを指定しない場合、サブネットの範囲内で使用 可能な IP アドレスが選択されます。ネットワークインターフェイスの詳細については、「Linux イン スタンス用 Amazon EC2 ユーザーガイド」の Elastic Network Interfaces を参照してください。 VPC で実行されているインスタンスに追加のプライベート IP アドレス (セカンダリプライベート IP アドレスと呼ばれる) を割り当てることができます。プライマリプライベート IP アドレスとは異な り、セカンダリプライベート IP アドレスはあるネットワークインターフェイスから別のネットワー クインターフェイスへ割り当て直すことができます。プライベート IP アドレスは、インスタンスが停 止して再起動するとネットワークインターフェイスに関連付けられたままになり、インスタンスが終 了すると解放されます。プライマリ IP アドレスとセカンダリ IP アドレスの詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「複数の IP アドレス」を参照してください。 Note プライベート IP アドレスは VPC の IPv4 CIDR 範囲内にある IP アドレスです。VPC のほと んどの IP アドレス範囲は、RFC 1918 で規定されているプライベート (パブリックにルーティ ングできない) IP アドレス範囲に入りますが、パブリックにルーティングできる CIDR ブロッ クを VPC に使用することはできます。VPC の IP アドレス範囲に関係なく、publicly-routable CIDR ブロックなど VPC の CIDR ブロックからのインターネットへの直接アクセスはサポー トされていません。ゲートウェイを経由するインターネットアクセスを設定する必要があり ます。たとえば、インターネットゲートウェイ、仮想プライベートゲートウェイ、VPN 接 続、または AWS Direct Connect を設定します。 パブリック IPv4 アドレス サブネットで作成されたネットワークインターフェイスがパブリック IPv4 アドレス (このトピック ではパブリック IP アドレスと呼ばれる) を自動的に受信するかどうかを判断する属性が、すべてのサ ブネットにあります。したがって、この属性が有効になっているサブネットに対してインスタンスを 起動すると、パブリック IP アドレスがそのインスタンス用に作成されたプライマリネットワークイ ンターフェイス (eth0) に割り当てられます。パブリック IP アドレスは、ネットワークアドレス変換 (NAT) によって、プライマリプライベート IP アドレスにマッピングされます。 VPC のインスタンスがパブリック IP アドレスを割り当てられるかどうかを制御するには、以下の方 法を使用します。 • サブネットのパブリック IP アドレス属性を変更する。詳細については、「サブネットのパブリック IPv4 アドレス属性を変更する (p. 105)」を参照してください。 • インスタンスの起動時のパブリック IP アドレス割り当てを有効または無効にする。この設定によっ てサブネットのパブリック IP アドレス割り当て属性は上書きされます。詳細については、「インス タンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」を参照してください。 パブリック IP アドレスは、Amazon のパブリック IP アドレスプールにあるアドレスです。そのアド レスはお客様のアカウントとは関連付けられません。パブリック IP アドレスとインスタンスとの関 連付けを解除すると、そのアドレスは解放されてプールに戻り、それ以降お客様はそのアドレスを使 用できなくなります。パブリック IP アドレスの関連付けと関連付け解除は手動で実行できません。た だし、特定の場合に、こちらでパブリック IP アドレスをお客様のインスタンスから解放したり、新し いアドレスをそのインスタンスに割り当てます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「パブリック IP アドレス」を参照してください。 103 Amazon Virtual Private Cloud ユーザーガイド IPv6 アドレス 状況に応じてインスタンスに割り当てたりインスタンスから削除したりできる固定パブリック IP アド レスをお客様のアカウントに割り当てる必要がある場合は、Elastic IP アドレスを使用します。詳細に ついては、「Elastic IP アドレス (p. 240)」を参照してください。 VPC で DNS ホスト名のサポートを有効にしている場合は、パブリック IP アドレスまたは Elastic IP アドレスを受信するインスタンスには、それぞれパブリック DNS ホスト名が付与されます。パブ リック DNS ホスト名を解決すると、インスタンスのパブリック IP アドレス (インスタンスのネット ワークの外部の場合) およびインスタンスのプライベート IP アドレス (インスタンスのネットワーク 内からの場合) となります。詳細については、「VPC での DNS の使用 (p. 236)」を参照してくださ い。 IPv6 アドレス オプションで、IPv6 CIDR ブロックを VPC とサブネットに関連付けることができます。詳細について は、次のトピックを参照してください。 • IPv6 CIDR ブロックと VPC の関連付け (p. 90) • IPv6 CIDR ブロックとサブネットの関連付け (p. 91) IPv6 CIDR ブロックが VPC およびサブネットと関連付けられていて、以下のいずれかに該当する場 合、VPC 内のインスタンスには IPv6 アドレスが割り当てられます。 • サブネットは、起動時に IPv6 アドレスをインスタンスのプライマリネットワークインターフェイス に自動的に割り当てるよう設定されます。 • 起動時に IPv6 アドレスをインスタンスに手動で割り当てます。 • 起動後に IPv6 アドレスをインスタンスに割り当てます。 • 起動後に IPv6 アドレスを同じサブネットのネットワークインターフェイスに割り当て、そのネット ワークインターフェイスをインスタンスにアタッチする。 起動時にインスタンスに IPv6 アドレスが割り当てられると、そのアドレスはインスタンスのプライマ リネットワークインターフェイス (eth0) と関連付けられます。IPv6 アドレスとプライマリネットワー クインターフェイスの関連付けは解除できます。インスタンスの IPv6 DNS ホスト名はサポートされ ていません。 IPv6 アドレスは、インスタンスの停止時および終了時に保持され、インスタンスの終了時に解放され ます。IPv6 アドレスは、別のネットワークインターフェイスに割り当てられている間は再割り当てで きません。最初に割り当てを解除する必要があります。 追加の IPv6 アドレスをインスタンスに割り当てるには、インスタンスにアタッチされたネットワーク インターフェイスにアドレスを割り当てます。ネットワークインターフェイスに割り当てることがで きる IPv6 アドレスの数と、インスタンスにアタッチできるネットワークインターフェイスの数は、イ ンスタンスタイプごとに異なります。詳細については、『Amazon EC2 ユーザーガイド』の「各イン スタンスタイプのネットワークインターフェイスごとの IP アドレス」を参照してください。 IPv6 アドレスはグローバルに一意であるため、インターネット経由で到達可能です。インスタンスの サブネットのルーティングを制御するか、セキュリティグループとネットワーク ACL ルールを使用す ることで、IPv6 アドレスを介してインスタンスに接続できるかどうかを制御できます。詳細について は、「セキュリティ (p. 119)」を参照してください。 予約済み IPv6 アドレスの範囲については、「IANA IPv6 Special-Purpose Address Registry」と 「RFC4291」を参照してください。 104 Amazon Virtual Private Cloud ユーザーガイド サブネットの IP アドレス指定動作 サブネットの IP アドレス指定動作 すべてのサブネットに、そのサブネットで作成したネットワークインターフェイスをパブリック IPv4 アドレス (該当する場合は IPv6 アドレス) に割り当てるかどうかを決定する、変更可能な属性があり ます。これには、サブネットでインスタンスを起動したときにインスタンス用に作成されるプライマ リネットワークインターフェイス (eth0) が含まれます。 サブネットの属性に関係なく、特定のインスタンスの起動時の設定によって上書きできます。詳細に ついては、「インスタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」および「インス タンス起動時に IPv6 アドレスを割り当てる (p. 107)」を参照してください。 IP アドレスの操作 サブネットの IP アドレス指定動作、起動中のパブリック IPv4 アドレスのインスタンスへの割り当 て、インスタンスとの IPv6 アドレスの割り当てと割り当て解除を変更できます。 トピック • サブネットのパブリック IPv4 アドレス属性を変更する (p. 105) • サブネットのパブリック IPv6 アドレス属性を変更する (p. 105) • インスタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106) • インスタンス起動時に IPv6 アドレスを割り当てる (p. 107) • インスタンスへの IPv6 アドレスの割り当て (p. 108) • インスタンスからの IPv6 アドレスの割り当て解除 (p. 108) • API とコマンドの概要 (p. 108) サブネットのパブリック IPv4 アドレス属性を変更 する デフォルトでは、デフォルト以外のサブネットでは IPv4 パブリックアドレス属性が false に設定 されており、デフォルトのサブネットではこの属性が true に設定されています。例外は、Amazon EC2 インスタンス起動ウィザードによって作成されるデフォルト以外のサブネットです。このウィ ザードが、属性を true に設定します。Amazon VPC コンソールを使用してこの属性を変更できま す。 サブネットのパブリック IPv4 のアドレス動作を変更するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[Subnets] を選択します。 3. サブネットを選択し、[Subnet Actions] を選択して、次に [Modify auto-assign IP settings] を選択 します。 [Enable auto-assign public IPv4 address] チェックボックスをオンにした場合、選択されたサブ ネット内で起動されるすべてのインスタンスに対してパブリック IPv4 アドレスがリクエストされ ます。必要に応じてチェックボックスをオンまたはオフにして、[Save] を選択します。 4. サブネットのパブリック IPv6 アドレス属性を変更 する デフォルトでは、すべてのサブネットで IPv6 アドレス属性が false に設定されています。Amazon VPC コンソールを使用してこの属性を変更できます。サブネットで IPv6 アドレス属性を有効にした 105 Amazon Virtual Private Cloud ユーザーガイド インスタンス起動時のパブリッ ク IPv4 アドレスの割り当て 場合、そのサブネットで作成されたネットワークインターフェイス (およびそのサブネットで起動され たインスタンス) は、サブネットの範囲から IPv6 アドレスを受け取ります。サブネットには関連付け られた IPv6 CIDR ブロックが必要です。 サブネットのパブリック IPv6 アドレスの動作を変更するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Subnets] を選択します。 3. サブネットを選択し、[Subnet Actions] を選択して、次に [Modify auto-assign IP settings] を選択 します。 4. [Enable auto-assign IPv6 address] チェックボックスをオンにした場合、選択されたサブネット内 で起動されるすべてのインスタンスに対して IPv6 アドレスがリクエストされます。必要に応じて チェックボックスをオンまたはオフにして、[Save] を選択します。 インスタンス起動時のパブリック IPv4 アドレスの 割り当て ただし、デフォルトのサブネットまたはデフォルト以外のサブネット内のインスタンスが起動中にパ ブリック IPv4 アドレスを割り当てられるかどうかを制御できます。 Important 起動後に、インスタンスからパブリック IPv4 アドレスの割り当てを手動で解除することは できません。ただし、特定の場合に、アドレスが自動的に解放され、その後再利用できなく なります。自由に関連付けと関連付け解除を実行できる固定パブリック IP アドレスが必要 な場合は、起動後に Elastic IP アドレスをインスタンスに関連付けます。詳細については、 「Elastic IP アドレス (p. 240)」を参照してください。 起動時にパブリック IPv4 アドレスをインスタンスに割り当てるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. [インスタンスの作成] を選択します。 3. AMI およびインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。 4. [Configure Instance Details] ページで、[Network] リストから VPC を選択します。[Auto-assign Public IP] リストが表示されます。[Enable] または [Disable] を選択して、サブネットのデフォル トの設定をオーバーライドします。 Important 複数のネットワークインターフェイスを指定した場合、パブリック IPv4 アドレスを割り 当てることはできません。さらに、eth0 のように既存のネットワークインターフェイス を指定すると、パブリック IPv4 の自動割り当て機能を使用してサブネット設定をオー バーライドすることはできません。 5. ウィザードの残りの手順に従ってインスタンスを起動します。 6. [Instances] 画面で、インスタンスを選択します。[Description] タブの [IPv4 Public IP] フィールド で、インスタンスのパブリック IP アドレスを表示できます。または、ナビゲーションペインで、 [Network Interfaces] を選択し、インスタンスの eth0 ネットワークインターフェイスを選択しま す。[IPv4 Public IP] フィールドで、パブリック IP アドレスを表示できます。 Note パブリック IPv4 アドレスは、コンソールのネットワークインターフェイスのプロパティ として表示されますが、NAT によってプライマリプライベート IPv4 アドレスにマッピ 106 Amazon Virtual Private Cloud ユーザーガイド インスタンス起動時に IPv6 アドレスを割り当てる ングされます。したがって、インスタンスのネットワークインターフェイスのプロパ ティを調べる場合、たとえば Windows インスタンスに対して ipconfig を使用して も、Linux インスタンスに対して ifconfig を使用しても、パブリック IP アドレスは表 示されません。インスタンス内からインスタンスのパブリック IP アドレスを決定するに は、インスタンスのメタデータを使用できます。詳細については、「インスタンスメタ データとユーザーデータ」を参照してください。 この機能は起動中のみ使用できます。ただし、起動時にパブリック IPv4 アドレスをインスタンスに割 り当てるかどうかにかかわらず、起動後に Elastic IP アドレスをインスタンスに関連付けることがで きます。詳細については、「Elastic IP アドレス (p. 240)」を参照してください。 インスタンス起動時に IPv6 アドレスを割り当てる 起動時に IPv6 アドレスをインスタンスに自動で割り当てます。これを行うには、関連付けられた IPv6 CIDR ブロック (p. 90)を持つ VPC とサブネットに対してインスタンスを起動する必要がありま す。IPv6 アドレスはサブネットの範囲から割り当てられ、プライマリネットワークインターフェイス (eth0) に割り当てられます。 起動時に IPv6 アドレスをインスタンスに自動的に割り当てるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. [インスタンスの作成] を選択します。 3. AMI およびインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。 Note IPv6 アドレスをサポートするインスタンスタイプを選択します。 4. [Configure Instance Details] ページで、[Network] から VPC を選択し、[Subnet] からサブネット を選択します。[Auto-assign IPv6 IP] で、[Enable] を選択します。 5. ウィザードの残りの手順に従ってインスタンスを起動します。 または、起動時にインスタンスのサブネットの範囲から固有の IPv6 アドレスを割り当てる場合は、イ ンスタンスのプライマリネットワークインターフェイスにアドレスを割り当てることができます。 起動時にインスタンスに固有の IPv6 アドレスを割り当てるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. [インスタンスの作成] を選択します。 3. AMI およびインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。 Note IPv6 アドレスをサポートするインスタンスタイプを選択します。 4. [Configure Instance Details] ページで、[Network] から VPC を選択し、[Subnet] からサブネット を選択します。 5. 「ネットワークインターフェイス」のセクションを参照してください。eth0 ネットワークイン ターフェイスでは、[IPv6 IPs] で [Add IP] を選択します。 6. サブネットの範囲から IPv6 アドレスを入力します。 7. ウィザードの残りの手順に従ってインスタンスを起動します。 起動時にインスタンスに複数の IPv6 アドレスを割り当てることの詳細については、『Linux インスタ ンス用 Amazon EC2 ユーザーガイド』の「Working with Multiple IPv6 Addresses」を参照してくださ い。 107 Amazon Virtual Private Cloud ユーザーガイド インスタンスへの IPv6 アドレスの割り当て インスタンスへの IPv6 アドレスの割り当て インスタンスとサブネットに関連付けられた IPv6 CIDR ブロック (p. 90)がある場合は、Amazon EC2 コンソールを使用して、使用するサブネットの範囲から IPv6 アドレスをインスタンスに割り当てるこ とができます。 IPv6 アドレスをインスタンスに関連付けるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで [Instances] を選択し、インスタンスを選択します。 3. [Actions]、[Manage IP Addresses] の順に選択します。 4. [IPv6 Addresses] で、[Assign new IP] を選択します。サブネットの範囲から IPv6 アドレスを指定 するか、[Auto-assign] を使って IPv6 アドレスを自動的に選択することができます。 5. [Save] を選択します。 また、IPv6 アドレスをネットワークインターフェイスに割り当てることができます。詳細について は、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Elastic Network Interfaces」トピッ クの「Assigning an IPv6 Address」を参照してください。 インスタンスからの IPv6 アドレスの割り当て解除 インスタンスで IPv6 アドレスが不要になった場合は、Amazon EC2 コンソールを使用してインスタ ンスから関連付けを解除できます。 インスタンスから IPv6 アドレスの関連付けを解除するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで [Instances] を選択し、インスタンスを選択します。 3. [Actions]、[Manage IP Addresses] の順に選択します。 4. [IPv6 Addresses] で、IPv6 アドレスに対して [Unassign] を選択します。 5. [Save] を選択します。 または、ネットワークインターフェイスから IPv6 アドレスの関連付けを解除することができま す。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Elastic Network Interfaces」トピックの「Unassigning an IPv6 Address」を参照してください。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 起動時にパブリック IPv4 アドレスを割り当てる • run-instances コマンドで --associate-public-ip-address または --no-associatepublic-ip-address オプションを使用します。(AWS CLI) • New-EC2Instance コマンドで -AssociatePublicIp パラメータを使用します。(AWS Tools for Windows PowerShell) 起動時に IPv6 アドレスを割り当てる • run-instances コマンド (AWS CLI) で --ipv6-addresses オプションを使用します。(AWS CLI) 108 Amazon Virtual Private Cloud ユーザーガイド IPv6 への移行 • New-EC2Instance コマンドで -Ipv6Addresses パラメータを使用します。(AWS Tools for Windows PowerShell) サブネットのパブリック IP アドレス動作を変更する • modify-subnet-attribute (AWS CLI) • Edit-EC2SubnetAttribute (AWS Tools for Windows PowerShell) IPv6 アドレスをネットワークインターフェイスに割り当てる • assign-ipv6-addresses (AWS CLI) ネットワークインターフェイスから IPv6 アドレスの割り当てを解除する • unassign-ipv6-addresses (AWS CLI) IPv6 への移行 既存の VPC が IPv4 のみに対応しており、サブネット内のリソースが IPv4 のみを使用するように設 定されている場合は、既存の VPC とリソースに対して IPv6 を有効化できます。VPC は、デュアル スタックモードで動作します。IPv4 または IPv6 あるいは両方を経由して通信できます。IPv4 と IPv6 は、互いに独立して通信されます。 VPC と サブネットの IPv4 を無効にすることはできません。これが、Amazon VPC と Amazon EC2 の IP アドレスシステムのデフォルト値です。 VPC およびサブネットを有効にして IPv6 を使用するには、以下の作業を行います。 • Amazon が提供する IPv6 CIDR ブロックを VPC およびサブネットと関連付けます。「ステップ 1: IPv6 CIDR ブロックを VPC およびサブネットと関連付けます。 (p. 112)」を参照してください。 • IPv6 経由のインターネットへのアウトバウンド通信を有効にし、インバウンド通信を無効にす る場合は、プライベートサブネット用に Egress-Only インターネットゲートウェイを作成しま す。Egress-Only インターネットゲートウェイは、IPv6 トラフィックのみサポートしています。 「ステップ 2: Egress-Only インターネットゲートウェイを作成して設定する (p. 113)」を参照し てください。 • IPv6 トラフィックがルーティングされるようにルートテーブルを更新します。たとえば、インター ネットゲートウェイに IPv6 トラフィックをすべてルーティングするルートをパブリックサブネット に作成できます。「ステップ 3: ルートテーブルを更新します。 (p. 113)」を参照してください。 • IPv6 アドレスのルールを含めて、セキュリティグループルールを更新します。これにより、IPv6 トラフィックはインスタンスに出入りできるようになります。「ステップ 4: セキュリティグルー プルールを更新する (p. 113)」を参照してください。カスタムネットワーク ACL ルールを作成し て、サブネットに出入りするトラフィックの流れを制御している場合は、IPv6 トラフィックのルー ルを含める必要があります。 • インスタンスタイプが IPv6 をサポートしていない場合は、インスタンスタイプを変更します。「ス テップ 5: インスタンスタイプを変更する (p. 114)」を参照してください。 • IPv6 アドレスをインスタンスに割り当てます。「ステップ 6: IPv6 アドレスをインスタンスに割り 当てる (p. 115)」を参照してください。 • DHCPv6 を使用するように設定されていない AMI からインスタンスが起動された場合は、インスタ ンスに割り当てられている IPv6 アドレスが認識されるように手動でインスタンスを設定する必要が あります。「(オプション) インスタンスに IPv6 を設定する (p. 115)」を参照してください。 109 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する 例: パブリックサブネットとプライベートサブネッ ト持つ VPC 内で IPv6 を有効化する この例では、VPC にパブリックサブネットとプライベートサブネットがあります。プライベートサブ ネットには、VPC 内の NAT ゲートウェイを経由してインターネットとアウトバウンド通信するデー タベースインスタンスがあります。パブリックサブネットには、インターネットゲートウェイ経由で インターネットにアクセスするパブリックのウェブサーバーがあります。次の図は、VPC のアーキテ クチャを示しています。 ウェブサーバーのセキュリティグループ (sg-11aa22bb) には、次のインバウンドルールがありま す。 タイプ プロトコル ポート範囲 送信元 コメント すべてのトラ フィック すべて すべて sg-33cc44dd sg-33cc44dd (データベースイ ンスタンス) に関 連付けられたイン スタンスからのト ラフィックすべて 110 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する タイプ プロトコル ポート範囲 送信元 コメント のインバウンドア クセスを許可しま す。 HTTP TCP 80 0.0.0.0/0 HTTP を介したイ ンターネットから のインバウンドト ラフィックを許可 します。 HTTPS TCP 443 0.0.0.0/0 HTTPS を介した インターネットか らのインバウンド トラフィックを許 可します。 SSH TCP 22 203.0.113.123/32 ローカルコン ピューターから のインバウンド SSH アクセスを 許可します (例: イ ンスタンスに接続 して管理タスクを 実行する必要があ る場合)。 データベースインスタンスのセキュリティグループ (sg-33cc44dd) には、次のインバウンドルール があります。 タイプ プロトコル ポート範囲 送信元 コメント MySQL TCP 3306 sg-11aa22bb sg-11aa22bb (ウェブサーバー インスタンス) に 関連付けられた インスタンスか らの MySQL トラ フィックのインバ ウンドアクセスを 許可します。 どちらのセキュリティグループにも、すべてのアウトバウンド IPv4 トラフィックを許可するアウトバ ウンドルールがデフォルトで設定されていますが、それ以外のアウトバウンドルールを設定すること はできません。 ウェブサーバーは、t2.medium インスタンスタイプです。データベースサーバーは、m3.large で す。 VPC とリソースを IPv6 用に有効化し、デュアルスタックモードで操作します。つまり、VPC のリ ソースとインターネット経由のリソースの間で、IPv6 アドレスと IPv4 アドレスの両方を使用しま す。 これらの手順が完了すると、VPC は次のように設定されます。 111 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する ステップ 1: IPv6 CIDR ブロックを VPC およびサブネットと関 連付けます。 IPv6 CIDR ブロックを VPC と関連付けたら、範囲内の /64 の CIDR ブロックを各サブネットと関連 付けます。 IPv6 CIDR ブロックを VPC と関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. 4. 画面左枠のナビゲーションペインで、[VPC] を選択します。 VPC を選択後、[Actions]、[Edit CIDRs] の順に選択します。 [Add IPv6 CIDR] を選択します。IPv6 CIDR ブロックが追加されたら、[Close] を選択します。 IPv6 CIDR ブロックをサブネットと関連付けるには 1. 2. 3. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[Subnets] を選択します。 サブネットを選択後、[Subnet Actions]、[Edit IPv6 CIDRs] の順に選択します。 4. [Add IPv6 CIDR] を選択します。16 進法でサブネットのキーペアを指定し (例: 00)、チェック マークアイコンを選択してエントリを確認します。 112 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する 5. [Close] を選択します。VPC 内の他のサブネットにも同様に、上記ステップを繰り返します。 詳細については、「IPv6 用の VPC とサブネットのサイズ設定 (p. 87)」を参照してください。 ステップ 2: Egress-Only インターネットゲートウェイを作成 して設定する VPC の Egress-Only インターネットゲートウェイを作成します。 Egress-Only インターネットゲートウェイを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Egress Only Internet Gateways]、[Create Egress Only Internet Gateway] の順に選択します。 3. Egress-Only インターネットゲートウェイを作成する VPC を選択します。[Create] を選択しま す。 詳細については、「Egress-Only インターネットゲートウェイ (p. 206)」を参照してください。 ステップ 3: ルートテーブルを更新します。 このステップでは、データベースインスタンスで、IPv6 トラフィック用に Egress-Only インターネッ トゲートウェイを使用できるように、プライベートサブネットのカスタムルートテーブルを更新しま す。また、ウェブサーバーで IPv6 トラフィック用にインターネットゲートウェイを使用できるよう に、ルート パブリックサブネットのカスタムルートテーブルを更新する必要があります。 ルートテーブルを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Route Tables] を選択後、プライベートサブネットに関連付けられた ルートテーブルを選択します。 3. [Routes] タブで [Edit] を選択し、[Destination] で [::/0] を指定します。次に、[Target] で Egress Only インターネットゲートウェイ ID を選択し、[Save] を選択します。 4. パブリックサブネットに関連付けられたルートテーブルを選択します。 5. [Routes] タブで [Edit] を選択し、[Destination] で [::/0] を指定します。次に、[Target] で Egress Only Internet Gateway ID を選択し、[Save] を選択します。 詳細については、「ルーティングオプション (p. 192)」を参照してください。 ステップ 4: セキュリティグループルールを更新する ウェブサーバーのセキュリティグループ (sg-11aa22bb) は、特定のポート経由の IPv4 アドレスから のインバウンドアクセスを許可します。IPv6 アドレスからの同一インバウンドアクセス、すなわちす べての IPv6 アドレスからの HTTP/HTTPS アクセスや、固有 IPv6 アドレスからの SSH アクセス (該 当する場合) を許可するルールを追加する必要があります。データベースのセキュリティグループのイ ンバウンドルールを変更する必要はありません。 sg-11aa22bb からの通信をすべて許可するルール には、IPv6 通信がデフォルトで含まれています。 セキュリティグループルールを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Security Groups] を選択後、ウェブサーバーのセキュリティグループを 選択します。 113 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する 3. [Inbound Rules] タブで、[Edit] を選択します。 4. ルールごとに、[Add another rule]、[Save] の順で選択します。 • [Type] で、[HTTP] を選択します。[送信元] に「::/0」と入力します。 • [Type] で、[HTTPS] を選択します。[送信元] に「::/0」と入力します。 • [Type] で、[SSH] を選択します。[Source] で、ローカルコンピューターの IPv6 アドレスか、 ローカルネットワークのネットワークアドレス範囲を入力します。 このシナリオでは、IPv6 CIDR ブロックを VPC と関連付けると、すべての IPv6 トラフィックを許可 するアウトバウンドルールがセキュリティグループに自動的に追加されます。ただし、セキュリティ グループの元のルールを変更する場合、このアウトバウンドルールは自動的に追加されません。その ため、IPv6 トラフィック用に同等のアウトバウンドルールを追加する必要があります。詳細について は、「VPC のセキュリティグループ (p. 121)」を参照してください。 デフォルトのネットワーク ACL を変更した場合、またはサブネット間のトラフィックの流れを制御す るルールを使用してカスタムネットワーク ACL を作成した場合は、IPv6 トラフィック用のルールを 含める必要があります。プライベートサブネットとパブリックサブネットを持つ VPC に推奨される ルールに関する詳細は、「シナリオ 2 に推奨されるルール (p. 148)」を参照してください。 ステップ 5: インスタンスタイプを変更する この例では、ウェブサーバーインスタンスは、t2.medium インスタンスタイプで、IPv6 をサポート しています。データベースインスタンスは、m3.large インスタンスタイプで、IPv6 をサポートして います。サポートされるインスタンスタイプ (例: m4.large) にインスタンスタイプのサイズを変更す る必要があります。詳細については、「Amazon EC2 インスタンスタイプ」を参照してください。 インスタンスのサイズを変更するには、互換性による制約に注意してください。詳細については、 『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスのサイズ変更の互換性」を 参照してください。このシナリオでは、データベースインスタンスが、HVM 仮想化を使用する AMI から起動された場合は、次の手順で m4.large インスタンスタイプにサイズ変更できます。 Important インスタンスのサイズを変更するには、インスタンスを停止する必要があります。インスタ ンスを停止、起動を行うと、インスタンスのパブリック IPv4 アドレスは変更されます (ある 場合)。インスタンスストアボリュームにデータが保存されている場合、データは消去されま す。 インスタンスのサイズを変更するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[Instances] を選択後、データベースインスタンスを選択します。 3. [Actions]、[Instance State]、[Stop] の順に選択します。 4. 確認ダイアログボックスで [Yes, Stop] を選択します。 5. インスタンスが選択された状態で、[Actions]、[Instance Settings]、[Change Instance Type] の順 に選択します。 6. [Instance Type] で、[m4.large]、[Apply] の順に選択します。 7. 停止されているインスタンスを再起動するには、インスタンスを選択後、[Actions]、[Instance State]、[Start] の順に選択します。確認ダイアログボックスで [Yes, Start] を選択します。 インスタンスのサイズが変更されたら、必要なエージェントがインストールされていることを確認し ます。詳細については、「(オプション) インスタンスに IPv6 を設定する (p. 115)」を参照してくだ さい。 114 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する インスタンスが instance store-backed AMI の場合、以前の手順を使用してインスタンスのサイズを 変更することはできません。代わりに、インスタンスから Instance Store-Backed AMI を作成後、新 しいインスタンスタイプを使用して AMI から新しいインスタンスを起動することができます。詳細に ついては、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Instance Store-Backed Linux AMI の作成」および『Windows インスタンスの Amazon EC2 ユーザーガイド』の「Instance StoreBacked Windows AMI の作成」を参照してください。 互換性の制約がある場合は、新しいインスタンスタイプに移行できない場合があります。たとえ ば、PV 仮想化を使用する AMI から起動されたインスタンスの場合、PV 仮想化と IPv6 の両方をサ ポートしているインスタンスタイプは C3 のみです。このインスタンスタイプは、ニーズに適さない 場合があります。この場合、ソフトウェアをベース HVM AMI に再インストールし、新しいインスタ ンスを起動する必要がある場合があります。 新しい AMI からインスタンスを起動する場合は、起動時に IPv6 アドレスをインスタンスに割り当て ることができます。 ステップ 6: IPv6 アドレスをインスタンスに割り当てる インスタンスタイプが IPv6 をサポートしていることを確認したら、Amazon EC2 コンソールを使用 して IPv6 アドレスをインスタンスに割り当てることができます。IPv6 アドレスは、インスタンスの プライマリネットワークインターフェイス (eth0) に割り当てられます。 IPv6 アドレスをインスタンスに割り当てるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[インスタンス] を選択します。 3. インスタンスを選択後、[Actions]、[Networking]、[Manage Private IP Addresses] の順に選択しま す。 4. [IPv6 Addresses] で、[Assign new IP] を選択します。サブネットの範囲から IPv6 アドレスを入力 するか、デフォルト値の Auto-Assign のままにして IPv6 アドレスを自動的に割り当てることが できます。 5. [Yes, Update] を選択します。 また、代替インスタンスを起動する場合 (インスタンスのサイズを変更できず、AMI を新しく作成し た場合など) は、起動時に IPv6 アドレスを割り当てることができます。 起動時に IPv6 アドレスをインスタンスに割り当てるには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. AMI および IPv6 と互換のあるインスタンスタイプを選択後、[Next: Configure Instance Details] を選択します。 3. [Configure Instance Details] ページで、[Network] の VPC を選択後、[Subnet] のサブネットを選 択します。[Auto-assign IPv6 IP] で、[Enable] を選択します。 4. ウィザードの残りの手順に従ってインスタンスを起動します。 (オプション) インスタンスに IPv6 を設定する Amazon Linux 2016.09.0 以降、または Windows Server 2008 R2 以降のバージョンを使用してインス タンスを起動した場合、インスタンスは IPv6 に設定され、追加の手順は必要ありません。 古い AMI からインスタンスを起動した場合は、DHCPv6 用に設定されていない可能性があります。つ まり、インスタンスに割り当てる IPv6 アドレスはネットワークインターフェイスでは自動的に認識さ れません。次の手順に従って、インスタンスを設定できます。 115 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する Amazon Linux に DHCPv6 を設定するには 1. インスタンスのパブリック IPv4 アドレスを使用して、インスタンスに接続します。詳細について は、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Linux インスタンスへの接続」 を参照してください。 2. インスタンスの最新ソフトウェアパッケージを取得する sudo yum update -y 3. 任意のテキストエディタを使用して、/etc/sysconfig/network-scripts/ifcfg-eth0 を開 き、次の行を見つけ出します。 IPV6INIT=no その行を次のように置き換えます。 IPV6INIT=yes 次の 2 行を追加し、変更を保存します。 DHCPV6C=yes DHCPV6C_OPTIONS=-nw 4. /etc/sysconfig/network を開き、以下の行を削除して変更を保存します。 NETWORKING_IPV6=no IPV6INIT=no IPV6_ROUTER=no IPV6_AUTOCONF=no IPV6FORWARDING=no IPV6TO4INIT=no IPV6_CONTROL_RADVD=no 5. /etc/hosts を開き、コンテンツを以下のように置き換え、変更を保存します。 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost6 localhost6.localdomain6 6. インスタンスを再起動します。インスタンス内から ifconfig コマンドを使用して、IPv6 アドレ スがプライマリネットワークインターフェイスで認識されることを確認します。 Ubuntu で DHCPv6 クライアントを起動するには 1. インスタンスのパブリック IPv4 アドレスを使用して、インスタンスに接続します。詳細について は、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Linux インスタンスへの接続」 を参照してください。 2. DHCPv6 クライアントを起動する sudo dhclient -6 3. ifconfig コマンドを使用して、IPv6 アドレスがプライマリネットワークインターフェイスで認 識されることを確認します。 116 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する Windows Server 2003 で IPv6 を有効化して設定するには 1. Amazon EC2 コンソールで、「describe-instances」の AWS CLI コマンドを使用するか、インス タンスの [IPv6 IPs] フィールドを確認して、インスタンスの IPv6 アドレスを取得します。 2. インスタンスのパブリック IPv4 アドレスを使用して、インスタンスに接続します。詳細について は、『Windows インスタンスの Amazon EC2 ユーザーガイド』の「Windows インスタンスへの 接続」を参照してください。 3. インスタンス内から、[Start]、[Control Panel]、[Network Connections]、[Local Area Connection] の順に選択します。 4. [Properties] 、[Install] の順に選択します。 5. [Protocol]、[Add] の順に選択します。[Network Protocol] リストで、[Microsoft TCP/IP version 6]、[OK] の順に選択します。 6. コマンドプロンプトを起動後、ネットワークシェルを開きます。 netsh 7. インターフェイス IPv6 コンテキストに切り替えます。 interface ipv6 8. 次のコマンドを使用して、IPv6 アドレスをローカルエリア接続に追加します。IPv6 アドレスの値 をインスタンスの IPv6 アドレスに置き換えます。 add address "Local Area Connection" "ipv6-address" 以下に例を示します。 add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b" 9. ネットワークシェルを終了します。 exit 10. ipconfig コマンドを使用して、IPv6 アドレスがローカルエリア接続で認識されることを確認し ます。 Windows Server 2008 SP2 で IPv6 を有効化して設定するには 1. Amazon EC2 コンソールで、「describe-instances」の AWS CLI コマンドを使用するか、インス タンスの [IPv6 IPs] フィールドを確認して、インスタンスの IPv6 アドレスを取得します。 2. インスタンスのパブリック IPv4 アドレスを使用して、Windows インスタンスに接続します。詳 細については、『Windows インスタンスの Amazon EC2 ユーザーガイド』の「Windows インス タンスへの接続」を参照してください。 3. [Start]、[Control Panel] の順に選択します。 4. [Network and Sharing Center] を開いた後、[Network Connections] を開きます。 5. [Local Area Network] (ネットワークインターフェイス用) を右クリックし、[Properties] を選択し ます。 6. [Internet Protocol Version 6 (TCP/IPv6)] チェックボックスをオンにして、[OK] を選択します。 7. ローカルエリアネットワークの [properties] ダイアログボックスを再度開きます。[Internet Protocol Version 6 (TCP/IPv6)]、[Properties] の順に選択します。 8. [Use the following IPv6 address] を選択して、以下の作業を行います。 • [IPv6 Address] で、ステップ 1 で取得した IPv6 アドレスを入力します。 117 Amazon Virtual Private Cloud ユーザーガイド 例: パブリックサブネットとプライベートサ ブネット持つ VPC 内で IPv6 を有効化する • [Subnet prefix length] で、64 と入力します。 9. [OK] を選択して、[properties] ダイアログボックスを閉じます。 10. コマンドプロンプトを開きます。ipconfig コマンドを使用して、IPv6 アドレスがローカルエリ ア接続で認識されることを確認します。 118 Amazon Virtual Private Cloud ユーザーガイド セキュリティ Amazon VPC では、次の機能を使用して、VPC のセキュリティを強化し、モニタリングできます。 • セキュリティグループ — 関連付けられた Amazon EC2 インスタンスのファイアウォールとして動 作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコ ントロールします • ネットワークアクセスコントロールリスト (ACL) – 関連付けられたサブネットのファイアウォール として動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をサブネットレベ ルでコントロールします • フローフラグ — VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関す る情報をキャプチャします VPC 内にインスタンスを起動するときに、作成した 1 つ以上のセキュリティグループを関連付けるこ とができます。VPC 内のインスタンスごとに異なるセキュリティグループのセットに割り当てること ができます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタン スは VPC のデフォルトのセキュリティグループに自動的に割り当てられます。セキュリティグループ の詳細については、「VPC のセキュリティグループ (p. 121)」を参照してください。 VPC インスタンスはセキュリティグループでのみ保護できます。ただし、第 2 保護レイヤーとして ネットワーク ACL を追加することができます。ネットワーク ACL の詳細については、「ネットワー ク ACL (p. 129)」を参照してください。 VPC、サブネット、または個別のネットワークインターフェイスのフローログを作成して、インスタ ンスを出入りする、許可または拒否された IP トラフィックをモニタリングできます。フローログデー タは CloudWatch Logs に発行され、過度に制限されているか制限のないセキュリティグループとネッ トワーク ACL ルールを診断するうえで役立ちます。詳細については、「VPC フローログ (p. 175)」 を参照してください。 AWS Identity and Access Management を使用すると、組織内の誰がセキュリティグループ、ネッ トワーク ACL、およびフローログを作成/管理できるようにするかをコントロールできます。例え ば、ネットワーク管理者にだけその許可を付与し、インスタンスの起動のみが必要な作業員には 付与しないようにできます。詳細については、「Amazon VPC のリソースに対するアクセスの制 御 (p. 162)」を参照してください。 Amazon セキュリティグループとネットワーク ACL は、リンクローカルアドレス (169.254.0.0/16) または AWS 予約済み IPv4 アドレスとやり取りされるトラフィックをフィルタリングしませ 119 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループとネットワーク ACL の比較 ん。AWS 予約済みアドレスは、サブネットの最初の 4 個の IPv4 アドレス (VPC の Amazon DNS サーバーアドレスを含む) です。同様に、フローログは、これらのアドレスを出入りする IP トラ フィックをキャプチャしません。これらのアドレスでは、ドメインネームサービス (DNS)、動的ホス ト構成プロトコル (DHCP)、Amazon EC2 インスタンスメタデータ、Key Management Server (KMS – Windows インスタンスのライセンス管理)、およびサブネットでのルーティングといったサービスを サポートしています。追加のファイアウォールソリューションをインスタンスで実装すれば、リンク ローカルアドレスとのネットワーク通信をブロックできます。 セキュリティグループとネットワーク ACL の比 較 次の表は、セキュリティグループとネットワーク ACL の基本的な違いをまとめたものです。 セキュリティグループ ネットワーク ACL インスタンスレベルで動作します (第 1 保護レイ ヤー) サブネットレベルで動作します (第 2 保護レイ ヤー) ルールの許可のみがサポートされます ルールの許可と拒否がサポートされます ステートフル: ルールに関係なく、返されたトラ フィックが自動的に許可されます ステートレス: 返されたトラフィックがルールに よって明示的に許可されます トラフィックを許可するかどうかを決める前 に、すべてのルールを評価します トラフィックを許可するかどうかを決めるとき に、順番にルールを処理します インスタンスの起動時に誰かがセキュリティグ ループを指定した場合、または後でセキュリ ティグループをインスタンスに関連付けた場合 にのみ、インスタンスに適用されます。 関連付けられたサブネット内のすべてのインス タンスに自動的に適用されます (バックアップの 保護レイヤーなので、セキュリティグループを 指定する人物に依存する必要はありません) 次の図は、セキュリティグループおよびネットワーク ACL が提供するセキュリティレイヤーを示して います。例えば、インターネットゲートウェイからのトラフィックは、ルーティングテーブルのルー トを使用して適切なサブネットにルーティングされます。サブネットに対してどのトラフィックが許 可されるかは、そのサブネットに関連付けられているネットワーク ACL のルールによってコントロー ルされます。インスタンスに対してどのトラフィックが許可されるかは、そのインスタンスに関連付 けられているセキュリティグループのルールによってコントロールされます。 120 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループ VPC のセキュリティグループ セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラ フィックとアウトバウンドトラフィックをコントロールします。VPC 内でインスタンスを起動した 場合、そのインスタンスは最大 5 つのセキュリティグループに割り当てることができます。セキュリ ティグループは、サブネットレベルでなくインスタンスレベルで動作します。このため、VPC 内の サブネット内のインスタンスごとに異なるセキュリティグループのセットに割り当てることができま す。起動時に特定のグループを指定しないと、インスタンスは VPC のデフォルトのセキュリティグ ループに自動的に割り当てられます。 セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルー ルと、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。このセク ションでは、VPC のセキュリティグループとそのルールについて、知っておく必要がある基本事項に ついて説明します。 セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定し たネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACL の違いの 詳細については、「セキュリティグループとネットワーク ACL の比較 (p. 120)」を参照してくださ い。 トピック • • • • • セキュリティグループの基本 (p. 122) VPC のデフォルトセキュリティグループ (p. 122) セキュリティグループのルール (p. 123) EC2-Classic と EC2-VPC のセキュリティグループの違い (p. 125) セキュリティグループを操作する (p. 126) • API と CLI の概要 (p. 129) 121 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループの基本 セキュリティグループの基本 VPC のセキュリティグループの基本的な特性を次に示します。 • VPC あたりで作成可能なセキュリティグループの数、各セキュリティグループに追加できるルール の数、ネットワークインターフェイスに関連付けることができるセキュリティグループの数に制限 があります。詳細については、「Amazon VPC の制限 (p. 280)」を参照してください。 • 許可ルールを指定できます。拒否ルールは指定できません。 • インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できます。 • デフォルトでは、インバウンドトラフィックは、インバウンドルールをセキュリティグループに追 加するまで許可されません。 • デフォルトでは、アウトバウンドルールはすべてのアウトバンドトラフィックを許可します。ルー ルを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。 • セキュリティグループはステートフルです。インスタンスからリクエストを送信する場合、そのリ クエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、 流れることができます。許可されたインバウンドトラフィックに対する応答(戻りのトラフィッ ク)は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。 Note トラフィックのタイプによっては、別々に追跡されます。詳細については、Linux インスタ ンス用 Amazon EC2 ユーザーガイド の「接続追跡」を参照してください。 • セキュリティグループに関連付けられたインスタンスの相互通信は、それを許可するルールを追加 するまで許可されません (例外: デフォルトのセキュリティグループについては、このルールがデ フォルトで指定されています)。 • セキュリティグループはネットワークインターフェイスに関連付けられます。インスタンスを起動 した後で、インスタンスに関連付けられたセキュリティグループを変更できます。これにより、プ ライマリネットワークインターフェイス (eth0) に関連付けられたセキュリティグループが変更され ます。あらゆるネットワークインターフェイスに関連付けられているセキュリティグループも変更 できます。ネットワークインターフェイスの詳細については、「Elastic Network Interfaces」を参照 してください。 VPC のデフォルトセキュリティグループ VPC ではデフォルトのセキュリティグループが自動的に使用されます。VPC で起動する EC2 インス タンスは、そのインスタンスの起動時に別のセキュリティグループを指定しない限り、それぞれがデ フォルトのセキュリティグループに自動的に関連付けられます。 次の表では、デフォルトのセキュリティグループ用のデフォルトルールについて説明します。 インバウンド 送信元 プロトコル ポート範囲 コメント セキュリティグループ ID (sg-xxxxxxxx) すべて すべて 同じセキュリティグループに割り当 てられたインスタンスからのインバ ウンドトラフィックを許可する. 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 すべて すべて すべての発信 IPv4 トラフィックを 許可する アウトバウンド 122 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループのルール ::/0 すべて すべて すべての発信 IPv6 トラフィックを 許可するこのルールは、IPv6 CIDR ブロックを持つ VPC を作成する か、既存の VPC と IPv6 CIDR ブ ロックを関連付けている場合にデ フォルトで追加されます。 デフォルトのセキュリティグループのルールは変更できます。 デフォルトのセキュリティグループを削除することはできません。デフォルトのセキュリティグルー プを削除しようとした場合、Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user エラーが発生します。 Note セキュリティグループのアウトバウンドルールの設定を修正した場合、VPC と IPv6 ブロック を関連付けたときに IPv6 トラフィック用のルールは自動的に追加されません。 セキュリティグループのルール セキュリティグループのルールは追加または削除できます (インバウンドまたはアウトバウンドアクセ スの許可または取り消しとも呼ばれます)。ルールが適用されるのは、インバウンドトラフィック (受 信) またはアウトバウンドトラフィック (送信) のいずれかです。特定の CIDR 範囲、または VPC ある いはピア VPC (VPC ピア接続が必要) の別のセキュリティグループにアクセス権を付与できます。 VPC のセキュリティグループのルールの基本要素を次に示します。 • (インバウンドルールのみ) トラフィックの送信元 (CIDR の範囲) と送信先 (リッスン) ポートまたは ポートの範囲。ソースは、他のセキュリティグループ、IPv4 または IPv6 CIDR ブロック、または単 一の IPv4 または IPv6 アドレスとなります。 • (アウトバウンドルールのみ) トラフィックの送信先 (CIDR の範囲) と送信先ポートまたはポートの 範囲。宛先は、他のセキュリティグループ、IPv4 または IPv6 CIDR ブロック、または単一の IPv4 または IPv6 アドレスとなります。 • 標準のプロトコル番号を持つ任意のプロトコル (リストについては、「Protocol Numbers」を参 照)。プロトコルとして ICMP を指定する場合、任意またはすべての ICMP タイプとコードを指定で きます。 ルールの送信元としてセキュリティグループを指定すると、送信元セキュリティグループに関連付け られたインスタンスは、そのセキュリティグループ内のインスタンスにアクセスできるようになりま す。 (その際、送信元セキュリティグループからこのセキュリティグループにルールが追加されること はありません。) 単一の IPv4 アドレスを指定した場合は、/32 プレフィックスを使用します。単一の IPv6 アドレスを 指定した場合は、/128 プレフィックス長を指定します。 ファイアウォールを設定するためのシステムの一部を使用すると、送信元ポートでフィルタを適用で きます。セキュリティグループを使用すると、送信先ポートでのみフィルタを適用できます。 ルールを追加または削除すると、セキュリティグループに関連付けられたすべてのインスタンスにこ の操作が自動的に適用されます。 追加するルールの種類は、インスタンスの目的によって異なります。次の表では、ウェブサーバー のセキュリティグループに対するルールの例を説明します。ウェブサーバーはすべての IPv4 および IPv6 アドレスから HTTP および HTTPS トラフィックを受信し、SQL または MySQL トラフィックを データベースサーバーに送信することができます。 123 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループのルール インバウンド 送信元 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 任意の IPv4 アドレスからのインバ ウンド HTTP アクセスを許可する ::/0 TCP 80 任意の IPv6 アドレスからのインバ ウンド HTTP アクセスを許可しま す。 0.0.0.0/0 TCP 443 任意の IPv4 アドレスからのインバ ウンド HTTPS アクセスを許可する ::/0 TCP 443 任意の IPv6 アドレスからのインバ ウンド HTTPS アクセスを許可する ネットワークのパブリック IPv4 アドレスの範囲 TCP 22 ネットワークの IPv4 アドレスから Linux インスタンスへのインバウン ド SSH アクセス (インターネット ゲートウェイ経由) を許可する ネットワークのパブリック IPv4 アドレスの範囲 TCP 3389 ネットワークの IPv4 アドレスから Windows インスタンスへのインバウ ンド RDP アクセス (インターネット ゲートウェイ経由) を許可する 送信先 プロトコル ポート範囲 コメント データベースサーバーのセキュ リティグループの ID TCP 1433 アウトバウンド Microsoft SQL Server が指定されたセキュリティグ ループ内のインスタンスにアクセス するのを許可する MySQL データベースサーバー のセキュリティグループの ID TCP 3306 アウトバウンド MySQL が指定され たセキュリティグループ内のインス タンスにアクセスするのを許可する アウトバウンド データベースサーバーには、異なるルールセットが必要です。たとえば、インバウンド HTTP および HTTPS トラフィックの代わりに、インバウンド MySQL または Microsoft SQL Server アクセスを許可 するルールを追加できます。ウェブサーバーとデータベースサーバーのセキュリティグループルール の例については、「セキュリティ (p. 53)」を参照してください。 パス MTU 検出が正常に機能するためのセキュリティグループルールの作成の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「パス MTU 検出」を参照してください。 古いセキュリティグループルール VPC に別の VPC との VPC ピア接続がある場合、セキュリティグループルールで、ピア VPC の別の セキュリティグループを参照できます。これにより、参照されるセキュリティグループと関連付けら れているインスタンスは、参照するセキュリティグループと関連付けられているインスタンスと通信 することができます。 ピア VPC の所有者が、参照されるセキュリティグループを削除するか、ユーザーまたはピア VPC の 所有者が VPC ピア接続を削除した場合、セキュリティグループルールは stale とマークされます。 古くなったセキュリティグループルールは他のセキュリティグループルールと同じ方法で削除できま す。 124 Amazon Virtual Private Cloud ユーザーガイド EC2-Classic と EC2-VPC のセキュリティグループの違い 詳細については、Amazon VPC Peering Guide の「古いセキュリティグループの操作」を参照してく ださい。 EC2-Classic と EC2-VPC のセキュリティグループ の違い 既に Amazon EC2 を使用しているのであれば、セキュリティグループについてはご存知でしょう。た だし、EC2-Classic で使用するために作成したセキュリティグループは、VPC のインスタンスで使用 することはできません。VPC のインスタンスで使用するためのセキュリティグループを特別に作成す る必要があります。VPC のセキュリティグループで使用するために作成したルールは、EC2-Classic のセキュリティグループを参照できません。その逆も同様です。 次の表は、EC2-Classic で使用するセキュリティグループと EC2-VPC で使用するセキュリティグ ループの違いをまとめたものです。 EC2-Classic EC2-VPC リージョンごとに最大 500 のセキュリティグ ループを作成できます。 VPC ごとに最大 500 のセキュリティグループを 作成できます。 最大 100 のルールをセキュリティグループに追 加できます。 最大 50 のルールをセキュリティグループに追加 できます。 インバウンドトラフィックのみにルールを追加 できます。 インバウンドトラフィックとアウトバウンドト ラフィックのルールを追加できます。 最大 500 つのセキュリティグループを 1 つのイ ンスタンスに割り当てることができます。 最大 5 つのセキュリティグループを 1 つのネッ トワークインターフェイスに割り当てることが できます。 他の AWS アカウントからセキュリティグループ VPC または VPC ピア接続のピア VPC からの を参照できます。 み、セキュリティグループを参照できます。ピ ア VPC が別のアカウントにあってもかまいませ ん。 インスタンスを起動すると、インスタンスに関 連付けられているセキュリティグループは変更 できません。 インスタンスの起動後でも、インスタンスに関 連付けられているセキュリティグループは変更 できます。 ルールをセキュリティグループに追加する とき、プロトコルを指定する必要はありませ ん。TCP、UDP、または ICMP のみを使用でき ます。 ルールをセキュリティグループに追加するとき は、プロトコルを指定する必要があります。標 準のプロトコル番号を持つ任意のプロトコル、 またはすべてのプロトコル (Protocol Numbers を 参照) を使用できます。 ルールをセキュリティグループに追加するとき は、ポート番号を指定する必要があります (TCP または UDP 用)。 ルールをセキュリティグループに追加するとき は、そのルールが TCP または UDP 用の場合に のみポート番号を指定できます。すべてのポー ト番号を指定できます。 別のセキュリティグループルールで参照されて いるセキュリティグループは削除できません。 別のセキュリティグループルールで参照され たセキュリティグループの場合、そのセキュ リティグループが別の VPC にあれば削除で きます。参照されるセキュリティグループ を削除すると、ルールは古いとマークされま す。describe-stale-security-groups AWS CLI コ マンドを使用して、古いルールを識別できま す。 125 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループを操作する EC2-Classic EC2-VPC IPv6 CIDR ブロックまたは IPv6 アドレスをソー スとして、またはセキュリティグループのルー ルに宛先を指定することはできません。 IPv6 CIDR ブロックまたは IPv6 アドレスをソー スとして、またはセキュリティグループのルー ルに宛先を指定することができます。 セキュリティグループを操作する このセクションでは、Amazon VPC を使用してセキュリティグループを操作する方法について説明し ます。 トピック • デフォルトのセキュリティグループを変更する (p. 126) • セキュリティグループを作成する (p. 126) • ルールを追加および削除する (p. 126) • インスタンスのセキュリティグループを変更する (p. 127) • セキュリティグループを削除する (p. 128) • 2009-07-15-default のセキュリティグループを削除する (p. 128) デフォルトのセキュリティグループを変更する VPC に用意されているデフォルトのセキュリティグループの初期ルールでは、すべてのインバウンド トラフィックが拒否され、すべてのアウトバウンドトラフィックと、そのグループのインスタンス間 のすべてのトラフィックが許可されます。このグループは削除できませんが、グループのルールは変 更できます。その手順は、他のセキュリティグループを変更する手順と同じです。詳細については、 「ルールを追加および削除する (p. 126)」を参照してください。 セキュリティグループを作成する インスタンスのデフォルトのセキュリティグループを使用できますが、独自のグループを作成し、シ ステムにおけるインスタンスの様々な役割を反映させたい場合があります。 セキュリティグループを作成するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[Security Groups] を選択します。 3. 4. [Create Security Group] を選択します。 セキュリティグループ名 (例えば、my-security-group) と説明を入力します。[VPC] メニュー で VPC の ID を選択し、[Yes, Create] を選択します。 デフォルトでは、新しいセキュリティグループには、すべてのトラフィックがインスタンスを出るこ とを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを 許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要がありま す。 ルールを追加および削除する ルールを追加または削除すると、セキュリティグループに既に割り当てられているすべてのインスタ ンスが変更される可能性があります。Amazon EC2 API またはコマンドラインツールを使用してい る場合は、ルールを変更することはできません。ルールを追加および削除できるのみです。Amazon VPC コンソールを使用している場合は、既存のルールのエントリを変更できます (コンソールによっ てルールが削除され、新しいルールが追加されます)。 126 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループを操作する Note VPC ピア接続がある場合は、セキュリティグループルールで、送信元または送信先としてピ ア VPC からセキュリティグループを参照できます。詳細については、Amazon VPC Peering Guide の「セキュリティグループを更新してピア VPC セキュリティグループを更新する」を 参照してください。 ルールを追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. 更新するセキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細 と、インバウンドルールとアウトバンドルールを操作するタブが表示されます。 4. [Inbound Rules] タブで、[Edit] を選択します。[Type] でインバウンドトラフィックのルールに 関するオプションを選択し、必要な情報を入力します。例えば、パブリックウェブサーバーで は、HTTP または HTTPS を選択し、[Source] に値 0.0.0.0/0 を指定します。[Save] を選択し ます。 Note 0.0.0.0/0 を使うと、すべての IPv4 アドレスから HTTP や HTTPS 経由でインスタン スにアクセスすることが許可されます。アクセスを制限するには、特定の IP アドレスま たはアドレス範囲を入力します。 5. このセキュリティグループに関連付けられたすべてのインスタンス間での通信を許可することも できます。[Inbound Rules] タブで、[Type] リストから [All Traffic] を選択します。[Source] にセ キュリティグループの ID を入力します。これにより、セキュリティグループのリストが作成され ます。リストからセキュリティグループを選択し、[Save] を選択します。 6. 必要に応じて、[Outbound Rules] タブを使用し、アウトバウンドトラフィックのルールを追加で きます。 ルールを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. 更新するセキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細 と、インバウンドルールとアウトバンドルールを操作するタブが表示されます。 4. [Edit] を選択し、削除するロールを選択して、[Remove]、[Save] の順に選択します。 インスタンスのセキュリティグループを変更する VPC のインスタンスが割り当てられているセキュリティグループは、そのインスタンスの起動後に変 更できます。変更した場合、インスタンスは実行または停止します。 Note この手順では、インスタンスのプライマリネットワークインターフェイス (eth0) に関連付 けられているセキュリティグループを変更します。他のネットワークインターフェイスのセ キュリティグループを変更するには、「ネットワークインターフェイスのセキュリティグ ループの変更」を参照してください。 インスタンスのセキュリティグループを変更するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 127 Amazon Virtual Private Cloud ユーザーガイド セキュリティグループを操作する 2. ナビゲーションペインで、[インスタンス] を選択します。 3. インスタンスのコンテキスト (右クリック) メニューを開き、[Networking]、[Change Security Groups] の順に選択します。 4. [Change Security Groups] ダイアログボックスで、1 つ以上のセキュリティグループをリストから 選択し、[Assign Security Groups] を選択します。 セキュリティグループを削除する セキュリティグループは、インスタンスが実行されているかどうかにかかわらず、そのグループに割 り当てられていない場合にのみ削除できます。インスタンスは、セキュリティグループを削除する前 に他のセキュリティグループに割り当てることができます (「インスタンスのセキュリティグループを 変更する (p. 127)」を参照)。デフォルトのセキュリティグループを削除することはできません。 セキュリティグループを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. セキュリティグループを選択し、[Security Group Actions] で [Delete Security Group] を選択しま す。 4. [Delete Security Group] ダイアログボックスで、[Yes, Delete] を選択します。 2009-07-15-default のセキュリティグループを削除する 2011 年 1 月 1 日より前の API バージョンを使用して作成された VPC には、2009-07-15-default セキュリティグループが含まれます。すべての VPC に含まれる通常の default セキュリティグルー プの他に、このセキュリティグループが存在します。インターネットゲートウェイは、2009-07-15default セキュリティグループを含む VPC にアタッチすることはできません。したがって、VPC に インターネットゲートウェイをアタッチする前に、このセキュリティグループを削除する必要があり ます。 Note このセキュリティグループを任意のインスタンスに割り当てている場合、そのセキュリティ グループは、該当するインスタンスを別のセキュリティグループに割り当ててからでなけれ ば、削除できません。 2009-07-15-default セキュリティグループを削除するには 1. このセキュリティグループがどのインスタンスにも割り当てられていないことを確認します。 a. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 b. ナビゲーションペインで、[Network Interfaces] を選択します。 c. リストからインスタンスのネットワークインターフェイスを選択し、[Change Security Groups]、[Actions] の順に選択します。 d. [Change Security Groups] ダイアログボックスで、リストから新しいセキュリティグループ を選択し、[Save] を選択します。 Tip インスタンスのセキュリティグループを変更するときに、複数のグループをリスト から選択できます。選択したセキュリティグループによって、インスタンスの現在 のセキュリティグループが置き換えられます。 e. 各インスタンスごとに前述の手順を繰り返します。 128 Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 3. 4. ナビゲーションペインで、[Security Groups] を選択します。 2009-07-15-default セキュリティグループを選択し、[Security Group Actions] で [Delete] を 選択します。 [Delete Security Group] ダイアログボックスで、[Yes, Delete] を選択します。 5. API と CLI の概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 セキュリティグループの作成 • create-security-group (AWS CLI) • New-EC2SecurityGroup (AWS Tools for Windows PowerShell) セキュリティグループにルールを追加する • authorize-security-group-ingress および authorize-security-group-egress (AWS CLI) • Grant-EC2SecurityGroupIngress および Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell) 1 つまたは複数のセキュリティグループについて説明する • describe-security-groups (AWS CLI) • Get-EC2SecurityGroup (AWS Tools for Windows PowerShell) インスタンスのセキュリティグループを変更する • modify-instance-attribute (AWS CLI) • Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell) セキュリティグループからルールを削除する • revoke-security-group-ingress および revoke-security-group-egress (AWS CLI) • Revoke-EC2SecurityGroupIngress および Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell) セキュリティグループを削除する • delete-security-group (AWS CLI) • Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell) ネットワーク ACL ネットワークアクセスコントロールリスト (ACL) は、1 つ以上のサブネットのインバウンドトラ フィックとアウトバウンドトラフィックを制御するファイアウォールとして動作する、VPC 用のセ キュリティのオプションレイヤーです。セキュリティの追加レイヤーを VPC に追加するには、セ キュリティグループと同様のルールを指定したネットワーク ACL をセットアップできます。セキュリ 129 Amazon Virtual Private Cloud ユーザーガイド ネットワーク ACL の基本 ティグループとネットワーク ACL の違いの詳細については、「セキュリティグループとネットワーク ACL の比較 (p. 120)」を参照してください。 トピック • ネットワーク ACL の基本 (p. 130) • ネットワーク ACL ルール (p. 130) • デフォルトのネットワーク ACL (p. 131) • カスタムネットワーク ACL (p. 132) • 一時ポート (p. 137) • ネットワーク ACL の操作 (p. 138) • 例: サブネットのインスタンスへのアクセスの制御 (p. 141) • API とコマンドの概要 (p. 144) ネットワーク ACL の基本 ネットワーク ACL について知っておく必要がある基本的な情報を以下に示します。 • VPC には、変更可能なデフォルトのネットワーク ACL が自動的に設定されます。デフォルトで は、すべてのインバウンドおよびアウトバウンドの IPv4 トラフィックと、IPv6 トラフィック (該当 する場合) が許可されます。 • カスタムネットワーク ACL を作成し、サブネットと関連付けることができます。デフォルトでは、 各カスタムネットワーク ACL は、ルールを追加するまですべてのインバウンドトラフィックとアウ トバウンドトラフィックを拒否します。 • VPC 内の各サブネットにネットワーク ACL を関連付ける必要があります。ネットワーク ACL に明 示的にサブネットを関連付けない場合、サブネットはデフォルトのネットワーク ACL に自動的に関 連付けられます。 • 1 つのネットワーク ACL を複数のサブネットに関連付けることができます。ただし、1 つのサブ ネットは一度に 1 つのネットワーク ACL にのみ関連付けることができます。サブネットとネット ワーク ACL を関連付けると、以前の関連付けは削除されます。 • ネットワーク ACL には、低い番号から順に評価される番号付きのルールリストが含まれ、ネット ワーク ACL に関連付けられたサブネットのインバウンドトラフィックまたはアウトバウンドトラ フィックが許可されるかどうかを指定します。ルールに使用できる最も高い番号は 32766 です。ま ずは 100 の倍数のルール番号を付けたルールを作成することをお勧めします。こうすると、後で必 要になったときに新しいルールを挿入できます。 • ネットワーク ACL には個別のインバウンドルールとアウトバウンドルールがあり、各ルールでトラ フィックを許可または拒否できます。 • ネットワーク ACL はステートレスです。許可されているインバウンドトラフィックに対する応答 は、アウトバウンドトラフィックのルールに従います (その逆の場合も同様です)。 作成できるネットワーク ACL の数の詳細については、「Amazon VPC の制限 (p. 280)」を参照して ください。 ネットワーク ACL ルール デフォルトのネットワーク ACL に対してルールの追加または削除を行うことができます。また、VPC に合わせて追加のネットワーク ACL を作成することができます。ネットワーク ACL に対してルール の追加または削除を行うと、変更内容は、その ACL に関連付けられているサブネットに自動的に適用 されます。 次に、ネットワーク ACL ルールの一部を示します。 • ルール番号。ルールは、最も低い番号のルールから評価されます。ルールがトラフィックに一致す ると、それと相反するより高い数値のルールの有無にかかわらず、すぐに適用されます。 130 Amazon Virtual Private Cloud ユーザーガイド デフォルトのネットワーク ACL • プロトコル。標準のプロトコル番号を持つ任意のプロトコルを指定できます。詳細については、 「プロトコル番号」を参照してください。プロトコルとして ICMP を指定する場合、任意またはす べての ICMP タイプとコードを指定できます。 • [インバウンドルールのみ] トラフィックの送信元 (CIDR の範囲) と送信先 (リッスン) ポートまたは ポートの範囲。 • [アウトバウンドルールのみ] トラフィックの送信先 (CIDR の範囲) と送信先ポートまたはポートの 範囲。 • 指定したトラフィックに関する許可または拒否の選択。 デフォルトのネットワーク ACL デフォルトのネットワーク ACL は、すべてのトラフィックが、関連するサブネットを出入りすること を許可するように設定されます。各ネットワーク ACL にも、ルール番号がアスタリスクのルールが含 まれます。このルールによって、パケットが他のいずれの番号のルールとも一致しない場合は、確実 に拒否されます。このルールを変更または削除することはできません。 IPv4 のみをサポートする VPC のデフォルトネットワーク ACL の例を以下に示します。 インバウンド ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 100 すべての IPv4 トラフィック すべて すべて 0.0.0.0/0 許可 * すべての IPv4 トラフィック すべて すべて 0.0.0.0/0 拒否 ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 100 すべての IPv4 トラフィック すべて すべて 0.0.0.0/0 許可 * すべての IPv4 トラフィック すべて すべて 0.0.0.0/0 拒否 アウトバウンド IPv6 CIDR ブロックを持つ VPC を作成するか、IPv6 CIDR ブロックを既存の VPC と関連付ける場合 は、すべての IPv6 トラフィックがサブネット間を流れるようにするルールが自動的に追加されます。 また、ルール番号がアスタリスクのルールが追加されます。このルールにより、パケットが他のいず れのルールとも一致しない場合は、確実に拒否されます。このルールを変更または削除することはで きません。IPv4 または IPv6 をサポートする VPC のデフォルトネットワーク ACL の例を以下に示し ます。 Note デフォルトのネットワーク ACL のインバウンドルールを変更した場合は、IPv6 ブロックを VPC と関連付けても、インバウンド IPv6 トラフィックを許可するルールが自動的に追加され ることはありません。同様に、アウトバウンドルールを変更した場合、アウトバウンド IPv6 を許可するルールが自動的に追加されることはありません。 インバウンド ルール番号 タイプ プロトコル 131 ポート範囲 送信元 許可/拒否 Amazon Virtual Private Cloud ユーザーガイド カスタムネットワーク ACL 100 すべての IPv4 トラフィック すべて すべて 0.0.0.0/0 許可 101 すべての IPv6 トラフィック すべて すべて ::/0 許可 * すべてのトラ フィック すべて すべて 0.0.0.0/0 拒否 * すべての IPv6 トラフィック すべて すべて ::/0 拒否 ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 100 すべてのトラ フィック すべて すべて 0.0.0.0/0 許可 101 すべての IPv6 トラフィック すべて すべて ::/0 許可 * すべてのトラ フィック すべて すべて 0.0.0.0/0 拒否 * すべての IPv6 トラフィック すべて すべて ::/0 拒否 アウトバウンド カスタムネットワーク ACL IPv4 のみをサポートする VPC のカスタムネットワーク ACL の例を以下のテーブルに示します。この ACL には、HTTP および HTTPS のインバウンドトラフィック (インバウンドルール 100 および 110) を許可するルールが含まれます。そのインバウンドトラフィックに対する応答を可能にする、対応す るアウトバウンドルールがあります (一時ポート 49152~65535 を対象とするアウトバウンドルール 120)。適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート (p. 137)」を参照し てください。 ネットワーク ACL には、SSH および RDP からサブネットに対するトラフィックを許可するインバウ ンドルールも含まれます。アウトバウンドルール 120 は、サブネットに送信される応答を可能にしま す。 ネットワーク ACL には、サブネットからの HTTP および HTTPS のアウトバウンドトラフィックを許 可するアウトバウンドルール (100 および 110) があります。そのアウトバウンドトラフィックに対す る応答を可能にする、対応するインバウンドルールがあります (一時ポート 49152~65535 を対象と するインバウンドルール 140)。 Note 各ネットワーク ACL には、ルール番号がアスタリスクのデフォルトルールが含まれます。こ のルールによって、パケットが他のいずれのルールとも一致しない場合は、確実に拒否され ます。このルールを変更または削除することはできません。 インバウンド ルール番 号 タイプ プロトコル ポート範 囲 132 送信元 許可/拒否 コメント Amazon Virtual Private Cloud ユーザーガイド カスタムネットワーク ACL 100 HTTP TCP 80 0.0.0.0/0 許可 任意の IPv4 アドレスか らのインバウンド HTTP トラフィックを許可し ます。 110 HTTPS TCP 443 0.0.0.0/0 許可 任意の IPv4 アドレス からのインバウンド HTTPS トラフィックを 許可します。 120 SSH TCP 22 192.0.2.0/24 許可 (インターネットゲート ウェイを介した) ホー ムネットワークのパブ リック IPv4 アドレスの 範囲からのインバウン ド SSH トラフィックを 許可します。 130 RDP TCP 3389 192.0.2.0/24 許可 (インターネットゲート ウェイを介した) ホー ムネットワークのパブ リック IPv4 アドレス の範囲からウェブサー バーに対するインバウ ンド RDP トラフィック を許可します。 140 カスタム TCP TCP 49152~ 65535 0.0.0.0/0 許可 (送信元がサブネットで あるリクエストに対す る) インターネットから のインバウンドリター ン IPv4 トラフィックを 許可します。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 * すべて のトラ フィック すべて すべて 0.0.0.0/0 拒否 前のルールでまだ処理 されていないすべての インバウンド IPv4 トラ フィックを拒否します (変更不可)。 アウトバウンド ルール番 号 タイプ プロトコル ポート範 囲 送信先 許可/拒否 コメント 100 HTTP TCP 0.0.0.0/0 許可 サブネットからイン ターネットへのアウト バウンド IPv4 HTTP ト ラフィックを許可しま す。 80 133 Amazon Virtual Private Cloud ユーザーガイド カスタムネットワーク ACL 110 HTTPS TCP 443 0.0.0.0/0 許可 サブネットからイン ターネットへのアウト バウンド IPv4 HTTPS トラフィックを許可し ます。 120 カスタム TCP TCP 49152~ 65535 0.0.0.0/0 許可 インターネット上のク ライアントに対するア ウトバウンド IPv4 応答 を許可します (例: サブ ネット内のウェブサー バーを訪問するユー ザーに対するウェブ ページの提供)。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 * すべて のトラ フィック すべて すべて 0.0.0.0/0 拒否 前のルールでまだ処理 されていないすべての アウトバウンド IPv4 ト ラフィックを拒否しま す (変更不可)。 パケットがサブネットに送信されると、サブネットが関連付けられている ACL の進入ルールと照合 して評価されます (ルールリストの一番上から順に一番下まで評価されます)。パケットが SSL ポート (443) あての場合の評価方法は次のとおりです。パケットは最初に評価されるルール (ルール 100) と 一致しません。また、2 番目のルール (110) とは一致します。このルールでは、サブネットに送信さ れるパケットを許可します。パケットがポート 139 (NetBIOS) あての場合、先頭の 2 つのルールは一 致しませんが、最終的に * ルールによってパケットが拒否されます。 正当に幅広い範囲のポートを開く必要があり、その範囲内の特定のポートは拒否したい場合は、拒否 ルールを追加します。このとき、テーブル内で、幅広い範囲のポートトラフィックを許可するルール よりも先に拒否ルールを配置します。 Important Elastic Load Balancing では、バックエンドインスタンスのサブネットに、ソースが 0.0.0.0/0 であるかサブネットの CIDR であるすべてのトラフィックに追加した拒否ルール を適用するネットワーク ACL がある場合、ロードバランサーはインスタンスのヘルスチェッ クを実行できません。ロードバランサーとバックエンドインスタンスに推奨されるネット ワーク ACL ルールの詳細については、Classic Load Balancer ガイド の「VPC のロードバラ ンサーのネットワーク ACL」を参照してください。 IPv6 CIDR ブロックと関連付けた VPC のカスタムネットワーク ACL の同一例を以下のテーブルに示 します。このネットワーク ACL には、すべての IPv6 HTTP および HTTPS トラフィックのルールが 含まれます。この場合、IPv4 トラフィックの既存のルールに新しいルールが追加されました。ただ し、IPv4 ルールよりも高い数値でルールを追加することもできます。IPv4 トラフィックと IPv6 トラ フィックは異なります。したがって、IPv4 トラフィックのルールはいずれも IPv6 トラフィックに適 用することはできません。 インバウンド ルール番 号 タイプ プロトコル ポート範 囲 134 送信元 許可/拒否 コメント Amazon Virtual Private Cloud ユーザーガイド カスタムネットワーク ACL 100 HTTP TCP 80 0.0.0.0/0 許可 任意の IPv4 アドレスか らのインバウンド HTTP トラフィックを許可し ます。 105 HTTP TCP 80 ::/0 許可 任意の IPv6 アドレスか らのインバウンド HTTP トラフィックを許可し ます。 110 HTTPS TCP 443 0.0.0.0/0 許可 任意の IPv4 アドレス からのインバウンド HTTPS トラフィックを 許可します。 115 HTTPS TCP 443 ::/0 許可 任意の IPv6 アドレス からのインバウンド HTTPS トラフィックを 許可します。 120 SSH TCP 22 192.0.2.0/24 許可 (インターネットゲート ウェイを介した) ホー ムネットワークのパブ リック IPv4 アドレスの 範囲からのインバウン ド SSH トラフィックを 許可します。 130 RDP TCP 3389 192.0.2.0/24 許可 (インターネットゲート ウェイを介した) ホー ムネットワークのパブ リック IPv4 アドレス の範囲からウェブサー バーに対するインバウ ンド RDP トラフィック を許可します。 140 カスタム TCP TCP 49152~ 65535 0.0.0.0/0 (送信元がサブネットで あるリクエストに対す る) インターネットから のインバウンドリター ン IPv4 トラフィックを 許可します。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 135 許可 Amazon Virtual Private Cloud ユーザーガイド カスタムネットワーク ACL 145 カスタム TCP TCP 49152-65535::/0 許可 (送信元がサブネットで あるリクエストに対す る) インターネットから のインバウンドリター ン IPv6 トラフィックを 許可します。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 * すべて のトラ フィック すべて すべて 0.0.0.0/0 拒否 前のルールでまだ処理 されていないすべての インバウンド IPv4 トラ フィックを拒否します (変更不可)。 * すべて のトラ フィック すべて すべて ::/0 拒否 前のルールでまだ処理 されていないすべての インバウンド IPv6 トラ フィックを拒否します (変更不可)。 アウトバウンド ルール番 号 タイプ プロトコル ポート範 囲 送信先 許可/拒否 コメント 100 HTTP TCP 80 0.0.0.0/0 許可 サブネットからイン ターネットへのアウト バウンド IPv4 HTTP ト ラフィックを許可しま す。 105 HTTP TCP 80 ::/0 許可 サブネットからイン ターネットへのアウト バウンド IPv6 HTTP ト ラフィックを許可しま す。 110 HTTPS TCP 443 0.0.0.0/0 許可 サブネットからイン ターネットへのアウト バウンド IPv4 HTTPS トラフィックを許可し ます。 115 HTTPS TCP 443 ::/0 許可 サブネットからイン ターネットへのアウト バウンド IPv6 HTTPS トラフィックを許可し ます。 136 Amazon Virtual Private Cloud ユーザーガイド 一時ポート 120 カスタム TCP TCP 49152~ 65535 125 カスタム TCP TCP * すべて のトラ フィック * すべて のトラ フィック 0.0.0.0/0 許可 インターネット上のク ライアントに対するア ウトバウンド IPv4 応答 を許可します (例: サブ ネット内のウェブサー バーを訪問するユー ザーに対するウェブ ページの提供)。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 49152-65535::/0 許可 インターネット上のク ライアントに対するア ウトバウンド IPv6 応答 を許可します (例: サブ ネット内のウェブサー バーを訪問するユー ザーに対するウェブ ページの提供)。 適切な一時ポートの範 囲を選択する方法の詳 細については、「一時 ポート (p. 137)」を参 照してください。 すべて すべて 0.0.0.0/0 拒否 前のルールでまだ処理 されていないすべての アウトバウンド IPv4 ト ラフィックを拒否しま す (変更不可)。 すべて すべて ::/0 拒否 前のルールでまだ処理 されていないすべての アウトバウンド IPv6 ト ラフィックを拒否しま す (変更不可)。 一時ポート 前のセクションでは、ネットワーク ACL の例に 49152~65535 という一時ポートの範囲を使用してい ます。ただし、使用または通信しているクライアントの種類によっては、ネットワーク ACL に別の範 囲を使用してもかまいません。 リクエストを開始するクライアントは、一時ポートの範囲を選択します。範囲は、クライアントのオ ペレーティングシステムによって変わります。多くの Linux カーネル (Amazon Linux カーネルを含 む) は、ポート 32768~61000 を使用します。Elastic Load Balancing が送信元のリクエストは、ポー ト 1024~65535 を使用します。Windows Server 2003 を介する Windows オペレーティングシステム は、ポート 1025~5000 を使用します。Windows Server 2008 以降のバージョンでは、ポート 49152 ~65535 を使用します。NAT ゲートウェイはポート 1024~65535 を使用します。たとえば、イン ターネット上の Windows XP クライアントから、お使いの VPC のウェブサーバーにリクエストが送 信される場合、ネットワーク ACL には、ポート 1025~5000 あてのトラフィックを可能にするアウト バウンドルールを用意する必要があります。 137 Amazon Virtual Private Cloud ユーザーガイド ネットワーク ACL の操作 VPC 内のインスタンスが、リクエストを開始するクライアントの場合、ネットワーク ACL には、イ ンスタンス (Amazon Linux、Windows Server 2008 など) の種類に固有の一時ポートあてのトラフィッ クを可能にするインバウンドルールを用意する必要があります。 実際に、VPC 内のパブリックに面したインスタンスに対して、トラフィックを開始することができる 多様なクライアントを対象にするには、一時ポート 1024~65535 を開くことができます。ただし、そ の範囲内で悪意のあるポートのトラフィックを拒否するルールを ACL を追加することもできます。こ のとき、テーブル内で、幅広い範囲の一時ポートを開く許可ルールよりも先に拒否ルールを配置しま す。 ネットワーク ACL の操作 ここでは、Amazon VPC コンソールを使用してネットワーク ACL を操作する方法について説明しま す。 トピック • ネットワーク ACL の関連付けの確認 (p. 138) • ネットワーク ACL を作成する (p. 138) • ルールの追加と削除 (p. 139) • サブネットをネットワーク ACL と関連付ける (p. 140) • ネットワーク ACL とサブネットの関連付けの解除 (p. 140) • サブネットのネットワーク ACL の変更 (p. 140) • ネットワーク ACL の削除 (p. 140) ネットワーク ACL の関連付けの確認 Amazon VPC コンソールを使用して、サブネットに関連付けられているネットワーク ACL を確認す ることができます。ネットワーク ACL を複数のサブネットに関連付けて、ネットワーク ACL に関連 付けられているサブネットを確認することもできます。 サブネットと関連付けられているネットワーク ACL を確認するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Subnets] を選択し、サブネットを選択します。 サブネットに関連付けられているネットワーク ACL は、ネットワーク ACL のルールと共に [Network ACL] タブに表示されます。 ネットワーク ACL に関連付けられたサブネットを決定するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインの [Network ACLs] を選択します。[Associated With] 列には、各ネットワー ク ACL に関連付けられているサブネットの数が表示されます。 3. ネットワーク ACL を選択します。 4. 詳細ペインで [Subnet Associations] を選択して、ネットワーク ACL に関連付けられているサブ ネットを表示します。 ネットワーク ACL を作成する VPC のカスタムネットワーク ACL を作成できます。デフォルトでは、作成するネットワーク ACL に より、ルールを追加するまですべてのインバウンドおよびアウトバウンドトラフィックがブロックさ れ、明示的に関連付けるまではサブネットと関連付けられません。 138 Amazon Virtual Private Cloud ユーザーガイド ネットワーク ACL の操作 ネットワーク ACL を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. ナビゲーションペインの [Network ACLs] を選択します。 [Create Network ACL] を選択します。 4. [Create Network ACL ] ダイアログボックスで、オプションでネットワーク ACL に名前を付け て、[VPC] リストから VPC の ID を選択して、[Yes, Create] を選択します。 ルールの追加と削除 ACL のルールの追加または削除を行うと、その ACL に関連付けられたすべてのサブネットに変更が 反映されます。サブネット内のインスタンスを削除して再作成する必要はありません。短時間で変更 が反映されます。 Amazon EC2 API またはコマンドラインツールを使用している場合は、ルールを変更することはでき ません。ルールを追加および削除できるのみです。Amazon VPC コンソールを使用している場合は、 既存のルールのエントリを変更できます (コンソールによってルールが削除され、新しいルールが追 加されます)。ACL のルールの順序を変更する必要がある場合は、新しいルール番号を指定した新しい ルールを追加してから、元のルールを削除します。 ルールをネットワーク ACL に追加するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインの [Network ACLs] を選択します。 3. 詳細ペインで、追加する必要があるルールの種類に応じて、[Inbound Rules] タブまたは [Outbound Rules] タブを選択し、[Edit] を選択します。 4. [Rule #] にルール番号 (100 など) を入力します。ネットワーク ACL にすでに使用されているルー ル番号は使用できません。ルールは、最も低い番号から順に処理されます。 Tip ルール番号は、連続番号 (101、102、103 など) を使用せずに、間を空けておくことをお 勧めします (100、200、300 など)。こうすることで、既存のルールに番号を振り直さな くても、新しいルールを簡単に追加できるようになります。 5. [Type] リストからルールを選択します。たとえば、HTTP のルールを追加するには、[HTTP] を選 択します。すべての TCP トラフィックを許可するルールを追加するには、[All TCP] を選択しま す。これらのオプションの一部 (HTTP など) については、ポートが自動入力されます。表示され ていないプロトコルを使用するには、[Custom Protocol Rule] を選択します。 6. (オプション) カスタムプロトコルルールを作成する場合は、[Protocol] リストからプロトコルの番 号または名前を選択します。詳細については、「プロトコル番号の IANA リスト」を参照してく ださい。 7. (オプション) 選択したプロトコルにポート番号が必要な場合、ポート番号またはハイフンで区 切ったポート番号の範囲 (49152-65535 など) を入力します。 8. インバウンドルールかアウトバウンドルールかに応じて、[Source] または [Destination] フィール ドに、ルールを適用する CIDR の範囲を入力します。 9. [Allow/Deny] リストから、指定したトラフィックを許可するには [ALLOW]、指定したトラフィッ クを拒否するには [DENY] を選択します。 10. (オプション) 別のルールを追加するには、[Add another rule] を選択し、必要に応じてステップ 4 ~9 を繰り返します。 11. 完了したら、[Save ] を選択します。 ネットワーク ACL からルールを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 139 Amazon Virtual Private Cloud ユーザーガイド ネットワーク ACL の操作 2. ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。 3. 詳細ペインで、[Inbound Rules] タブまたは [Outbound Rules] タブを選択してから、[Edit] を選択 します。削除するルールの [Remove] を選択し、[Save] を選択します。 サブネットをネットワーク ACL と関連付ける ネットワーク ACL のルールを特定のサブネットに適用するには、サブネットをネットワーク ACL と 関連付ける必要があります。1 つのネットワーク ACL を複数のサブネットに関連付けることができま す。ただし、1 つのサブネットは 1 つのネットワーク ACL にのみ関連付けることができます。特定の ACL に関連付けられていないサブネットは、デフォルトでデフォルトのネットワーク ACL と関連付 けられます。 サブネットをネットワーク ACL と関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。 3. 詳細ペインの [Subnet Associations] タブで、[Edit] を選択します。ネットワーク ACL に関連付け るサブネットの [Associate] チェックボックスをオンにしてから、[Save] を選択します。 ネットワーク ACL とサブネットの関連付けの解除 これにより、カスタムネットワーク ACL の関連付けをサブネット — から解除することができ、サブ ネットはデフォルトのネットワーク ACL と自動的に関連付けられます。 サブネットとネットワーク ACL の関連付けを解除するには 1. 2. 3. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。 詳細ペインの [Subnet Associations] タブを選択します。 4. [Edit] を選択して、サブネットの [Associate] チェックボックスをオフにします。[Save] を選択し ます。 サブネットのネットワーク ACL の変更 サブネットに関連付けられているネットワーク ACL を変更できます。例えば、サブネットを作成する と、初期状態で、そのサブネットにはデフォルトのネットワーク ACL が関連付けられます。このサブ ネットには、作成したカスタムネットワーク ACL を関連付けることができます。 サブネットのネットワーク ACL を変更した後は、サブネット内のインスタンスを削除して再作成する 必要はありません。短時間で変更が反映されます。 サブネットのネットワーク ACL の関連付けを変更するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. 4. ナビゲーションペインで [Subnets] を選択し、サブネットを選択します。 [Network ACL] タブを選択し、[Edit] を選択します。 [Change to] リストからサブネットを関連付けるネットワーク ACL を選択して、[Save] を選択し ます。 ネットワーク ACL の削除 ネットワーク ACL に関連付けられているサブネットがない場合にのみ、そのネットワーク ACL を削 除できます。デフォルトのネットワーク ACL は削除できません。 140 Amazon Virtual Private Cloud ユーザーガイド 例: サブネットのインスタンスへのアクセスの制御 ネットワーク ACL を削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインの [Network ACLs] を選択します。 3. ネットワーク ACL を選択し、[Delete] を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 例: サブネットのインスタンスへのアクセスの制御 この例では、サブネットのインスタンスは相互に通信でき、信頼されたリモートコンピュータからア クセス可能です。リモートコンピュータは、ローカルネットワークのコンピュータ、または管理タス クを実行するためにインスタンスへの接続に使用する別のサブネットまたは VPC にあるインスタン スとすることができます。セキュリティグループルールとネットワーク ACL ルールでは、リモートコ ンピュータの IP アドレス (172.31.1.2/32) からのアクセスを許可します。インターネットまたは他の ネットワークからのその他のトラフィックはすべて拒否されます。 すべてのインスタンスは、以下のルールで同じセキュリティグループ (sg-1a2b3c4d) を使用します。 インバウンドルール プロトコルタイプ プロトコル ポート範囲 送信元 コメント すべてのトラ フィック すべて すべて sg-1a2b3c4d 同じセキュリティ グループに関連付 けられたインスタ ンスがお互いに通 信できるようにし ます。 TCP SSH 22 172.31.1.2/32 リモートコン ピュータからのイ 141 Amazon Virtual Private Cloud ユーザーガイド 例: サブネットのインスタンスへのアクセスの制御 ンバウンド SSH アクセスを許可し ます。インスタン スが Windows コ ンピュータである 場合、このルール では代わりにポー ト 3389 に RDP プロトコルを使用 する必要がありま す。 アウトバウンドルール プロトコルタイプ プロトコル ポート範囲 送信先 コメント すべてのトラ フィック すべて すべて sg-1a2b3c4d 同じセキュリティ グループに関連付 けられたインスタ ンスがお互いに通 信できるようにし ます。 サブネットは、以下のルールがあるネットワーク ACL に関連付けられます。 インバウンドルール ルール番号 タイプ プロトコル ポート範囲 送信元 100 SSH TCP 22 172.31.1.2/32 許可 リモートコ ンピュータ からのイン バウンドト ラフィック を許可しま す。インス タンスが Windows コンピュー タである 場合、こ のルールで は代わりに ポート 3389 に RDP プ ロトコルを 使用する必 要がありま す。 * すべてのト ラフィック すべて すべて 0.0.0.0/0 前のルール と一致す る他のすべ てのインバ ウンドトラ フィックを 拒否しま す。 142 許可/拒否 拒否 コメント Amazon Virtual Private Cloud ユーザーガイド 例: サブネットのインスタンスへのアクセスの制御 アウトバウンドルール ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 100 カスタム TCP TCP 1024-65535 172.31.1.2/32 許可 リモートコ ンピュータ に対するア ウトバウン ド応答を許 可します。 ネットワー ク ACL は ステート レスである ため、イン バウンドリ クエストの 応答トラ フィック を許可する には、この ルールが必 要です。 * すべてのト ラフィック すべて すべて 0.0.0.0/0 前のルール と一致しな い他のすべ てのアウト バウンドト ラフィック を拒否しま す。 拒否 コメント このシナリオでは、インスタンスのセキュリティグループまたはセキュリティグループルールを変 更し、防衛のバックアップレイヤーとしてネットワーク ACL を持つことができます。ネットワーク ACL ルールはサブネット内のすべてのインスタンスに適用されるため、誤ってセキュリティグループ ルールを過度に制限の低いものにした場合、ネットワーク ACL ルールで継続的に 1 つの IP アドレス からのみアクセスが許可されます。たとえば、次のルールでは前のルールよりも制限が低くなり、す べての IP アドレスからのインバウンド SSH アクセスが許可されます。 インバウンドルール タイプ プロトコル ポート範囲 送信元 コメント すべてのトラ フィック すべて すべて sg-1a2b3c4d 同じセキュリティ グループに関連付 けられたインスタ ンスがお互いに通 信できるようにし ます。 SSH TCP 22 0.0.0.0/0 すべての IP アド レスからの SSH アクセスを許可し ます。 アウトバウンドルール 143 Amazon Virtual Private Cloud ユーザーガイド API とコマンドの概要 タイプ プロトコル ポート範囲 送信先 コメント すべてのトラ フィック すべて すべて 0.0.0.0/0 すべてのアウトバ ウンドトラフィッ クを許可します。 ただし、サブネット内の他のインスタンスおよびリモートコンピュータのみが、このインスタンスに アクセスできます。ネットワーク ACL ルールでは、リモートコンピュータからのものを除き、引き続 きサブネットへのすべてのインバウンドトラフィックがブロックされます。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 VPC のネットワーク ACL を作成する • create-network-acl (AWS CLI) • New-EC2NetworkAcl (AWS Tools for Windows PowerShell) 1 つまたは複数のネットワーク ACL について説明する • describe-network-acls (AWS CLI) • Get-EC2NetworkAcl (AWS Tools for Windows PowerShell) ルールをネットワーク ACL に追加する • create-network-acl-entry (AWS CLI) • New-EC2NetworkAclEntry (AWS Tools for Windows PowerShell) ネットワーク ACL からルールを削除する • delete-network-acl-entry (AWS CLI) • Remove-EC2NetworkAclEntry (AWS Tools for Windows PowerShell) ネットワーク ACL の既存のルールを置換する • replace-network-acl-entry (AWS CLI) • Set-EC2NetworkAclEntry (AWS Tools for Windows PowerShell) ネットワーク ACL の関連付けを置換する • replace-network-acl-association (AWS CLI) • Set-EC2NetworkAclAssociation (AWS Tools for Windows PowerShell) ネットワーク ACL を削除する • delete-network-acl (AWS CLI) • Remove-EC2NetworkAcl (AWS Tools for Windows PowerShell) 144 Amazon Virtual Private Cloud ユーザーガイド VPC に推奨されるネットワーク ACL ルール VPC に推奨されるネットワーク ACL ルール VPC ウィザードを利用すると、Amazon VPC.の一般的なシナリオを簡単に実装できます。ドキュメン トの説明どおりにこのシナリオを実装した場合、デフォルトのネットワークアクセスコントロールリ スト (ACL) を使用することになります。この場合、すべてのインバウンドトラフィックとアウトバウ ンドトラフィックが許可されます。セキュリティを強化する必要がある場合は、ネットワーク ACL を 作成し、ルールを追加できます。各シナリオに対して以下のルールをお勧めします。 トピック • シナリオ 1 に推奨されるルール (p. 145) • シナリオ 2 に推奨されるルール (p. 148) • シナリオ 3 に推奨されるルール (p. 154) • シナリオ 4 に推奨されるルール (p. 161) ネットワーク ACL とその使用方法の詳細については、「ネットワーク ACL (p. 129)」を参照してく ださい。 Important • 例として一時ポート範囲 49152 ~ 65535 を使用するか、NAT ゲートウェイの 1024 ~ 65535 を使用します。設定に適した範囲を選択する必要があります。詳細については、 「一時ポート (p. 137)」を参照してください。 • サブネット内のホスト間の最大送信単位 (MTU) が異なる場合、パス MTU 検出が正常 に機能し、パケットの損失を防ぐために、次のインバウンドおよびアウトバウンドネッ トワーク ACL ルールを追加する必要があります。カスタム ICMP ルールタイプおよ び、Destination Unreachable、fragmentation required, and DF flag set ポート範囲 (タイ プ 3、コード 4)。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の 「EC2 インスタンスの最大ネットワーク送信単位 (MTU)」を参照してください。 シナリオ 1 に推奨されるルール シナリオ 1 は、インターネットトラフィックを送受信できるインスタンスを含む単一のサブネットで す。詳細については、「シナリオ 1: 単一のパブリックサブネットを持つ VPC (p. 26)」を参照してく ださい。 次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除 き、すべてのトラフィックをブロックします。 インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 任意の IPv4 アドレスから のインバウンド HTTP トラ フィックを許可します。 110 0.0.0.0/0 TCP 443 許可 任意の IPv4 アドレスから のインバウンド HTTPS ト ラフィックを許可します。 120 ホームネッ トワークの パブリック IPv4 アドレ スの範囲 TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからのインバ ウンド SSH トラフィック を許可します。 145 Amazon Virtual Private Cloud ユーザーガイド シナリオ 1 に推奨されるルール 130 ホームネッ トワークの パブリック IPv4 アドレ スの範囲 TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからのインバ ウンド RDP トラフィック を許可します。 140 0.0.0.0/0 TCP 49152~ 65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv4 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 110 0.0.0.0/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 120 0.0.0.0/0 TCP 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド応答を許可します (例 えば、サブネット内のウェ ブサーバーを訪問するユー ザーに対するウェブページ の提供など)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv4 トラフィック を拒否します (変更不可)。 146 Amazon Virtual Private Cloud ユーザーガイド シナリオ 1 に推奨されるルール IPv6 に推奨されるルール IPv6 がサポートされているシナリオ 1 を実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC と サブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウ トバウンド IPv6 トラフィックを制御する必要があります。 ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。 インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 150 ::/0 TCP 80 許可 任意の IPv6 アドレスから のインバウンド HTTP トラ フィックを許可します。 160 ::/0 TCP 443 許可 任意の IPv6 アドレスから のインバウンド HTTPS ト ラフィックを許可します。 170 ホームネッ トワークの IPv6 アドレ ス範囲 TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからのインバ ウンド SSH トラフィック を許可します。 180 ホームネッ トワークの IPv6 アドレ ス範囲 TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからのインバ ウンド RDP トラフィック を許可します。 190 ::/0 TCP 49152~ 65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 130 ::/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 140 ::0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド 147 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール HTTPS トラフィックを許 可します。 150 ::/0 TCP 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド応答を許可します (例 えば、サブネット内のウェ ブサーバーを訪問するユー ザーに対するウェブページ の提供など)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 シナリオ 2 に推奨されるルール シナリオ 2 は、インターネットトラフィックを送受信できるインスタンスを含むパブリックサブネッ トと、インターネットからのトラフィックを直接受信できないプライベートサブネットです。ただ し、プライベートサブネットは、パブリックサブネットの NAT ゲートウェイまたは NAT インスタン スを介して、インターネットに対するアウトバウンドトラフィックを開始すること (および応答を受 信すること) はできます。詳細については、「シナリオ 2: パブリックサブネットとプライベートサブ ネットを持つ VPC (NAT) (p. 34)」を参照してください。 このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、プライベートサブネッ ト用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらの ルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。これら のルールは、このシナリオのセキュリティグループルールとほとんど同じです。 パブリックサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 任意の IPv4 アドレスから のインバウンド HTTP トラ フィックを許可します。 110 0.0.0.0/0 TCP 443 許可 任意の IPv4 アドレスから のインバウンド HTTPS ト ラフィックを許可します。 120 ホームネッ トワークの パブリック IP アドレス の範囲 TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからのインバ ウンド SSH トラフィック を許可します。 130 ホームネッ トワークの TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム 148 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール パブリック IP アドレス の範囲 ネットワークからのインバ ウンド RDP トラフィック を許可します。 140 0.0.0.0/0 TCP 1024-65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv4 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 110 0.0.0.0/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 120 10.0.1.0/24 TCP 1433 許可 プライベートサブネット内 のデータベースサーバーに 対するアウトバウンド MS SQL アクセスを許可しま す. 130 10.0.1.0/24 TCP 3306 許可 プライベートサブネット内 のデータベースサーバー に対するアウトバウンド MySQL アクセスを許可し ます. 140 0.0.0.0/0 TCP 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド応答を許可します (例 えば、サブネット内のウェ ブサーバーを訪問するユー ザーに対するウェブページ の提供など)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 149 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール 150 10.0.1.0/24 TCP 22 許可 (SSH 拠点から) プライベー トサブネットのインスタ ンスへのアウトバウンド SSH アクセスを許可しま す (該当する場合)。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv4 トラフィック を拒否します (変更不可)。 プライベートサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 10.0.0.0/24 TCP 1433 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MS SQL サーバーに対する 読み取りと書き込みを許可 します. 110 10.0.0.0/24 TCP 3306 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MySQL サーバーに対する 読み取りと書き込みを許可 します. 120 10.0.0.0/24 TCP 22 許可 SSH 拠点からのインバウ ンド SSH トラフィックを 許可します (該当する場 合)。 130 10.0.0.0/24 TCP 3389 許可 パブリックサブネット 内の Microsoft Terminal Services ゲートウェイから のインバウンド TDP トラ フィックを許可します. 140 0.0.0.0/0 TCP 1024-65535 許可 送信元がプライベートサブ ネットであるリクエスト について、パブリックサ ブネットの NAT デバイス からのインバウンドリター ントラフィックを許可しま す。 正しい一時ポートの選択 の詳細については、このト ピックの冒頭にある注意点 を参照してください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv4 トラフィックを 拒否します (変更不可)。 150 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 110 0.0.0.0/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 120 10.0.0.0/24 TCP 49152~ 65535 許可 パブリックサブネットに対 するアウトバウンド応答 (例: プライベートサブネッ ト内の DB サーバーと通信 するパブリックサブネット 内のウェブサーバーに対す る応答) を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv4 トラフィック を拒否します (変更不可)。 IPv6 に推奨されるルール IPv6 がサポートされているシナリオ 2 を実装し、IPv6 CIDR ブロックが関連付けられた VPC とサブ ネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバ ウンド IPv6 トラフィックを制御する必要があります。 ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。 パブリックサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 150 ::/0 TCP 80 許可 任意の IPv6 アドレスから のインバウンド HTTP トラ フィックを許可します。 160 ::0 TCP 443 許可 任意の IPv6 アドレスから のインバウンド HTTPS ト ラフィックを許可します。 170 ホームネッ トワークの TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからの IPv6 151 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール IPv6 アドレ ス範囲 経由のインバウンド SSH トラフィックを許可しま す。 180 ホームネッ トワークの IPv6 アドレ ス範囲 TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからの IPv6 経由のインバウンド RDP トラフィックを許可しま す。 190 ::/0 TCP 1024-65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 160 ::/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 170 ::/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します 180 2001:db8:1234:1a01::/64 TCP 1433 許可 プライベートサブネット内 のデータベースサーバーに 対するアウトバウンド MS SQL アクセスを許可しま す. 190 2001:db8:1234:1a01::/64 TCP 3306 許可 プライベートサブネット内 のデータベースサーバー に対するアウトバウンド MySQL アクセスを許可し ます 152 Amazon Virtual Private Cloud ユーザーガイド シナリオ 2 に推奨されるルール 200 ::/0 210 * TCP 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド応答を許可します (例: サブネット内のウェブサー バーを訪問するユーザーに 対するウェブページの提 供)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 2001:db8:1234:1a01::/64 TCP 22 許可 (SSH 拠点から) プライベー トサブネットのインスタ ンスへのアウトバウンド SSH アクセスを許可しま す (該当する場合)。 ::/0 すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 ポート 許可/拒否 コメント すべて プライベートサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル 150 2001:db8:1234:1a00::/64 TCP 1433 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MS SQL サーバーに対する 読み取りと書き込みを許可 します. 160 2001:db8:1234:1a00::/64 TCP 3306 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MySQL サーバーに対する 読み取りと書き込みを許可 します. 170 2001:db8:1234:1a00::/64 TCP 22 許可 パブリックサブネット内 の SSH 拠点からのインバ ウンド SSH トラフィック を許可します (該当する場 合)。 180 2001:db8:1234:1a00::/64 TCP 3389 許可 パブリックサブネット 内の Microsoft Terminal Services ゲートウェイから のインバウンド RDP トラ フィックを許可します (該 当する場合)。 153 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール 190 ::/0 TCP 1024-65535 許可 送信元がプライベートサブ ネットであるリクエストに ついて、Egress-Only イン ターネットゲートウェイか らのインバウンドリターン トラフィックを許可しま す。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 130 ::/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 140 ::/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 150 2001:db8:1234:1a00::/64 TCP 49152~ 65535 許可 パブリックサブネットに対 するアウトバウンド応答 (例: プライベートサブネッ ト内の DB サーバーと通信 するパブリックサブネット 内のウェブサーバーに対す る応答) を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 すべて シナリオ 3 に推奨されるルール シナリオ 3 は、インターネットトラフィックを送受信できるインスタンスを含むパブリックサブネッ トと、VPN 接続でホームネットワークとのみ通信できるインスタンスを含む VPN のみのサブネット 154 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール です。詳細については、「シナリオ 3: パブリックおよびプライベートのサブネットを持つ VPC と ハードウェア VPN アクセス (p. 48)」を参照してください。 このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、VPN のみのサブネッ ト用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらの ルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。 パブリックサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 任意の IPv4 アドレスから ウェブサーバーへのインバ ウンド HTTP トラフィック を許可する。 110 0.0.0.0/0 TCP 443 許可 任意の IPv4 アドレスから ウェブサーバーへのインバ ウンド HTTPS トラフィッ クを許可する。 120 ホームネッ トワークの パブリック IPv4 アドレ スの範囲 TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからウェブ サーバーへのインバウンド SSH トラフィックを許可 します。 130 ホームネッ トワークの パブリック IPv4 アドレ スの範囲 TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからウェブ サーバーへのインバウンド RDP トラフィックを許可 します 140 0.0.0.0/0 TCP 49152~ 65535 許可 送信元がサブネットである リクエストからのインバ ウンドリターン IPv4 トラ フィックを許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv4 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 0.0.0.0/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド 155 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール HTTP トラフィックを許可 します。 110 0.0.0.0/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 120 10.0.1.0/24 TCP 1433 許可 VPN のみのサブネット内 のデータベースサーバーに 対するアウトバウンド MS SQL アクセスを許可しま す. 130 10.0.1.0/24 TCP 3306 許可 VPN のみのサブネット内 のデータベースサーバー に対するアウトバウンド MySQL アクセスを許可し ます. 140 0.0.0.0/0 TCP 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド IPv4 応答を許可しま す (例: サブネット内のウェ ブサーバーを訪問するユー ザーに対するウェブページ の提供)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンドトラフィックを拒否 します (変更不可能)。 VPN のみのサブネットの ACL 設定 インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 10.0.0.0/24 TCP 1433 許可 パブリックサブネット内の ウェブサーバーから、VPN のみのサブネット内の MS SQL サーバーに対する読み 取りと書き込みを許可しま す. 110 10.0.0.0/24 TCP 3306 許可 パブリックサブネット内の ウェブサーバーから、VPN のみのサブネット内の MySQL サーバーに対する 読み取りと書き込みを許可 します. 156 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール 120 ホームネッ トワークの プライベー ト IPv4 ア ドレスの範 囲 TCP 22 許可 (仮想プライベートゲート ウェイを介した) ホーム ネットワークからのインバ ウンド SSH トラフィック を許可します。 130 ホームネッ トワークの プライベー ト IPv4 ア ドレスの範 囲 TCP 3389 許可 (仮想プライベートゲート ウェイを介した) ホーム ネットワークからのインバ ウンド RDP トラフィック を許可します。 140 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 49152~ 65535 許可 ホームネットワークのクラ イアントからインバウンド リターントラフィック (仮 想プライベートゲートウェ イ経由) を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンドトラフィックを拒否し ます (変更不可能)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 ホームネッ トワークの プライベー ト IP アド レスの範囲 すべて すべて 許可 サブネットからホームネッ トワークへのすべてのア ウトバウンドトラフィッ ク (仮想プライベートゲー トウェイ経由) を許可しま す。このルールはルール 120 も含んでいます。ただ し、特定のプロトコルタ イプとポート番号を使用 して、このルールの適用 範囲を絞り込むことがで きます。このルールの適用 範囲を絞り込む場合、アウ トバウンド応答がブロック されないようにするには、 ネットワーク ACL にルー ル 120 を含める必要があり ます。 157 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール 110 10.0.0.0/24 TCP 49152~ 65535 許可 パブリックサブネットの ウェブサーバーに対するア ウトバウンド応答を許可し ます。 正しい一時ポートの選択 の詳細については、このト ピックの冒頭にある注意点 を参照してください。 120 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 49152~ 65535 許可 ホームネットワーク内のク ライアントへのアウトバウ ンド応答 (仮想プライベー トゲートウェイ経由) を許 可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンドトラフィックを拒否 します (変更不可能)。 IPv6 に推奨されるルール IPv6 がサポートされているシナリオ 3 を実装し、IPv6 CIDR ブロックが関連付けられた VPC とサブ ネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバ ウンド IPv6 トラフィックを制御する必要があります。 ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。 パブリックサブネット用の ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 150 ::/0 TCP 80 許可 任意の IPv6 アドレスから のインバウンド HTTP トラ フィックを許可します。 160 ::0 TCP 443 許可 任意の IPv6 アドレスから のインバウンド HTTPS ト ラフィックを許可します。 170 ホームネッ トワークの IPv6 アドレ ス範囲 TCP 22 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからの IPv6 経由のインバウンド SSH トラフィックを許可しま す。 180 ホームネッ トワークの TCP 3389 許可 (インターネットゲート ウェイを介した) ホーム ネットワークからの IPv6 158 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール IPv6 アドレ ス範囲 経由のインバウンド RDP トラフィックを許可しま す。 190 ::/0 TCP 1024-65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 150 ::/0 TCP 80 許可 サブネットからインター ネットへのアウトバウンド HTTP トラフィックを許可 します。 160 ::/0 TCP 443 許可 サブネットからインター ネットへのアウトバウンド HTTPS トラフィックを許 可します。 170 2001:db8:1234:1a01::/64 TCP 1433 許可 プライベートサブネット内 のデータベースサーバーに 対するアウトバウンド MS SQL アクセスを許可しま す. 180 2001:db8:1234:1a01::/64 TCP 3306 許可 プライベートサブネット内 のデータベースサーバー に対するアウトバウンド MySQL アクセスを許可し ます. 190 ::/0 49152~ 65535 許可 インターネット上のクライ アントに対するアウトバウ ンド応答を許可します (例: サブネット内のウェブサー バーを訪問するユーザーに 対するウェブページの提 供)。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 TCP 159 Amazon Virtual Private Cloud ユーザーガイド シナリオ 3 に推奨されるルール * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 ポート 許可/拒否 コメント VPN 専用サブネットの ACL ルール インバウンド ルール番号 送信元 IP プロトコル 150 2001:db8:1234:1a00::/64 TCP 1433 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MS SQL サーバーに対する 読み取りと書き込みを許可 します. 160 2001:db8:1234:1a00::/64 TCP 3306 許可 パブリックサブネット内の ウェブサーバーから、プラ イベートサブネット内の MySQL サーバーに対する 読み取りと書き込みを許可 します. * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 プロトコル ポート 許可/拒否 コメント アウトバウンド ルール番号 送信先 IP 130 2001:db8:1234:1a00::/64 TCP 49152~ 65535 許可 パブリックサブネットに対 するアウトバウンド応答 (例: プライベートサブネッ ト内の DB サーバーと通信 するパブリックサブネット 内のウェブサーバーに対す る応答) を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * ::/0 すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 すべて 160 Amazon Virtual Private Cloud ユーザーガイド シナリオ 4 に推奨されるルール シナリオ 4 に推奨されるルール シナリオ 4 は、VPN 接続でホームネットワークとのみ通信できるインスタンスを含む単一のサブネッ トです。詳細については、「シナリオ 4: プライベートサブネットのみを持つ VPC とハードウェア VPN アクセス (p. 61)」を参照してください。 次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除 き、すべてのトラフィックをブロックします。 インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント 100 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 22 許可 ホームネットワークからサ ブネットに対するインバウ ンド SSH トラフィックを 許可します. 110 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 3389 許可 ホームネットワークからサ ブネットに対するインバウ ンド RDP トラフィックを 許可します. 120 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 49152~ 65535 許可 送信元がサブネットである リクエストからのインバウ ンドリターントラフィック を許可します。 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンドトラフィックを拒否し ます (変更不可能)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント 100 ホームネッ トワークの プライベー ト IP アド レスの範囲 すべて すべて 許可 サブネットからホームネッ トワークに対するすべての アウトバンドトラフィック を許可します. このルール はルール 120 も含んでいま す。ただし、特定のプロト コルタイプとポート番号を 使用して、このルールの適 用範囲を絞り込むことがで きます。このルールの適用 範囲を絞り込む場合、アウ トバウンド応答がブロック されないようにするには、 ネットワーク ACL にルー 161 Amazon Virtual Private Cloud ユーザーガイド アクセスの制御 ル 120 を含める必要があり ます。 120 ホームネッ トワークの プライベー ト IP アド レスの範囲 TCP 49152~ 65535 許可 ホームネットワーク内のク ライアントへのアウトバウ ンド応答 この範囲は一例に過ぎませ ん。設定に使用する正しい 一時ポートの選択の詳細 については、「一時ポー ト (p. 137)」を参照して ください。 * 0.0.0.0/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンドトラフィックを拒否 します (変更不可能)。 IPv6 に推奨されるルール IPv6 がサポートされているシナリオ 4 を実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC と サブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウ トバウンド IPv6 トラフィックを制御する必要があります。 このシナリオでは、データベースサーバーは、IPv6 経由で VPN 通信に到達することはできません。 したがって、ネットワーク ACL ルールを追加する必要はありません。以下は、サブネット間の IPv6 トラフィックを拒否するデフォルトルールです。 VPN 専用サブネットの ACL ルール インバウンド ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのインバウ ンド IPv6 トラフィックを 拒否します (変更不可)。 アウトバウンド ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント * ::/0 すべて すべて 拒否 前のルールでまだ処理され ていないすべてのアウトバ ウンド IPv6 トラフィック を拒否します (変更不可)。 Amazon VPC のリソースに対するアクセスの制御 セキュリティ認証情報により、AWS のサービスに対してお客様の身分が証明され、Amazon VPC リ ソースなどの AWS リソースを無制限に使用できる許可が与えられます。AWS Identity and Access Management (IAM) を使用して、その他のユーザー、サービス、およびアプリケーションがお客様の Amazon VPC のリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有 されません。特定の Amazon EC2 API アクションを使用するアクセス許可をユーザーに付与すること 162 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー で、リソースの完全な使用または制限された使用を許可する選択ができます。一部の API アクション は、ユーザーが作成または変更できる特定のリソースを制御できるようにする、リソースレベルのア クセス許可をサポートしています。 Important 現在、すべての Amazon EC2 API アクションがリソースレベルのアクセス許可をサポート しているわけではありません。Amazon EC2 API アクションでリソースレベルのアクセス許 可がサポートされない場合、アクションを使用するアクセス許可をユーザーに付与できます が、ポリシーステートメントのリソース要素として * を指定する必要があります。これを行う 例については、「1. VPC を管理する (p. 164)」のサンプルポリシーを参照してください。 今後、Amazon EC2 リソースに対する API アクションおよび ARN のサポートを追加してい きます。Amazon EC2 API アクションで使用できる ARN の詳細、および各 ARN でサポー トされる条件キーについては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の 「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。 Amazon EC2 用の IAM ポリシーの作成、EC2 API アクションでサポートされているリソー ス、Amazon EC2 用のポリシー例については、Linux インスタンス用 Amazon EC2 ユーザーガイド の 「Amazon EC2 の IAM ポリシー」を参照してください。 トピック • AWS CLI または SDK のサンプルポリシー (p. 163) • コンソールのサンプルポリシー (p. 171) AWS CLI または SDK のサンプルポリシー 以下の例では、Amazon VPC に対して IAM ユーザーが所有するアクセス許可を制御するために使用で きるポリシーステートメントを示しています。これらの例は、AWS CLI、または AWS SDK を使用す るユーザーを対象としています。 • 1. VPC を管理する (p. 164) • 2. Amazon VPC 用の読み取り専用ポリシー (p. 165) • 3. Amazon VPC 用のカスタムポリシー (p. 166) • 4. 特定のサブネット内にインスタンスを起動する (p. 167) • 5. 特定の VPC 内にインスタンスを起動する (p. 168) • 6. VPC でセキュリティグループを管理する (p. 169) • 7. VPC ピア接続の作成と管理 (p. 170) • 8. VPC エンドポイントの作成と管理 (p. 171) ClassicLink に使用するポリシーの例については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「CLI または SDK のサンプルポリシー」を参照してください。 163 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 1. VPC を管理する 以下のポリシーは、VPC を作成および管理する許可をユーザーに与えます。このポリシーはネット ワーク管理者のグループに割り当てることができます。[Action] エレメントは、VPC、サブネッ ト、インターネットゲートウェイ、カスタマーゲートウェイ、仮想プライベートゲートウェイ、VPN 接続、ルートテーブル、Elastic IP アドレス、セキュリティグループ、ネットワーク ACL、および DHCP オプションセットに関連した API アクションを指定します。また、このポリシーにより、グ ループはインスタンスを実行、停止、開始、および終了することを許可されます。さらに、グループ は Amazon EC2 のリソースを一覧表示することもできます。 ポリシーでは、ワイルドカードを使用して、各オブジェクトタイプに許可されるアクションをすべて 指定します (例: *SecurityGroup*)。または、各アクションを明示的にリストすることもできます。 ワイルドカードを使用する場合は、名前にワイルドカード文字列を含む新しいアクションをポリシー に追加すると、そのポリシーによってグループには自動的に新しいアクションへのアクセスが許可さ れることにご留意ください。 Resource エレメントにワイルドカードを使用します。これは、ユーザーが API アクションですべて のリソースを指定できることを示します。また、API アクションがリソースレベルのアクセス許可を サポートしていない場合も、* ワイルドカードが必要です。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:*Vpc*", "ec2:*Subnet*", "ec2:*Gateway*", "ec2:*Vpn*", "ec2:*Route*", "ec2:*Address*", "ec2:*SecurityGroup*", "ec2:*NetworkAcl*", "ec2:*DhcpOptions*", "ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" } ] } 164 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 2. Amazon VPC 用の読み取り専用ポリシー 次のポリシーは、VPC とそのコンポーネントをリストする許可をユーザーに与えます。ユーザー は、VPC を作成、更新、または削除することはできません。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInternetGateways", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeVpcEndpoints", "ec2:DescribeNatGateways", "ec2:DescribeCustomerGateways", "ec2:DescribeVpnGateways", "ec2:DescribeVpnConnections", "ec2:DescribeRouteTables", "ec2:DescribeAddresses", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkAcls", "ec2:DescribeDhcpOptions", "ec2:DescribeTags", "ec2:DescribeInstances"], "Resource":"*" } ] } 165 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 3. Amazon VPC 用のカスタムポリシー 次のポリシーは、インスタンスの起動、インスタンスの停止、インスタンスの開始、インスタンスの 終了の許可をユーザーに与え、Amazon EC2 および Amazon VPC で利用できるリソースについて説 明します。 ポリシーの 2 番目の定義文は、その他のポリシーで明示的に許可を否定することにより、ユーザーに 許可される可能性がある広範囲の API アクションへのアクセスを否定しています。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" }, { "Effect":"Deny", "NotAction":["ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" } ] } 166 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 4. 特定のサブネット内にインスタンスを起動する 以下のポリシーは、特定のサブネット内にインスタンスを起動し、リクエストで特定のセキュリティ グループを使用する許可をユーザーに与えます。このポリシーは、subnet-1a2b3c4d の ARN およ び sg-123abc123 の ARN を指定することで許可を与えます。ユーザーが別のサブネット内でまた は別のセキュリティグループを使用してインスタンスを起動しようとすると、リクエストは失敗しま す (ただし、別のポリシーまたは別の定義文で、ユーザーにその許可が与えられている場合を除きま す)。 このポリシーは、ネットワークインターフェイスリソースを使用する許可も与えます。サブネット内 に起動すると、RunInstances リクエストは、デフォルトでプライマリネットワークインターフェイ スを作成するので、ユーザーには、インスタンスを起動するときにこのリソースを作成する許可が必 要です。 { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-1a2b3c4d", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-123abc123" ] } ] } 167 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 5. 特定の VPC 内にインスタンスを起動する 以下のポリシーは、特定の VPC 内の任意のサブネットにインスタンスを起動する許可をユーザーに与 えます。このポリシーは、条件キー (ec2:Vpc) をサブネットリソースに適用することで許可を与えま す。 また、このポリシーは、タグ「department=dev」のある AMI のみを使用してインスタンスを起動す る許可をユーザーに与えます。 { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ] } 168 Amazon Virtual Private Cloud ユーザーガイド AWS CLI または SDK のサンプルポリシー Example 6. VPC でセキュリティグループを管理する 以下のポリシーは、特定の VPC 内の任意のセキュリティグループに対するインバウンドルールとアウ トバウンドルールを作成および削除する許可をユーザーに与えます。このポリシーは、Authorize ア クションと Revoke アクションのセキュリティグループリソースに条件キー (ec2:Vpc) を適用するこ とで、許可を与えます。 2 番目のステートメントは、すべてのセキュリティグループについて説明する許可をユーザーに与え ます。これは、ユーザーが CLI を使用してセキュリティグループルールを変更できるようにするため に必要です。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d" } } }, { "Effect": "Allow", "Action": "ec2:DescribeSecurityGroups", "Resource": "*" } ] } 169 ンの VPC リソースは、常にリクエスタ VPC であることに注意してください。 "Condition": { a. VPC ピア接続を作成する "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } Amazon Virtual Private Cloud ユーザーガイド VPC}ピア接続の作成と変更を管理する際に使用できるポリシーの例を次に示します。 AWS CLI または SDK のサンプルポリシー }, { "Effect": "Allow", Example 7. VPC ピア接続の作成と管理 { "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*" 次のポリシーにより、AWS アカウント 333333333333 のユーザーは、us-east-1 リージョン内の任意 "Version": "2012-10-17", } の VPC を使用して "Statement": [{ VPC ピア接続を作成できます。ただし、ピア接続を受け入れる VPC が特定のア ] カウント (777788889999) の特定の VPC (vpc-aaa111bb) である場合に限ります。 "Effect":"Allow", }"Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:us-east-1:333333333333:vpc/*" }, { "Effect": "Allow", { "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:333333333333:vpc-peering-connection/*", "Version": "2012-10-17", また、このポリシーでは、VPC に Purpose=Peering というタグが付いている場合にのみ VPC ピア "Condition": { "Statement":[{ 次のポリシーにより、ユーザーは、AWS アカウント 444455556666 からの VPC ピア接続リクエ リクエストを受け入れるアクセス許可をユーザーに与えます。 "ArnEquals": { "Effect":"Allow", ストを受け入れることができます。これにより、不明なアカウントから VPC ピア接続リクエス "ec2:AccepterVpc": "arn:aws:ec2:region:777788889999:vpc/vpc-aaa111bb" "Action": "ec2:AcceptVpcPeeringConnection", トを受け入れることを防ぐことができます。最初のステートメントでは、これを適用するために } "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*", ec2:RequesterVpc 条件キーが使用されます。 } ピア接続を受け入れる "Condition": { b. VPC } "ArnEquals": { ] "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/*" } } } }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { 次のポリシーにより、アカウント 444455556666 のユーザーは、同じアカウント内の指定された VPC "StringEquals": { vpc-1a2b3c4d を使用する VPC ピア接続を除くすべての VPC ピア接続を削除できます。このポリ { "ec2:ResourceTag/Purpose": "Peering" シーでは、 ec2:AccepterVpc "Version": "2012-10-17",条件キーと ec2:RequesterVpc 条件キーの両方を指定しています。 } これは、VPC がリクエスタ VPC であるか、または元の VPC ピア接続リクエスト内のピア VPC であ "Statement": [{ } ピア接続を削除する c. VPC 3 番目のステートメントでは、すべての VPC ピア接続アクションを許可するために、Action エレメ る可能性があるためです。 "Effect":"Allow", } ントの一部としてワイルドカード * が使用されています。条件キーによって、アクションは、アカウ "Action": "ec2:DeleteVpcPeeringConnection", ] ント 333333333333 の一部である VPC を使用した VPC ピア接続に対してのみ実行することができま "Resource": "arn:aws:ec2:region:444455556666:vpc-peering-connection/*", { 2 VPC ピア接続を作成でき、必要であれば、アカウント } 番目のステートメントでは、ユーザーは す。たとえば、アクセプタ VPC またはリクエスタVPC VPCピア接続を表示できます。この場 のどちらかが別のアカウントに属する場合、 最初のステートメントでは、ユーザーはすべての "Condition": { "Version": "2012-10-17", 333333333333 内のすべての VPC へアクセスできます。 ユーザーは VPCエレメントではワイルドカード ピア接続を削除できません。ユーザーは、別のアカウントに属する VPC を使用して 合、Resource * が必要になります。現時点では、この API アクショ "ArnNotEquals": { "Statement": [{ 次のポリシーにより、ユーザーは特定のアカウント内で VPC ピア接続を完全に操作できます。ユー VPC ピア接続を作成することはできません。 ン"Effect": (DescribeVpcPeeringConnections ) が、リソースレベルのアクセス許可をサポートしていない "ec2:AccepterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d", "Allow", ザーは、VPC ピア接続の表示、作成、受け入れ、拒否、および削除を実行できます (それらの接続が ためです。 "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d" "Action": "ec2:DescribeVpcPeeringConnections", すべて AWS アカウント 333333333333 内の接続である場合)。 } "Resource": "*" } }, d. 特定のアカウントでの操作 } { ]"Effect": "Allow", } "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:333333333333:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:333333333333:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:333333333333:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:333333333333:vpc/*" } } } ] } 170 Amazon Virtual Private Cloud ユーザーガイド コンソールのサンプルポリシー Example 8. VPC エンドポイントの作成と管理 次のポリシーは、VPC エンドポイントを作成、変更、表示、削除するアクセス権限をユーザーに付与 します。ec2:*VpcEndpoint* アクションはいずれもリソースレベルのアクセス権限をサポートして いないため、ユーザーがすべてのリソースを操作できるようにするには、Resource 要素に * ワイル ドカードを使用する必要があります。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] } コンソールのサンプルポリシー IAM ポリシーを使用して、Amazon VPC コンソールで特定のリソースを表示、および操作するアクセ ス許可をユーザーに付与することができます。上記のセクションのサンプルポリシーを使用すること はできますが、これらは AWS CLI または AWS SDK で作成されたリクエスト向けに設計されていま す。コンソールではこの機能を実行するために追加の API アクションを使用するので、これらのポリ シーは正常に動作しない可能性があります。 このセクションでは、VPC コンソールの特定の部分をユーザーが操作できるようになるポリシーを説 明します。 • 1. VPC 起動ウィザードの使用 (p. 172) • 2. VPC を管理する (p. 173) • 3. セキュリティグループの管理 (p. 174) • 4. VPC ピア接続の作成 (p. 175) 171 次のアクションは、NAT インスタンスを起動するために必要です (NAT ゲートウェイの作成には必要 "Resource": "*" で、VPC の使用を開始できます。ウィザードは、ユーザーの要件に応じてさまざまな設定オプショ ありません)。 } ンを提供します。VPC ウィザードを使用して VPC を作成する方法の詳細については、「シナリオと ] 26)」を参照してください。 例 (p. •} ec2:DescribeImages: NAT インスタンスとして実行するよう設定された AMI を見つける場合。 Amazon Virtual Private Cloud ユーザーガイド • ec2:RunInstances: NAT インスタンスを起動する場合。 コンソールのサンプルポリシー • ec2:AllocateAddress および ec2:AssociateAddress: アカウントに Elastic IP アドレスを割 り当て、それを NAT インスタンスに関連付ける場合。 Example 1. VPC 起動ウィザードの使用 { • ec2:ModifyInstanceAttribute NAT インスタンスの送信元/送信先チェックを無効にする場合。 "Version": "2012-10-17", • ec2:DescribeInstances: 実行中の状態になるまでインスタンスのステータスを確認する場合。 "Statement": [ • ec2:DescribeRouteTables 、ec2:DescribeVpnGateways、および ec2:DescribeVpcs: メイ { ンルートテーブルに追加する必要があるルートに関する情報を収集する場合。 "Effect": "Allow", "Action": [ { "ec2:CreateVpc", "ec2:CreateSubnet", 次のポリシーでは、ユーザーが NAT インスタンスまたは NAT ゲートウェイのいずれかを作成できま "Version": "2012-10-17", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", す。"Statement": [{ "ec2:CreateRouteTable", "ec2:CreateRoute", "Effect": "Allow", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "Action": [ "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:ModifyVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeVpcEndpointServices", "ec2:DescribeImages", "ec2:RunInstances", "ec2:AllocateAddress", 次のポリシーにより、ユーザーは ami-1a2b3c4d のみを使用してインスタンスを起動できます。ユー "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:AssociateAddress", ザーがその他の AMI を使用してインスタンスを起動しようとすると、起動は失敗します。 "ec2:CreateInternetGateway", "ec2:DescribeAddresses", "ec2:DescribeInstances", ec2:RunInstances アクションでリソースレベルのアクセス許可を使用して、ユーザーによるイン "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", スタンスの起動を管理できます。たとえば、NAT が有効な AMI の ID を指定して、ユーザーがこの "ec2:ModifyVpcAttribute", "ec2:DescribeVpnGateways", "ec2:DescribeVpcs", AMI でインスタンスの起動のみを行えるようにできます。NAT インスタンスを起動するためにウィ "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:AllocateAddress", "ec2:DescribeSubnets", "ec2:DescribeNatGateways" ザードが使用する AMI を見つけるには、完全なアクセス許可を持つユーザーとして Amazon VPC コ "ec2:AssociateAddress", ], ンソールにログインし、VPC ウィザードの 2 番目のオプションを実行します。Amazon EC2 コンソー "ec2:DescribeInstances", "ec2:ModifyInstanceAttribute", "Resource": "*" ルに切り替え、[Instances] ページを選択し、NAT インスタンスを選択して、その起動に使用された "ec2:DescribeRouteTables", } AMI ID を書き留めます。 "ec2:DescribeVpnGateways", "ec2:DescribeVpcs" ] ], } "Resource": "*" }, { VPC ウィザード設定オプションでは、パブリックサブネットとプライベートサブネットを持 3 番目の "Allow", つ VPC "Effect": を作成し、VPC と自ネットワークとの間に VPN 接続を作成します。IAM ポリシーで、オプ "ec2:RunInstances", ション 1"Action": と同じアクションを使用するためのアクセス権限をユーザーに付与する必要があります。こ "Resource": VPC [ と 2 つのサブネットを作成し、パブリックサブネットのルーティングを れにより、ユーザーは "arn:aws:ec2:region::image/ami-1a2b3c4d", 設定できるようになります。VPN 接続を作成するには、ユーザーは以下のアクションを使用するため "arn:aws:ec2:region:account:instance/*", のアクセス権限が必要です。 "arn:aws:ec2:region:account:subnet/*", "arn:aws:ec2:region:account:network-interface/*", •オプション ec2:CreateCustomerGateway : カスタマーゲートウェイを作成するには 3: パブリックサブネットとプライベートサブネット、およびハードウェア VPN アクセス "arn:aws:ec2:region:account:volume/*", VPC •を持つ ec2:CreateVpnGateway と ec2:AttachVpnGateway: 仮想プライベートゲートウェイを作成し "arn:aws:ec2:region:account:key-pair/*", て、VPC にアタッチする "arn:aws:ec2:region:account:security-group/*" { • ec2:EnableVgwRoutePropagation : ルート伝達を有効にして、ルートが自動的にルートテーブル ] "Version": "2012-10-17", に伝達されるようにする } "Statement": [{ ] • ec2:CreateVpnConnection : VPN 接続を作成するには "Effect": "Allow", { } • ec2:DescribeVpnConnections 、ec2:DescribeVpnGateways、ec2:DescribeCustomerGateways: "Action": [ "Version": "2012-10-17", ウィザードの 2 番目の設定ページのオプションを表示する "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "Statement": [{ • "ec2:DescribeVpcEndpointServices", ec2:DescribeVpcs とAPI ec2:DescribeRouteTables : メインルートテーブルに追加する必要があ このポリシーのいずれの アクションもリソースレベルのアクセス許可をサポートしないため、 "Effect": "Allow", "ec2:ModifyVpcAttribute", "ec2:CreateCustomerGateway", るルートに関する情報を収集する "Action": [ ユーザーが使用できる特定のリソースを制御することはできません。 "ec2:CreateVpnGateway", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:AttachVpnGateway", "ec2:EnableVgwRoutePropagation", "ec2:DescribeVpcEndpointServices", このポリシーのいずれの API アクションもリソースレベルのアクセス許可をサポートしないため、 "ec2:CreateVpnConnection", "ec2:CreateRoute", 4 番目の"ec2:CreateRouteTable", VPC ウィザード設定オプションでは、プライベートサブネットのみを持つ ユーザーが使用できる特定のリソースを制御することはできません。 "ec2:DescribeVpnGateways", "ec2:DescribeCustomerGateways", VPC を作成 "ec2:CreateInternetGateway", し、VPC と自ネットワークとの間に VPN "ec2:DescribeVpnConnections", 接続を作成します。他の 3 つのオプションとは異なり、 "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", ユーザーには、VPC に対してインターネットゲートウェイを作成またはアタッチするためのアクセス "ec2:DescribeRouteTables", "ec2:DescribeNetworkAcls", "ec2:ModifyVpcAttribute", 権限も、ルートテーブルを作成してサブネットに関連付けるためのアクセス権限も不要です。VPN 接 "ec2:DescribeInternetGateways", "ec2:DescribeVpcs" "ec2:CreateCustomerGateway", "ec2:CreateVpnGateway", 続を確立するには、前の例 (オプション 3) に挙げた同じアクセス権限が必要になります。 ], "ec2:AttachVpnGateway", "Resource": "*" "ec2:EnableVgwRoutePropagation", "ec2:CreateVpnConnection", } "ec2:DescribeVpnGateways", ] "ec2:DescribeCustomerGateways", "ec2:DescribeVpnConnections", オプション 4: プライベートサブネットのみ、およびハードウェア VPN アクセスを持つ VPC } "ec2:DescribeRouteTables", "ec2:DescribeNetworkAcls", "ec2:DescribeInternetGateways", "ec2:DescribeVpcs" ], "Resource": "*" } ] 172 } と、[Create VPC] ダイアログボックスにエラーが表示されます。ただし、VPC は正常に作成 されている可能性があります。 通常、VPC をセットアップするときは、サブネット、インターネットゲートウェイなど、いくつか 次の例では、ユーザーが [Your VPCs] ページで VPC を表示および作成し、VPC ウィザードの最初の の依存オブジェクトを作成します。これらの依存オブジェクトの関連付けを解除し、削除するまで オプション (1 つのパブリックサブネットを持つ VPC) で作成された VPC を削除することができま は、VPC を削除することはできません。コンソールを使用して VPC を削除すると、これらのアク Note Amazon Private Cloud ユーザーガイド す。この VPC には、カスタムルートテーブルに関連付けられた 1 つのサブネットと、それにアタッ VPC コンソールの [Your VPCs]Virtual ページで、VPC を作成または削除できます。VPC を表示するに ションが自動的に実行されます (インスタンスを終了する場合を除く。この場合はユーザーが実行する コンソールのサンプルポリシー チされたインターネットゲートウェイがあります。コンソールを使用して VPC とそのコンポーネント は、 ec2:DescribeVPCs アクションを使用するアクセス許可がユーザーに必要です。[Create VPC] 必要があります)。 を削除するには、いくつかの ec2:Describe* アクションを使用するアクセス許可をユーザーに付与 ダイアログボックスを使用して VPC を作成するには、 ec2:CreateVpc アクションを使用するアクセ し、この VPC に依存している他のリソースがあるかどうかをコンソールで確認できるようにします。 { ス許可がユーザーに必要です。 Example 2. VPC "2012-10-17", を管理する "Version": また、サブネットからルートテーブルの関連付けを解除し、VPC からインターネットゲートウェイを "Statement": [{ デタッチして、これらの両方のリソースを削除するアクセス許可をユーザーに付与する必要がありま "Effect": "Allow", す。 "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeInstances", "ec2:DescribeVpcAttribute", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups", "ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway", "ec2:DeleteInternetGateway", "ec2:DisassociateRouteTable", "ec2:DeleteSubnet", "ec2:DeleteRouteTable" Purpose=Test タグを持つルートテーブルとインターネットゲート たとえば、次のポリシーでは、 ], ウェイのみをユーザーが削除できるようにします。ユーザーは、このタグを持たない個別のルート { いずれの ec2:Describe* "Resource": "*"API アクションにもリソースレベルのアクセス許可を適用することはでき "Version": "2012-10-17", テーブルやインターネットゲートウェイを削除することはできません。同様に、VPC コンソールを使 ませんが、一部の ec2:Delete* アクションにリソースレベルのアクセス許可を適用して、ユーザー } "Statement": [{ 用して、別のルートテーブルまたはインターネットゲートウェイに関連付けられた VPC を削除するこ が削除できるリソースを制御することができます。 ] "Effect": "Allow", ともできません。 } "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeInstances", "ec2:DescribeVpcAttribute", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups", "ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:DeleteSubnet" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:region:account:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": "ec2:DeleteRouteTable", "Resource": "arn:aws:ec2:region:account:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } } ] } 173 Amazon Virtual Private Cloud ユーザーガイド コンソールのサンプルポリシー Example 3. セキュリティグループの管理 Amazon VPC コンソールの [Security Gropus] ページでセキュリティグループを表示するに は、ec2:DescribeSecurityGroups アクションを使用するアクセス許可がユーザーに必要で す。[Create Security Group] ダイアログボックスを使用してセキュリティグループを作成するに は、ec2:CreateSecurityGroup および ec2:DescribeVpcs アクションを使用するアクセス許可 がユーザーに必要です。ec2:DescribeSecurityGroups アクションを使用するアクセス許可がユー ザーにない場合でも、ダイアログボックスを使用してセキュリティグループを作成することができま すが、グループが作成されなかったことを示すエラーが表示される可能性があります。 ユーザーは、[Create Security Group] ダイアログボックスでセキュリティグループの名前と説明を追 加する必要がありますが、ec2:CreateTags アクションを使用するアクセス許可が付与されていない 限り、[Name tag] フィールドに値を入力することはできません。ただし、正常にセキュリティグルー プを作成するために、このアクションは必要ありません。 次のポリシーでは、ユーザーはセキュリティグループを表示、作成でき、vpc-1a2b3c4d に関連付け られたセキュリティグループにインバウンドルールとアウトバウンドルールの両方を追加、削除でき ます。 { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{ "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d" } } } ] } 174 Amazon Virtual Private Cloud ユーザーガイド VPC フローログ Example 4. VPC ピア接続の作成 Amazon VPC コンソールへの VPC ピア接続を表示するには、ec2:DescribePeeringConnections アクションを使用するアクセス許可がユーザーに必要です。[Create VPC Peering Connection] ダイア ログボックスを使用するには、ec2:DescribeVpcs アクションを使用するアクセス許可がユーザー に必要です。これにより、ユーザーは VPC を表示、選択することができます。この操作なしに、ダイ アログボックスを読み込むことはできません。ec2:DescribeVpcPeeringConnections を除くすべ ての ec2:*PeeringConnection アクションに、リソースレベルのアクセス許可を適用できます。 次のポリシーでは、ユーザーが VPC ピア接続を表示し、[Create VPC Peering Connection] ダイアロ グボックスで、特定のリクエスト元の VPC (vpc-1a2b3c4d) のみを使用して VPC ピア接続を作成で きます。ユーザーが別のリクエスト元の VPC を使用して VPC ピア接続を作成しようとすると、リク エストは失敗します。 { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] } VPC ピア接続を操作するための IAM ポリシーの記述に関するその他の例については、「7. VPC ピア 接続の作成と管理 (p. 170)」を参照してください。 VPC フローログ VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに 関する情報をキャプチャできるようにする機能です。フローログのデータは、Amazon CloudWatch Logs を使用して保存されます。フローログを作成すると、そのデータを Amazon CloudWatch Logs で表示し、取得できます。 フローログは、多くのタスクで役に立ちます。たとえば、特定のトラフィックがインスタンスに到達 していない場合のトラブルシューティングで役に立ちます。これにより、制限が過度に厳しいセキュ リティグループルールを診断できます。また、セキュリティツールとしてフローツールを使用し、イ ンスタンスに達しているトラフィックをモニタリングすることができます。 フローログの使用には追加料金はかかりませんが、標準の CloudWatch Logs 料金が適用されます。詳 細については、Amazon CloudWatch 料金表をご覧ください。 トピック • フローログの基礎 (p. 176) • フローログの制限事項 (p. 176) • フローログレコード (p. 177) 175 Amazon Virtual Private Cloud ユーザーガイド フローログの基礎 • フローログの IAM ロール (p. 178) • フローログを使用する (p. 179) • トラブルシューティング (p. 182) • API と CLI の概要 (p. 182) • 例: フローログレコード (p. 183) • 例: フローログの CloudWatch メトリクスフィルタとアラームの作成 (p. 184) フローログの基礎 VPC、サブネット、またはネットワークインターフェイスのフローログを作成できます。サブネット または VPC のフローログを作成する場合、VPC またはサブネットの各ネットワークインターフェイ スがモニタリングされます。現在のログデータは CloudWatch Logs のロググループに発行され、各 ネットワークインターフェイスには一意のログストリームがあります。ログストリームにはフローロ グレコードが含まれます。これは、そのネットワークインターフェイスのトラフィックについて説明 するフィールドで構成されるログイベントです。詳細については、「フローログレコード (p. 177)」 を参照してください。 フローログを作成するには、フローログを作成するリソース、キャプチャするトラフィックの種類 (許 可されたトラフィック、拒否されたトラフィック、またはすべてのトラフィック)、フローログの発行 先となる CloudWatch Logs のロググループの名前、CloudWatch Logs ロググループにフローログを発 行するための十分なアクセス権限を持つ IAM ロールの ARN を指定します。存在しないロググループ 名を指定した場合、ロググループの自動的な作成が試みられます。フローログを作成した後で、デー タの収集と CloudWatch Logs への発行が開始するまでに数分かかる場合があります。フローログで、 ネットワークインターフェイスのリアルタイムのログストリームはキャプチャされません。 CloudWatch Logs の同じロググループにデータを公開する複数のフローログを作成できます。同じ ネットワークインターフェイスが同じロググループの 1 つ以上のフローログに存在する場合、1 つの 組み合わされたログストリームがあります。1 つのフローログで、拒否されたトラフィックをキャプ チャし、別のフローログで、許可されたトラフィックをキャプチャするよう指定した場合、組み合わ されたログストリームですべてのトラフィックがキャプチャされます。 サブネットまたは VPC のフローログを作成した後で、サブネットにさらに多くのインスタンスを起 動する場合、そのネットワークインターフェイス用にネットワークトラフィックが記録されるとすぐ に、新しいネットワークインターフェイスごとに新しいログストリームが作成されます。 他の AWS サービスによって作成されたネットワークインターフェイス (たとえば、Elastic Load Balancing、Amazon RDS、Amazon ElastiCache、Amazon Redshift、Amazon WorkSpaces) のフロー ログを作成できます。ただし、これらのサービスコンソールや API を使用してフローログを作成する ことはできません。Amazon EC2 コンソールまたは Amazon EC2 API を使用する必要があります。同 様に、CloudWatch Logs コンソールまたは API を使用して、ネットワークインターフェイスのログス トリームを作成することはできません。 フローログが不要になった場合には、それを削除することができます。フローログを削除すると、リ ソースのフローログサービスは無効になり、新しいフローログレコードまたはログストリームは作成 されません。ネットワークインターフェイスの既存のフローログレコードやログストリームは削除さ れません。既存のログストリームを削除するには、CloudWatch Logs コンソールを使用できます。フ ローログを削除した後で、データの収集が中止するまでに数分かかる場合があります。 フローログの制限事項 フローログを使用するには、次の制限事項に注意する必要があります。 • EC2-Classic プラットフォームにあるネットワークインターフェイスのフローログを有効にするこ とはできません。これには、ClassicLink を使用して VPC にリンクされた EC2-Classic インスタン スが含まれます。 176 Amazon Virtual Private Cloud ユーザーガイド フローログレコード • ピア VPC がアカウントにない限り、VPC とピア接続された VPC のフローログを有効にすることは できません。 • フローログにタグを付けることはできません。 • フローログを作成した後で、その設定を変更することはできません。たとえば、フローログに別の IAM ロールを関連付けることはできません。代わりにフローログを削除し、必要な設定で新しいロ グを作成できます。 • フローログの API アクション (ec2:*FlowLogs) は、いずれもリソースレベルのアクセス権限を サポートしていません。フローログの API アクションの使用を管理するために IAM ポリシーを作 成する場合は、ステートメントでリソース要素に対して * ワイルドカードを使用して、アクション にすべてのリソースを使用するユーザーアクセス権限を与える必要があります。詳細については、 「Amazon VPC のリソースに対するアクセスの制御 (p. 162)」を参照してください。 • ネットワークインターフェイスに複数の IPv4 アドレスがある場合、トラフィックがセカンダリプラ イベート IPv4 アドレスに送信されても、フローログの送信先 IP アドレスフィールドにはプライマ リプライベート IPv4 アドレスが表示されます。 フローログですべての種類の IP トラフィックはキャプチャされません。以下のトラフィックの種類は 記録されません。 • Amazon DNS サーバーに接続したときにインスタンスによって生成されるトラフィック。独自の DNS サーバーを使用する場合は、その DNS サーバーへのすべてのトラフィックが記録されます。 • Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成され たトラフィック。 • インスタンスメタデータ用に 169.254.169.254 との間を行き来するトラフィック。 • DHCP トラフィック。 • デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック。詳細については、「VPC と サブネットのサイズ設定 (p. 86)」を参照してください。 フローログレコード フローログレコードは、フローログのネットワークの流れを表します。各レコードでは、特定のキャ プチャウィンドウで特定の 5 タプルのネットワークフローがキャプチャされます。5 タプルとは、イ ンターネットプロトコル (IP) のフローの送信元、送信先、およびプロトコルを指定する 5 セットの異 なる値のことです。キャプチャウィンドウは、フローログレコードを発行する前にフローログサービ スがデータを集計する期間です。キャプチャウィンドウは約 10 分ですが、最長 15 分かかる場合があ ります。フローログレコードはスペース区切りの文字列で、以下の形式です。 version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status フィールド 説明 バージョン VPC フローログバージョン。 account-id フローログの AWS アカウント ID。 interface-id ログストリームが適用されるネットワークインターフェイスの ID。 srcaddr 送信元の IPv4 または IPv6 アドレス。ネットワークインターフェイスの IPv4 アドレスは常にそのプライベート IPv4 アドレスです。 dstaddr 送信先の IPv4 または IPv6 アドレス。ネットワークインターフェイスの IPv4 アドレスは常にそのプライベート IPv4 アドレスです。 srcport トラフィックの送信元ポート。 dstport トラフィックの送信先ポート。 177 Amazon Virtual Private Cloud ユーザーガイド フローログの IAM ロール フィールド 説明 protocol トラフィックの IANA プロトコル番号。詳細については、「割り当てられた インターネットプロトコル番号」を参照してください。 packets キャプチャウィンドウ中に転送されたパケットの数。 バイト キャプチャウィンドウ中に転送されたバイト数。 start キャプチャウィンドウの開始時刻 (Unix 時間)。 end キャプチャウィンドウの終了時刻 (Unix 時間)。 action トラフィックに関連付けられたアクション: • ACCEPT: 記録されたトラフィックは、セキュリティグループまたはネット ワーク ACL で許可されています。 • REJECT: 記録されたトラフィックは、セキュリティグループまたはネット ワーク ACL で許可されていません。 log-status フローログのロギングステータス。 • OK: データは正常に CloudWatch Logs に記録されています。 • NODATA: キャプチャウィンドウ中にネットワークインターフェイスとの間 で行き来するネットワークトラフィックはありませんでした。 • SKIPDATA: 一部のフローログレコードはキャプチャウィンドウ中にス キップされました。これは、内部的なキャパシティー制限、または内部エ ラーが原因である可能性があります。 フィールドが特定のレコードに該当しない場合、レコードでそのエントリには「-」記号が表示されま す。 フローログレコードの例については、「例: フローログレコード (p. 183)」を参照してください。 CloudWatch Logs で収集された他のログイベントのように、フローログレコードを操作できます。ロ グデータとメトリクスフィルタのモニタリングの詳細については、Amazon CloudWatch ユーザーガ イド の「ログデータの検索とフィルタ」を参照してください。フローログのメトリクスフィルタとア ラームを設定する例については、「例: フローログの CloudWatch メトリクスフィルタとアラームの作 成 (p. 184)」を参照してください。 フローログの IAM ロール フローログに関連付けられた IAM ロールには、CloudWatch Logs の指定されたロググループにフロー ログを発行するために十分なアクセス権限が必要です。IAM ロールにアタッチされた IAM ポリシーに は、少なくとも以下のアクセス権限が含まれている必要があります。 { "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], 178 Amazon Virtual Private Cloud ユーザーガイド フローログを使用する "Effect": "Allow", "Resource": "*" } ] } フローログサービスがロールを引き受けるよう許可するための信頼関係がロールにあることを確 認する必要があります (信頼関係を表示するには、IAM コンソールでロールを選択し、[Edit Trust Relationship] を選択します)。 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } または、以下の手順に従って、フローログで使用する新しいロールを作成できます。 アカウントでの CloudWatch Logs ロググループの フローログの IAM ロールを作成するには 1. 2. https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールを開 きます。 ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。 3. 4. 5. ロールの名前 (たとえば、Flow-Logs-Role) を入力し、[Next] を選択します。 [Select Role Type] ページで、[Amazon EC2] の隣にある [Select] を選択します。 [Attach Policy] ページで、[Next Step] を選択します。 6. [Review] ページで、ロールの ARN を書き留めます。フローログを作成するときに、この ARN が 必要になります。準備が完了したら、[Create Role] を選択します。 7. ロールの名前を選択します。[Permissions] で、[Inline Policies] セクションを展開し、[click here] を選択します。 8. [Custom Policy] を選択し、[Select] を選択します。 9. 上記の「フローログの IAM ロール (p. 178)」セクションで最初のポリシーをコピーし、[Policy Document] ウィンドウに貼り付けます。ポリシーの名前を [Policy Name] フィールドに入力し、 [Apply Policy] を選択します。 10. 上記のセクション「フローログの IAM ロール (p. 178)」で、2 番目のポリシー (信頼関係) をコ ピーし、[Edit Trust Relationship] を選択します。既存のポリシードキュメントを削除し、新しい ポリシードキュメントを貼り付けます。終了したら、[Update Trust Policy] を選択します。 フローログを使用する Amazon EC2、Amazon VPC、および CloudWatch コンソールを使用して、フローログを操作できま す。 トピック 179 Amazon Virtual Private Cloud ユーザーガイド フローログを使用する • フローログの作成 (p. 180) • フローログの表示 (p. 180) • フローログの削除 (p. 181) フローログの作成 フローログは、Amazon VPC コンソールの VPC ページとサブネットページ、または Amazon EC2 コ ンソールの [Network Interfaces] ページから作成できます。 ネットワークインターフェイスのフローログを作成するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. 3. ナビゲーションペインで、[Network Interfaces] を選択します。 ネットワークインターフェイスを選択し、[Flow Logs] タブを選択してから、[Create Flow Log] を 選択します。 4. ダイアログボックスで、以下の情報を入力します。終了したら、[Create Flow Log] を選択しま す。 • [Filter]: フローログで、拒否されたトラフィック、許可されたトラフィック、またはすべてのト ラフィックをキャプチャするかどうかを選択します。 • [Role]: ログを CloudWatch Logs に発行できるアクセス権限がある IAM ロールの名前を指定し ます。 • [Destination Log Group]: フローログを発行する CloudWatch Logs のロググループの名前を入力 します。既存のログのグループを使用するか、自動的に作成される新しいロググループの名前 を入力できます。 VPC またはサブネットのフローログを作成するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[Your VPCs] または [Subnets] を選択します。 3. VPC またはサブネットを選択し、[Flow Logs] タブを選択してから、[Create Flow Log] を選択し ます。 Note 複数の VPC のフローログを作成するには、VPC を選択し、[Actions] メニューの [Create Flow Log] を選択します。複数のサブネット用のフローログを作成するには、サブネット を選択し、[Subnet Actions] メニューの [Create Flow Log] を選択します。 4. ダイアログボックスで、以下の情報を入力します。終了したら、[Create Flow Log] を選択しま す。 • [Filter]: フローログで、拒否されたトラフィック、許可されたトラフィック、またはすべてのト ラフィックをキャプチャするかどうかを選択します。 • [Role]: ログを CloudWatch Logs に発行できるアクセス権限がある IAM ロールの名前を指定し ます。[ • [Destination Log Group]: フローログを発行する CloudWatch Logs のロググループの名前を入力 します。既存のログのグループを使用するか、自動的に作成される新しいロググループの名前 を入力できます。 フローログの表示 Amazon EC2 および Amazon VPC コンソールでフローログに関する情報を表示するには、特定のリ ソースの [Flow Logs] タブを表示します。リソースを選択すると、そのリソースのすべてのフローロ 180 Amazon Virtual Private Cloud ユーザーガイド フローログを使用する グが表示されます。表示される情報には、フローログの ID、フローログの設定、およびフローログの ステータスに関する情報が含まれます。 ネットワークインターフェイスのフローログに関する情報を表示するには 1. 2. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 ナビゲーションペインで、[Network Interfaces] を選択します。 3. ネットワークインターフェイスを選択し、[Flow Logs] タブを選択します。フローログに関する情 報がタブに表示されます。 VPC またはサブネットのフローログに関する情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Your VPCs] または [Subnets] を選択します。 3. VPC またはサブネットを選択し、[Flow Logs] タブを選択します。フローログに関する情報がタ ブに表示されます。 CloudWatch Logs コンソールを使用して、フローログレコードを表示できます。フローログを作成し てからコンソールに表示されるまでに、数分かかる場合があります。 フローログのフローログレコードを表示するには 1. https://console.aws.amazon.com/cloudwatch/にある CloudWatch コンソールを開きます。 2. 3. 4. ナビゲーションペインで [Logs] を選択します。 フローログを含むロググループの名前を選択します。 各ネットワークインターフェイス用のログストリームのリストが表示されます。フローログレ コードを表示するネットワークインターフェイスの ID を含むログストリームの名前を選択しま す。フローログレコードの詳細については、「フローログレコード (p. 177)」を参照してくださ い。 フローログの削除 Amazon EC2 と Amazon VPC コンソールを使用して、フローログを削除できます。 Note これらの手順では、リソースのフローログサービスが無効になります。ネットワークイン ターフェイスのログストリームを削除するには、CloudWatch Logs コンソールを使用しま す。 ネットワークインターフェイスのフローログを削除するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. 3. ナビゲーションペインで [Network Interfaces] を選択してから、ネットワークインターフェイスを 選択します。 [Flow Logs] タブを選択し、削除するフローログの削除ボタン (X) を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 VPC またはサブネットのフローログを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Your VPCs] を選択し、[Subnets] を選択してから、リソースを選択しま す。 181 Amazon Virtual Private Cloud ユーザーガイド トラブルシューティング 3. [Flow Logs] タブを選択し、削除するフローログの削除ボタン (X) を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 トラブルシューティング 不完全なフローログレコード フローログレコードが不完全であるか、発行されなくなった場合、フローログの CloudWatch Logs ロ ググループへの提供に問題がある可能性があります。Amazon EC2 コンソールまたは Amazon VPC コンソールで、関連するリソースの [Flow Logs] タブに移動します。詳細については、「フローログ の表示 (p. 180)」を参照してください。フローログの表で、エラーは [Status] 列に表示されます。ま たは、describe-flow-logs コマンドを使用し、DeliverLogsErrorMessage フィールドに返された値 を確認します。次のいずれかのエラーが表示される場合があります。 • Rate limited: このエラーは、CloudWatch ログの調整が適用されている場合に発生することが あります。ネットワークインターフェイスのフローログのレコード数が、特定の期間内に発行でき るレコードの最大数より多い場合などが該当します。このエラーは、作成できる CloudWatch Logs ロググループの数が制限に達した場合にも発生することがあります。詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch の制限」を参照してください。 • Access error: フローログの IAM ロールに、CloudWatch ロググループにフローログレコード を発行するための十分なアクセス権限がありません。詳細については、「フローログの IAM ロー ル (p. 178)」を参照してください。 • Unknown error: 内部エラーがフローログサービスで発生しました。 フローログが有効でも、フローログレコードまたはロググルー プがない フローログを作成し、Amazon VPC または Amazon EC2 コンソールにフローログが Active と表示 されます。ただし、CloudWatch Logs でログストリームは表示されず、CloudWatch Logs ロググルー プは作成されていません。原因は、次のいずれかである可能性があります。 • フローログはまだ作成中です。場合によっては、対象のロググループのフローログを作成してか ら、データが表示されるまでに数十分かかることがあります。 • ネットワークインターフェイスに対して記録されたトラフィックがまだありません。CloudWatch Logs のロググループは、トラフィックの記録時にのみ作成されます。 API と CLI の概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC へのアクセス (p. 8)」を参照してください。 フローログの作成 • create-flow-logs (AWS CLI) • New-EC2FlowLogs (AWS Tools for Windows PowerShell) • CreateFlowLogs (Amazon EC2Query API) フローログの説明 • describe-flow-logs (AWS CLI) 182 Amazon Virtual Private Cloud ユーザーガイド 例: フローログレコード • Get-EC2FlowLogs (AWS Tools for Windows PowerShell) • DescribeFlowLogs (Amazon EC2 Query API) フローログレコード (ログイベント) の表示 • get-log-events (AWS CLI) • Get-CWLLogEvents (AWS Tools for Windows PowerShell) • GetLogEvents (CloudWatch API) フローログの削除 • delete-flow-logs (AWS CLI) • Remove-EC2FlowLogs (AWS Tools for Windows PowerShell) • DeleteFlowLogs (Amazon EC2Query API) 例: フローログレコード 許可されたトラフィックと拒否されたトラフィックのフローログレコード 以下に、アカウント 123456789010 のネットワークインターフェイス eni-abc123de への SSH ト ラフィック (宛先ポート 22、TCP プロトコル) が許可されたフローログレコードの例を示します。 2 123456789010 eni-abc123de 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK 以下に、アカウント 123456789010 のネットワークインターフェイス eni-abc123de への RDP ト ラフィック (宛先ポート 3389、TCP プロトコル) が拒否されたフローログレコードの例を示します。 2 123456789010 eni-abc123de 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK データがない場合やレコードがスキップされた場合のフローログレコード 以下に、キャプチャウィンドウ中にデータが記録されなかったフローログレコードの例を示します。 2 123456789010 eni-1a2b3c4d - - - - - - - 1431280876 1431280934 - NODATA 以下に、キャプチャウィンドウ中にレコードがスキップされたフローログレコードの例を示します。 2 123456789010 eni-4b118871 - - - - - - - 1431280876 1431280934 - SKIPDATA セキュリティグループとネットワーク ACL ルール フローログを使用して過度に制限されているか制限のないセキュリティグループルールまたはネット ワーク ACL ルールを診断している場合は、これらのリソースのステートフルさに注意してください。 セキュリティグループはステートフルです。つまり、セキュリティグループのルールで許可されてい ない場合でも、許可されたトラフィックへの応答も許可されます。逆に、ネットワーク ACL はステー トレスです。したがって、許可されたトラフィックへの応答は、ネットワーク ACL ルールに従って行 われます。 たとえば、ホームコンピュータ (IP アドレスが 203.0.113.12) からインスタンス (ネットワークイン ターフェイスのプライベート IP アドレスが 172.31.16.139) へは、ping コマンドを使用します。 183 Amazon Virtual Private Cloud ユーザーガイド 例: フローログの CloudWatch メト リクスフィルタとアラームの作成 セキュリティグループのインバウンドルールで ICMP トラフィックが許可され、アウトバウンドルー ルで ICMP トラフィックが許可されません。ただし、セキュリティグループがステートフルである ため、インスタンスからの ping 応答は許可されます。ネットワーク ACL でインバウンド ICMP トラ フィックが許可されますが、アウトバウンド ICMP トラフィックは許可されません。ネットワーク ACL はステートレスであるため、ping 応答は削除され、ホームコンピュータに達しません。フローロ グで、これは 3 つのフローログエントリとして表示されます。セキュリティグループで許可された発 信元の ping と応答 ping には 2 つの ACCEPT エントリがあり、ネットワーク ACL で拒否された ping 応答には 1 つの REJECT エントリがあります。 2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 8 672 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917027 1432917082 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK IPv6 トラフィックのフローログレコード IPv6 アドレス 2001:db8:1234:a100:8d6e:3477:df66:f105 から、アカウント 123456789010 のネットワークインターフェイス eni-f41c42bf への SSH トラフィック (宛先ポート 22) が許可さ れたフローログレコードの例を以下に示します。 2 123456789010 eni-f41c42bf 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK 例: フローログの CloudWatch メトリクスフィルタ とアラームの作成 この例では、eni-1a2b3c4d のフローログがあります。1 時間以内の期間に TCP ポート 22 (SSH) 経 由でインスタンスに接続しようとする試みが 10 個以上拒否された場合に、アラームを作成するとし ます。最初に、アラームを作成するトラフィックのパターンと一致するメトリクスフィルタを作成す る必要があります。次に、メトリクスフィルタのアラームを作成できます。 拒否された SSH トラフィックのメトリクスフィルタを作成し、フィルタのアラームを作成す るには 1. https://console.aws.amazon.com/cloudwatch/にある CloudWatch コンソールを開きます。 2. ナビゲーションペインで、[Logs] を選択し、フローログのフローロググループを選択して、 [Create Metric Filter] を選択します。 [Filter Pattern] フィールドで、次のように入力します。 3. [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus] 4. [Select Log Data to Test] リストで、ネットワークインターフェイスのログストリームを選択しま す。オプションで、[Test Pattern] を選択して、フィルタパターンと一致するログデータの行を表 示できます。準備ができたら、[Assign Metric] を選択します。 5. メトリクスの名前空間、メトリクスの名前を指定し、メトリクスの値が 1 に設定されたことを確 認します。終了したら、[Create Filter] を選択します。 184 Amazon Virtual Private Cloud ユーザーガイド 例: フローログの CloudWatch メト リクスフィルタとアラームの作成 6. ナビゲーションペインで、[Alarms] を選択し、[Create Alarm] を選択します。 7. [Custom Metrics] セクションで、作成したメトリクスフィルタの名前空間を選択します。 Note 新しいメトリクスがコンソールに表示されるまでに数分かかる場合があります。 8. 9. 作成したメトリクス名を選択し、[Next] を選択します。 アラームの名前と説明を入力します。[is] フィールドで、[>=] を選択し、「10」と入力します。 [for] フィールドで、連続した期間としてデフォルトの 1 をそのままにしておきます。 10. [Period] リストから [1 Hour] を選択し、[Statistic] リストから [Sum] を選択します。Sum 統計で は、指定された期間のデータポイントの総数をキャプチャしていることを確認できます。 11. [Actions] セクションで、既存のリストに通知を送信するか、新しいリストを作成し、アラームが トリガーされたときに通知を受け取る E メールアドレスを入力できます。終了したら、[Create Alarm] を選択します。 185 Amazon Virtual Private Cloud ユーザーガイド ネットワークインターフェイス VPC のネットワーキングコンポー ネント 次のコンポーネントを使用して VPC にネットワーキングを設定できます。 • ネットワークインターフェイス (p. 186) • ルートテーブル (p. 187) • インターネットゲートウェイ (p. 200) • Egress-Only インターネットゲートウェイ (p. 206) • DHCP オプションセット (p. 231) • DNS (p. 236) • Elastic IP アドレス (p. 240) • VPC エンドポイント (p. 243) • NAT (p. 210) • VPC ピア接続 (p. 240) • ClassicLink (p. 256) Elastic Network Interface Elastic Network Interface (本書では「ネットワークインターフェイス」と呼ぶ) は、次のような属性を 含めることができる仮想ネットワークインターフェイスです。 • プライマリプライベート IPv4 アドレス。 • 1 つ以上のセカンダリプライベート IPv4 アドレス。 • プライベート IPv4 アドレスごとに 1 つの Elastic IP アドレス。 • インスタンス起動時に eth0 のネットワークインターフェイスに自動割り当て可能な 1 つのパブリッ ク IPv4 アドレス。 186 Amazon Virtual Private Cloud ユーザーガイド ルートテーブル • 1 つまたは複数の IPv6 アドレス。 • 1 つまたは複数のセキュリティグループ • MAC アドレス • 送信元/送信先チェックフラグ • 説明 ネットワークインターフェイスを作成したり、インスタンスにアタッチしたり、インスタンスからデ タッチしたり、別のインスタンスにアタッチしたりできます。ネットワークインターフェイスをイン スタンスにアタッチしたり、インスタンスからデタッチして別のインスタンスに再アタッチしたりす るときには、Elastic Network Interface の属性が保持されます。インスタンス間でネットワークイン ターフェイスを移動すると、ネットワークトラフィックは新しいインスタンスにリダイレクトされま す。 VPC の各インスタンスには、VPC の IPv4 アドレス範囲からプライベート IPv4 アドレスが割り当て られた、デフォルトの Elastic ネットワークインターフェイス (プライマリネットワークインターフェ イス) があります。プライマリネットワークインターフェイスをインスタンスからデタッチすることは できません。追加の ネットワークインスタンスを作成して、ユーザーの VPC 内の任意のインスタン スにアタッチできます。使用できる Elastic Network Interface の最大数はインスタンスタイプによって 異なります。詳細については、『&guide-ec2-user;』の「各インスタンスタイプのネットワークイン ターフェイスごとの IP アドレス」を参照してください。 次の作業を行う場合、複数のネットワークインターフェイスをインスタンスにアタッチすると便利で す。 • 管理用ネットワークを作成する。 • VPC 内でネットワークアプライアンスやセキュリティアプライアンスを使用する。 • 別個のサブネット上のワークロード/ロールを使用するデュアルホーム接続インスタンスを作成す る。 • 低予算で可用性の高いソリューションを作成する。 ネットワークインターフェイスの詳細および Amazon EC2 コンソールを使用してネットワークイン ターフェイスを操作する手順については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の 「Elastic Network Interface」を参照してください。 ルートテーブル ルートテーブルには、ネットワークトラフィックの経路を判断する際に使用される、ルートと呼ばれ る一連のルールが含まれます。 VPC の各サブネットをルートテーブルに関連付ける必要があります。サブネットのルーティングは、 このテーブルによってコントロールされます。1 つのサブネットは同時に 1 つのルートテーブルにし か関連付けることはできませんが、異なる複数のサブネットを 1 つのルートテーブルに関連付けるこ とはできます。 トピック • ルートテーブルの基本 (p. 188) • ルーティングの優先度 (p. 191) • ルーティングオプション (p. 192) • ルートテーブルを操作する (p. 195) • API とコマンドの概要 (p. 199) 187 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルの基本 ルートテーブルの基本 ルートテーブルに関して覚えておく必要がある基本事項を次に示します。 • VPC には暗示的なルーターがあります。 • VPC には、変更できるメインルートテーブルが自動的に割り当てられます。 • VPC に対して追加のカスタムルートテーブルを作成できます。 • 各サブネットをルートテーブルに関連付ける必要があります。サブネットのルーティングは、この テーブルによってコントロールされます。サブネットを特定のルートテーブルに明示的に関連付け ないと、そのサブネットは、メインルートテーブルに暗示的に関連付けられます。 • メインルートテーブルを削除することはできませんが、作成したカスタムテーブルに置き換えるこ とはできます (カスタムテーブルは、新しい各サブネットが関連付けられるデフォルトのテーブルに なります)。 • テーブル内の各ルートは送信先 CIDR とターゲットを指定します (たとえば、送信先が外部の企 業ネットワーク 172.16.0.0/12 のトラフィックのターゲットは仮想プライベートゲートウェイで す)。AWS では、トラフィックと一致する最も具体的なルートを使用して、トラフィックをルー ティングする方法を決定します。 • IPv4 と IPv6 の CIDR ブロックは、個別に処理されます。たとえば、送信先が 0.0.0.0/0 の CIDR のルーティング (すべて IPv4 アドレス) の場合は、IPv6 アドレスが自動的に含まれることはあり ません。すべての IPv6 アドレスの宛先が ::/0 の CIDR のルートを作成する必要があります。 • 各ルートテーブルには、IPv4 経由で VPC 内で通信を有効にするローカルルートが含まれま す。VPC CIDR ブロックを IPv6 と関連付けている場合は、どのテーブルにも、IPv6 経由で VPC 内 で通信を有効にするローカルルートが含まれます。これらのルートを変更または削除することはで きません。 • インターネットゲートウェイ、Egress-Only インターネットゲートウェイ、仮想プライベートゲー トウェイ、NAT デバイス、ピア接続、または VPC エンドポイントを VPC に追加するときに、これ らのゲートウェイまたは接続を使用するサブネットのルートテーブルを更新する必要があります。 • VPC ごとに、作成できるルートテーブルの数と、ルートテーブルごとに追加できるルートの数には 制限があります。詳細については、「Amazon VPC の制限 (p. 280)」を参照してください。 メインルートテーブル VPC を作成するときに、メインルートテーブルが自動的に割り当てられます。Amazon VPC コンソー ルの [Route Tables] ページで、[Main] 列の [Yes] を探すことによって VPC のメインルートテーブルを 表示できます。メインルートテーブルは、他のルートテーブルに明示的に関連付けられていないすべ てのサブネットのルーティングを制御します。メインルートテーブルで、ルートを追加、削除、変更 することができます。 すでに暗示的に関連付けられている場合でも、サブネットをメインルートテーブルに明示的に関連付 けることができます。これを行うのは、メインルートテーブルであるテーブルを変更する場合です。 これにより、新しい追加のサブネット、または他のルートテーブルに明示的に関連付けられていな いサブネットのデフォルトが変更されます。詳細については、「メインルートテーブルを置き換え る (p. 198)」を参照してください。 カスタムルートテーブル VPC は、デフォルトテーブル以外のルートテーブルを持つことができます。VPC を保護するには、 メインルートテーブルをローカルルートが 1 つしか含まれない元のデフォルトの状態のままにして、 新しいサブネットを作成し、その各サブネットを作成したカスタムルートテーブルの 1 つに明示的に 関連付ける方法があります。これにより、各サブネットのアウトバウンドトラフィックのルーティン グ方法を、明示的にコントロールします。 次の図は、インターネットゲートウェイと仮想プライベートゲートウェイ、およびパブリックサブ ネットと VPN のみのサブネットを持つ VPC のルーティングを示しています。メインルートテーブル 188 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルの基本 には VPC が割り当てられます。また、VPN のみのサブネットのルートも含まれます。カスタムルー トテーブルが、パブリックサブネットに関連付けられています。カスタムルートテーブルには、イン ターネットゲートウェイ経由のルートが含まれます (送信先は 0.0.0.0/0 で、ターゲットはインター ネットゲートウェイです)。 この VPC で新しいサブネットを作成すると、そのサブネットはメインルートテーブルに自動的に関連 付けられ、メインルートテーブルは、そのトラフィックを仮想プライベートゲートウェイにルーティ ングします。逆の設定 (インターネットゲートウェイへのルートが含まれるメインルートテーブルと、 仮想プライベートゲートウェイへのルートが含まれるカスタムルートテーブル) を行うと、新しいサブ ネットには自動的に、インターネットゲートウェイへのルートが含まれるようになります。 ルートテーブルの関連付け VPC コンソールには、各ルートテーブルに明示的に関連付けられたサブネットの数と、メインルー トテーブルに暗示的に関連付けられたサブネットに関する情報が表示されます。詳細については、 「テーブルに明示的に関連付けられているサブネットを特定する (p. 196)」を参照してください。 メインルートテーブルには、暗示的または明示的にサブネットを関連付けることができます。サブ ネットとメインルートテーブルとの間には、通常、明示的な関連付けはありません。ただし、この明 示的な関連付けは、メインルートテーブルを置き換えるときに一時的に発生する可能性があります。 トラフィックを中断せずに、メインルートテーブルを変更する必要がある場合は、まず、カスタム ルートテーブルを使用して、ルートの変更をテストすることができます。テストの結果に満足した ら、メインルートテーブルを新しいカスタムテーブルに置き換えます。 次の図は、メインルートテーブル (ルートテーブル A) に暗示的に関連付けられている 2 つのサブネッ トを持つ VPC を示しています。カスタムルートテーブル (ルートテーブル B) は、どのサブネットに も関連付けられていません。 189 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルの基本 サブネット 2 とルートテーブル B の間には明示的な関連付けを作成できます。 ルートテーブル B をテストしたら、そのテーブルをメインルートテーブルにできます。サブネット 2 とルートテーブル B との間に、まだ明示的な関連付けがあることに注意してください。また、ルート テーブル B は新しいメインルートテーブルなので、サブネット 1 とルートテーブル B の間には暗示的 な関連付けがあります。ルートテーブル A はもう使用されていません。 サブネット 2 とルートテーブル B の関連付けを解除しても、サブネット 2 とルートテーブル B との 間の暗示的な関連付けは残ります。不要になったルートテーブル A は削除できます。 190 Amazon Virtual Private Cloud ユーザーガイド ルーティングの優先度 ルーティングの優先度 AWS では、トラフィックと一致する最も具体的なルートをルートテーブルで使用して、トラフィック をルーティングする方法を決定します (最長プレフィックス一致)。 IPv4 および IPv6 アドレス、または CIDR ブロックへのルーティングは、互いに独立します。IPv4 ま たは IPv6 に一致する最も具体的なルートを使用して、トラフィックをルーティングする方法を決定し ます。 たとえば、次のルートテーブルには、インターネットゲートウェイを指す IPv4 インターネット トラフィック (0.0.0.0/0) のルートと、ピア接続 (pcx-1a2b3c4d) を指す IPv4 トラフィック (172.31.0.0/16) のルートが含まれます。172.31.0.0/16 IP アドレス範囲あてのサブネット からのトラフィックでは、ピア接続が使用されます。このルートはインターネットゲートウェイ のルートよりも制限が高いためです。VPC 内のターゲットに向けられたすべてのトラフィック (10.0.0.0/16) には Local ルートが適用されるため、VPC 内でルーティングされます。サブネット からのその他のすべてのトラフィックでは、インターネットゲートウェイが使用されます。 送信先 ターゲット 10.0.0.0/16 ローカル 172.31.0.0/16 pcx-1a2b1a2b 0.0.0.0/0 igw-11aa22bb 仮想プライベートゲートウェイを VPC にアタッチし、ルートテーブルでルート伝達を有効にした場合 は、VPN 接続を表すルートが、伝達されたルートとして、ルートテーブルに自動的に表示されます。 次が適用されます。 • VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複 する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。 • VPN 接続または AWS Direct Connect 接続から伝達されるルートと他の既存静的ルート (最も長い プレフィックスの一致が適用されます) が同じ宛先 CIDR ブロックの場合は、ターゲットがインター ネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタ ンス ID、VPC ピア接続、NAT ゲートウェイまたは VPC エンドポイントの静的ルートが優先されま す。 VPN 接続内で重複するルートがあり、最も長いプレフィックスの一致を適用できない場合、最も好ま しいものから最も好ましくないものまで、次のように VPN 接続でルートの優先順位が付けられます。 • AWS Direct Connect 接続から BGP で伝播されたルート • VPN 接続用に手動で追加された静的ルート 191 Amazon Virtual Private Cloud ユーザーガイド ルーティングオプション • VPN 接続から BGP で伝播されたルート この例では、ルートテーブルにはインターネットゲートウェイ (手動で追加したもの) への静的ルー ト、および仮想プライベートゲートウェイに伝播されたルートがあります。両方のルートとも、宛先 は 172.31.0.0/24 です。この場合、172.31.0.0/24 あてのすべてのトラフィックはインターネッ トゲートウェイにルーティングされます。これは静的ルートであるため、伝播されたルートよりも優 先順位が高くなります。 送信先 ターゲット 10.0.0.0/16 ローカル 172.31.0.0/24 vgw-1a2b3c4d (伝播済み) 172.31.0.0/24 igw-11aa22bb この例では、IPv6 CIDR ブロックは、VPC に関連付けられています。ルートテーブルで、VPC 内 で 指定された IPv6 トラフィック (2001:db8:1234:1a00::/56) は、Local ルートの対象となってお り、 VPC 内でルーティングされます。このルートテーブルにも、ピア接続 (172.31.0.0/16) を指す IPv4 トラフィックのルート (pcx-1a2b3c4d)、インターネットゲートウェイを指すすべての IPv4 ト ラフィックのルート (0.0.0.0/0)、Egress-Only インターネットゲートウェイを指すすべての IPv6 ト ラフィックのルート (::/0) が含まれます。IPv4 ルートと IPv6 ルートに対して個別に適用されます。 そのため、IPv6 トラフィックはすべて (VPC 内のトラフィックを除く) 、Egress-Only インターネット ゲートウェイにルーティングされます。 送信先 ターゲット 10.0.0.0/16 ローカル 2001:db8:1234:1a00::/56 ローカル 172.31.0.0/16 pcx-1a2b1a2b 0.0.0.0/0 igw-11aa22bb ::/0 eigw-aabb1122 ルーティングオプション 以下のトピックでは、VPC の特定のゲートウェイまたは接続のルーティングについて説明します。 トピック • インターネットゲートウェイのルートテーブル (p. 192) • NAT デバイスのルートテーブル (p. 193) • 仮想プライベートゲートウェイのルートテーブル (p. 193) • • • • VPC ピア接続のルートテーブル (p. 193) ClassicLink のルートテーブル (p. 194) VPC エンドポイントのルートテーブル (p. 195) Egress-Only インターネットゲートウェイのルートテーブル (p. 195) インターネットゲートウェイのルートテーブル インターネットゲートウェイにルートを追加することにより、サブネットをパブリックサブネット にすることができます。そのためには、インターネットゲートウェイを作成して VPC にアタッチ 192 Amazon Virtual Private Cloud ユーザーガイド ルーティングオプション 後、IPv4 トラフィックの場合は 0.0.0.0/0、IPv6 トラフィックの場合は ::/0 を送信先に指定し、 インターネットゲートウェイ ID (igw-xxxxxxxx) のターゲットを指定してルートを追加します。詳細 については、「インターネットゲートウェイ (p. 200)」を参照してください。 NAT デバイスのルートテーブル プライベートサブネットのインスタンスをインターネットに接続するには、パブリックサブネットで NAT ゲートウェイを作成するか、NAT インスタンスを起動し、NAT デバイスに IPv4 インターネット トラフィック (0.0.0.0/0) をルーティングするプライベートサブネット用のルートを追加します。 詳細については、NAT ゲートウェイ (p. 210) および NAT インスタンス (p. 221) を参照してくださ い。NAT デバイスは IPv6 トラフィックに使用することはできません。 仮想プライベートゲートウェイのルートテーブル AWS ハードウェア VPN 接続を使用して、VPC のインスタンスが独自のネットワークと通信するよう にできます。そのためには、仮想プライベートゲートウェイを作成して VPC にアタッチしてから、 ネットワークの宛先と仮想プライベートゲートウェイのターゲット (vgw-xxxxxxxx) を指定してルー トを追加します。その後、VPN 接続を作成し、設定することができます。詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 259)」を参照してください。 現在、VPN 接続を介した IPv6 トラフィックはサポートされていません。ただし、仮想プライベート ゲートウェイを介した AWS Direct Connect 接続への IPv6 トラフィックのルーティングはサポートさ れていません。詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。 VPC ピア接続のルートテーブル VPC ピア接続は、プライベート IPv4 アドレスを使用して 2 つの VPC 間でトラフィックをルーティン グすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク 内に存在しているかのように、相互に通信できます。 VPC ピア接続に含まれる VPC 間のトラフィックのルーティングを有効にするには、VPC ピア接続 を指す、1 つ以上の VPC のルートテーブルにルートを追加し、VPC ピア接続内にある他の VPC の CIDR ブロックのすべてまたは一部にアクセスする必要があります。同様に、他の VPC の所有者は、 自分の VPC のルートテーブルにルートを追加して、ルーティング対象の VPC にトラフィックを送り 返す必要があります。 たとえば、次の情報を持つ 2 つの VPC 間に VPC ピア接続 (pcx-1a2b1a2b) があるとします。 • VPC A: vpc-1111aaaa、CIDR ブロックは 10.0.0.0/16 です。 • VPC B: vpc-2222bbbb、CIDR ブロックは 172.31.0.0/16 です。 VPC 間のトラフィックを有効にし、両方の VPC の IPv4 CIDR ブロック全体にアクセスできるように するには、VPC A のルートテーブルを次のように設定します。 送信先 ターゲット 10.0.0.0/16 ローカル 172.31.0.0/16 pcx-1a2b1a2b VPC B のルートテーブルは次のように設定します。 送信先 ターゲット 172.31.0.0/16 ローカル 10.0.0.0/16 pcx-1a2b1a2b 193 Amazon Virtual Private Cloud ユーザーガイド ルーティングオプション VPC ピア接続では、VPC とインスタンスで IPv6 通信が有効な場合、VPC のインスタンス間で IPv6 通信をサポートできます。詳細については、「VPC とサブネット (p. 83)」を参照してください。VPC 間の IPv6 トラフィックのルーティングを有効にするには、VPC ピア接続をポイントするルートテー ブルにルートを追加して、ピア VPC の IPv6 CIDR ブロックのすべての部分にアクセスできるように する必要があります。 たとえば、同じ VPC ピア接続 (pcx-1a2b1a2b) を使用して、VPC に次の情報を含めるとします。 • VPC A: IPv6 CIDR ブロックは 2001:db8:1234:1a00::/56 • VPC B: IPv6 CIDR ブロックは 2001:db8:5678:2b00::/56 VPC ピア接続で IPv6 通信を有効にするには、VPC A のルートテーブルに次のルートを追加します。 送信先 ターゲット 10.0.0.0/16 ローカル 172.31.0.0/16 pcx-1a2b1a2b 2001:db8:5678:2b00::/56 pcx-1a2b1a2b VPC B のルートテーブルに次のルートを追加します。 送信先 ターゲット 172.31.0.0/16 ローカル 10.0.0.0/16 pcx-1a2b1a2b 2001:db8:1234:1a00::/56 pcx-1a2b1a2b VPC ピア接続の詳細については、「Amazon VPC Peering Guide」を参照してください ClassicLink のルートテーブル ClassicLink は、VPC に EC2 Classic インスタンスをリンクし、プライベート IPv4 アドレスを使用し て EC2-Classic インスタンスと VPC のインスタンス間の通信を可能にする機能です。ClassicLink の 詳細については、「ClassicLink (p. 256)」を参照してください。 ClassicLink 用に VPC を有効にすると、すべての VPC ルートテーブルに、送信先が 10.0.0.0/8 で、ターゲットが local であるルートが追加されます。これによって、VPC 内のインスタンス と、VPC にリンクされている EC2-Classic インスタンスとの間で通信が可能になります。ClassicLink が有効な VPC に別のルートテーブルを追加する場合、送信先が 10.0.0.0/8 で、ターゲットが local であるルートが自動的に追加されます。VPC の ClassicLink を無効にすると、このルートは VPC のすべてのルートテーブルから自動的に削除されます。 VPC のいずれかのルートテーブルに、10.0.0.0/8 CIDR 内のアドレス範囲で既存のルートが存在 する場合、ClassicLink 用に VPC を有効にすることができません。これには、10.0.0.0/16 および 10.1.0.0/16 の IP アドレス範囲を持つ、VPC のローカルルートは含まれません。 既に ClassicLink 用に VPC を有効にしている場合、10.0.0.0/8 IP アドレス範囲のルートテーブル に、より詳細なルートを追加できない場合があります。 VPC ピア接続を変更して、VPC のインスタンスとピア VPC にリンクされた EC2-Classic インスタン ス間の通信を有効にするため、送信先を 10.0.0.0/8、ターゲットを local として、静的ルートが 自動的にルートテーブルに追加されます。VPC ピア接続を変更して、VPC にリンクされたローカル の EC2-Classic インスタンスと、ピア VPC のインスタンス間で通信を有効にする場合、送信先をピ ア VPC CIDR ブロック、ターゲットを VPC ピア接続として、メインルートテーブルにルートを手動 194 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルを操作する で追加する必要があります。EC2-Classic インスタンスは、ピア VPC へのルーティングについてメイ ンルートテーブルに依存します。詳細については、Amazon VPC Peering Guide の「ClassicLink を使 用した設定」を参照してください。 VPC エンドポイントのルートテーブル VPC エンドポイントにより、VPC と別の AWS サービスとの間にプライベート接続を作成できます。 エンドポイントを作成するときは、VPC でエンドポイント用のルートテーブルを指定します。ルート は自動的に各ルートテーブル追加されて、送信先としてサービス (pl-xxxxxxxx) のプレフィックス リスト ID、ターゲットとしてエンドポイント ID (vpce-xxxxxxxx) が登録されます。エンドポイント ルートを明示的に削除または変更することはできませんが、エンドポイントで使用されるルートテー ブルは変更できます。 エンドポイントのルーティングの詳細について、また AWS サービスへのルートに対する影響につい ては、「エンドポイントのルーティング (p. 245)」を参照してください。 Egress-Only インターネットゲートウェイのルートテーブル VPC で Egress-Only インターネットゲートウェイを作成して、プライベートサブネットのインスタン スを有効にしてインターネットへのアウトバウンド通信を開始することができますが、インターネッ トはインスタンスとの接続を開始することはできません。Egress-Only インターネットゲートウェイ は、IPv6 トラフィックでのみ使用されます。Egress-Only インターネットゲートウェイのルーティ ングを設定するには、Egress-Only インターネットゲートウェイに IPv6 インターネットトラフィッ ク (::/0) をルーティングするプライベートサブネットのルートを追加します。詳細については、 「Egress-Only インターネットゲートウェイ (p. 206)」を参照してください。 ルートテーブルを操作する このセクションでは、ルートテーブルを操作する方法について説明します。 Note コンソールでウィザードを使用して、ゲートウェイが含まれる VPC を作成すると、そのゲー トウェイを使用するようにルートテーブルが自動的に更新されます。コマンドラインツール または API を使用して VPC をセットアップする場合、ルートテーブルはご自身で更新する必 要があります。 トピック • サブネットが関連付けられているルートテーブルを特定する (p. 195) • テーブルに明示的に関連付けられているサブネットを特定する (p. 196) • カスタムルートテーブルを作成する (p. 196) • ルートテーブルでルートを追加および削除する (p. 196) • ルート伝達を有効および無効にする (p. 197) • • • • • サブネットをルートテーブルに関連付ける (p. 197) サブネットのルートテーブルを変更する (p. 198) サブネットとルートテーブルの関連付けを解除する (p. 198) メインルートテーブルを置き換える (p. 198) ルートテーブルを削除する (p. 198) サブネットが関連付けられているルートテーブルを特定する サブネットが関連付けられているルートテーブルを特定するには、Amazon VPC コンソールでサブ ネットの詳細を確認します。 195 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルを操作する サブネットが関連付けられているルートテーブルを特定するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Subnets] を選択します。 3. サブネットの詳細は、[Summary] タブに表示されます。[Route Table] タブを選択すると、ルー トテーブルの ID とそのルートが表示されます。メインルートテーブルの場合、関連付けが暗示 的か明示的かはコンソールに表示されません。メインルートテーブルとの関連付けが明示的かど うかを特定する方法については、「テーブルに明示的に関連付けられているサブネットを特定す る (p. 196)」を参照してください。 テーブルに明示的に関連付けられているサブネットを特定する ルートテーブルに明示的に関連付けられているサブネットと、そのサブネットの数を特定できます。 メインルートテーブルは、明示的な関連付けと暗示的な関連付けを持つことができます。カスタム ルートテーブルは、明示的な関連付けしか持つことができません。 どのルートテーブルにも明示的に関連付けられていないサブネットは、メインルートテーブルに暗示 的に関連付けられています。サブネットをメインルートテーブルに明示的に関連付けることもできま す (これを行う理由を示す例については、「メインルートテーブルを置き換える (p. 198)」を参照し てください)。 明示的に関連付けられているサブネットを特定するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[ルートテーブル] を選択します。 3. [Explicitly Associated With] 列で、明示的に関連付けられたサブネットの数を確認します。 4. 必要なルートテーブルを選択します。 5. 詳細ペインの [Subnet Associations] タブを選択します。このタブには、テーブルに明示的に関連 付けられているサブネットが表示されています。また、どのルートテーブルにも関連付けられて いない (つまり、メインルートテーブルに暗示的に関連付けられている) サブネットも表示されま す。 カスタムルートテーブルを作成する Amazon VPC コンソールを使用して VPC のカスタムルートテーブルを作成できます。 カスタムルートテーブルを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[ルートテーブル] を選択します。 3. [Create Route Table] を選択します。 4. [Create Route Table] ダイアログボックスの [Name tag] で、必要に応じてルートテーブルに名前 を指定できます。これにより、Name というキーと指定した値を含むタグが作成されます。[VPC] で VPC を選択し、[Yes, Create] を選択します。 ルートテーブルでルートを追加および削除する ルートテーブルのルートは追加、削除、変更できます。変更できるのは、追加したルートのみです。 ルートを変更またはルートテーブルに追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 196 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルを操作する 2. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 3. [ Routes] タブで、[Edit] を選択します。 4. 既存のルートを変更するには、[Destination] の送信先 CIDR ブロックまたは 1 つの IP アドレス を置き換え、[Target] からターゲットを選択します。[Add another route]、[Save] の順に選択しま す。 ルートをルートテーブルから削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 3. [Routes] タブで [Edit] を選択し、削除するルートの [Remove] を選択します。 4. 以上が完了したら、[Save] を選択します。 ルート伝達を有効および無効にする ルート伝達を使用すると、仮想プライベートゲートウェイが、ルートをルートテーブルに自動的に伝 達できます。したがって、ルートテーブルへの VPN ルートを手動で入力する必要はありません。ルー トの伝播は有効または無効にできます。 VPN ルートオプションの詳細については、「VPN のルーティングオプション (p. 261)」を参照して ください。 ルート伝達を有効にするには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 3. [Propagation] タブで、[Edit] を選択します。 4. 仮想プライベートゲートウェイの横にある [Propagate] チェックボックスをオンにし、[Save] を 選択します。 ルート伝達を無効にするには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 3. [Propagation] タブで、[Edit] を選択します。 4. [Propagate] チェックボックスをオフにし、[Save] を選択します。 サブネットをルートテーブルに関連付ける ルートテーブルのルートを特定のサブネットに適用するには、ルートテーブルをサブネットに関連付 ける必要があります。ルートテーブルは複数のサブネットに関連付けることができますが、サブネッ トには一度に 1 つのルートテーブルしか関連付けることができません。どのテーブルにも明示的に関 連付けられていないサブネットは、デフォルトでメインルートテーブルに暗示的に関連付けられてい ます。 ルートテーブルにサブネットに関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 3. [Subnet Associations] タブで [Edit] を選択します。 197 Amazon Virtual Private Cloud ユーザーガイド ルートテーブルを操作する 4. ルートテーブルに関連付けるサブネットの [Associate] チェックボックスをオンにしてから、 [Save] を選択します。 サブネットのルートテーブルを変更する サブネットに関連付けるルートテーブルは変更できます。 サブネットとルートテーブルの関連付けを変更するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. ナビゲーションペインで [Subnets] を選択し、サブネットを選択します。 [Route Table] タブで [Edit] を選択します。 4. [Change to] リストからサブネットを関連付ける新しいルートテーブルを選択し、[Save] を選択し ます。 サブネットとルートテーブルの関連付けを解除する サブネットとルートテーブルの関連付けを解除することができます。別のルートテーブルにサブネッ トを関連付けるまでは、メインルートテーブルに暗示的に関連付けられています。 サブネットとルートテーブルの関連付けを解除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. 4. ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 [Subnet Associations] タブで [Edit] を選択します。 サブネットの [Associate] チェックボックスをオフにして、[Save] を選択します。 メインルートテーブルを置き換える VPC でメインルートテーブルを別のルートテーブルに変更できます。 メインルートテーブルを置き換えるには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[ルートテーブル] を選択します。 3. 新しいメインルートテーブルとするルートテーブルを選択し、[Set as Main Table] を選択しま す。 4. 確認ダイアログボックスで [Yes, Set] を選択します。 次の手順では、サブネットとメインルートテーブルの間の明示的な関連付けを解除する方法について 説明します。これにより、サブネットとメインルートテーブルが暗示的に関連付けられます。そのプ ロセスは、サブネットと任意のルートテーブルの関連付け解除と同じです。 メインルートテーブルとの明示的な関連付けを解除するには 1. 2. 3. 4. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで [Route Tables] を選択して、ルートテーブルを選択します。 [Subnet Associations] タブで [Edit] を選択します。 サブネットの [Associate] チェックボックスをオフにして、[Save] を選択します。 ルートテーブルを削除する 198 Amazon Virtual Private Cloud ユーザーガイド API とコマンドの概要 ルートテーブルは、サブネットが関連付けられていない場合にのみ削除できます。メインルートテー ブルを削除することはできません。 ルートテーブルを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[ルートテーブル] を選択します。 3. ルートテーブルを選択してから [Delete Route Table] を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API オペレーションの一覧については、「Amazon VPC へのアクセス (p. 8)」を参照してください。 カスタムルートテーブルを作成する • create-route-table (AWS CLI) • New-EC2RouteTable (AWS Tools for Windows PowerShell) ルートをルートテーブルに追加する • create-route (AWS CLI) • New-EC2Route (AWS Tools for Windows PowerShell) サブネットをルートテーブルに関連付ける • associate-route-table (AWS CLI) • Register-EC2RouteTable (AWS Tools for Windows PowerShell) 1 つ以上のルートテーブルについて説明する • describe-route-tables (AWS CLI) • Get-EC2RouteTable (AWS Tools for Windows PowerShell) ルートをルートテーブルから削除する • delete-route (AWS CLI) • Remove-EC2Route (AWS Tools for Windows PowerShell) ルートテーブルの既存のルートを置き換える • replace-route (AWS CLI) • Set-EC2Route (AWS Tools for Windows PowerShell) サブネットとルートテーブルの関連付けを解除する • disassociate-route-table (AWS CLI) • Unregister-EC2RouteTable (AWS Tools for Windows PowerShell) 199 Amazon Virtual Private Cloud ユーザーガイド インターネットゲートウェイ サブネットに関連付けられているルートテーブルを変更する • replace-route-table-association (AWS CLI) • Set-EC2RouteTableAssociation (AWS Tools for Windows PowerShell) VPN 接続に関連付けられた静的ルートを作成する • create-vpn-connection-route (AWS CLI) • New-EC2VpnConnectionRoute (AWS Tools for Windows PowerShell) VPN 接続に関連付けられた静的ルートを削除する • delete-vpn-connection-route (AWS CLI) • Remove-EC2VpnConnectionRoute (AWS Tools for Windows PowerShell) 仮想プライベートゲートウェイ (VGW) による VPC のルーティングテーブルへのルートの伝 達を有効にする • enable-vgw-route-propagation (AWS CLI) • Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell) VGW による VPC のルーティングテーブルへのルートの伝達を無効にする • disable-vgw-route-propagation (AWS CLI) • Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell) ルートテーブルを削除する • delete-route-table (AWS CLI) • Remove-EC2RouteTable (AWS Tools for Windows PowerShell) インターネットゲートウェイ インターネットゲートウェイは、VPC のインスタンスとインターネットとの間の通信を可能にする VPC コンポーネントであり、冗長性と高い可用性を備えており、水平スケーリングが可能です。その ため、ネットワークトラフィックに課される可用性のリスクや帯域幅の制約はありません。 インターネットゲートウェイは 2 つの目的を果たします。1 つは、インターネットでルーティング可 能なトラフィックの送信先を VPC のルートテーブルに追加することです。もう 1 つは、パブリック IPv4 アドレスが割り当てられているインスタンスに対してネットワークアドレス変換 (NAT) を行うこ とです。 インターネットゲートウェイは、IPv4 トラフィックおよび IPv6 トラフィックをサポートしていま す。 インターネットアクセスを有効にする VPC のサブネットのインスタンスでインターネットのアクセスを有効にするには、以下を実行する必 要があります。 • VPC にインターネットゲートウェイをアタッチする。 • サブネットのルートテーブルがインターネットゲートウェイに繋がっていることを確認します。 200 Amazon Virtual Private Cloud ユーザーガイド インターネットアクセスを有効にする • サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。 • ネットワークアクセスコントロールとセキュリティグループルールがインスタンス間で関連するト ラフィックを許可していることを確認します。 インターネットゲートウェイを使用するには、インターネットゲートウェイにインターネット 経由のトラフィックが流れるルートをサブネットのルートテーブルに追加する必要があります。 そのルートに流れるトラフィックの送信先としては、明示的に既知でない送信先 (IPv4 の場合 は0.0.0.0/0、IPv6 の場合は::/0) を指定することも、特定の IP アドレス範囲の送信先 (AWS の 外側にある会社のパブリックエンドポイントのパブリック IPv4 アドレスや、VPC の外側にある他の Amazon EC2 インスタンスの Elastic IP アドレスなど) を指定することもできます。サブネットに関連 付けられているルートテーブルにインターネットゲートウェイへのルートがある場合、そのサブネッ トは「パブリックサブネット」と呼ばれます。 IPv4 でインターネット通信できるようにするには、パブリック IPv4 アドレス、またはインスタン スのプライベート IPv4 アドレスに関連付けられる Elastic IP アドレスが必要です。インスタンス は、VPC とサブネット内で定義されたプライベート (内部) IP アドレス空間のみを認識します。イン ターネットゲートウェイはインスタンスに代わって 1 対 1 の NAT を論理的に行います。そのため、 トラフィックが VPC サブネットから出てインターネットへ向かうとき、返信アドレスフィールドは、 インスタンスのプライベート IP アドレスではなくパブリック IPv4 アドレスまたは Elastic IP アドレ スに設定されます。逆に、インスタンスのパブリック IPv4 アドレスまたは Elastic IP アドレス宛ての トラフィックは、その送信先アドレスがインスタンスのプライベート IPv4 アドレスに変換されてか ら、VPC に配信されます。 IPv6 のインターネット経由の通信を有効にするには、VPC およびサブネットは IPv6 CIDR ブロック と関連付け、インスタンスはサブネットの範囲の IPv6 アドレスに割り当てる必要があります。IPv6 アドレスは、グローバルに一意であるため、デフォルトではパブリックアドレスになっています。 次の図では、VPC のサブネット 1 は、カスタムルートテーブルと関連付けられており、インターネッ ト経由の IPv4 トラフィックはすべてインターネットゲートウェイにポイントされます。このインスタ ンスには、インターネットとの通信を有効にする Elastic IP アドレスが割り当てられています。 201 Amazon Virtual Private Cloud ユーザーガイド インターネットアクセスを有効にする デフォルトとデフォルト以外の VPCs へのインターネットアクセス 次の表では、IPv4 または IPv6 経由でインターネットアクセスに必要なコンポーネントが VPC に自動 的に付与されるかどうかについて示します。 デフォルト VPC デフォルトではない VPC インターネットゲートウェイ はい 最初または 2 番目のオプション を使用して VPC を作成した場合 は自動的に付与されます。それ 以外の場合は、インターネット ゲートウェイを手動で作成して アタッチする必要があります。 IPv4 トラフィックのインター ネットゲートウェイ (0.0.0.0/0) にルーティングするルートテー ブル。 はい 最初または 2 番目のオプション を使用して VPC を作成した場 合は自動的に付与されます。そ れ以外の場合は、手動でルート テーブルを作成し、ルーティン グテーブルを追加する必要があ ります。 IPv6 トラフィックのインター ネットゲートウェイ (::/0) に ルーティングするルートテーブ ル。 いいえ VPC ウィザードで、最初また は 2 番目のオプションを使用し て VPC を作成した場合や、IPv6 を VPC CIDR ブロックを関連 付けるオプションを指定した場 合は自動的に付与されます。そ れ以外の場合は、手動でルート テーブルを作成し、ルーティン グテーブルを追加する必要があ ります。 サブネットに起動されるインス タンスに自動的に割り当てられ たパブリック IPv4 アドレス。 Yes (デフォルトのサブネット) No (デフォルト以外のサブネッ ト) サブネットに起動されるインス タンスに自動的に割り当てられ た IPv6 アドレス。 いいえ (デフォルトのサブネッ ト) No (デフォルト以外のサブネッ ト) デフォルト VPC の詳細については、「デフォルト VPC とデフォルトサブネット (p. 95)」を参照し てください。VPC ウィザードを使用して、インターネットゲートウェイを使う VPC を作成する方法 の詳細については、「シナリオ 1: 単一のパブリックサブネットを持つ VPC (p. 26)」または「シナリ オ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT) (p. 34)」を参照してくださ い。 VPC 内の IP アドレス、インスタンスにパブリック IPv4 または IPv6 アドレスを割り当てる方法を制 御する方法の詳細は、「VPC の IP アドレス指定 (p. 101)」を参照してください。 新しいサブネットを VPC に追加するとき、サブネットに必要なルーティングとセキュリティを設定す る必要があります。 202 Amazon Virtual Private Cloud ユーザーガイド インターネットゲートウェイを関連付けた VPC の作成 インターネットゲートウェイを関連付けた VPC の 作成 次のセクションでは、インターネットアクセスをサポートするパブリックサブネットを手動で作成す る方法について説明します。 トピック • サブネットを作成する (p. 203) • インターネットゲートウェイをアタッチする (p. 203) • カスタムルートテーブルを作成する (p. 203) • セキュリティグループルールを更新する (p. 204) • Elastic IP アドレスを追加する (p. 205) • VPC からのインターネットゲートウェイのアタッチ解除 (p. 205) • インターネットゲートウェイを削除する (p. 205) • API とコマンドの概要 (p. 206) サブネットを作成する サブネットを VPC に追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Subnets] を選択し、続いて [Create Subnet] を選択します。 3. [Create Subnet] ダイアログボックスで、[VPC]、[アベイラビリティーゾーン] の順に選択し、サ ブネットの IPv4 CIDR ブロックを指定します。 4. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Specify a custom IPv6 CIDR] を選択します。 5. [Yes, Create] を選択します。 サブネットの詳細については、「VPC とサブネット (p. 83)」を参照してください。 インターネットゲートウェイをアタッチする インターネットゲートウェイを作成して VPC にアタッチするには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Internet Gateways] を選択してから、[Create Internet Gateway] を選択 します。 3. [Create Internet Gateway] ダイアログボックスで、必要に応じてインターネットゲートウェイに 名前を指定し、[Yes, Create] を選択します。 4. 作成したインターネットゲートウェイを選択して、[Attach to VPC] を選択します。 5. [Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] を選択しま す。 カスタムルートテーブルを作成する サブネットを作成すると、VPC のメインルートテーブルと自動的に関連付けられます。デフォルト では、メインルートテーブルにインターネットゲートウェイへのルートは含まれません。次の手順で は、VPC の外部あてのトラフィックをインターネットゲートウェイに送信するルートを含むカスタム ルートテーブルを作成してから、それをサブネットに関連付けます。 203 Amazon Virtual Private Cloud ユーザーガイド インターネットゲートウェイを関連付けた VPC の作成 カスタムルートテーブルを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、[Create Route Table] を選択します。 3. [Create Route Table] ダイアログボックスで、必要に応じてルートテーブルに名前を指定し、VPC を選んでから、[Yes, Create] を選択します。 4. 作成したカスタムルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートの プロパゲーションを操作するタブが表示されます。 5. [Routes] タブで、[Edit]、[Add another route] の順に選択し、必要に応じて以下のルートを選択し ます。以上が完了したら、[Save] を選択します。 • IPv4 トラフィックの場合、[Destination] ボックスで 0.0.0.0/0 を指定し、[Target] リストで インターネットゲートウェイ ID を選択します。 • IPv6 トラフィックの場合、[Destination] ボックスで ::/0 を指定し、[Target] リストでイン ターネットゲートウェイ ID を選択します。 6. [Subnet Associations] タブで [Edit] を選択し、サブネットの [Associate] チェックボックスをオン にして、[Save] を選択します。 ルートテーブルの詳細については、「ルートテーブル (p. 187)」を参照してください。 セキュリティグループルールを更新する VPC には、デフォルトのセキュリティグループが用意されています。VPC で起動する各インスタン スは、自動的にそのデフォルトのセキュリティグループに関連付けられます。デフォルトのセキュ リティグループのデフォルトの設定では、インターネットからのインバウンドトラフィックを許可せ ず、インターネットに対するすべてのアウトバンドトラフィックを許可します。そのため、インスタ ンスがインターネットと通信できるようにするには、パブリックインスタンスがインターネットにア クセスすることを許可する新しいセキュリティグループを作成する必要があります。 新しいセキュリティグループを作成し、インスタンスに関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Security Groups] を選択して、[Create Security Group] を選択します。 3. [Create Security Group] ダイアログボックスに、セキュリティグループの名前と説明を入力しま す。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。 4. セキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細と、インバ ウンドルールとアウトバンドルールを操作するタブが表示されます。 5. [Inbound Rules] タブで、[Edit] を選択します。[Add Rule] を選択し、必要な情報を入力しま す。たとえば、[Type] リストから [HTTP] または [HTTPS] を選択し、IPv4 トラフィックの場合 は、0.0.0.0/0、IPv6 トラフィックの場合は ::/0 を [Source] に入力します。以上が完了した ら、[Save] を選択します。 6. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 7. ナビゲーションペインで、[Instances] を選択します。 8. インスタンスを選択し、[Actions] を選択して、続いて [Networking] を選択し、次に [Change Security Groups] を選択します。 9. [Change Security Groups] ダイアログボックスで、現在選択しているセキュリティグループの チェックボックスをオフにし、新しいセキュリティグループを選択します。[Assign Security Groups] を選択します。 セキュリティグループの詳細については、VPC のセキュリティグループ (p. 121) を参照してくださ い。 204 Amazon Virtual Private Cloud ユーザーガイド インターネットゲートウェイを関連付けた VPC の作成 Elastic IP アドレスを追加する インターネットからインスタンスに到達できるようにするには、サブネットでインスタンスを起動し た後に、そのインスタンスに Elastic IP アドレスを割り当てる必要があります。IPv4 経由のインター ネット。 Note 起動中にパブリック IPv4 アドレスをインスタンスに割り当てた場合、インスタンスはイ ンターネットから到達可能であるため、Elastic IP アドレスを割り当てる必要はありませ ん。インスタンスの IP アドレスの割り当ての詳細については、「VPC の IP アドレス指 定 (p. 101)」を参照してください。 コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. [新しいアドレスの割り当て] を選択します。 4. [はい、割り当てる] を選択します。 Note 5. 6. アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate Address] を選択しま す。 [Associate Address] ダイアログボックスで、[Associate with] リストから [Instance] または [Network Interface] を選択し、インスタンスまたはネットワークインタフェース ID を選択しま す。[Private IP address] リストから Elastic IP アドレスを関連付けるプライベート IP アドレスを 選択して、[Yes, Associate] を選択します。 Elastic IP アドレスについては、「Elastic IP アドレス (p. 240)」を参照してください。 VPC からのインターネットゲートウェイのアタッチ解除 デフォルトではない VPC 内に起動するインスタンスでインターネットアクセスが不要になった場合に は、VPC からインターネットゲートウェイをアタッチ解除できます。VPC に関連付けられた Elastic IP アドレスを持つインスタンスがある場合、インターネットゲートウェイをアタッチ解除することは できません。 インターネットゲートウェイをアタッチ解除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 3. ナビゲーションペインで [Elastic IP] を選択します。 IP アドレスを選び、[Actions] を選択してから [Disassociate Address] を選択します。[Yes, Disassociate] を選択します。 ナビゲーションペインで、[Internet Gateways] を選択します。 インターネットゲートウェイを選択し、[Detach from VPC] を選択します。 [Detach from VPC] ダイアログボックスで、[Yes, Detach] を選択します。 4. 5. 6. インターネットゲートウェイを削除する インターネットゲートウェイが不要になった場合には、それを削除することができます。VPC にア タッチされているインターネットゲートウェイを削除することはできません。 205 Amazon Virtual Private Cloud ユーザーガイド Egress-Only インターネットゲートウェイ インターネットゲートウェイを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Internet Gateways] を選択します。 3. インターネットゲートウェイを選択し、[Delete] を選択します。 4. [Delete Internet Gateway] ダイアログボックスで、[Yes, Delete] を選択します。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC へのアクセス (p. 8)」を参照してください。 インターネットゲートウェイを作成する • create-internet-gateway (AWS CLI) • New-EC2InternetGateway (AWS Tools for Windows PowerShell) インターネットゲートウェイを VPC にアタッチする • attach-internet-gateway (AWS CLI) • Add-EC2InternetGateway (AWS Tools for Windows PowerShell) インターネットゲートウェイについて説明する • describe-internet-gateways (AWS CLI) • Get-EC2InternetGateway (AWS Tools for Windows PowerShell) VPC からインターネットゲートウェイをアタッチ解除する • detach-internet-gateway (AWS CLI) • Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell) インターネットゲートウェイを削除する • delete-internet-gateway (AWS CLI) • Remove-EC2InternetGateway (AWS Tools for Windows PowerShell) Egress-Only インターネットゲートウェイ Egress-Only インターネットゲートウェイは水平的に拡張され、冗長で、高度な可用性を持つ VPC コンポーネントで、IPv6 経由での VPC からインターネットへの送信を可能にし、インスタンスとの IPv6 接続が開始されるのを防ぎます。 Note Egress-Only インターネットゲートウェイは、IPv6 トラフィックでのみ使用されます。IPv4 経由での送信専用のインターネット通信を可能にするには、代わりに NAT ゲートウェイを使 用します。詳細については、「NAT ゲートウェイ (p. 210)」を参照してください。 206 Amazon Virtual Private Cloud ユーザーガイド Egress-Only インターネットゲートウェイの基本 トピック • Egress-Only インターネットゲートウェイの基本 (p. 207) • Egress-Only インターネットゲートウェイでの作業 (p. 208) • API と CLI の概要 (p. 209) Egress-Only インターネットゲートウェイの基本 パブリックサブネットのインスタンスは、パブリック IPv4 または IPv6 アドレスがある場合、イン ターネットゲートウェイを介してインターネットに接続できます。同様に、インターネット上のリ ソースはパブリック IPv4 アドレスまたは IPv6 アドレスを使用してインスタンスへの接続を開始しま す。たとえば、インスタンスに接続する場合はローカルコンピューターを使用します。 IPv6 アドレスはグローバルに一意であるため、デフォルトではパブリックアドレスになっています。 インスタンスにインターネットにアクセスさせる場合で、インターネット上のインスタンスにイン スタンスとの通信を開始させないようにする場合は、Egress-Only インターネットゲートウェイを使 用できます。これを行うには、Egress-Only インターネットゲートウェイを VPC で作成し、次にす べての IPv6 トラフィック (::/0) または特定の IPv6 アドレスの範囲をポイントするルートテーブル に、Egress-Only インターネットゲートウェイへのルートを追加します。ルートテーブルに関連付け られるサブネットの IPv6 トラフィックは、Egress-Only インターネットゲートウェイにルーティング されます。 Egress-Only インターネットゲートウェイはステートフルです。サブネットのインスタンスからイン ターネットや他の AWS サービスに転送し、インスタンスに応答を戻します。 Egress-Only インターネットゲートウェイには、次のプロパティがあります: • Egress-Only インターネットゲートウェイとセキュリティグループを関連付けることはできませ ん。セキュリティグループは、プライベートサブネットのインスタンスに対して使用し、それらの インスタンスに出入りするトラフィックを管理できます。 • ネットワーク ACL を使用して、Egress-Only インターネットゲートウェイがサブネットとの間で ルーティングするトラフィックを制御できます。 以下の図では、VPC に IPv6 CIDR ブロックがあり、VPC のサブネットに IPv6 CIDR ブロックがあり ます。カスタムルートテーブルはサブネット 1 に関連付けられており、すべてのインターネット宛て IPv6 トラフィック (::/0) を VPC の Egress-Only インターネットゲートウェイにルーティングしま す。 207 Amazon Virtual Private Cloud ユーザーガイド Egress-Only インターネットゲートウェイでの作業 Egress-Only インターネットゲートウェイでの作業 以下のセクションでは、プライベートサブネット用の Egress-Only インターネットゲートウェイを作 成する方法とサブネットのルーティング設定について説明します。 Egress-Only インターネットゲートウェイを作成する Amazon VPC コンソールを使用して、VPC 用の Egress-Only インターネットのゲートウェイを作成 します。 Egress-Only インターネットゲートウェイを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Egress Only Internet Gateways] を選択します。 3. [Create Egress Only Internet Gateway] を選択します。 4. Egress-Only インターネットゲートウェイを作成する VPC を選択します。[Create] を選択しま す。 Egress-Only インターネットゲートウェイを表示する Amazon VPC コンソールで Egress-Only インターネットゲートウェイの情報を表示できます。 Egress-Only インターネットゲートウェイの情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Egress Only Internet Gateways] を選択します。 3. Egress-Only インターネットゲートウェイを選択して、詳細ペインに情報を表示します。 208 Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 カスタムルートテーブルを作成する トラフィックを VPC 外の Egress-Only インターネットゲートウェイに送信するには、カスタムルー トテーブルを作成して、Egress-Only インターネットゲートウェイへのルートを追加し、それをサブ ネットに関連付けます。 カスタムルートテーブルを作成してルートを Egress-Only インターネットゲートウェイに追 加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Route Tables] を選択して、[Create Route Table] を選択します。 3. [Create Route Table] ダイアログボックスで、必要に応じてルートテーブルに名前を指定し、VPC を選んでから、[Yes, Create] を選択します。 4. 作成したカスタムルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートの プロパゲーションを操作するタブが表示されます。 5. [Routes] タブで [Edit] を選択し、[Destination] ボックスに [::/0] を指定します。次に、[Target] リストで Egress-Only インターネットゲートウェイ ID を選択し、[Save] を選択します。 6. [Subnet Associations] タブで [Edit] を選択し、サブネットの [Associate] チェックボックスをオン にします。[Save] を選択します。 または、サブネットに関連付けられた既存のルーティングテーブルにルートを追加できます。既存の ルートテーブルを選択して、上記のステップ 5 と 6 に従って存在をルーティングし、Egress-Only イ ンターネットゲートウェイへのルートを追加します。 ルートテーブルの詳細については、「ルートテーブル (p. 187)」を参照してください。 Egress-Only インターネットゲートウェイを削除する Egress-Only インターネットゲートウェイが不要になった場合には、それを削除することができま す。削除された Egress-Only インターネットゲートウェイをポイントするルートテーブルのルート は、手動で削除するかルートを更新するまで、blackhole ステータスのままになります。 Egress-Only インターネットゲートウェイを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Egress Only Internet Gateways] を選択して、Egress Only インター ネットゲートウェイを選択します。 3. [Delete] を選択します。 4. 確認ダイアログボックスで [Delete Egress Only Internet Gateway] を選択します。 API と CLI の概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC へのアクセス (p. 8)」を参照してください。 Egress-Only インターネットゲートウェイを作成する • create-egress-only-internet-gateway (AWS CLI) Egress-Only インターネットゲートウェイを記述する • describe-egress-only-internet-gateways (AWS CLI) 209 Amazon Virtual Private Cloud ユーザーガイド NAT Egress-Only インターネットゲートウェイを削除する • delete-egress-only-internet-gateway (AWS CLI) NAT NAT デバイスを使用して、プライベートサブネットのインスタンスからはインターネット (ソフト ウェアアップデートの目的など) や他の AWS サービスに接続できるが、インターネットからはインス タンスとの接続を開始できないようにすることができます。NAT デバイスは、プライベートサブネッ トのインスタンスからのトラフィックをインターネットや他の AWS サービスに送信し、その応答を インスタンスに返送します。トラフィックがインターネットに送信される際、送信元の IPv4 アドレス は NAT デバイスのアドレスに置き換えられます。同様に、応答トラフィックが送信元インスタンスに 送信される際、NAT デバイスはアドレスを送信元インスタンスのプライベート IPv4 アドレスに変換 します。 NAT デバイスは IPv6 トラフィックには対応していないため、Egress-Only インターネットゲートウェ イを使用します。詳細については、「Egress-Only インターネットゲートウェイ (p. 206)」を参照し てください。 Note このドキュメントでは、一般的な IT 用語として NAT を使用していますが、NAT デバイスの 実際の役割はアドレス変換とポートアドレス変換 (PAT) の両方を兼ねます。 AWS は、NAT デバイスとして NAT ゲートウェイと NAT インスタンス の 2 種類を提供していま す。NAT インスタンスよりも可用性と帯域幅に優る NAT ゲートウェイを使用することをお勧めし ます。NAT ゲートウェイサービスはマネージドサービスであるため、運用管理の手間もかかりませ ん。NAT インスタンスは、NAT AMI から起動されます。NAT インスタンスは特別な目的のために使 用できます。 • NAT ゲートウェイ (p. 210) • NAT インスタンス (p. 221) • NAT インスタンスと NAT ゲートウェイの比較 (p. 230) NAT ゲートウェイ ネットワークアドレス変換 (NAT) ゲートウェイを使用して、プライベートサブネットのインスタ ンスからはインターネットや他の AWS サービスに接続できるが、インターネットからはこれら のインスタンスとの接続を開始できないようにすることができます。NAT の詳細については、 「NAT (p. 210)」を参照してください。 アカウントで NAT ゲートウェイを作成して使用するには料金がかかります。NAT ゲートウェイの時 間単位の使用料金とデータ処理料金が適用されます。Amazon EC2 データ転送料金も適用されます。 詳細については、「Amazon VPC 料金表」を参照してください。 NAT ゲートウェイは IPv6 トラフィックには対応していないため、Egress-Only インターネットゲート ウェイを使用します。詳細については、「Egress-Only インターネットゲートウェイ (p. 206)」を参 照してください。 トピック • NAT ゲートウェイの基本 (p. 211) • NAT ゲートウェイの使用 (p. 213) 210 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ • NAT ゲートウェイのトラブルシューティング (p. 216) • NAT ゲートウェイの使用の管理 (p. 221) • API と CLI の概要 (p. 221) NAT ゲートウェイの基本 NAT ゲートウェイを作成するには、NAT ゲートウェイの常駐先のパブリックサブネットを指定する必 要があります。パブリックサブネットとプライベートサブネットの詳細については、「サブネットの ルーティング (p. 87)」を参照してください。NAT ゲートウェイに関連付ける Elastic IP アドレスも、 ゲートウェイの作成時に指定する必要があります。NAT ゲートウェイを作成したら、プライベートサ ブネットの 1 つ以上に関連付けられているルートテーブルを更新し、インターネット向けトラフィッ クを NAT ゲートウェイに向かわせる必要があります。これにより、プライベートサブネットのインス タンスがインターネットと通信できるようになります。 各 NAT ゲートウェイは、アベイラビリティーゾーン別に作成され、各ゾーンで冗長性を持たせて実装 されます。アベイラビリティーゾーンで作成できる NAT ゲートウェイの数には制限があります。詳細 については、「Amazon VPC の制限 (p. 280)」を参照してください。 Note 複数のアベイラビリティーゾーンにリソースがあって、リソース間で 1 つの NAT ゲートウェ イを共有している場合、その NAT ゲートウェイが属するアベイラビリティーゾーンがダウン すると、その他のアベイラビリティーゾーンのリソースはインターネットにアクセスできな くなります。アベイラビリティーゾーンに依存しないアーキテクチャを作成するには、アベ イラビリティーゾーン別に NAT ゲートウェイを作成し、同じアベイラビリティーゾーンに属 する NAT ゲートウェイをリソースで使用するようにルーティングを設定します。 不要になった NAT ゲートウェイは削除できます。NAT ゲートウェイを削除すると、Elastic IP アドレ スとの関連付けは解除されますが、アドレスはアカウントから解放されません。 NAT ゲートウェイには次の特徴があります。 • NAT ゲートウェイは、バーストが最大 10 Gbps の帯域幅をサポートします。10 Gbps を超える バーストが必要な場合は、リソースを分割して複数のサブネットに配置し、サブネットごとに NAT ゲートウェイを作成することで、ワークロードを分散できます。 • NAT ゲートウェイごとに 1 つだけの Elastic IP アドレスを関連付けることができます。作成後に NAT ゲートウェイから Elastic IP アドレスの関連付けを解除することはできません。別の Elastic IP アドレスを使用する場合は、新しい NAT ゲートウェイを作成してそのアドレスを関連付け、ルート テーブルを更新します。既存の NAT インスタンスが不要になった場合は、それを削除します。 • NAT ゲートウェイは、プロトコルとして TCP、UDP、ICMP をサポートします。 • NAT ゲートウェイにセキュリティグループを関連付けることはできません。セキュリティグループ は、プライベートサブネットのインスタンスに対して使用し、それらのインスタンスに出入りする トラフィックを管理できます。 • NAT ゲートウェイがあるサブネットに出入りするトラフィックを管理するには、ネットワー ク ACL を使用できます。ネットワーク ACL は NAT ゲートウェイのトラフィックに適用されま す。NAT ゲートウェイはポート 1024~65535 を使用します。詳細については、「ネットワーク ACL (p. 129)」を参照してください。 • NAT ゲートウェイの作成時にネットワークインターフェイスが追加され、このネットワークイン ターフェイスにサブネットの IP アドレス範囲からプライベート IP アドレスが自動的に割り当てら れます。NAT ゲートウェイのネットワークインターフェイスは Amazon EC2 コンソールで参照で きます。詳細については、「ネットワークインターフェイスに関する詳細情報の表示」を参照して ください。このネットワークインターフェイスの属性を変更することはできません。 • NAT ゲートウェイは、VPC に関連付けられている ClassicLink 接続からはアクセスできません。 211 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ 次の図は、NAT ゲートウェイを使用した VPC のアーキテクチャを示しています。メインルートテー ブルは、プライベートサブネットのインスタンスから NAT ゲートウェイにインターネットトラフィッ クを送信します。NAT ゲートウェイは、NAT ゲートウェイの Elastic IP アドレスをソース IP アドレ スとして使用し、インターネットゲートウェイにトラフィックを送信します。 トピック • NAT インスタンスからの移行 (p. 212) • VPC エンドポイント、VPN、AWS Direct Connect、VPC ピア接続での NAT ゲートウェイの使 用 (p. 213) NAT インスタンスからの移行 現在使用している NAT インスタンスを NAT ゲートウェイに置き換えることができます。これを行う には、NAT インスタンスと同じサブネットに NAT ゲートウェイを作成し、ルートテーブルを NAT イ ンスタンスを指す既存のルートから NAT ゲートウェイを指すルートに置き換えます。現在 NAT イン スタンスで使用している同じ Elastic IP アドレスを NAT ゲートウェイで使用する場合は、まず NAT インスタンスに関連付けられている Elastic IP アドレスを解除し、そのアドレスを NAT ゲートウェイ の作成時にゲートウェイに関連付けます。 Note NAT インスタンスから NAT ゲートウェイにルーティングを変更したり、NAT インスタンス に関連付けられている Elastic IP アドレスを解除したりすると、現在の接続は切断されるた め、再接続する必要があります。重要なタスク (または NAT インスタンスを介してその他の タスク) が実行中でないことを確認してください。 212 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ VPC エンドポイント、VPN、AWS Direct Connect、VPC ピア接続での NAT ゲートウェイの使用 NAT ゲートウェイは、VPC エンドポイント、VPN 接続、AWS Direct Connect、または VPC ピア接 続を通じてトラフィックを送信できません。プライベートサブネットのインスタンスから VPC エンド ポイント、VPN 接続、または AWS Direct Connect を通じてリソースにアクセスする場合は、プライ ベートサブネットのルートテーブルを使用して、これらのデバイスに直接トラフィックをルーティン グします。 たとえば、プライベートサブネットのルートテーブルのルートでは、インターネット向けトラフィッ ク (0.0.0.0/0) は NAT ゲートウェイにルーティングされ、Amazon S3 トラフィック (pl-xxxxxxxx: Amazon S3 の特定の IPアドレス範囲) は VPC エンドポイントにルーティングされ、10.25.0.0/16 ト ラフィックは VPC ピア接続にルーティングされます。pl-xxxxxxxx と 10.25.0.0/16 の IP アドレス範囲 は 0.0.0.0/0 より具体的です。インスタンスから Amazon S3 またはピア接続 VPC にトラフィックを 送信すると、トラフィックは VPC エンドポイントまたは VPC ピア接続に送信されます。インスタン スからインターネット (Amazon S3 IP アドレス以外) にトラフィックを送信すると、トラフィックは NAT ゲートウェイに送信されます。 VPC ピア接続、VPN 接続、または AWS Direct Connect を経由して NAT ゲートウェイにトラフィッ クをルーティングすることはできません。NAT ゲートウェイは、これらの接続の他方の側にあるリ ソースからは使用できません。 NAT ゲートウェイの使用 Amazon VPC コンソールを使用して NAT ゲートウェイの作成、表示、削除ができます。Amazon VPC ウィザードを使用して、パブリックサブネット、プライベートサブネット、NAT ゲートウェイを 使う VPC を作成することもできます。詳細については、「シナリオ 2: パブリックサブネットとプラ イベートサブネットを持つ VPC (NAT) (p. 34)」を参照してください。 トピック • NAT ゲートウェイの作成 (p. 213) • ルートテーブルの更新 (p. 214) • NAT ゲートウェイの削除 (p. 214) • NAT ゲートウェイのテスト (p. 214) NAT ゲートウェイの作成 NAT ゲートウェイを作成するには、サブネットと Elastic IP アドレスを指定する必要がありま す。Elastic IP アドレスが、現在インスタンスやネットワークインターフェイスに関連付けられてい ないことを確認します。NAT インスタンスから NAT ゲートウェイに移行し、NAT インスタンスの Elastic IP アドレスを引き継ぐ場合は、まず NAT インスタンスに関連付けられているアドレスを解除 する必要があります。 NAT ゲートウェイを作成するには 1. 2. 3. 4. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[NAT ゲートウェイ]、[NAT ゲートウェイの作成] の順に選択します。 ダイアログボックスで、NAT ゲートウェイを作成する先のサブネットを指定し、NAT ゲートウェ イに関連付ける Elastic IP アドレスを選択します。終了したら、[NAT ゲートウェイの作成] を選 択します。 NAT ゲートウェイがコンソールに表示されます。まもなく NAT ゲートウェイの状態が Available に変わり、NAT ゲートウェイが利用可能になります。 NAT ゲートウェイの状態が Failed である場合は、作成時にエラーが発生しています。詳細について は、「NAT ゲートウェイの状態が Failed になる (p. 217)」を参照してください。 213 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ ルートテーブルの更新 NAT ゲートウェイを作成したら、プライベートサブネットのルートテーブルを更新して、インター ネットトラフィックを NAT ゲートウェイに向かわせる必要があります。AWS では、トラフィックと 一致する最も具体的なルートを使用して、トラフィックをルーティングする方法を決定します (最長プ レフィックス一致)。詳細については、「ルーティングの優先度 (p. 191)」を参照してください。 NAT ゲートウェイへのルートを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[ルートテーブル] を選択します。 3. プライベートサブネットに関連付けられているルートテーブルを選択し、[ルート]、[編集] の順に 選択します。 4. [別ルートの追加] を選択します。[送信先] に「0.0.0.0/0」と入力します。[ターゲット] で、NAT ゲートウェイの ID を選択します。 Note NAT インスタンスから移行する場合は、NAT インスタンスを指す現在のルートを NAT ゲートウェイを指すルートに置き換えます。 5. [保存] を選択します。 NAT ゲートウェイからインターネットにアクセスできるためには、NAT ゲートウェイがあるサブネッ トに関連付けられているルートテーブルに、インターネットトラフィックをインターネットゲート ウェイに向かわせるルートが含まれている必要があります。詳細については、「カスタムルートテー ブルを作成する (p. 203)」を参照してください。NAT ゲートウェイを削除する場合、NAT ゲート ウェイのルートを削除または更新するまで、ルートの状態は blackhole になります。詳細について は、「ルートテーブルでルートを追加および削除する (p. 196)」を参照してください。 NAT ゲートウェイの削除 Amazon VPC コンソールを使用して NAT ゲートウェイを削除できます。NAT ゲートウェイを削除す ると、そのエントリは Amazon VPC コンソールに引き続き短時間 (通常は 1 時間) 表示された後で、 自動的に削除されます。このエントリを手動で削除することはできません。 NAT ゲートウェイを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [NAT ゲートウェイ] を選択します。 3. NAT ゲートウェイを選択し、[NAT ゲートウェイの削除] を選択します。 4. 確認ダイアログボックスで、[NAT ゲートウェイの削除] を選択します。 NAT ゲートウェイのテスト NAT ゲートウェイを作成してルートテーブルを更新したら、プライベートサブネットのインスタンス からインターネットに ping を送信し、インスタンスがインターネットに接続できることをテストしま す。これを行う方法の例については、「インターネット接続のテスト (p. 215)」を参照してくださ い。 インターネットに接続できる場合は、さらに以下のテストを実行して、インターネットトラフィック が NAT ゲートウェイを介してルーティングされているかどうかを判断できます。 • プライベートサブネットのインスタンスからのトラフィックのルートを追跡できます。これを行う には、プライベートサブネットの Linux インスタンスから traceroute コマンドを実行します。出 214 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ 力で、NAT ゲートウェイのプライベート IP アドレスがホップのいずれか (通常は最初のホップ) に 表示されます。 • プライベートサブネットのインスタンスから接続すると、ソース IP アドレスが表示されるような サードパーティのウェブサイトやツールを使用します。ソース IP アドレスとして NAT ゲートウェ イの Elastic IP アドレスが表示される必要があります。NAT ゲートウェイの Elastic IP アドレスと プライベート IP アドレスの情報は、Amazon VPC コンソールの [NAT Gateways] ページで確認でき ます。 上のテストが失敗した場合は、「NAT ゲートウェイのトラブルシューティング (p. 216)」を参照し てください。 インターネット接続のテスト 次の例は、プライベートサブネットのインスタンスからインターネットに接続できるかどうかをテス トする方法を示しています。 1. パブリックサブネットのインスタンスを起動します (これを踏み台サーバーとして使用します)。詳 細については、「サブネット内にインスタンスを起動する (p. 91)」を参照してください。起動ウィ ザードで、Amazon Linux AMI を選択し、インスタンスにパブリック IP アドレスを割り当てます。 ローカルネットワークの IP アドレス範囲からのインバウンド SSH トラフィック (このテストには 0.0.0.0/0 を使用できます) とプライベートサブネットの IP アドレス範囲への SSH トラフィック が、セキュリティグループのルールで許可されていることを確認します。 2. プライベートサブネットのインスタンスを起動します。起動ウィザードで、Amazon Linux AMI を 選択します。インスタンスにパブリック IP アドレスを割り当てないでください。パブリックサブ ネットで起動したインスタンスの IP アドレスからのインバウンド SSH トラフィックとすべてのア ウトバウンド ICMP トラフィックが、セキュリティグループのルールで許可されていることを確認 します。パブリックサブネットのインスタンスの起動に使用したのと同じキーペアを選択する必要 があります。 3. ローカルコンピュータの SSH エージェント転送を設定し、パブリックサブネットの踏み台サー バーに接続します。詳細については、「Linux または OS X の SSH エージェント転送を設定するに は (p. 215)」または「Windows (PuTTY) 用に SSH エージェント転送を設定するには (p. 216)」 を参照してください。 4. 踏み台サーバーからプライベートサブネットのインスタンスに接続し、プライベートサブネットの インスタンスからインターネット接続をテストします。詳細については、「インターネット接続を テストするには (p. 216)」を参照してください。 Linux または OS X の SSH エージェント転送を設定するには 1. ローカルマシンから、認証エージェントにプライベートキーを追加します。 Linux の場合、次のコマンドを使用します。 ssh-add -c mykeypair.pem OS X の場合、次のコマンドを使用します。 ssh-add -K mykeypair.pem 2. -A オプションを使用してパブリックサブネットのインスタンスに接続して SSH エージェント転 送を有効にし、インスタンスのパブリックアドレスを使用します。次に例を示します。 ssh -A [email protected] 215 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ Windows (PuTTY) 用に SSH エージェント転送を設定するには 1. 既にインストールされていない場合は、PuTTY のダウンロードページから Pageant をダウン ロードしてインストールします。 2. プライベートキーを .ppk 形式に変換します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「PuTTYgen を使用した秘密キーの変換」を参照してください。 3. Pageant を起動し、タスクバーの Pageant アイコン (非表示の場合があります) を右クリックし て、[Add Key] を選択します。作成した .ppk ファイルを選択し、必要に応じてパスフレーズを入 力して、[Open] を選択します。 4. PuTTY セッションを開始し、パブリック IP アドレスを使用してパブリックサブネットのイ ンスタンスに接続します。詳細については、「PuTTY セッションの開始」を参照してくださ い。[Auth] カテゴリで、必ず [Allow agent forwarding] オプションを選択し、[Private key file for authentication] フィールドは空のままにします。 インターネット接続をテストするには 1. パブリックサブネットのインスタンスから、プライベート IP アドレスを使用して、プライベート サブネットのインスタンスに接続します。次に例を示します。 ssh [email protected] 2. プライベートインスタンスから、ICMP が有効なウェブサイトに対して ping コマンドを実行し て、インターネットに接続できることをテストします。次に例を示します。 ping ietf.org PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ... ping コマンドをキャンセルするには、Ctrl + C を押します。ping コマンドが失敗した場合は、 「プライベートサブネットのインスタンスからインターネットにアクセスできない (p. 219)」を 参照してください。 3. (オプション) インスタンスが不要になった場合は、それを終了します。詳細については、Linux イ ンスタンス用 Amazon EC2 ユーザーガイドの「インスタンスの終了」を参照してください。 NAT ゲートウェイのトラブルシューティング 以下のトピックでは、NAT ゲートウェイの作成時や使用時によく発生する場合がある問題のトラブル シューティングについて説明します。 トピック • NAT ゲートウェイの状態が Failed になる (p. 217) • Elastic IP アドレスまたは NAT ゲートウェイの制限に達した (p. 218) • アベイラビリティーゾーンがサポートされていない (NotAvailableInZone) (p. 218) • 作成した NAT ゲートウェイが表示されなくなった (p. 218) • NAT ゲートウェイが ping コマンドに応答しない (p. 218) • プライベートサブネットのインスタンスからインターネットにアクセスできない (p. 219) • 特定のエンドポイントへの TCP 接続が失敗する (p. 219) • Traceroute の出力に NAT ゲートウェイのプライベート IP アドレスが表示されない (p. 220) 216 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ • インターネット接続が 5 分後に中断される (p. 220) • IPSec 接続を確立できない (p. 220) • 送信先への追加の接続を開始できない (p. 220) NAT ゲートウェイの状態が Failed になる NAT ゲートウェイを作成してその状態が Failed になった場合は、作成時にエラーが発生していま す。エラーメッセージを表示するには、Amazon VPC コンソールに移動し、[NAT ゲートウェイ] を 選択して NAT ゲートウェイを選択します。エラーメッセージは、詳細ペインの [NAT ゲートウェイ] フィールドに表示されます。 Note 失敗した NAT ゲートウェイは、まもなく (通常は約 1 時間後) 自動的に削除されます。 次の表は、Amazon VPC コンソールに示される失敗の考えられる原因のリストです。示された修復手 順のいずれかを適用したら、NAT ゲートウェイの作成を再度試すことができます。 表示されるエラー 理由 修復手順 この NAT ゲートウェイを作成 するための十分な空きアドレス がサブネットにありません 指定したサブネットに空きプ ライベート IP アドレスがあり ません。NAT ゲートウェイに は、サブネットの範囲からプラ イベート IP アドレスが割り当 てられたネットワークインター フェイスが必要です。 サブネットで利用可能な IP アドレスの数を確認するに は、Amazon VPC コンソールの [サブネット] ページに移動し、 サブネットの詳細ペインで [利用 可能な IP] フィールドを参照し ます。サブネットで空き IP アド レスを作成するには、使用され ていないネットワークインター フェイスを削除するか、必要で ないインスタンスを終了するこ とができます。 ネットワーク vpc-xxxxxxxx に インターネットゲートウェイが アタッチされていません NAT ゲートウェイは、イン ターネットゲートウェイがア タッチされた VPC で作成する 必要があります。 インターネットゲートウェイ を作成して VPC にアタッチし ます。詳細については、「イ ンターネットゲートウェイをア タッチする (p. 203)」を参照し てください。 この NAT ゲートウェイに Elastic IP アドレス eipallocxxxxxxxx を関連付けられませ んでした 指定した Elastic IP アドレスが 存在しないか、見つかりません でした。 Elastic IP アドレスの割り当て ID を調べて正しく入力されてい ることを確認します。NAT ゲー トウェイを作成しているのと同 じリージョンにある Elastic IP アドレスを指定していることを 確認します。 Elastic IP アドレス eipallocxxxxxxxx はすでに関連付けら れています 指定した Elastic IP アドレスが 別のリソースにすでに関連付け られていて、NAT ゲートウェ イに関連付けることはできませ ん。 Elastic IP アドレスに関連付け られているリソースを確認する には、Amazon VPC コンソー ルの [Elastic IP] ページに移動 し、インスタンス ID または ネットワークインターフェイ ス ID に指定されている値を参 照します。特定のリソースの Elastic IP アドレスが必要ない場 217 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ 表示されるエラー 理由 修復手順 合は、その関連付けを解除でき ます。また、アカウントに新し い Elastic IP アドレスを割り当 てることもできます。詳細につ いては、「Elastic IP アドレスの 操作 (p. 241)」を参照してくだ さい。 この NAT ゲートウェイで作成 され、内部で使用されている ネットワークインターフェイス eni-xxxxxxxx が無効な状態で す。もう一度試してください。 NAT ゲートウェイのネット ワークインターフェイスの作成 中または使用中に問題が発生し ました。 このエラーは修正できませ ん。NAT ゲートウェイを作成し 直してください。 Elastic IP アドレスまたは NAT ゲートウェイの制限に達した Elastic IP アドレスの制限に達した場合は、別のリソースに関連付けられている Elastic IP アドレスを 解除するか、Amazon VPC 制限フォームを使用して制限の引き上げをリクエストできます。 NAT ゲートウェイの制限に達した場合は、次のいずれかを行うことができます。 • Amazon VPC 制限フォームを使用して制限の引き上げをリクエストします。NAT ゲートウェイの制 限はアベイラビリティーゾーンごとに適用されます。 • NAT ゲートウェイの状態を確認します。状態が Pending、Available、Deleting のゲートウェ イは制限数に含まれます。最近 NAT ゲートウェイを削除した場合は、少し待って状態が Deleting から Deleted に変わってから、新しい NAT ゲートウェイを作成してみます。 • 特定のアベイラビリティーゾーンの NAT ゲートウェイが不要な場合は、まだ制限に達していないア ベイラビリティーゾーンで NAT ゲートウェイを作成してみます。 の制限事項の詳細については、「Amazon VPC の制限 (p. 280)」を参照してください。 アベイラビリティーゾーンがサポートされていない (NotAvailableInZone) 場合によっては、制約のあるアベイラビリティーゾーン (当社による拡張に制限があるゾーン) で NAT ゲートウェイを作成しようとしている可能性があります。これらのゾーンでは NAT ゲートウェイをサ ポートできません。別のアベイラビリティーゾーンで NAT ゲートウェイを作成し、それを制約のある ゾーンのプライベートサブネットで使用できます。リソースを制約のないアベイラビリティーゾーン に移動し、リソースと NAT ゲートウェイのアベイラビリティーゾーンを同じにすることができます。 作成した NAT ゲートウェイが表示されなくなった NAT ゲートウェイの作成時にエラーが発生した可能性があり、作成が失敗しました。状態が failed の NAT ゲートウェイは VPC コンソールに短時間 (通常は 1 時間) 表示された後で、自動的に削除され ます。「NAT ゲートウェイの状態が Failed になる (p. 217)」の情報を確認し、新しい NAT ゲート ウェイを作成してみてください。 NAT ゲートウェイが ping コマンドに応答しない NAT ゲートウェイの Elastic IP アドレスまたはプライベート IP アドレスに、インターネット (家庭用 コンピュータなど) や VPC のインスタンスから ping を送信しても、応答がありません。NAT ゲート ウェイは、プライベートサブネットのインスタンスからインターネットへのトラフィックのみを渡し ます。 NAT ゲートウェイが動作していることをテストするには、「NAT ゲートウェイのテスト (p. 214)」 を参照してください。 218 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ プライベートサブネットのインスタンスからインターネットにアクセスできな い 上記の NAT ゲートウェイのテスト手順を実行して ping コマンドが失敗するか、インスタンスからイ ンターネットにアクセスできない場合は、次の情報を確認します。 • NAT ゲートウェイの状態が Available であることを確認します。Amazon VPC コンソールで、 [NAT ゲートウェイ] に移動し、詳細ペインの状態情報を参照してください。NAT ゲートウェイの 状態が failed である場合は、作成時にエラーがが発生した可能性があります。詳細については、 「NAT ゲートウェイの状態が Failed になる (p. 217)」を参照してください。 • ルートテーブルが正しく設定されていることを確認します。 • NAT ゲートウェイはパブリックサブネット内にあって、インターネットトラフィックがインター ネットゲートウェイにルーティングされるようにルートテーブルが設定されている必要がありま す。詳細については、「カスタムルートテーブルを作成する (p. 203)」を参照してください。 • インスタンスはプライベートサブネット内にあって、インターネットトラフィックが NAT ゲート ウェイにルーティングされるようにルートテーブルが設定されている必要があります。詳細につ いては、「ルートテーブルの更新 (p. 214)」を参照してください。 • インターネットトラフィックの全体または一部を NAT ゲートウェイの代わりに別のデバイスに ルーティングするようなエントリがルートテーブルに含まれていないことを確認します。 • プライベートインスタンスのセキュリティグループルールにより、アウトバウンドインターネット トラフィックが許可されていることを確認します。ping コマンドを使用するには、ルールにより、 アウトバウンド ICMP トラフィックも許可されている必要があります。 Note NAT ゲートウェイ自体は、アウトバウンドリクエストと、アウントバウンドリクエストに 応じて受信されるトラフィックのすべてを許可します (つまり、ステートフルです)。 • パブリックサブネットとプライベートサブネットに関連付けられているネットワーク ACL に、イン バウンドまたはアウトバウンドのインターネットトラフィックをブロックするルールが含まれてい ないことを確認します。ping コマンドを使用するには、ルールにより、インバウンドおよびアウト バウンドの ICMP トラフィックも許可されている必要があります。 Note ネットワーク ACL やセキュリティグループのルールによって削除された接続の診断には、 フローログを役立てることができます。詳細については、「VPC フローログ (p. 175)」を 参照してください。 • ping コマンドは、必ず ICMP が有効になっているウェブサイトに対して実行してください。そ うでない場合、応答パケットを受け取ることはできません。これをテストするには、自分のコン ピュータのコマンドラインターミナルから同じ ping コマンドを実行します。 • インスタンスから他のリソース (プライベートサブネットの他のインスタンスなど) に ping を実行 できることを確認します (セキュリティグループルールにより、これが許可されている場合)。 • 接続に TCP、UDP、または ICMP プロトコルのみが使用されていることを確認します。 特定のエンドポイントへの TCP 接続が失敗する 他のエンドポイントへの TCP 接続は通常動作しているものの、特定のエンドポイントまたはホス トへの TCP 接続が失敗する場合、接続しようとしているエンドポイントがフラグメント化された TCP パケットに応答するかどうかを確認してください。NAT ゲートウェイは現在 TCP の IP フラグ メント化をサポートしていません。詳細については、「NAT インスタンスと NAT ゲートウェイの比 較 (p. 230)」を参照してください。 エンドポイントがフラグメント化された TCP パケットを送信するかどうかを確認するには、パブリッ ク IP アドレスを持つパブリックサブネット内のインスタンスを使用して次の操作をします。 219 Amazon Virtual Private Cloud ユーザーガイド NAT ゲートウェイ • 特定のエンドポイントからのフラグメント化が発生するのに十分な大きさのレスポンスをトリガー します。 • エンドポイントがフラグメント化したパケットを送信していることを確認するため、tcpdump ユー ティリティを使用します。 Important このチェックを実行するにはパブリックサブネットでインスタンスを使用する必要がありま す。元の接続が失敗したインスタンス、または NAT ゲートウェイまたは NAT インスタンス の背後にあるプライベートサブネットのインスタンスは使用できません。 エンドポイントがフラグメント化された TCP パケットを送信している場合、NAT ゲートウェイの代 わりに NAT インスタンスを使用できます。 Note NAT ゲートウェイも ICMP プロトコルの IP フラグメント化をサポートしていません。大きな ICMP パケットを送信、または受信する診断ツールによって、パケット損失を報告します。た とえば、この ping -s 10000 example.com コマンドは NAT ゲートウェイの背後では機能 しません。 Traceroute の出力に NAT ゲートウェイのプライベート IP アドレスが表示さ れない インスタンスからインターネットにアクセスできるが、traceroute コマンドを実行すると、出力 に NAT ゲートウェイのプライベート IP アドレスが表示されません。この場合、インスタンスはイン ターネットゲートウェイなどの別のデバイスを使用してインターネットにアクセスしています。イン スタンスがあるサブネットのルートテーブルで、次の情報を確認します。 • インターネットトラフィックを NAT ゲートウェイに送信するルートがあることを確認します。 • インターネットトラフィックを他の機器 (仮想プライベートゲートウェイやインターネットゲート ウェイなど) に送信するためのより具体的なルートがないことを確認します。 インターネット接続が 5 分後に中断される NAT ゲートウェイを使用する接続が 5分以上アイドル状態のままであると、接続はタイムアウトしま す。追加のトラフィックを開始して接続を維持するか、TCP キープアライブを使用して接続の中断を 防ぐことができます。 IPSec 接続を確立できない NAT ゲートウェイは現在 IPSec プロトコルをサポートしていません。 送信先への追加の接続を開始できない 同時接続数が上限に達した可能性があります。NAT ゲートウェイは送信先別に最大 65,000 の同時接 続をサポートできます。プライベートサブネットのインスタンスで多数の接続が作成されると、この 上限に達する場合があります。次のいずれかを試すことができます。 • アベイラビリティゾーンごとに NAT ゲートウェイを作成し、各ゾーンにクライアントを分散してく ださい。 • パブリックサブネットで追加の NAT ゲートウェイを作成し、クライアントを複数のプライベートサ ブネットに分散して、それぞれに別の NAT ゲートウェイへのルートを設定します。 • 送信先に対してクライアントが作成できる接続の数を制限します。 220 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス • アイドル状態の接続を閉じて容量を解放します。 Note 送信先 IP アドレス、送信先ポート、またはプロトコル (TCP/UDP/ICMP) が変更された場合 は、追加の 65,000 の接続を作成できます。 NAT ゲートウェイの使用の管理 デフォルトでは、IAM ユーザーには NAT ゲートウェイを使用するためのアクセス権限がありませ ん。NAT ゲートウェイを作成、説明、削除するアクセス権限をユーザーに付与するための IAM ユー ザーポリシーを作成できます。現在、ec2:*NatGateway* API オペレーションのいずれに対しても、 リソースレベルのアクセス権限はサポートされていません。Amazon VPC の IAM ポリシーの詳細につ いては、「Amazon VPC のリソースに対するアクセスの制御 (p. 162)」を参照してください。 API と CLI の概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細と利用可能な API オペレーションの一覧については、「Amazon VPC へのアクセス (p. 8)」を参照してください。 NAT ゲートウェイの作成 • create-nat-gateway (AWS CLI) • New-EC2NatGateway (AWS Tools for Windows PowerShell) • CreateNatGateway (Amazon EC2 Query API) NAT ゲートウェイの説明 • describe-nat-gateways (AWS CLI) • Get-EC2NatGateway (AWS Tools for Windows PowerShell) • DescribeNatGateways (Amazon EC2 Query API) NAT ゲートウェイの削除 • delete-nat-gateway (AWS CLI) • Remove-EC2NatGateway (AWS Tools for Windows PowerShell) • DeleteNatGateway (Amazon EC2 Query API) NAT インスタンス VPC でパブリックサブネットのネットワークアドレス変換 (NAT) インスタンスを使用し、プライベー トサブネットのインスタンスからはインターネットや他の AWS サービスへのアウトバウンド IPv4 ト ラフィックを開始できますが、インターネット上で他の人が開始したインバウンドトラフィックはイ ンスタンスで受信しないようにすることができます。 パブリックサブネットとプライベートサブネットの詳細については、「サブネットのルーティン グ (p. 87)」を参照してください。NAT の詳細については、「NAT (p. 210)」を参照してください。 NAT は IPv6 トラフィックには対応していないため、Egress-Only インターネットゲートウェイを使用 します。詳細については、「Egress-Only インターネットゲートウェイ (p. 206)」を参照してくださ い。 221 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス Note また、NAT ゲートウェイを使用することもできます。NAT ゲートウェイはマネージド NAT サービスであり、可用性と帯域幅に優れ、運用管理の手間を節約できます。一般的ユース ケースには、NAT インスタンスではなく NAT ゲートウェイを使用することをお勧めします。 詳細については、「NAT ゲートウェイ (p. 210)」および「NAT インスタンスと NAT ゲート ウェイの比較 (p. 230)」を参照してください。 トピック • NAT インスタンスの基本 (p. 222) • NAT インスタンスを設定する (p. 223) • NATSG セキュリティグループを作成する (p. 225) • 送信元/送信先チェックを無効にする (p. 226) • メインルートテーブルを更新する (p. 227) • NAT インスタンスの設定のテスト (p. 227) NAT インスタンスの基本 次の図は、NAT インスタンスの基本を示しています。メインルートテーブルは、プライベートサブ ネット内のインスタンスからパブリックサブネット内の NAT インスタンスにトラフィックを送信しま す。NAT インスタンスは、そのトラフィックを VPC のインターネットゲートウェイに送信します。 トラフィックは NAT インスタンスの Elastic IP アドレスによってもたらされます。NAT インスタンス は応答用に大きなポート番号を指定します。応答が戻ってきた場合、NAT インスタンスはそれをプラ イベートサブネット内のインスタンスに、応答用のポート番号に基づいて送信します。 222 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス Amazon では、NAT インスタンスとして実行されるように設定された Amazon Linux AMI を提供して います。これらの AMI の名前には文字列 amzn-ami-vpc-nat が含まれているので、Amazon EC2 コ ンソールで検索できます。NAT AMI からインスタンスを起動すると、次の設定がインスタンスで発生 します。 • IPv4 転送が有効になり、ICMP リダイレクトが /etc/sysctl.d/10-nat-settings.conf で無効 になります • /usr/sbin/configure-pat.sh にあるスクリプトが起動時に実行され、iptables IP マスカレード が設定されます NAT インスタンスの制限は、リージョンのインスタンスタイプの制限によって決まります。詳細につ いては、「EC2 のよくある質問」を参照してください。使用できる NAT AMI のリストについては、 「Amazon Linux AMI マトリックス」を参照してください。 NAT インスタンスを設定する VPC ウィザードを使用すると、NAT インスタンスで VPC を設定できます。詳細については、「シナ リオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT) (p. 34)」を参照してくだ さい。ウィザードは、NAT インスタンスの起動やルーティングのセットアップなどの多くの設定ス テップを実行します。ただし、必要に応じて、次のステップを使用して VPC と NAT インスタンスを 手動で作成および設定することができます。 223 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス 1. 2 つのサブネットを持つ VPC を作成します。 Note 次のステップは、手動で VPC を作成および設定するためです。VPC ウィザードを使用す る VPC の作成ではありません。 a. VPC を作成する (「VPC を作成する (p. 89)」を参照) b. 2 つのサブネットを作成する (「サブネットを作成する (p. 203)」を参照) c. インターネットゲートウェイを VPC にアタッチする (「インターネットゲートウェイをア タッチする (p. 203)」を参照) d. VPC の外部あてのトラフィックをインターネットゲートウェイに送信するカスタムルート テーブルを作成し、1 つのサブネットに関連付けて、パブリックサブネットにする (「カスタ ムルートテーブルを作成する (p. 203)」を参照) 2. NATSG セキュリティグループを作成します (「NATSG セキュリティグループを作成す る (p. 225)」を参照)。このセキュリティグループは、NAT インスタンスの起動時に指定しま す。 3. NAT インスタンスとして実行されるように設定された AMI からパブリックサブネット内にイン スタンスを起動します。Amazon では、NAT インスタンスとして実行されるように設定された Amazon Linux AMI を提供しています。これらの AMI の名前には文字列 amzn-ami-vpc-nat が 含まれているので、Amazon EC2 コンソールで検索できます。 a. Amazon EC2 コンソールを開きます。 b. ダッシュボードで、[インスタンスの作成] ボタンを選択し、次のようにウィザードを実行し ます。 i. [Amazon マシンイメージ (AMI)] ページで、[コミュニティ AMI] カテゴリを選択 し、amzn-ami-vpc-nat を探します。結果のリストでは、各 AMI の名前には、最新の AMI を選択することができるバージョンが含まれています (2013.09 など)。[選択] を選 択します。 ii. [インスタンスタイプの選択] ページでインスタンスタイプを選択し、[次の手順: インス タンスの詳細の設定] を選択します。 iii. [インスタンスの詳細の設定] ページで、[ネットワーク] のリストから作成した VPC を選 択し、[サブネット] のリストからパブリックサブネットを選択します。 iv. (オプション) [パブリック IP] チェックボックスをオンにして、NAT インスタンスがパブ リック IP アドレスを受け取るように指定します。ここでパブリック IP アドレスを割り 当てない場合、Elastic IP アドレスを割り当てて、インスタンスの起動後にそのアドレス をインスタンスに割り当てることができます。起動時のパブリック IP の割り当ての詳細 については、「インスタンス起動時のパブリック IPv4 アドレスの割り当て (p. 106)」を 参照してください。[次の手順: ストレージの追加] を選択します。 v. インスタンスにストレージを追加することができます。次のページでは、タグを追加で きます。完了したら、[次の手順: セキュリティグループの設定] を選択します。 vi. [セキュリティグループの設定] ページで、[既存のセキュリティグループを選択する] オ プションを選択し、作成した NATSG セキュリティグループを選択します。[確認と作成] を選択します。 vii. 選択した設定を確認します。必要な変更を行い、[作成] を選択し、キーペアを選択して インスタンスを起動します。 4. (オプション) NAT インスタンスに接続し、必要に応じて修正を加え、NAT インスタンスとして実 行されるように設定された独自の AMI を作成します。この AMI は、次回 NAT インスタンスを起 動する必要があるときに使用できます。AMI の作成の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EBS-Backed AMI の作成」を参照してください。 5. NAT インスタンスの SrcDestCheck 属性を無効にします (「送信元/送信先チェックを無効にす る (p. 226)」を参照)。 224 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス 6. 7. 起動時に NAT インスタンスにパブリック IP アドレスを割り当てていない場合 (手順 3)、Elastic IP アドレスをそのインスタンスに関連付ける必要があります。 a. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 b. ナビゲーションペインで [Elastic IP] を選択し、[新しいアドレスの割り当て] を選択します。 c. [新しいアドレスの割り当て] ダイアログボックスの [ネットワークプラットフォーム] のリス トで [EC2-VPC] を選択し、[はい、割り当てる] を選択します。 d. リストで Elastic IP アドレスを選択し、[Associate Address] ボタンを選択します。 e. [Associate Address] ダイアログボックスで、NAT インスタンスのネットワークインターフェ イスを選択します。[プライベート IP アドレス] のリストから、EIP を関連付けるアドレスを 選択し、[はい、関連付ける] を選択します。 メインルートテーブルを更新して、NAT インスタンスにトラフィックを送信します。詳細につい ては、「メインルートテーブルを更新する (p. 227)」を参照してください。 コマンドラインを使用した NAT インスタンスの起動 サブネット内に NAT インスタンスを起動するには、次のいずれかのコマンドを使用します。これらの コマンドラインインターフェイスの詳細については、「Amazon VPC へのアクセス (p. 8)」を参照し てください。 • run-instances (AWS CLI) • New-EC2Instance (AWS Tools for Windows PowerShell) NAT インスタンスとして実行するように設定された AMI の ID を取得するには、イメージの詳細を確 認するためのコマンドを使用し、Amazon が所有する AMI に関連した結果 (名前に文字列 amzn-amivpc-nat が含まれています) のみを返すフィルタを使用します。次の例では、AWS CLI を使用しま す。 PROMPT> aws ec2 describe-images --filter Name="owner-alias",Values="amazon" --filter Name="name",Values="amzn-ami-vpc-nat*" NATSG セキュリティグループを作成する 次の表に示すように NATSG セキュリティグループを定義し、NAT インスタンスを有効にして、イ ンターネットに接続されたトラフィックを、プライベートサブネットのインスタンスから受け取りま す。また、SSH トラフィックをネットワークから受け取ります。また、NAT インスタンスは、ネット ワークにトラフィックを送信することもできます。これにより、プライベートサブネットのインスタ ンスがソフトウェア更新を取得できます。 NATSG: 推奨ルール インバウンド 送信元 プロトコル ポート範囲 コメント 10.0.1.0/24 TCP 80 プライベートサブネットのサーバー からのインバウンド HTTP トラ フィックを許可する 10.0.1.0/24 TCP 443 プライベートサブネットのサーバー からのインバウンド HTTPS トラ フィックを許可する ホームネットワークのパブリッ ク IP アドレスの範囲 TCP 22 ホームネットワークから NAT イン スタンスへのインバウンド SSH ア 225 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス クセス (インターネットゲートウェ イ経由) を許可する アウトバウンド 送信先 プロトコル ポート範囲 コメント 0.0.0.0/0 TCP 80 インターネットへのアウトバウンド HTTP アクセスを許可する 0.0.0.0/0 TCP 443 インターネットへのアウトバウンド HTTPS アクセスを許可する NATSG セキュリティグループを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Security Groups] を選択して、[Create Security Group] を選択します。 3. [Create Security Group] ダイアログボックスで、セキュリティグループ名として NATSG を指定 し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。 4. 先ほど作成した NATSG セキュリティグループを選択します。詳細ペインに、セキュリティグ ループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示 されます。 5. 次に示すように、[Inbound Rules] タブを使用して、インバウンドトラフィックのルールを追加し ます。 6. a. [Edit] を選択します。 b. [Add another rule] を選択し、[Type] リストから [HTTP] を選択します。[Source] フィールド で、プライベートサブネットの IP アドレス範囲を指定します。 c. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Source] フィールド で、プライベートサブネットの IP アドレス範囲を指定します。 d. [Add another rule] を選択し、[Type] リストから [SSH] を選択します。[Source] フィールド で、ネットワークのパブリック IP アドレス範囲を指定します。 e. [Save] を選択します。 次に示すように、[Outbound Rules] タブを使用して、アウトバウンドトラフィックのルールを追 加します。 a. [Edit] を選択します。 b. [Add another rule] を選択し、[Type] リストから [HTTP] を選択します。[Destination] フィー ルドで、[0.0.0.0/0] と指定します。 c. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Destination] フィー ルドで、[0.0.0.0/0] と指定します。 d. [Save] を選択します。 セキュリティグループの詳細については、VPC のセキュリティグループ (p. 121) を参照してくださ い。 送信元/送信先チェックを無効にする EC2 インスタンスは、送信元/送信先チェックをデフォルトで実行します。つまり、そのインスタン スは、そのインスタンスが送受信する任意のトラフィックの送信元または送信先である必要がありま す。しかし、NAT インスタンスは、送信元または送信先がそのインスタンスでないときにも、トラ フィックを送受信できなければなりません。したがって、NAT インスタンスでは送信元/送信先チェッ クを無効にする必要があります。 226 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス 実行中または停止している NAT インスタンスの SrcDestCheck 属性は、コンソールまたはコマンド ラインを使用して無効にできます。 コンソールを使用して、送信元/送信先チェックを無効にするには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[インスタンス] を選択します。 3. NAT インスタンスを選択して、[Actions] を選択し、次に [Networking] を選択して、[Change Source/Dest.Check] を選択します。 4. NAT インスタンスの場合は、この属性が無効になっていることを確認します。それ以外の場合 は、[Yes, Disable] を選択します。 コマンドラインを使用して送信元/送信先チェックを無効にするには 次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細について は、Amazon VPC へのアクセス (p. 8) を参照してください。 • modify-instance-attribute (AWS CLI) • Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell) メインルートテーブルを更新する メインルートテーブルを以下の手順にしたがって更新します。デフォルトでは、メインルートテーブ ルによって、VPC 内のインスタンスはお互いに通信することができます。その他のすべてのサブネッ トトラフィックを NAT インスタンスに送信するルートが追加されます。 メインルートテーブルを更新するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Route Tables] を選択します。 3. VPC 用のメインルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートのプ ロパゲーションを操作するタブが表示されます。 4. [Routes] タブで [Edit] を選択し、[Destination] ボックスに [0.0.0.0/0] と指定します。次に、 [Target] リストから NAT インスタンスのインスタンス ID を選択して、[Save] を選択します。 5. [Subnet Associations] タブで [Edit] を選択し、サブネットの [Associate] チェックボックスをオン にします。[Save] を選択します。 ルートテーブルの詳細については、「ルートテーブル (p. 187)」を参照してください。 NAT インスタンスの設定のテスト NAT インスタンスを起動して上記の設定手順を完了したら、テストを実行し、NAT インスタンスを踏 み台サーバーとして使うことで、NAT インスタンス経由でプライベートサブネットのインスタンスか らインターネットにアクセスできるかどうかを確認できます。これを行うには、インバウンドおよび アウトバウンドの ICMP トラフィックとアウトバウンドの SSH トラフィックを許可するように NAT インスタンスのセキュリティグループルールを更新し、プライベートサブネットでインスタンスを起 動します。次に、プライベートサブネットのインスタンスにアクセスするように SSH エージェント転 送を設定し、インスタンスに接続して、インターネット接続をテストします。 NAT インスタンスのセキュリティグループを更新するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 227 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス 3. NAT インスタンスに関連付けられたセキュリティグループを探し、[Inbound] タブで [Edit] を選択 します。 4. [Add Rule] を選択し、[Type] リストから [All ICMP] を、[Source] リストから [Custom IP] を選択 します。プライベートサブネットの IP アドレス範囲 (例: 10.0.1.0/24) を入力します。[Save] を選択します。 5. [Outbound] タブで、[Edit] を選択します。 6. [Add Rule] を選択し、[Type] リストから [SSH] を、[Source] リストから [Custom IP] を選択しま す。プライベートサブネットの IP アドレス範囲 (例: 10.0.1.0/24) を入力します。[Save] を選 択します。 7. [Add Rule] を選択し、[Type] リストから [All ICMP] を、[Source] リストから [Custom IP] を選択 します。「0.0.0.0/0」と入力し、[Save] を選択します。 プライベートサブネット内にインスタンスを起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[インスタンス] を選択します。 3. プライベートサブネット内にインスタンスを起動します。詳細については、「サブネット内にイ ンスタンスを起動する (p. 91)」を参照してください。起動ウィザードの次のオプションを必ず設 定し、[Launch] を選択します。 • [Choose an Amazon Machine Image (AMI)] ページで、[Quick Start] カテゴリから [Amazon Linux AMI] を選択します。 • [Configure Instance Details] ページで、[Subnet] リストからプライベートサブネットを選択しま す。このときに、インスタンスにパブリック IP アドレスを割り当てないでください。 • [Configure Security Group] ページで、NAT インスタンスのプライベート IP アドレスからの SSH アクセス、またはパブリックサブネットの IP アドレス範囲からの SSH アクセスを許可 するインバウンドルールがセキュリティグループに含まれていて、アウトバウンド ICMP トラ フィックを許可するアウトバウンドルールがあることを確認します。 • [Select an existing key pair or create a new key pair] ダイアログボックスで、NAT インスタン スの起動に使用したのと同じキーペアを選択します。 Linux または OS X の SSH エージェント転送を設定するには 1. ローカルマシンから、認証エージェントにプライベートキーを追加します。 Linux の場合、次のコマンドを使用します。 PROMPT> ssh-add -c mykeypair.pem OS X の場合、次のコマンドを使用します。 PROMPT> ssh-add -K mykeypair.pem 2. -A オプションを使用して NAT インスタンスに接続し、SSH エージェント転送を有効にします。 その例を次に示します。 ssh -A [email protected] Windows (PuTTY) 用に SSH エージェント転送を設定するには 1. 既にインストールされていない場合は、PuTTY のダウンロードページから Pageant をダウン ロードしてインストールします。 228 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンス 2. プライベートキーを .ppk 形式に変換します。詳細については、「PuTTYgen を使用したプライ ベートキーの変換」を参照してください。 3. Pageant を起動し、タスクバーの Pageant アイコン (非表示の場合があります) を右クリックし て、[Add Key] を選択します。作成した .ppk ファイルを選択し、必要に応じてパスフレーズを入 力して、[Open] を選択します。 4. PuTTY セッションを開始して NAT インスタンスに接続します。[Auth] カテゴリで、必ず [Allow agent forwarding] オプションを選択し、[Private key file for authentication] フィールドは空のまま にします。 インターネット接続をテストするには 1. ICMP が有効なウェブサイトに対して ping コマンドを実行して、NAT インスタンスがインター ネットと通信できることをテストします。例: PROMPT> ping ietf.org PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=48 time=74.9 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=48 time=75.1 ms ... ping コマンドをキャンセルするには、Ctrl + C を押します。 2. NAT インスタンスから、プライベート IP アドレスを使用してプライベートサブネットのインス タンスに接続します。例: PROMPT> ssh [email protected] 3. プライベートインスタンスから ping コマンドを実行して、インターネットに接続できることを テストします。 PROMPT> ping ietf.org PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ... ping コマンドをキャンセルするには、Ctrl + C を押します。 ping コマンドが失敗した場合、次の情報を確認します。 • NAT インスタンスのセキュリティグループルールで、プライベートサブネットからのインバウ ンド ICMP トラフィックを許可していることを確認します。許可していない場合、NAT インス タンスはプライベートインスタンスから ping コマンドを受け取ることができません。 • ルートテーブルが正しく設定されていることを確認します。詳細については、「メインルート テーブルを更新する (p. 227)」を参照してください。 • NAT インスタンスの送信元/送信先チェックを無効にしたことを確認します。詳細については、 「送信元/送信先チェックを無効にする (p. 226)」を参照してください。 • ICMP を有効にしたウェブサイトに対して ping を実行していることを確認します。そうでない 場合、応答パケットを受け取ることはできません。これをテストするには、自分のコンピュー タのコマンドラインターミナルから同じ ping コマンドを実行します。 4. (オプション) 必要がなくなった場合は、プライベートインスタンスを終了します。詳細について は、Linux インスタンス用 Amazon EC2 ユーザーガイドの「インスタンスの終了」を参照してく ださい。 229 Amazon Virtual Private Cloud ユーザーガイド NAT インスタンスと NAT ゲートウェイの比較 NAT インスタンスと NAT ゲートウェイの比較 以下は、NAT インスタンスと NAT ゲートウェイの相違点の概要です。 属性 NAT ゲートウェイ NAT インスタンス 可用性 高可用性。各アベイラビリティーゾーンの スクリプトを使用してインスタンス間の NAT ゲートウェイは冗長性を持たせて実装 フェイルオーバーを管理します。 されます。アベイラビリティーゾーンごと に NAT ゲートウェイを作成し、ゾーンに依 存しないアーキテクチャにします。 帯域幅 10 Gbps までのバーストをサポートしま す。 メンテナ ンス AWS によって管理されます。ユーザーがメ ユーザーが管理します (インスタンスでソ ンテナンスを行う必要はありません。 フトウェアアップデートやオペレーティン グシステムのパッチをインストールするな ど)。 パフォー マンス ソフトウェアは NAT トラフィックを処理す 一般的な Amazon Linux AMI が NAT を実 るように最適化されます。 行するように設定されます。 料金 NAT ゲートウェイの使用数、使用期 間、NAT ゲートウェイを通じて送信する データの量に応じて課金されます。 NATインスタンスの使用数、使用期間、イ ンスタンスタイプとサイズに応じて課金さ れます。 タイプお よびサイ ズ 一律提供で、タイプやサイズを決める必要 はありません。 予測されるワークロードに応じて適切なイ ンスタンスタイプとサイズを選択します。 パブリッ ク IP ア ドレス 作成時に NAT ゲートウェイに関連付ける Elastic IP アドレスを選択します。 NAT インスタンスで Elastic IP アドレス またはパブリック IP アドレスを使用しま す。インスタンスに新しい Elastic IP アド レスを関連付けることにより、パブリック IP アドレスをいつでも変更できます。 プライ ベート IP アド レス ゲートウェイの作成時にサブネットの IP ア ドレス範囲から自動的に選択されます。 インスタンスの起動時にサブネットの IP アドレス範囲から特定のプライベート IP アドレスを割り当てます。 セキュ リティグ ループ NAT ゲートウェイに関連付けることはでき ません。NAT ゲートウェイの背後にあるリ ソースにセキュリティグループを関連付け て、インバウンドトラフィックとアウトバ ウンドトラフィックをコントロールできま す。 NAT インスタンスおよび NAT インスタン スの背後にあるリソースに関連付けてイン バウンドトラフィックとアウトバウンドト ラフィックをコントロールできます。 ネット ワーク ACL ネットワーク ACL を使用して、NAT ゲー トウェイがあるサブネットに出入りするト ラフィックをコントロールします。 ネットワーク ACL を使用して、NAT イン スタンスがあるサブネットに出入りするト ラフィックをコントロールします。 フローロ グ フローログを使用してトラフィックをキャ プチャします。 フローログを使用してトラフィックをキャ プチャします。 ポート転 送 サポート外。 設定を手動でカスタマイズしてポート転送 をサポートします。 230 インスタンスタイプの帯域幅に依存しま す。 Amazon Virtual Private Cloud ユーザーガイド DHCP オプションセット 属性 NAT ゲートウェイ NAT インスタンス 踏み台 サーバー サポート外。 踏み台サーバーとして使用します。 トラ フィック のメトリ クス サポート外。 CloudWatch メトリクスを表示します。 タイムア ウト動作 接続がタイムアウトになると、NAT ゲート ウェイは、NAT ゲートウェイの背後で接続 を継続しようとするリソースすべてに RST パケットを返します (FIN パケットは送信し ません)。 接続がタイムアウトになると、NAT イン スタンスは、接続を閉じるために、NAT インスタンスの背後にあるリソースに FIN パケットを送信します。 IP フラ グメント 化 UDP プロトコルの IP フラグメント化され たパケットの転送をサポートします。 TCP、UDP、ICMP プロトコルの IP フラ グメント化されたパケットの再アセンブル をサポートします。 TCP および ICMP プロトコルのフラグメン ト化はサポートしていません。これらのプ ロトコルのフラグメント化されたパケット は削除されます。 DHCP オプションセット このトピックでは、DHCP オプションセットと、VPC の DHCP オプションを指定する方法について 説明します。 トピック • DHCP オプションセットの概要 (p. 231) • Amazon DNS サーバー (p. 233) • DHCP オプションを変更する (p. 233) • DHCP オプションセットを使用する (p. 233) • API とコマンドの概要 (p. 235) DHCP オプションセットの概要 DHCP (Dynamic Host Configuration Protocol) は、TCP/IP ネットワークのホストに設定情報を渡すた めの規格です。DHCP メッセージの options フィールドの内容は設定パラメータです。パラメータ には、ドメイン名、ドメインネームサーバー、netbios-node-type などがあります。 DHCP オプションセットは AWS アカウントに関連付けられ、すべての Virtual Private Cloud (VPC) で 使用できます。 デフォルト以外の VPC 内に起動する Amazon EC2 インスタンスは、デフォルトでプライベートにな ります。ただし、起動時に明示的に割り当てるか、サブネットのパブリック IPv4 アドレス属性を変更 する場合、パブリック IPv4 アドレスは割り当てられません。デフォルトでは、デフォルトではない VPC 内のすべてのインスタンスが、AWS によって割り当てられた解決できないホスト名を受け取り ます (ip-10-0-0-202 など)。インスタンスに独自のドメイン名を割り当て、独自の DNS サーバーのう ち 4 台までを使用できます。そのためには、特別な DHCP オプションセットを指定する必要がありま す。 231 Amazon Virtual Private Cloud ユーザーガイド DHCP オプションセットの概要 次の表に、DHCP オプションセットのサポートされるすべてのオプションを示します。DHCP オプ ションで必要なオプションのみ指定できます。オプションの詳細については、RFC 2132 を参照して ください。 DHCP オプション名 説明 domain-name-servers 最大 4 つまでのドメインネームサーバー、 または AmazonProvidedDNS の IP アドレ ス。デフォルトの DHCP オプションセットで AmazonProvidedDNS が指定されます。複数の ドメインネームサーバーを指定する場合は、カ ンマで区切ります。 インスタンスに domain-name で指定されたと おりにカスタム DNS ホスト名を受信させる場 合、カスタム DNS サーバーに domain-nameservers を設定する必要があります。 domain-name us-east-1 で AmazonProvidedDNS を 使用している場合は、ec2.internal を指定します。別のリージョンで AmazonProvidedDNS を使用している場合 は、region.compute.internal を指定します (例: ap-northeast-1.compute.internal)。そ れ以外の場合は、ドメイン名を指定します (例: MyCompany.com)。この値は、適切な DNS ホス ト名を完了するために使用します。 Important 一部の Linux オペレーティングシステ ムでは、複数のドメイン名をスペース で区切って指定できます。ただし、他 の Linux オペレーティングシステムや Windows では、この値は単一のドメイ ンとして処理されるため、予期しない動 作の原因となります。DHCP オプショ ンセットが、複数のオペレーティングシ ステムで使用されるインスタンスを持つ VPC に関連付けられている場合は、ド メイン名を 1 つだけ指定してください。 ntp-servers 最大 4 つまでの Network Time Protocol (NTP) サーバーの IP アドレス。詳細については、RFC 2132 のセクション 8.3 を参照してください。 netbios-name-servers 最大 4 つまでの NetBIOS ネームサーバーの IP アドレス。 netbios-node-type NetBIOS ノードタイプ (1、2、4、8)。2 と指定 することをお勧めします (ブロードキャストとマ ルチキャストは現在サポートされません)。これ らのノードタイプの詳細については、RFC 2132 を参照してください。 232 Amazon Virtual Private Cloud ユーザーガイド Amazon DNS サーバー Amazon DNS サーバー VPC を作成する際、DHCP オプションのセットを自動的に作成し、VPC に関連付けます。このセッ トには 2 つのオプションが含まれています。domain-name-servers=AmazonProvidedDNS と domain-name=domain-name-for-your-region です。AmazonProvidedDNS は Amazon DNS サーバーです。このオプションは、VPC のインターネットゲートウェイを介して通信する必要がある インスタンスに対して DNS を有効にします。文字列 AmazonProvidedDNS は、リザーブド IP アド レスで実行中の DNS サーバーにマップされ、VPC IPv4 ネットワークの範囲に 2 をプラスした値で す。例えば、10.0.0.0/16 ネットワークの DNS サーバーの位置は 10.0.0.2 となります。 VPC 内にインスタンスを起動すると、インスタンスにプライベート DNS ホスト名が付与されま す。インスタンスがパブリック IPv4 アドレスを取得している場合は、パブリック DNS ホスト名 が付与されます。DHCP オプション内の domain-name-servers が AmazonProvidedDNS に設 定されている場合、パブリック DNS ホスト名には us-east-1 リージョンには ec2-public-ipv4address.compute-1.amazonaws.com 書式、その他のリージョンには ec2-public-ipv4address.region.compute.amazonaws.com 書式が使用されます。プライベートホスト名に は、us-east-1 リージョンには ip-private-ipv4-address.ec2.internal 書式、その他のリー ジョンには ip-private-ipv4-address.region.compute.internal 書式が使用されます。これ らをカスタム DNS ホスト名に変更するには、カスタム DNS サーバーに domain-name-servers を 設定する必要があります。 VPC の Amazon DNS サーバーは、Amazon Route 53 のプライベートホストゾーンで指定する DNS ドメイン名を解決するために使用されます。プライベートホストゾーンの詳細については、Amazon Route 53 開発者ガイド の「プライベートホストゾーンの使用」を参照してください。 Amazon EMR のような、Hadoop フレームワークを使用するサービスは、インスタンスが自己の完 全修飾ドメイン名 (FQDN) を解決する必要があります。このような場合、domain-name-servers オプションがカスタム値に設定されていると DNS 解決が失敗する場合があります。DNS 解決が 適切に行われるようにするには、DNS サーバーに条件付きフォワーダーを追加して、regionname.compute.internal ドメインのクエリがAmazon DNS サーバーに転送されるようにする方法 を検討します。VPC への Amazon EMR クラスターの起動に関する詳細については、Amazon EMR 開 発者ガイド の「ホストクラスターへの VPC のセットアップ」を参照してください。 Note Amazon DNS サーバーの IP アドレス 169.254.169.253 を使用することも可能ですが、この アドレスを使用できないサーバーもあります。例えば、Windows Server 2008 では、ネット ワーク範囲 169.254.x.x にある DNS サーバーは使用できません。 DHCP オプションを変更する DHCP オプションセットを作成後に変更することはできません。VPC で異なる DHCP オプション セットを使用するには、新しいセットを作成して VPC に関連付ける必要があります。DHCP オプ ションを使用しないように VPC を設定することもできます。 複数セットの DHCP オプションを使用できますが、一度に VPC に関連付ることができる DHCP オプ ションセットは 1 つだけです。VPC を削除すると、その VPC に関連付けられている DHCP オプショ ンセットも削除されます。 新しい DHCP オプションセットを VPC に関連付けた後に VPC 内で起動する既存のインスタンスとす べての新しいインスタンスに、それらのオプションが使用されます。インスタンスを再作成や再作成 する必要はありません。インスタンスで DHCP リースが更新される頻度に応じて、数時間以内に自動 的に変更が反映されます。インスタンスのオペレーティングシステムを使用してリースを明示的に更 新することもできます。 DHCP オプションセットを使用する このセクションでは、DHCP オプションセットの使用方法を示します。 233 Amazon Virtual Private Cloud ユーザーガイド DHCP オプションセットを使用する トピック • DHCP オプションセットを作成する (p. 234) • VPC で使用する DHCP オプションセットを変更する (p. 234) • DHCP オプションを使用しないように VPC を変更する (p. 235) • DHCP オプションセットを削除する (p. 235) DHCP オプションセットを作成する 必要な数だけ追加の DHCP オプションセットを作成できます。ただし、一度に VPC に関連付ける ことができる DHCP オプションセットは 1 つだけです。DHCP オプションセットを作成した後、そ のセットを使用するように VPC を設定する必要があります。詳細については、「VPC で使用する DHCP オプションセットを変更する (p. 234)」を参照してください。 DHCP オプションセットを作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [DHCP Options Sets] を選択し、[Create DHCP options set] を選択しま す。 3. ダイアログボックスで、使用するオプションの値を入力し、[Yes, Create] を選択します。 Important VPC にインターネットゲートウェイがある場合は、[Domain name servers] の値に必ず独 自の DNS サーバーまたは Amazon の DNS サーバー (AmazonProvidedDNS) を指定して ください。そうしないと、インターネットと通信する必要があるインスタンスが DNS に アクセスできません。 新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。 4. 新しい DHCP オプションセットの ID を書き留めておいてください (dopt-xxxxxxxx)。新しいオプ ションセットを VPC に関連付けるときに必要です。 DHCP オプションセットを作成しても、オプションを有効に機能させるには、オプションを VPC に 関連付ける必要があります。複数の DHCP オプションセットを作成できますが、一度に VPC に関連 付ることができる DHCP オプションセットは 1 つだけです。 VPC で使用する DHCP オプションセットを変更する VPC でどの DHCP オプションセットを使用するかを変更できます。VPC で DHCP オプションを使用 しない場合は、DHCP オプションを使用しないように VPC を変更する (p. 235) を参照してくださ い。 Note 次の手順では、変更したい DHCP オプションセットはすでに作成済みであることを想定して います。まだ作成していない場合は、この時点でオプションセットを作成してください。詳 細については、「DHCP オプションセットを作成する (p. 234)」を参照してください。 VPC に関連付けられた DHCP オプションセットを変更するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 画面左枠のナビゲーションペインで、[VPC] を選択します。 234 Amazon Virtual Private Cloud ユーザーガイド API とコマンドの概要 3. VPC を選択し、[Actions] 一覧から [Edit DHCP Options Set] を選択します。 4. [DHCP Options Set] リストで、一連のオプションを選択し、[Save] を選択します。 新しい DHCP オプションセットを VPC に関連付けた後、VPC 内で起動する既存のインスタンスおよ び新しいインスタンスのすべてで、それらのオプションが使用されます。インスタンスを再作成や再 作成する必要はありません。インスタンスで DHCP リースが更新される頻度に応じて、数時間以内に 自動的に変更が反映されます。インスタンスのオペレーティングシステムを使用してリースを明示的 に更新することもできます。 DHCP オプションを使用しないように VPC を変更する DHCP オプションを使用しないように VPC を設定できます。 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 画面左枠のナビゲーションペインで、[VPC] を選択します。 3. VPC を選択し、[Actions] 一覧から [Edit DHCP Options Set] を選択します。 4. [DHCP Options Set] リストで、[No DHCP Options Set] を選択し、[Save] を選択します。 インスタンスを再作成や再作成する必要はありません。インスタンスで DHCP リースが更新される頻 度に応じて、数時間以内に自動的に変更が反映されます。インスタンスのオペレーティングシステム を使用してリースを明示的に更新することもできます。 DHCP オプションセットを削除する DHCP オプションセットが不要になった場合は、次の手順にしたがって削除します。VPC でオプショ ンセットを使用していないことが必要です。 DHCP オプションセットを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [DHCP Options Sets] を選択します。 3. 削除する DHCP オプションセットを選択し、[Delete] を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 VPC 用の DHCP オプションセットを作成する • create-dhcp-options (AWS CLI) • New-EC2DhcpOption (AWS Tools for Windows PowerShell) 指定した VPC に DHCP オプションセットを関連付ける、または DHCP オプションを使用し ないように設定する • associate-dhcp-options (AWS CLI) • Register-EC2DhcpOption (AWS Tools for Windows PowerShell) 235 Amazon Virtual Private Cloud ユーザーガイド DNS 1 つ以上の DHCP オプションセットについて説明する • describe-dhcp-options (AWS CLI) • Get-EC2DhcpOption (AWS Tools for Windows PowerShell) DHCP オプションセットを削除する • delete-dhcp-options (AWS CLI) • Remove-EC2DhcpOption (AWS Tools for Windows PowerShell) VPC での DNS の使用 Amazon EC2 インスタンスの通信には IP アドレスが必要です。パブリック IPv4 アドレスによって インターネットでの通信が可能になり、プライベート IPv4 アドレスによってインスタンス (EC2Classic または VPC) のネットワーク内部での通信が可能になります。詳細については、「VPC の IP アドレス指定 (p. 101)」を参照してください。 インターネットで使用される名前を対応する IP アドレスに解決するには、ドメインネームシステム (DNS) が標準的です。DNS ホスト名はコンピュータを一意に識別する絶対名で、ホスト名とドメイン 名で構成されます。DNS サーバーは DNS ホスト名を対応する IP アドレスに解決します。 Amazon では Amazon DNS サーバーを提供しています。独自の DNS サーバーを使用するには、VPC の DHCP オプションセットを更新します。詳細については、「DHCP オプションセット (p. 231)」 を参照してください。 トピック • DNS ホスト名 (p. 236) • VPC の DNS サポート (p. 237) • EC2 インスタンスの DNS ホスト名を確認する (p. 238) • VPC の DNS サポートを更新する (p. 238) • プライベートホストゾーンの使用 (p. 239) DNS ホスト名 デフォルト VPC 内にインスタンスを起動すると、パブリック IPv4 アドレスとプライベート IPv4 ア ドレスに対応するパブリック DNS ホスト名およびプライベート DNS ホスト名がインスタンスに割り 当てられます。デフォルト以外の VPC 内にインスタンスを起動すると、プライベート DNS ホスト名 がインスタンスに割り当てられ、VPC およびインスタンスに指定した設定に応じてパブリック DNS ホスト名が割り当てられる可能性があります。 プライベート (内部) DNS ホスト名はインスタンスのプライベート IPv4 アドレスに解 決され、ip-private-ipv4-address.ec2.internal の書式が us-east-1 リージョ ンに使用され、ip-private-ipv4-address.region.compute.internal の書式が (private.ipv4.address が逆引き DNS ルックアップ IP アドレスとなっている) 他のリージョンに 使用されます。プライベート DNS ホスト名は、同じネットワーク内のインスタンス間の通信に使用 できます。ただし、インスタンスが含まれるネットワークの外部の DNS ホスト名を解決することは できません。 パブリック (外部) DNS ホスト名には、us-east-1 リージョンには ec2-public-ipv4address.compute-1.amazonaws.com 書式、その他のリージョンには ec2-public-ipv4address.region.amazonaws.com 書式が使用されます。パブリック DNS ホスト名を解決すると、 236 Amazon Virtual Private Cloud ユーザーガイド VPC の DNS サポート インスタンスのパブリック IPv4 アドレス (インスタンスのネットワークの外部の場合) およびインス タンスのプライベート IPv4 アドレス (インスタンスのネットワーク内からの場合) となります。 IPv6 アドレスの DNS ホスト名は付与されません。 VPC の DNS サポート VPC には、インスタンスがパブリック DNS ホスト名を受け取るかどうか、また Amazon DNS サー バーを使用してDNS解決がサポートされているかどうかを、特定する属性があります。インターネッ トからアクセス可能なパブリック DNS ホスト名をインスタンスが取得するようにする場合は、必ず 両方の属性を true に設定してください。 属性 説明 enableDnsHostnames VPC 内に起動されるインスタンスが パブリッ ク DNS ホスト名を取得するかどうかを示し ます。この属性が true の場合、VPC 内のイ ンスタンスは DNS ホスト名を取得します。そ れ以外の場合は取得しません。インスタンス が DNS ホスト名を取得するようにする場合 は、enableDnsSupport 属性も true に設定す る必要があります。 enableDnsSupport VPC に対して DNS 解決がサポートされている かどうかを示します。この属性が false の場 合、Amazon が提供する VPC の DNS サービス (パブリック DNS ホスト名を IP アドレスに解決 します) が有効になりません。この属性が true の場合、Amazon が提供する DNS サーバー (IP アドレス 169.254.169.253) へのクエリ、または リザーブド IP アドレス (VPC IPv4 ネットワーク の範囲に 2 をプラスしたアドレス) へのクエリは 成功します。詳細については、「Amazon DNS サーバー (p. 233)」を参照してください。 デフォルトでは、DNS ホスト名はデフォルトの VPC と、VPC コンソールで VPC ウィザードを使用 して作成した VPC でのみ有効になります。 Amazon DNS サーバーは、プライベート DNS ホスト名を、「RFC 1918 」に指定されているプラ イベート IPv4 アドレス範囲外の VPC の IPv4 アドレス範囲を含む、すべてのアドレス空間のプライ ベート IPv4 アドレスに解決できます。 Important 2016 年 10 月より前に VPC を作成した場合は、VPC の IPv4 アドレス範囲が RFC 1918 で指 定されたプライベート IPv4 アドレスの範囲外の場合、Amazon DNS サーバーはプライベート DNS ホスト名を解決しません。これらのアドレスについて Amazon DNSサーバーがプライ ベート DNS ホスト名を解決できるようにするには、AWS サポート に問い合わせください。 DNS ホスト名と DNS サポートを、以前はそれらに対応していなかった VPC で有効にすると、その VPC で既に起動されているインスタンスはパブリック DNS ホスト名を取得します。ただしそのため には、インスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレスが割り当てられている必要 があります。 プライベートホストゾーンの DNS サポートに関する情報は、プライベートホストゾーンの使 用 (p. 239) を参照してください。 237 Amazon Virtual Private Cloud ユーザーガイド EC2 インスタンスの DNS ホスト名を確認する EC2 インスタンスの DNS ホスト名を確認する Amazon EC2 コンソールまたはコマンドラインを使用して、実行中のインスタンスまたはネットワー クインターフェイスの DNS ホスト名を確認できます。 インスタンス コンソールを使用してインスタンスの DNS ホスト名を確認するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[インスタンス] を選択します。 3. 4. リストから インスタンスを選択します。 詳細ペインで、[Public DNS (IPv4)] および [Private DNS] フィールドに、該当する場合は DNS ホ スト名が表示されます。 コマンドラインを使用してインスタンスの DNS ホスト名を確認するには 次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細について は、Amazon VPC へのアクセス (p. 8) を参照してください。 • describe-instances (AWS CLI) • Get-EC2Instance (AWS Tools for Windows PowerShell) ネットワークインターフェイス コンソールを使用してネットワークインターフェイスのプライベート DNS ホスト名を確認す るには 1. 2. 3. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 ナビゲーションペインで、[Network Interfaces] を選択します。 リストからネットワークインターフェイスを選択します。 4. 詳細ペインの [Private DNS (IPv4)] フィールドにプライベート DNS ホスト名が表示されます。 コマンドラインを使用してネットワークインターフェイスの DNS ホスト名を確認するには 次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細について は、Amazon VPC へのアクセス (p. 8) を参照してください。 • describe-network-interfaces (AWS CLI) • Get-EC2NetworkInterface (AWS Tools for Windows PowerShell) VPC の DNS サポートを更新する Amazon VPC コンソールを使用して、VPC の DNS サポート属性を表示および更新することができま す。 コンソールを使用して VPC の DNS サポートの詳細を確認し更新するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 画面左枠のナビゲーションペインで、[VPC] を選択します。 3. 4. 一覧から VPC を選択します。 [Summary] タブの情報を確認します。この例では、両方の設定が有効になっています。 238 Amazon Virtual Private Cloud ユーザーガイド プライベートホストゾーンの使用 5. これらの設定を更新するには、[Actions] を選択し、[Edit DNS Resolution] または [Edit DNS Hostnames] を選択します。表示されたダイアログボックスで、[Yes] または [No] を選択し、 [Save] を選択します。 コマンドラインを使用して VPC の DNS サポートについて説明するには 次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細について は、Amazon VPC へのアクセス (p. 8) を参照してください。 • describe-vpc-attribute (AWS CLI) • Get-EC2VpcAttribute (AWS Tools for Windows PowerShell) コマンドラインを使用して VPC の DNS サポートを更新するには 次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細について は、Amazon VPC へのアクセス (p. 8) を参照してください。 • modify-vpc-attribute (AWS CLI) • Edit-EC2VpcAttribute (AWS Tools for Windows PowerShell) プライベートホストゾーンの使用 プライベート IPv4 アドレスや AWS で提供されたプライベート DNS ホスト名の代わりに example.com のようなカスタム DNS ドメイン名を使用して VPC のリソースにアクセスする場合 は、Amazon Route 53 でプライベートホストゾーンを作成できます。プライベートホストゾーンは、 インターネットにリソースを公開することなく、1 つ以上の VPC 内のドメインとそのサブドメイ ンにトラフィックをルーティングする方法に関する情報を保持するコンテナです。次に、Amazon Route 53 リソースレコードセットを作成できます。これにより、ドメインとサブドメインへのクエリ に Amazon Route 53 が対応する方法が決定されます。たとえば、example.com のブラウザリクエス トが VPC のウェブサーバーにルーティングされるようにする場合、プライベートホストゾーンで A レコードを作成し、そのウェブサーバーの IP アドレスを指定します。プライベートホストゾーンの作 成の詳細については、Amazon Route 53 開発者ガイド の「プライベートホストゾーンの使用」を参照 してください。 カスタム DNS ドメイン名を使用してリソースにアクセスするには、VPC 内のインスタンスに接続し ている必要があります。インスタンスで、ping コマンド (ping mywebserver.example.com など) を使用してカスタム DNS 名からプライベートホストゾーンのリソースにアクセス可能なことをテス トできます (ping コマンドが機能するには、インスタンスのセキュリティグループのルールでインバ ウンド ICMP トラフィックが許可されている必要があります)。 ClassicLink DNS サポートに対して VPC が有効になっていれば、ClassicLink 経由で VPC にリンク された EC2-Classic インスタンスからプライベートホストゾーンにアクセスできます。詳細について は、Linux インスタンス用 Amazon EC2 ユーザーガイド の「ClassicLink DNS サポートを有効にす る」を参照してください。それ以外の場合、プライベートホストゾーンは VPC 外部の推移的関係をサ ポートしていません。たとえば、VPN 接続の他方の側からカスタムプライベート DNS 名を使用して リソースにアクセスすることはできません。 Important Amazon Route 53 のプライベートホストゾーンに定義されているカスタム DNS ドメイン名を 使用している場合は、VPC 属性 enableDnsHostnames と enableDnsSupport を true に 239 Amazon Virtual Private Cloud ユーザーガイド VPC ピア接続 設定する必要があります。詳細については、「VPC の DNS サポートを更新する (p. 238)」 を参照してください。 VPC ピア接続 VPC ピア接続は、プライベート IPv4 アドレスを使用して 2 つの VPC 間でトラフィックをルーティン グすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワー ク内に存在しているかのように、相互に通信できます。VPC ピア接続は、自分の VPC 間、または、1 つのリージョン内の他の AWS アカウントにある VPC との間に作成できます。 AWS では VPC の既存のインフラストラクチャを使用して VPC ピアリング接続を作成しています。 これはゲートウェイでも VPN 接続でもなく、個別の物理ハードウェアに依存するものではありませ ん。通信の単一障害点や帯域幅のボトルネックは存在しません。 VPC ピア接続の詳細および VPC ピア接続を使用できるシナリオの例については、「Amazon VPC Peering Guide」を参照してください。 Elastic IP アドレス Elastic IP アドレスは、動的なクラウドコンピューティング向けに設計された静的なパブリック IPv4 アドレスです。Elastic IP アドレスは、アカウントのすべての VPC の任意のインスタンスまたはネッ トワークインターフェイスに関連付けることができます。Elastic IP アドレス を使用すると、インス タンスに障害が発生しても、そのアドレスを VPC 内の別のインスタンスにすばやく再マッピングする ことで、インスタンスの障害を隠すことができます。Elastic IP アドレスを直接インスタンスに関連付 けずにネットワークインターフェイスに関連付ける利点は、1 つのステップでネットワークインター フェイスの全属性を 1 つのインスタンスから別のインスタンスに移動できることです。 現在、IPv6 に対する Elastic IP アドレスはサポートされていません。 トピック • Elastic IP アドレスの基本 (p. 240) • Elastic IP アドレスの操作 (p. 241) • API と CLI の概要 (p. 242) Elastic IP アドレスの基本 Elastic IP アドレスについて知っておく必要がある基本的な情報を以下に示します。 • まず VPC で使用するために Elastic IP アドレスを割り当ててから、そのアドレスを VPC 内のイン スタンスに関連付けます (同時に割り当てることができるのは 1 つのインスタンスのみです)。 • Elastic IP アドレスはネットワークインターフェイスのプロパティの 1 つです。Elastic IP アドレス をインスタンスに割り当てるには、そのインスタンスにアタッチされているネットワークインター フェイスを更新します。 • Elastic IP アドレス をインスタンスの eth0 ネットワークインターフェイスに関連付けると、現在の パブリック IPv4 アドレス (割り当てられている場合) は EC2-VPC パブリック IP アドレスプールに 解放されます。Elastic IP アドレスの関連付けを解除すると、数分以内に新しいパブリック IPv4 ア ドレスが自動的に eth0 ネットワークインターフェイスに割り当てられます。2 番目のネットワーク インターフェイスをインスタンスにアタッチした場合、これは適用されません。 • VPC で使用する Elastic IP アドレスと、EC2-Classic で使用する Elastic IP アドレスには違いがあり ます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドにある「 EC2-Classic と Amazon EC2-VPC の違い (Elastic IP アドレス) 」を参照してください。 240 Amazon Virtual Private Cloud ユーザーガイド Elastic IP アドレスの操作 • Elastic IP アドレスはあるインスタンスから別のインスタンスに移動できます。同じ VPC 内または 別の VPC 内のインスタンスに移動することはできますが、EC2-Classic 内のインスタンスに移動す ることはできません。 • Elastic IP アドレスと AWS アカウントの関連付けは明示的に解除するまで維持されます。 • Elastic IP アドレスを効率的に使用するため、Elastic IP アドレスが実行中のインスタンスに関連付 けられていない場合や、停止しているインスタンスやアタッチされていないネットワークインター フェイスに関連付けられている場合は、時間単位で小額の料金が請求されます。インスタンスを実 行しているときは、インスタンスに関連付けられた 1 つの Elastic IP アドレスに対して料金は発生 しませんが、インスタンスに関連付けられた追加の Elastic IP アドレスがある場合、その追加分に 対しては料金が発生します。詳細については、Amazon EC2 料金表を参照してください。 • Elastic IP アドレスは、枯渇しないようにユーザー 1 人に対して最大 5 個に制限されています。ま た、NAT デバイスを使用することができます (「NAT (p. 210)」を参照してください)。 • Elastic IP アドレスは VPC のインターネットゲートウェイ経由でアクセスされます。VPC と自ネッ トワークとの間に VPN 接続を作成した場合、VPN トラフィックはインターネットゲートウェイで はなく仮想プライベートゲートウェイを通過するため、Elastic IP アドレスにアクセスすることはで きません。 • EC2-Classic プラットフォームで使用するために割り当てた Elastic IP アドレスを VPC プラット フォームに移行できます。詳細については、Amazon EC2 ユーザーガイドの「EC2-Classic から EC2-VPC への Elastic IP アドレスの移行」を参照してください。 Elastic IP アドレスの操作 Elastic IP アドレスを割り当ててから、VPC 内のインスタンスと関連付けることができます。 VPC で使用するための Elastic IP アドレスを割り当てるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. [新しいアドレスの割り当て] を選択します。 4. [はい、割り当てる] を選択します。 Note アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network platform] リストから選択します。 Elastic IP アドレスを表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. 表示されているリストをフィルタするには、割り当て先のインスタンスの Elastic IP アドレスま たは ID の一部を検索ボックスに入力します。 Elastic IP アドレスを VPC 内で実行されているインスタンスと関連付けるには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. VPC で使用するために割り当てられた Elastic IP アドレス ([Scope] 列に値 vpc が含まれていま す) を選択し、[Actions] を選択してから、[Associate Address] を選択します。 4. [Associate Address] ダイアログボックスで、[Associate with] リストから [Instance] または [Network Interface] を選択し、インスタンスまたはネットワークインタフェース ID を選択しま 241 Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 す。[Private IP address] リストから Elastic IP アドレスを関連付けるプライベート IP アドレスを 選択して、[Yes, Associate] を選択します。 Note ネットワークインターフェイスには Elastic IP アドレスを含む複数の属性があります。 ネットワークインターフェイスを作成し、VPC 内のインスタンスにアタッチしたり、イ ンスタンスからデタッチすることができます。Elastic IP アドレスを直接インスタンスに 関連付けずにネットワークインターフェイスの属性として作成する利点は、1 つのステッ プでネットワークインターフェイスの全属性を 1 つのインスタンスから別のインスタン スに移動できることです。詳細については、「Elastic Network Interface」を参照してく ださい。 5. (オプション) Elastic IP アドレスをインスタンスに関連付けると、DNS ホスト名が有効な場合は DNS ホスト名を受け取ります。詳細については、「VPC での DNS の使用 (p. 236)」を参照し てください。 Elastic IP アドレスと関連付けるインスタンスを変更するには、現在関連付けられているインスタンス から関連付けを解除してから、VPC 内の新しいインスタンスと関連付けます。 Elastic IP アドレスの関連付けを解除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. Elastic IP アドレスを選び、[Actions] を選択してから [Disassociate Address] を選択します。 4. プロンプトが表示されたら、[Yes, Disassociate] を選択します。 Elastic IP アドレスが不要になった場合は、解放することをお勧めします (この Elastic IP アドレスを インスタンスに関連付けることはできません)。VPC で使用するために割り当てられているがインス タンスに関連付けられていない Elastic IP アドレス に対しては料金が発生します。 Elastic IP アドレスを解放するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Elastic IP] を選択します。 3. Elastic IP アドレスを選び、[Actions] を選択してから [Release Address] を選択します。 4. プロンプトが表示されたら、[Yes, Release] を選択します。 API と CLI の概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 Elastic IP アドレスを取得する • allocate-address (AWS CLI) • New-EC2Address (AWS Tools for Windows PowerShell) Elastic IP アドレスをインスタンスまたはネットワークインターフェイスに関連付ける • associate-address (AWS CLI) • Register-EC2Address (AWS Tools for Windows PowerShell) 242 Amazon Virtual Private Cloud ユーザーガイド VPC エンドポイント 1 つ以上の Elastic IP アドレスについて説明する • describe-addresses (AWS CLI) • Get-EC2Address (AWS Tools for Windows PowerShell) Elastic IP アドレスの関連付けを解除する • disassociate-address (AWS CLI) • Unregister-EC2Address (AWS Tools for Windows PowerShell) Elastic IP アドレスを解放する • release-address (AWS CLI) • Remove-EC2Address (AWS Tools for Windows PowerShell) VPC エンドポイント VPC endpoint により、インターネット、NAT デバイス、VPN 接続、または AWS Direct Connect を 経由せずに、VPC と他の AWS サービスとをプライベートに接続できます。エンドポイントは仮想デ バイスです。エンドポイントは、VPC のインスタンスと AWS サービスの間の通信を可能にする VPC コンポーネントであり、冗長性と高い可用性を備えており、水平スケーリングが可能です。ネット ワークトラフィックに課される可用性のリスクや帯域幅の制約はありません。 Important 現在、Amazon S3 との接続のエンドポイントのみがサポートされています。エンドポイント は IPv4 トラフィックでのみサポートされています。 エンドポイントは、VPC のインスタンスがプライベート IP アドレスを使用して、他のサービスの リソースと通信できるようにします。インスタンスはパブリック IPv4 アドレスを必要とせず、VPC でインターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイは必要あり ません。エンドポイントのポリシーを使用して、他のサービスのリソースへのアクセスを制御しま す。VPC と AWS サービス間のトラフィックは、Amazon ネットワークを離れません。 以下の図では、サブネット 2 のインスタンスは VPC エンドポイントを介して Amazon S3 にアクセス できます。 243 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの基本 エンドポイントは追加料金なしで使用できます。データ転送とリソースの使用量に対する標準料金が 適用されます。料金に関する詳細については、「Amazon EC2 料金表」を参照してください。 トピック • エンドポイントの基本 (p. 244) • エンドポイントの使用の管理 (p. 247) • サービスへのアクセスの制御 (p. 247) • Amazon S3 におけるエンドポイント (p. 248) • エンドポイントの使用 (p. 253) • API と CLI の概要 (p. 255) エンドポイントの基本 エンドポイントを作成するには、VPC および接続先のサービスを指定します。サービスは、プ レフィックスリスト、またはリージョンのサービスの名前と ID によって識別されます。プ レフィックスリストの ID の形式は pl-xxxxxxx で、プレフィックスリストの名前の形式は com.amazonaws.<region>.<service> です。エンドポイントを作成するプレフィックスリストの 名前 (サービス名) を使用します。 エンドポイントにエンドポイントポリシーをアタッチし、接続先の一部のサービスまたはすべての サービスへのアクセスを許可することができます。詳細については、「エンドポイントポリシーの使 用 (p. 248)」を参照してください。VPC と他のサービスの間のトラフィックのルーティングを制御 するには、エンドポイントに接続するために VPC により使用される 1 つ以上のルートテーブルを指 定できます。これらのルートテーブルを使用するサブネットはエンドポイントにアクセスでき、これ らのサブネットのインスタンスからサービスへのトラフィックは、エンドポイントを通じてルーティ ングされます。 エンドポイントを作成した後は、エンドポイントにアタッチされたポリシーを変更し、エンドポイン トで使用されるルートテーブルを追加または削除できます。 244 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの基本 1 つの VPC で、 (たとえば複数のサービスへの) 複数のエンドポイントを作成できます。また、単一 のサービス用の複数のエンドポイントを作成したり、複数のルートテーブルを使用して、複数のサブ ネットから異なるアクセスポリシーを同じサービスに対して適用することもできます。 トピック • エンドポイントのルーティング (p. 245) • エンドポイントの制限 (p. 247) エンドポイントのルーティング エンドポイントを作成または変更するときは、エンドポイントを通じてサービスにアクセスするため に使用する必要がある VPC ルートテーブルを指定します。ルートは自動的に各ルートテーブル追加 されて、送信先としてサービス (pl-xxxxxxxx) のプレフィックスリスト ID、ターゲットとしてエン ドポイント ID (vpce-xxxxxxxx) が登録されます。プレフィックスリスト ID は、サービスで使用さ れるパブリック IP アドレスの範囲を論理的に表します。指定されたルートテーブルに関連付けられ るサブネットのすべてのインスタンスは、自動的にエンドポイントを使用してサービスにアクセスし ます。指定されたルートテーブルに関連付けられていないサブネットは、エンドポイントを使用して サービスにアクセスしません。これにより、他のサブネットのリソースをエンドポイントとは別に維 持することができます。 AWS では、トラフィックと一致する最も具体的なルートを使用して、トラフィックをルーティング する方法を決定します (最長プレフィックス一致)。ルートテーブルに、インターネットゲートウェイ を指すすべてのインターネットトラフィック (0.0.0.0/0) の既存のルートがある場合、エンドポイン トルートではサービスへのすべてのトラフィックが優先されます。これは、サービスの IP アドレス範 囲が 0.0.0.0/0 よりも具体的であるためです。他のすべてのインターネットトラフィックは、他の リージョンのサービスへのトラフィックを含めて、インターネットゲートウェイに移動します。 ただし、インターネットゲートウェイまたは NAT デバイスを指す IP アドレス範囲への、既存のより 具体的なルートがある場合、そのルートが優先されます。サービスで使用されている IP アドレス範囲 と同じ IP アドレス範囲への既存のルートがある場合、そのルートが優先されます。 サービスの現在の IP アドレス範囲を表示するには、describe-prefix-lists コマンド の「AWS IP アドレ スの範囲」を参照してください。 Note サービスのパブリック IP アドレス範囲は変更される場合があります。サービスの現在の IP アドレス範囲に基づき、ルーティングまたはその他の決定を行う前に、その影響について検 討してください。 ルートテーブルの異なるサービスへの複数のエンドポイントルート、または異なるルートテーブルの 同じサービスへの複数のエンドポイントルートを持つことができますが、1 つのルートテーブルの同 じサービスへの複数のエンドポイントを持つことはできません。たとえば、VPC で Amazon S3 への 2 つのエンドポイントがある場合、両方のエンドポイントに同じルートテーブルを使用することはで きません。 ルートテーブル API を使用するか、VPC コンソールの [Route Tables] ページを使用して、ルートテー ブルでエンドポイントルートを明示的に追加、変更、または削除することはできません。ルートテー ブルをエンドポイントに関連付けて、エンドポイントルートを追加することのみできます。エンドポ イントルートは、エンドポイントからルートテーブルの関連付けを (エンドポイントを変更すること で) 削除するか、エンドポイントを削除するときに自動的に削除されます。 エンドポイントに関連付けられたルートテーブルを変更するには、エンドポイントを変更します。詳 細については、「エンドポイントの変更 (p. 254)」を参照してください。 例: ルートテーブルのエンドポイントルート 245 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの基本 このシナリオでは、ルーティングテーブルで、インターネットゲートウェイを指すすべてのインター ネットトラフィック (0.0.0.0/0) に既存のルートがあります。別の AWS サービスへのサブネットか らのトラフィックは、インターネットゲートウェイを使用します。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-1a2b3c4d Amazon S3 へのエンドポイントを作成し、ルートテーブルをエンドポイントに関連付けます。エン ドポイントルートが自動的にルートテーブルに追加され、宛先は pl-1a2b3c4d となります (これが Amazon S3 を表すと仮定します)。これで、同じリージョンの Amazon S3 へのサブネットからのト ラフィックはエンドポイントに移動し、インターネットゲートウェイには移動しません。他のすべて のインターネットトラフィックは、他のサービスへのトラフィックや、他のリージョンの Amazon S3 へのトラフィックを含めて、インターネットゲートウェイに移動します。 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-1a2b3c4d pl-1a2b3c4d vpce-11bb22cc 例: エンドポイントに対するルートテーブルの調整 このシナリオでは、サブネットのインスタンスがインターネットゲートウェイ経由で Amazon S3 バ ケットと通信するようにルートテーブルを設定しました。54.123.165.0/24 のルートを宛先とし (これが現在 Amazon S3 内にある IP アドレス範囲と仮定します)、インターネットゲートウェイを ターゲットとするルートを追加しました。次に、エンドポイントを作成し、このルートテーブルをエ ンドポイントに関連付けます。エンドポイントルートがルートテーブルに自動的に追加されます。次 に、describe-prefix-lists コマンドを使用して、Amazon S3 の IP アドレス範囲を表示します。この範 囲は 54.123.160.0/19 で、これはインターネットゲートウェイを指す範囲ほど具体的ではありませ ん。これは、IP アドレス範囲 54.123.165.0/24 へのトラフィックはインターネットゲートウェイを 継続して使用し、 (これが Amazon S3 のパブリック IP アドレス範囲に含まれる限り) エンドポイント を使用しないことを意味します。 送信先 ターゲット 10.0.0.0/16 ローカル 54.123.165.0/24 igw-1a2b3c4d pl-1a2b3c4d vpce-11bb22cc 同じリージョンの Amazon S3 へのすべてのトラフィックがエンドポイントを通じてルーティングさ れるようにするには、ルートテーブルのルートを調整する必要があります。これを行うには、イン ターネットゲートウェイへのルートを削除します。これで、同じリージョンの Amazon S3 へのすべ てのトラフィックはエンドポイントを使用し、ルートテーブルに関連付けられたサブネットはプライ ベートサブネットになります。 送信先 ターゲット 10.0.0.0/16 ローカル pl-1a2b3c4d vpce-11bb22cc 246 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの使用の管理 エンドポイントの制限 エンドポイントを使用するには、現在の制限に注意する必要があります。 • ネットワーク ACL のアウトバウンドルールでプレフィックスリスト ID を使用して、エンドポイ ントで指定されたサービスへのアウトバウンドトラフィックを許可または拒否することはできま せん。ネットワーク ACL ルールがトラフィックを制限する場合は、代わりにサービスの CIDR ブ ロック (IP アドレス範囲) を指定する必要があります。ただし、アウトバウンドセキュリティグルー プのルールでプレフィックスリスト ID を使用できます。詳細については、「セキュリティグルー プ (p. 248)」を参照してください。 • 同じリージョン内のエンドポイントのみがサポートされています。別のリージョンで、VPC と AWS サービス間のエンドポイントを作成することはできません。 • エンドポイントにタグを付けることはできません。 • 1 つの VPC から別の VPC にエンドポイントを転送したり、1 つのサービスから別のサービスにエ ンドポイントを転送することはできません。 • エンドポイントの接続を、VPC から延長することはできません。VPN 接続、VPC ピア接続、AWS Direct Connect 接続、または VPC の ClassicLink 接続のもう一方の側のリソースは、エンドポイン トを使用してエンドポイントサービスのリソースと通信することはできません。 • VPC 内で DNS 解決を有効にするか、ご自身で所有する DNS サーバーを使用している場合 は、Amazon S3 などの必要なサービスに送られる DNS リクエストが AWS により維持される IP アドレスに正しく解決されていることを確認する必要があります。詳細については、「VPC での DNS の使用 (p. 236)」を参照してください。 Amazon S3 に固有の制限とルールについては、Amazon S3 におけるエンドポイント (p. 248) を参 照してください。 エンドポイントの使用の管理 デフォルトでは、IAM ユーザーにはエンドポイントを使用するためのアクセス権限がありませ ん。エンドポイントを作成、変更、説明、削除するアクセス権限をユーザーに付与する IAM ユー ザーポリシーを作成できます。現在、いずれの ec2:*VpcEndpoint* API アクションまたは ec2:DescribePrefixLists アクションについても、リソースレベルのアクセス権限はサポートさ れていません。特定のエンドポイントまたはプレフィックスリストを使用するアクセス権限をユー ザーに付与する IAM ポリシーを作成することはできません。詳細については、「8. VPC エンドポイ ントの作成と管理 (p. 171)」の例を参照してください。 サービスへのアクセスの制御 エンドポイントを作成するときは、接続先のサービスへのアクセスを制御するエンドポイント ポリシーを、エンドポイントにアタッチします。Amazon S3 へのエンドポイントを使用する場 合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバ ケットへのアクセスを制御できます。 エンドポイントポリシーと Amazon S3 バケットポリシーは、JSON 形式で記述される必要がありま す。Amazon S3 のエンドポイントのポリシーと Amazon S3 バケットポリシーの例については、次の トピックを参照してください。 • Amazon S3 のエンドポイントポリシーの使用 (p. 250) • Amazon S3 バケットポリシーの使用 (p. 251) トピック • エンドポイントポリシーの使用 (p. 248) 247 Amazon Virtual Private Cloud ユーザーガイド Amazon S3 におけるエンドポイント • セキュリティグループ (p. 248) エンドポイントポリシーの使用 VPC エンドポイントポリシーは、エンドポイントを作成または変更するときにエンドポイントにア タッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、 サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポ リシーは、IAM ユーザーポリシーやサービス固有のポリシー (S3 バケットポリシーなど) を上書き、 または置き換えません。これは、エンドポイントから指定されたサービスへのアクセスを制御するた めの別のポリシーです。 エンドポイントに複数のポリシーをアタッチすることはできませんが、ポリシーはいつでも変更で きます。ポリシーを修正した場合、変更が適用されるまで数分かかることがある点に注意してくださ い。詳細については、「エンドポイントの変更 (p. 254)」を参照してください。ポリシーの詳細につ いては、IAM ユーザーガイド の「IAM ポリシーの概要」を参照してください。 エンドポイントポリシーは、他の IAM ポリシーと同様にすることができます。ただし、以下のことに 注意してください。 • 指定されたサービスに関連するポリシーの一部のみが機能します。エンドポイントポリシーを 使用して、VPC のリソースによる他のアクションの実行を許可することはできません。たとえ ば、Amazon S3 へのエンドポイント用のエンドポイントポリシーに EC2 アクションを追加して も、効果はありません。 • ポリシーには、Principal 要素を含める必要があります。詳細については、IAM ユーザーガイド の「プリンシパル」を参照してください。 エンドポイントポリシーの例については、「Amazon S3 のエンドポイントポリシーの使 用 (p. 250)」を参照してください。 セキュリティグループ デフォルトでは、特にアウトバウンドアクセスを制限していない限り、Amazon VPC セキュリティグ ループですべてのアウトバウンドトラフィックが許可されます。セキュリティグループのアウトバウ ンドルールが制限されている場合、VPC からエンドポイントで指定されたサービスへのアウトバウン ドトラフィックを許可するルールを追加する必要があります。これを行うには、アウトバウンドルー ルでサービスのプレフィックスリスト ID を宛先として使用できます。詳細については、「セキュリ ティグループの変更 (p. 254)」を参照してください。 Amazon S3 におけるエンドポイント 既に VPC から Amazon S3 リソースへのアクセスを設定している場合、エンドポイントの設定後に、 引き続き Amazon S3 DNS 名を使用してそれらのリソースにアクセスできます。ただし、以下のこと に注意してください。 • エンドポイントには、Amazon S3 リソースにアクセスするエンドポイントの使用を管理するポリ シーがあります。デフォルトのポリシーでは、任意の AWS アカウントからの認証情報を使用し て、VPC 内のユーザーまたはサービスによる、任意の Amazon S3 リソースへのアクセスが許可さ れます。これには、VPC が関連付けられているアカウントとは別の AWS アカウントの Amazon S3 リソースが含まれます。詳細については、「サービスへのアクセスの制御 (p. 247)」を参照してく ださい。 • Amazon S3 によって受信される、影響を受けるサブネットのインスタンスからのソース IPv4 アド レスは、パブリック IPv4 アドレスから VPC のプライベート IPv4 アドレスに変更されます。エン ドポイントはネットワークルートを切り替え、開いている TCP 接続を切断します。タスクは切り替 え中に中断され、パブリック IPv4 アドレスを使用した以前の接続が再開されます。エンドポイント 248 Amazon Virtual Private Cloud ユーザーガイド Amazon S3 におけるエンドポイント の作成または変更は、重要なタスクが実行中でないときに行うことをお勧めします。または、接続 の障害後に、ソフトウェアが Amazon S3 に自動的に再接続できることをテストするようお勧めし ます。 • バケットポリシーまたは IAM ポリシーを使用して VPC IPv4 CIDR 範囲 (プライベート IPv4 アドレ ス範囲) からのアクセスを許可することはできません。VPC CIDR ブロックは重複または同じにな る場合があり、それによって予期しない結果が発生する可能性があります。代わりに、バケットポ リシーを使用して特定のエンドポイントまたは特定の VPC へのアクセスを制限するか、ルートテー ブルを使用して、エンドポイント経由で Amazon S3 のリソースにアクセスできるインスタンスを 制御できます。 • VPC エンドポイントを介した Amazon S3 へのリクエストに、バケットポリシーの aws:SourceIp 条件を使用することはできません。バケットポリシーのステートメントに aws:SourceIp が含ま れる場合、値は指定した IP アドレスまたは IP アドレス範囲に一致しません。詳細については、 「Amazon S3 バケットポリシーの使用 (p. 251)」を参照してください。 • 現在、エンドポイントはクロスリージョンのリクエストをサポートしていません。必ずバケットと 同じリージョンでエンドポイントを作成してください。Amazon S3 コンソールを使用するか、getbucket-location コマンドを使用して、バケットの場所を見つけることができます。リージョン固有 の Amazon S3 エンドポイントを使用してバケットにアクセスします (たとえば、mybucket.s3us-west-2.amazonaws.com)。Amazon S3 のリージョン固有のエンドポイントの詳細について は、アマゾン ウェブ サービス全般のリファレンス の「Amazon Simple Storage Service (S3)」を 参照してください。AWS CLI を使用して Amazon S3 にリクエストを実行する場合は、デフォルト リージョンをバケットと同じリージョンに設定するか、またはリクエストで --region パラメータ を使用します。 Note Amazon S3 の米国スタンダードリージョンを us-east-1 リージョンにマッピングされる ように扱います。 • 現在、エンドポイントは IPv4 トラフィックでのみサポートされています。 Amazon S3 でエンドポイントを使用する前に、次の一般的な制限を読んだことも確認しますエンドポ イントの制限 (p. 247)。 VPC の他の AWS サービスを使用する場合は、特定のタスクに S3 バケットが使用される可能性があ ります。必ず、エンドポイントのポリシーで Amazon S3 へのフルアクセス (デフォルトのポリシー) を許可するか、またはそれらのサービスで使用される特定のバケットへのアクセスを許可します。 または、これらのいずれのサービスによっても使用されないサブネットでのみエンドポイントを作成 し、サービスが継続してパブリック IP アドレスを使用して S3 バケットにアクセスできるようにしま す。 次の表は、エンドポイントによって影響を受ける可能性のある AWS サービスと、各サービスに固有 の情報を示しています。 AWS サービス 注意 AWS CloudFormation 待機条件またはカスタムリソースリクエストに 応答する必要があるリソースが VPC にある場 合、エンドポイントポリシーで、少なくともこ れらのリソースで使用される特定のバケットへ のアクセスを許可する必要があります。詳細に ついては、「AWS CloudFormation および VPC エンドポイント」を参照してください。 AWS CodeDeploy エンドポイントポリシーでは、Amazon S3 への フルアクセス、または AWS CodeDeploy のデプ ロイ用に作成した S3 バケットへのアクセスを許 可する必要があります。 249 Amazon Virtual Private Cloud ユーザーガイド Amazon S3 におけるエンドポイント AWS サービス 注意 Elastic Beanstalk エンドポイントポリシーでは、少なくとも Elastic Beanstalk アプリケーションに使用さ れた S3 バケットへのアクセスを許可する必 要があります。詳細については、AWS Elastic Beanstalk 開発者ガイド の「Amazon S3 で Elastic Beanstalk を使用する」を参照してくださ い。 AWS OpsWorks エンドポイントポリシーでは、少なくとも AWS OpsWorks で使用される特定のバケットへのア クセスを許可する必要があります。詳細につい ては、AWS OpsWorks ユーザーガイド の「VPC でのスタックの実行」を参照してください。 Amazon WorkDocs Amazon WorkSpaces または EC2 インスタ ンスで Amazon WorkDocs クライアントを使 用している場合、エンドポイントポリシーで は、Amazon S3 へのフルアクセスを許可する必 要があります。 Amazon WorkSpaces Amazon WorkSpaces は Amazon S3 に直接依存 しませんが、Amazon WorkSpaces ユーザーにイ ンターネットアクセスを提供する場合は、他の 企業のウェブサイト、HTML メール、およびイ ンターネットサービスが Amazon S3 に依存する 可能性があることに注意してください。エンド ポイントポリシーで Amazon S3 へのフルアクセ スを許可し、これらのサービスが引き続き正し く動作できるようにします。 VPC と S3 バケット間のトラフィックは、Amazon ネットワークを離れません。 Amazon S3 のエンドポイントポリシーの使用 Amazon S3 にアクセスするためのエンドポイントのポリシーの例は次のとおりです。 Important すべてのタイプのポリシー (IAM ユーザーポリシー、エンドポイントポリシー、S3 バケット ポリシー、および Amazon S3 ACL ポリシー (存在する場合)) では、Amazon S3 が成功するた めに必要なアクセス権限を付与する必要があります。 例: 特定のバケットへのアクセスの制限 特定の S3 バケットへのアクセスを制限するポリシーを作成できます。これは、VPC で S3 バケット を使用する他の AWS サービスがある場合に便利です。my_secure_bucket のみへのアクセスを制限 するポリシーの例を次に示します。 { "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ 250 Amazon Virtual Private Cloud ユーザーガイド Amazon S3 におけるエンドポイント "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ] } 例: Amazon Linux AMI リポジトリへのアクセスの有効化 Amazon Linux AMI リポジトリは、各リージョン内の Amazon S3 バケットです。VPC 内のインスタ ンスが、エンドポイント経由でリポジトリにアクセスできるようにする場合、それらのバケットへの アクセスを有効にするエンドポイントポリシーを作成できます。 { "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } Amazon S3 バケットポリシーの使用 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からバケットへのアクセスを 制御できます。 VPC エンドポイントを介した Amazon S3 へのリクエストに、バケットポリシーの aws:SourceIp 条 件を使用することはできません。条件が、指定した IP アドレスまたは IP アドレス範囲のいずれにも 一致しない場合、Amazon S3 バケットに対しリクエストを作成するときに望ましくない影響が生じる 可能性があります。以下に例を示します。 • Deny 効果と NotIpAddress 条件を持つバケットポリシーがある場合、そのポリシーは単一、 または制限された IP アドレス範囲のみからのアクセスを許可するためのものです。エンドポ イントを通じてバケットに送られるリクエストは、ポリシー内の他の制約が一致すると仮定し て、NotIpAddress 条件が必ず一致し、ステートメントの効果が適用されます。バケットへのアク セスは拒否されます。 • Deny 効果と IpAddress 条件を持つバケットポリシーがある場合、そのポリシーは単一、また は制限された IP アドレス範囲のみへのアクセスを拒否するためのものです。エンドポイントを 通じてバケットに送られるリクエストには、条件は一致せず、ステートメントは適用されませ ん。IpAddress 条件がなくてもアクセスを許可するステートメントが他にあると仮定して、バケッ トへのアクセスが許可されます。 代わりに、特定の VPC または特定のエンドポイントへのアクセスを制限するようバケットポリシーを 調整します。 251 Amazon Virtual Private Cloud ユーザーガイド Amazon S3 におけるエンドポイント Amazon S3 のバケットポリシーの詳細については、Amazon Simple Storage Service 開発者ガイド の 「バケットポリシーとユーザーポリシーの使用」を参照してください。 例: 特定の エンドポイントへのアクセスの制限 以下に、特定のバケット my_secure_bucket に、エンドポイント vpce-1a2b3c4d からのみアクセ スできるようにする S3 バケットポリシーの例を示します。指定されたエンドポイントを使用してい ない場合、ポリシーによりバケットへのすべてのアクセスが拒否されます。エンドポイントを指定す るために、aws:sourceVpce 条件が使用されます。aws:sourceVpce 条件では VPC エンドポイント リソースに ARN を必要とせず、エンドポイント ID のみを必要とします。 { "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] } 例: 特定の VPC へのアクセスの制限 aws:sourceVpc 条件を使用して、特定の VPC へのアクセスを制限するバケットポリシーを作成 できます。これは、同じ VPC で複数のエンドポイントを設定済みで、すべてのエンドポイントに ついて S3 バケットへのアクセスを管理する場合に便利です。以下に、my_secure_bucket および そのオブジェクトへのアクセスを VPC vpc-111bbb22 に許可するポリシーの例を示します。指定 された VPC を使用していない場合、ポリシーによりバケットへのすべてのアクセスが拒否されま す。aws:sourceVpc 条件では、VPC リソースへの ARN は必要なく、VPC ID のみが必要です。 { "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ] 252 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの使用 } エンドポイントの使用 Amazon VPC を使用して、エンドポイントの作成および管理を行うことができます。 トピック • エンドポイントの作成 (p. 253) • セキュリティグループの変更 (p. 254) • エンドポイントの変更 (p. 254) • エンドポイントの説明 (p. 255) • エンドポイントの削除 (p. 255) エンドポイントの作成 エンドポイントを作成するには、エンドポイントを作成する VPC と、接続を確立するサービスを指定 する必要があります。また、ポリシーをエンドポイントにアタッチして、エンドポイントで使用され るルートテーブルを指定することもできます。 エンドポイントを作成するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで、[Endpoints] を選択します。 3. 4. [Create Endpoint] を選択します。 ウィザードの最初のステップで、次の情報を入力し、[Next Step] を選択します。 5. • エンドポイントおよびサービスを作成して接続する VPC を選択します (現在は、Amazon S3 サービスのみ利用できます)。 • ポリシーのタイプを選択します。デフォルトのオプションである [Full Access] のみそのまま使 用して、サービスへのフルアクセスを許可できます。または、[Custom] を選択し、AWS Policy Generator を使用してカスタムポリシーを作成するか、独自のポリシーをカスタムウィンドウ に入力することもできます。 ウィザードの 2 番目のステップで、エンドポイントで使用されるルートテーブルを選択します。 ウィザードは、サービスへのトラフィックをエンドポイントに対して示すテーブルにルートを自 動的に追加します。終了したら、[Create Endpoint] を選択します。 VPC ウィザードを使用して新しい VPC を作成し、同時にエンドポイントを作成することができま す。エンドポイントで使用されるルートテーブルを指定する代わりに、エンドポイントにアクセスす るサブネットを指定します。ウィザードは、これらのサブネットに関連付けられたルートテーブルに エンドポイントルートを追加します。 VPC ウィザードを使用して VPC およびエンドポイントを作成するには 1. 2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 Amazon VPC ダッシュボードで、[VPC ウィザードの起動] を選択します。 3. ニーズに合った VPC 設定を選択し、[Select] を選択します。設定の種類の詳細については、「シ ナリオと例 (p. 26)」を参照してください。 ウィザードの 2 番目のページで、必要に応じて VPC 設定を入力します。[Add Endpoint] を選択 し、次の情報を入力します。 4. • 接続先のサービスを選択します。 (現在は、Amazon S3 サービスのみ利用できます)。 • [Subnet] リストから、エンドポイントにアクセスできるサブネットを選択します。サブネット に関連付けられたルートテーブルには、エンドポイントルートが含まれます。 253 Amazon Virtual Private Cloud ユーザーガイド エンドポイントの使用 • [Policy] リストからポリシーのタイプを選択します。デフォルトのオプションである [Full Access] のみそのまま使用して、サービスへのフルアクセスを許可できます。または、 [Custom] を選択し、AWS Policy Generator を使用してカスタムポリシーを作成するか、独自の ポリシーをカスタムウィンドウに入力します。 5. 該当する場合は、ウィザードの手順の残りを完了した後、[Create VPC] をクリックします。 セキュリティグループの変更 VPC セキュリティグループでアウトバウンドトラフィックを制限している場合は、AWS サービスへ のトラフィックがインスタンスから送信することを許可するルールを追加する必要があります。 エンドポイントのアウトバウンドルールを追加するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Security Groups] を選択します。 3. VPC セキュリティグループを選択して、[Outbound Rules] タブを選択し、[Edit] を選択します。 4. [Type] リストからトラフィックのタイプを選択し、必要に応じてポート範囲を入力します。たと えば、インスタンスを使用して Amazon S3 からオブジェクトを取得する場合、[Type] リストか ら [HTTPS] を選択します。 5. [Destination] リストには、使用できる AWS サービスのプレフィックスリスト ID と名前が表示さ れます。エンドポイントサービスのプレフィックスリスト ID を選択するか、または入力します。 Note Amazon S3 の場合は、プレフィックスリストの名前は com.amazonaws.<region>.s3 です (たとえば、com.amazonaws.us-east-1.s3)。 6. [Save] を選択します。 セキュリティグループの詳細については、VPC のセキュリティグループ (p. 121) を参照してくださ い。 エンドポイントの変更 ポリシーを変更または削除し、エンドポイントで使用されるルートテーブルを追加または削除するこ とで、エンドポイントを変更できます。 エンドポイントに関連付けられたポリシーを変更するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Endpoints] を選択します。 3. エンドポイントを選択して、[Actions] を選択し、[Edit Policy] を選択します。 4. ダイアログボックスで、[Full Access] を選択してフルアクセスを許可できます。または、 [Custom] を選択し、AWS Policy Generator を使用してカスタムポリシーを作成するか、独自のポ リシーをカスタムウィンドウに入力します。完了したら、[Save Policy] を選択します。 Note 変更が適用されるまで数分かかることがあります。 エンドポイントで使用されるルートテーブルを追加または削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 254 Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 2. ナビゲーションペインで、[Endpoints] を選択します。 3. VPC endpoint を選択して、[Actions] を選択し、[Choose Route Tables] を選択します。 4. ダイアログボックスで、必要なルートテーブルを選択または選択解除してから、[Save] を選択し ます。 エンドポイントの説明 Amazon VPC コンソールを使用してエンドポイントを表示し、各エンドポイントに関する情報を表示 できます。 エンドポイントに関する情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Endpoints] を選択します。 3. エンドポイントを選択します。 4. [Summary] タブで、エンドポイントに関する情報を表示できます。たとえば、[Service] フィール ドでは、サービスのプレフィックスリスト名を取得できます。 [Route Tables] タブでは、エンドポイントで使用されるルートテーブルに関する情報を表示でき ます。[Policy] タブでは、エンドポイントにアタッチされた IAM ポリシーを表示できます。 Note [Policy] タブでは、エンドポイントのポリシーのみが表示されます。ここには、エンドポ イントを操作するアクセス権限を持っている IAM ユーザー用に IAM ポリシーに関する情 報は表示されません。また、サービス固有のポリシー (たとえば S3 バケットポリシー) も表示されません。 エンドポイントの削除 エンドポイントが不要になった場合には、それを削除することができます。エンドポイントを削除す ると、エンドポイントで使用されたルートテーブルのエンドポイントルートも削除されますが、エン ドポイントが存在する VPC に関連付けらたセキュリティグループに影響はありません。 エンドポイントを削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Endpoints] を選択します。 3. エンドポイントを選択して、[Actions] を選択し、[Delete Endpoint] を選択します。 4. 確認ダイアログボックスで、[Yes, Delete] を選択します。 API と CLI の概要 このページで説明しているタスクは、コマンドラインツールまたは Amazon EC2 クエリ API を使用し て実行できます。 VPC endpoint の作成 • create-vpc-endpoint (AWS CLI) • New-EC2VpcEndpoint (AWS Tools for Windows PowerShell) • CreateVpcEndpoint (Amazon EC2 クエリ API) 255 Amazon Virtual Private Cloud ユーザーガイド ClassicLink AWS サービスのプレフィックスリストの名前、ID、IP アドレス範囲の取得 • describe-prefix-lists (AWS CLI) • Get-EC2PrefixList (AWS Tools for Windows PowerShell) • DescribePrefixLists (Amazon EC2 クエリ API) VPC endpoint の変更 • modify-vpc-endpoint (AWS CLI) • Edit-EC2VpcEndpoint (AWS Tools for Windows PowerShell) • ModifyVpcEndpoint (Amazon EC2 クエリ API) VPC endpoint の説明 • describe-vpc-endpoints (AWS CLI) • Get-EC2VpcEndpoint (AWS Tools for Windows PowerShell) • DescribeVpcEndpoints (Amazon EC2 クエリ API) VPC endpoint の作成に使用できる AWS サービスのリストの取得 • describe-vpc-endpoint-services (AWS CLI) • Get-EC2VpcEndpointService (AWS Tools for Windows PowerShell) • DescribeVpcEndpointServices (Amazon EC2 クエリ API) VPC endpoint の削除 • delete-vpc-endpoints (AWS CLI) • Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell) • DeleteVpcEndpoints (Amazon EC2 クエリ API) ClassicLink ClassicLink を使用すると、EC2-Classic インスタンスを同じリージョンにある自アカウントの VPC にリンクできます。これによって、VPC のセキュリティグループを EC2-Classic インスタンスに関連 付けることができ、プライベート IPv4 アドレスを使用して EC2-Classic インスタンスと VPC 内のイ ンスタンスが通信できるようになります。ClassicLink により、パブリック IPv4 アドレスや Elastic IP アドレスを使用しなくても、これらのプラットフォーム内のインスタンス間で通信できます。プライ ベートおよびパブリック IPv4 アドレスについては、「VPC の IP アドレス指定 (p. 101)」を参照して ください。 ClassicLink は、EC2-Classic プラットフォームをサポートするアカウントを持つすべてのユーザーが 利用でき、任意のインスタンスタイプの EC2-Classic インスタンスで使用できます。 ClassicLink は追加料金なしで使用できます。データ転送とインスタンス時間の使用量に対する標準料 金が適用されます。 ClassicLink とその使用方法の詳細については、Amazon EC2 ユーザーガイドの以下のトピックを参照 してください。 • ClassicLink の基礎 • ClassicLink の制限事項 256 Amazon Virtual Private Cloud ユーザーガイド ClassicLink • ClassicLink の使用 • ClassicLink API と CLI の概要 257 Amazon Virtual Private Cloud ユーザーガイド VPN 接続 VPN 接続を使用して VPC をリモートネットワークに接続できます。次に、使用可能な接続オプショ ンの例を示します。 VPN 接続オプション 説明 AWS ハードウェア VPN VPC とリモートネットワーク間で、IPsec およびハードウェア VPN 接続 を作成できます。VPN 接続の AWS 側では、仮想プライベートゲートウェ イが、自動フェイルオーバーのための 2 つの VPN エンドポイントを提供 します。カスタマーゲートウェイを設定します。これは、VPN 接続のリ モート側の物理デバイスまたはソフトウェアアプリケーションです。詳細 については、「VPC へのハードウェア仮想プライベートゲートウェイの追 加 (p. 259)」および「Amazon VPC ネットワーク管理者ガイド」を参照 してください。 AWS Direct Connect AWS Direct Connect は、リモートのネットワークから VPC への専用の プライベート接続を提供します。この接続を AWS ハードウェア VPN 接 続と組み合わせて、IPsec 暗号化された接続を作成できます。詳細につい ては、「AWS Direct Connect とは何ですか?」を参照してください。」 (AWS Direct Connect ユーザーガイド) を参照してください。 AWS VPN CloudHub リモートネットワークが複数ある場合 (ブランチオフィスが複数ある場 合など)、VPC を通じて複数の AWS ハードウェア VPN 接続を作成し、 これらのネットワーク間の通信を有効にすることができます。詳細に ついては、「VPN CloudHub を使用して安全なサイト間通信を提供す る (p. 271)」を参照してください。 ソフトウェア VPN VPN アプライアンスを実行する VPC の Amazon EC2 インスタンスを使 用して、リモートネットワークへの VPN 接続を作成できます。AWS は、 ソフトウェア VPN アプライアンスを提供または維持しません。ただし、 パートナーやオープンソースコミュニティが提供する様々な製品を選択す ることができます。AWS マーケットプレイスでソフトウェア VPN アプラ イアンスを検索します。 このセクションでは、次のトピックを説明します。 • VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 259) • VPN CloudHub を使用して安全なサイト間通信を提供する (p. 271) 258 Amazon Virtual Private Cloud ユーザーガイド ハードウェア仮想プライベートゲートウェイ 様々な VPC および VPN 接続の詳細については、ホワイトペーパー「Amazon Virtual Private Cloud Connectivity Options」を参照してください。 VPC へのハードウェア仮想プライベートゲート ウェイの追加 デフォルトでは、Virtual Private Cloud (VPC) 内に起動されるインスタンスとユーザー独自のネット ワークとの通信はできません。VPC から独自のネットワークへのアクセスを可能にするには、仮想プ ライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグ ループ規則を更新します。 このプロセスは、このページの説明にしたがって手動で実行することも、VPC 作成ウィザードを使用 して多くのステップを自動的に実行することもできます。VPC 作成ウィザードを使用して仮想プライ ベートゲートウェイを設定する方法の詳細については、「シナリオ 3: パブリックおよびプライベート のサブネットを持つ VPC とハードウェア VPN アクセス (p. 48)」または「シナリオ 4: プライベート サブネットのみを持つ VPC とハードウェア VPN アクセス (p. 61)」を参照してください。 VPN 接続という用語は一般的な用語ですが、Amazon VPC のドキュメントにおいては、VPN 接続 は VPC とユーザー独自のネットワーク間の接続を指します。AWS は、インターネットプロトコルセ キュリティ (IPsec) VPN 接続をサポートしています。 Important 現在、VPN 接続による IPv6 トラフィックはサポートされていません。 トピック • VPN のコンポーネント (p. 259) • VPN の設定例 (p. 260) • VPN のルーティングオプション (p. 261) • VPN 接続に必要なもの (p. 262) • VPN 接続用に 2 つの VPN トンネルを設定する (p. 262) • 冗長な VPN 接続を使用してフェイルオーバーを提供する (p. 263) • VPN 接続を設定する (p. 265) • インスタンスのエンドツーエンド接続のテスト (p. 267) • 漏洩した認証情報の置き換え (p. 268) • VPN 接続の静的ルートの編集 (p. 268) • VPN 接続を削除する (p. 269) • API と CLI の概要 (p. 270) お客様の VPC で VPN 接続を使用する場合の料金について詳しくは、「Amazon VPC 製品のページ」 を参照してください。 VPN のコンポーネント VPN 接続は次のコンポーネントで構成されます。 仮想プライベートゲートウェイ 仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。 259 Amazon Virtual Private Cloud ユーザーガイド VPN の設定例 リージョン当たりの仮想プライベートゲートウェイの最大数や、VPC 内の他のコンポーネントに適用 される制限については、「Amazon VPC の制限 (p. 280)」を参照してください。 カスタマーゲートウェイ カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプ リケーションです。VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成される と VPN トンネルが開始されます。仮想プライベートゲートウェイはイニシエータではないため、カス タマーゲートウェイがトンネルを開始する必要があります。VPN 接続でアイドル時間 (通常は 10 秒で すが設定によって異なる) が生じた場合、トンネルがダウンすることがあります。アイドル時間が生 じないように、ネットワーク監視ツール (IP SLA など) を使用してキープアライブ ping を生成できま す。 カスタマーゲートウェイの詳細については、Amazon VPC ネットワーク管理者ガイド の「カスタマー ゲートウェイ」を参照してください。 Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。 VPN の設定例 次の図に単一および複数の VPN 接続を示します。VPC には仮想プライベートゲートウェイが関連付 けられていて、ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲート ウェイは、VPN 接続を有効にするように設定する必要があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティング されるようにします。 単一の VPC に対して複数の VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定し て、外部にある同一の場所への冗長な接続を作成できます。また、複数の地理的な場所への VPN 接続 を作成することもできます。 単一の VPN 接続 260 Amazon Virtual Private Cloud ユーザーガイド VPN のルーティングオプション 複数の VPN 接続 VPN のルーティングオプション VPN 接続を作成する場合、使用を計画しているルーティングのタイプを指定し、サブネットのルート テーブルを更新する必要があります。ルートテーブルによって、ネットワークトラフィックの宛先が 決定されます。したがって、VPC の 1 つ以上の VPN 接続に向けられたトラフィックは、仮想プライ ベートゲートウェイにルーティングされる必要があります。 選択するルーティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイ スがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、VPN 接続を設定するとき に動的ルーティングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティン グを指定します。Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイ スの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。 BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイに ルートがアドバタイズされるので、VPN 接続への静的ルートを指定する必要はありません。BGP を サポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲー トウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。BGP ア ドバタイズを使用するか静的ルートエントリを使用するかにかかわらず、VPC からのトラフィックを 受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想 プライベートゲートウェイは、受信した BGP アドバタイズ、静的なルートエントリ、またはそのア タッチされた VPC CIDR の外部に向けられたその他のトラフィックをルーティングしません。 使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定 したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへの フェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行す ることによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。 261 Amazon Virtual Private Cloud ユーザーガイド VPN 接続に必要なもの VPN 接続に必要なもの VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者が物理的なアプ ライアンスをカスタマーゲートウェイとして指定し、設定する必要があります。VPN 事前共有キーお よび VPN 接続の設定に関連したその他のパラメータを含む必須の設定情報は、Amazon から提供され ます。この設定はネットワーク管理者が行うのが一般的です。カスタマーゲートウェイの要件および 設定については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。 次の表は、VPN 接続を確立するために必要な情報の一覧です。 項目 用途 コメント カスタマーゲートウェイのタ イプ (例: Cisco ASA、Juniper J-Series、Juniper SSG、Yamaha) 返される情報 (カスタマーゲー トウェイの設定に使用する) の 形式を指定します。 当社でテスト済みのデバイスの 詳細については、Amazon VPC よくある質問で「Amazon VPC で機能することが知られてい るカスタマーゲートウェイ装置 にはどのようなものがあります か?」を参照してください。 カスタマーゲートウェイの外部 インターフェイスの、インター ネットでルーティング可能な IP アドレス (静的) カスタマーゲートウェイを作成 して設定するために使用されま す。YOUR_UPLINK_ADDRESS と呼ばれます。 この IP アドレス値は静的であ る必要があります。また、ネッ トワークアドレス変換 (NAT) を 実行するデバイスの背後のア ドレスを使用することができま す。NAT トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除 するようにファイアウォールの ルールを調整する必要がありま す。 (オプション) 動的にルーティン グされる VPN 接続を作成する 場合は、カスタマーゲートウェ イのボーダーゲートウェイプロ トコル (BGP) 自律システム番 号 (ASN)。 カスタマーゲートウェイを作成 して設定するために使用されま す。YOUR_BGP_ASN と呼ば れます。 コンソールの VPC ウィザー ドを使用して VPC を設定す ると、ASN として自動的に 65000 が使用されます。 ネットワークに割り当てられ ている既存の ASN を使用でき ます。既存の ASN がない場合 は、プライベート ASN (64512 から 65534 までの範囲) を使用 できます。ASN の詳細について は、「Wikipedia の記事」を参 照してください。 Amazon VPC は 2 バイトの ASN 番号をサポートしていま す。 VPC への VPN 接続を通してア ドバタイズする内部ネッ ワー ク IP の範囲。 静的ルーターを指定するために 使用されます。 VPN 接続用に 2 つの VPN トンネルを設定する ネットワークを VPC に接続するには、VPN 接続を使用します。各 VPN 接続には 2 つのトンネルが あり、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用し ます。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用で きなくなったとき (例えばメンテナンスのために停止)、ネットワークトラフィックはその特定の VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。 次の図は、VPN 接続の 2 つのトンネルを示しています。 262 Amazon Virtual Private Cloud ユーザーガイド 冗長な VPN 接続を使用してフェイルオーバーを提供する 冗長な VPN 接続を使用してフェイルオーバーを提 供する 前述のように、VPN 接続では、接続の 1 つが使用できなくなった場合に備えて 2 つのトンネルを設定 します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 番 目のカスタマーゲートウェイを使用して、VPC および仮想プライベートゲートウェイへの 2 番目の VPN 接続を設定できます。冗長な VPN 接続とカスタマーゲートウェイを使用すれば、1 つのカスタ マーゲートウェイでメンテナンスを実行しながら、2 番目のカスタマーゲートウェイの VPN 接続を通 してトラフィックの送信を継続することができます。冗長な VPN 接続とカスタマーゲートウェイを ネットワークに確立するには、2 番目の VPN 接続をセットアップする必要があります。2 番目の VPN 接続用カスタマーゲートウェイの IP アドレスは、パブリックにアクセス可能である必要があります。 次の図は、VPN 接続の 2 つのトンネルと 2 つのカスタマーゲートウェイを示しています。 263 Amazon Virtual Private Cloud ユーザーガイド 冗長な VPN 接続を使用してフェイルオーバーを提供する 264 Amazon Virtual Private Cloud ユーザーガイド VPN 接続を設定する 動的にルーティングされる VPN 接続では、ボーダーゲートウェイプロトコル (BGP) を使用して、カ スタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルー ティングされる VPN 接続では、カスタマーゲートウェイのユーザー側でネットワークの静的ルートを 入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方の ゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされま す。BGP (使用可能な場合) で提供されるルーティング情報を使用して使用可能なパスを選択するよう ネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによっ て異なります。 VPN 接続を設定する VPN 接続を手動でセットアップするには、次の手順を実行します。また、VPC およびサブネットを 作成してから、VPC ウィザードを使用してこの手順の最初の 5 つのステップを実行することもできま す。詳細については、「シナリオ 3 を実装する (p. 57)」または「シナリオ 4 を実装する (p. 65)」を参 照してください。 VPN 接続をセットアップするには、以下のステップを完了する必要があります。 • ステップ 1: カスタマーゲートウェイを作成する (p. 265) • ステップ 2: 仮想プライベートゲートウェイを作成する (p. 265) • ステップ 3: ルートテーブルでルート伝達を有効にする (p. 266) • ステップ 4: セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効に する (p. 266) • ステップ 5: VPN 接続を作成して、カスタマーゲートウェイを設定する (p. 266) • 手順 6: サブネット内にインスタンスを起動する (p. 267) この手順は、1 つ以上のサブネットがある VPC を使用しており、必要なネットワーク情報 (VPN 接続 に必要なもの (p. 262) を参照) を理解していることを前提にしています。 カスタマーゲートウェイを作成する カスタマーゲートウェイを作成するには 1. 2. 3. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 ナビゲーションペインで [Customer Gateways] を選択してから、[Create Customer Gateway] を クリックします。 [Create Customer Gateway] ダイアログボックスで次の作業を完了し、[Yes, Create] を選択しま す。 • [Name tag] フィールドで、カスタマーゲートウェイの名前を任意で入力します。これによ り、Name というキーと指定した値を含むタグが作成されます。 • [Routing] リストからルーティングタイプを選択します。 • 動的ルーティングを選択した場合は、[BGP ASN ] フィールドに、ボーダーゲートウェイプロト コル (BGP) 自律システム番号 (ASN) を入力します。 • [IP Address] フィールドに、インターネットでルーティング可能な、カスタマーゲートウェイ デバイスの静的 IP アドレスを入力します。ネットワークアドレス変換 (NAT) を実行するデバ イスの背後のアドレスを使用することができます。 仮想プライベートゲートウェイを作成する 仮想プライベートゲートウェイを作成するには 1. ナビゲーションペインで [Virtual Private Gateways] を選択してから、[Create Virtual Private Gateway] をクリックします。 265 Amazon Virtual Private Cloud ユーザーガイド VPN 接続を設定する 2. 任意で仮想プライベートゲートウェイの名前を入力し、[Yes, Create] を選択します。 3. 4. 作成した仮想プライベートゲートウェイを選択して、[Attach to VPC] を選択します。 [Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] を選択しま す。 ルートテーブルでルート伝達を有効にする VPC で、インスタンスがカスタマーゲートウェイに到達できるようにするには、VPN 接続で使用さ れるルートを含め、仮想プライベートゲートウェイを指すようにルートテーブルを設定する必要があ ります。ルート伝達を有効にして、これらのルートを自動的にテーブルに伝達することができます。 静的ルーティングでは、VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレ フィックスがルートテーブルに伝達されます。同様に、動的なルーティングでは、VPN 接続の状態が UP のときに、BGP でアドバタイズされたルートがカスタマーゲートウェイからルートテーブルに伝 達されます。 ルート伝達を有効にするには 1. ナビゲーションペインで [Route Tables] を選択し、サブネットと関連付けられたルートテーブル を選択します。デフォルトでは、これは VPC のメインルートテーブルです。 2. 詳細ペインの [Route Propagation] タブで [Edit] を選択し、前の手順で作成した仮想プライベート ゲートウェイを選択して、[Save] を選択します。 Note 静的ルーティングでは、ルート伝達を有効にしない場合、VPN 接続で使用される静的ルー トを手動で入力する必要があります。そのためには、ルートテーブルを選択し、詳細ペイン の [Routes] タブで、[Edit] を選択します。VPN 接続で使用される静的ルートを [Destination] フィールドに追加し、[Target] リストから仮想プライベートゲートウェイ ID を選択して、 [Save] を選択します。 セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効にする セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有 効にするには 1. 2. ナビゲーションペインで [Security Groups] を選択し、VPC のデフォルトのセキュリティグループ を選択します。 詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセス を許可するルール追加し、[Save] を選択します。インバウンドルールの追加の詳細については、 「ルールを追加および削除する (p. 126)」を参照してください。 VPN 接続を作成して、カスタマーゲートウェイを設定する VPN 接続を作成して、カスタマーゲートウェイを設定するには 1. [Navigation] ペインで [VPN Connections] を選択し、[Create VPN Connection] を選択します。 2. [Create VPN Connection] ダイアログボックスで次の操作を行い、[Yes, Create] を選択します。 • [Name tag] フィールドで、VPN 接続の名前を任意で入力します。これにより、Name という キーと指定した値を含むタグが作成されます。 • 前の手順で作成した仮想プライベートゲートウェイを選択します。 266 Amazon Virtual Private Cloud ユーザーガイド インスタンスのエンドツーエンド接続のテスト • 前の手順で作成したカスタマーゲートウェイを選択します。 • VPN ルートがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づい て、いずれかのルーティングオプションを選択します。 • VPN ルーターが BGP をサポートしている場合は、[Dynamic (requires BGP)] を選択しま す。 • VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[Static IP Prefixes] フィールドで、VPN 接続のプライベートネットワークのそれぞれの IP プレフィッ クスをコンマで区切って指定します。 3. VPN 接続の作成には数分かかる場合があります。準備が整ったら、接続を選択し、[Download Configuration] を選択します。 4. [Download Configuration] ダイアログボックスで、カスタマーゲートウェイのデバイスまたは ソフトウェアに対応するベンダー、プラットフォーム、およびソフトウェアを選択し、[Yes Download] を選択します。 5. このガイド (Amazon VPC ネットワーク管理者ガイド) と共に設定ファイルをネットワーク管理者 に渡します。ネットワーク管理者がカスタマーゲートウェイを設定した後、VPN 接続が機能する ようになります。 サブネット内にインスタンスを起動する サブネット内にインスタンスを起動するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ダッシュボードで、[Launch Instance] を選択します。 3. [Choose an Amazon Machine Image (AMI)] ページで、AMI を選択し、[Select] を選択します。 4. インスタンスタイプを選択し、[Next: Configure Instance Details] を選択します。 5. [Configure Instance Details] ページで、[Network] リストから VPC を選択し、[Subnet] リストか らサブネットを選択します。[Configure Security Group] ページが表示されるまで、[Next] を選択 します。 6. [Select an existing security group] オプションを選択し、前に変更したデフォルトのグループを選 択します。[Review and Launch] を選択します。 7. 選択した設定を確認します。必要な変更を行い、[Launch] を選択し、キーペアを選択してインス タンスを起動します。 インスタンスのエンドツーエンド接続のテスト VPN 接続を設定してインスタンスを起動した後、インスタンスへの ping を実行して接続をテストし ます。ping リクエストに応答する AMI を使用し、インスタンスのセキュリティグループが、インバ ウンド ICMP を有効にするように設定されていることを確認する必要があります。Amazon Linux AMI のいずれかを使用することをお勧めします。ご使用のインスタンスで Windows Server を実行して いる場合、インスタンスへの ping を実行するには、インスタンスにログインし、Windows ファイア ウォールでインバウンド ICMPv4 を有効にする必要があります。 Important インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンス へのトラフィックをフィルタするセキュリティグループまたはネットワーク ACL を VPC 内 に設定する必要があります。 Amazon VPC コンソールまたは Amazon EC2 API/CLI を使用して、VPN 接続のステータスをモニタ リングできます。VPN 接続について、接続の状態、最後の状態変化からの経過時間、エラー説明のテ キストなどの情報を確認できます。 267 Amazon Virtual Private Cloud ユーザーガイド 漏洩した認証情報の置き換え エンドツーエンド接続をテストするには 1. インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し ます。Amazon EC2 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。 2. ネットワークでカスタマーゲートウェイの背後にあるコンピュータから、インスタンスのプライ ベート IP アドレスを指定した ping コマンドを実行します。正常な応答は次のようになります。 PROMPT> ping 10.0.0.4 Pinging 10.0.0.4 with 32 bytes of data: Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Ping statistics for 10.0.0.4: Packets: Sent = 3, Received = 3, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」 の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法に ついては、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。 漏洩した認証情報の置き換え VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更できます。その ためには、VPN 接続を削除し、同じ仮想プライベートゲートウェイを使用して新しい接続を作成し て、カスタマーゲートウェイに新しいキーを設定します。また、トンネルの内部のアドレスと外部の アドレスが一致することを確認することも必要です。VPN 接続を再作成するとアドレスが変更され ることがあるためです。この手順を実行する間、VPC 内のインスタンスとの通信は停止しますが、 インスタンスは中断されずに実行を継続します。ネットワーク管理者が新しい設定情報を実装した 後、VPN 接続に新しい認証情報が使用されるようになり、VPC 内のインスタンスへのネットワーク 接続が再開されます。 Important この手順にはネットワーク管理者グループの助けが必要です。 IKE 事前共有キーを変更するには 1. VPN 接続を削除します。詳細については、「VPN 接続を削除する (p. 269)」を参照してくださ い。VPC または仮想プライベートゲートウェイを削除する必要はありません。 2. 新しい VPN 接続を作成して、新しい設定ファイルをダウンロードします。詳細については、 「VPN 接続を作成して、カスタマーゲートウェイを設定する (p. 266)」を参照してください。 VPN 接続の静的ルートの編集 静的ルーティングでは、VPN 設定の静的ルートを追加、変更、または削除できます。 268 Amazon Virtual Private Cloud ユーザーガイド VPN 接続を削除する 静的ルートを追加、変更、または削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [VPN Connections] を選択します。 3. [Static Routes] タブで、[Edit] を選択します。 4. 既存の静的 IP プレフィックスを変更するか、[Remove] を選択して削除します。[Add Another Route] を選択して、新しい IP プレフィックスを設定に追加します。完了したら、[Save ] を選択 します。 Note ルートテーブルでルート伝達を有効にしていない場合、ルートテーブルで手動でルートを更 新し、更新された静的 IP プレフィックスを VPN 接続に反映する必要があります。詳細につ いては、「ルートテーブルでルート伝達を有効にする (p. 266)」を参照してください。 VPN 接続を削除する VPN 接続が不要になった場合には、それを削除することができます。 Important VPN 接続を削除し、新しい VPN 接続を作成する場合は、新しい設定情報をダウンロードし、 ネットワーク管理者にカスタマーゲートウェイを再設定してもらう必要があります。 VPN 接続を削除するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [VPN Connections] を選択します。 3. VPN 接続を選択し、[Delete] を選択します。 4. [Delete VPN Connection] ダイアログボックスの [Yes, Delete] を選択します。 カスタマーゲートウェイが不要になった場合には、それを削除することができます。VPN 接続で使用 中のカスタマーゲートウェイを削除することはできません。 カスタマーゲートウェイを削除するには 1. ナビゲーションペインで、[Customer Gateways] を選択します。 2. 削除するカスタマーゲートウェイを選択し、[Delete] を選択します。 3. [Delete Customer Gateway] ダイアログボックスで、[Yes, Delete] を選択します。 VPC 用の仮想プライベートゲートウェイが不要になった場合には、それをアタッチ解除することがで きます。 仮想プライベートゲートウェイをアタッチ解除するには 1. ナビゲーションペインで [Virtual Private Gateways] を選択します。 2. 仮想プライベートゲートウェイを選択し、[Detach from VPC] を選択します。 3. [Detach from VPC] ダイアログボックスで、[Yes, Detach] を選択します。 デタッチした仮想プライベートゲートウェイが不要になった場合は、削除することができます。VPC にアタッチされている仮想プライベートゲートウェイを削除することはできません。 269 Amazon Virtual Private Cloud ユーザーガイド API と CLI の概要 仮想プライベートゲートウェイを削除するには 1. ナビゲーションペインで [Virtual Private Gateways] を選択します。 2. 削除する仮想プライベートゲートウェイを選択し、[Delete] を選択します。 3. [Delete Virtual Gateway] ダイアログボックスで、[Yes, Delete] を選択します。 API と CLI の概要 コマンドラインまたは API アクションを使用して、VPN 接続をセットアップし、管理できます。使用 できる API アクションのリストを含む詳細については、「Amazon VPC へのアクセス (p. 8)」を参照 してください。 カスタマーゲートウェイを作成する • CreateCustomerGateway (Amazon EC2 Query API) • create-customer-gateway (AWS CLI) • New-EC2CustomerGateway (AWS Tools for Windows PowerShell) 仮想プライベートゲートウェイの作成 • CreateVpnGateway (Amazon EC2 Query API) • create-vpn-gateway (AWS CLI) • New-EC2VpnGateway (AWS Tools for Windows PowerShell) ルート伝達を有効にする • EnableVgwRoutePropagation (Amazon EC2 Query API) • enable-vgw-route-propagation (AWS CLI) • Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell) セキュリティグループを更新する • CLI を使ったセキュリティグループの使用の詳細については、「API と CLI の概要 (p. 129)」を参照 してください。 VPN 接続を作成する • CreateVpnConnection (Amazon EC2 Query API) • create-vpn-connection (AWS CLI) • New-EC2VpnConnection (AWS Tools for Windows PowerShell) 静的ルートを追加する • CreateVpnConnectionRoute (Amazon EC2 Query API) • create-vpn-connection-route (AWS CLI) • New-EC2VpnConnectionRoute (AWS Tools for Windows PowerShell) 静的ルートを削除する • DeleteVpnConnectionRoute (Amazon EC2 Query API) 270 Amazon Virtual Private Cloud ユーザーガイド VPN CloudHub • delete-vpn-connection-route (AWS CLI) • Remove-EC2VpnConnectionRoute (AWS Tools for Windows PowerShell) VPN 接続を削除する • DeleteVpnConnection (Amazon EC2 Query API) • delete-vpn-connection (AWS CLI) • Remove-EC2VpnConnection (AWS Tools for Windows PowerShell) カスタマーゲートウェイを削除する • DeleteCustomerGateway (Amazon EC2 Query API) • delete-customer-gateway (AWS CLI) • Remove-EC2CustomerGateway (AWS Tools for Windows PowerShell) 仮想プライベートゲートウェイをデタッチする • DetachVpnGateway (Amazon EC2 Query API) • detach-vpn-gateway (AWS CLI) • Dismount-EC2VpnGateway (AWS Tools for Windows PowerShell) 仮想プライベートゲートウェイを削除する • DeleteVpnGateway (Amazon EC2 Query API) • delete-vpn-gateway (AWS CLI) • Remove-EC2VpnGateway (AWS Tools for Windows PowerShell) VPN CloudHub を使用して安全なサイト間通信を 提供する 複数の VPN 接続がある場合は、AWS VPN CloudHub を使用して、安全なサイト間通信を提供する ことができます。これで、リモートサイトを有効にして、VPC のみとではなく、相互に通信しま す。VPN CloudHub は、VPC の有無にかかわらず使用できるシンプルなハブアンドスポークモデル で動作します。この設計は、複数のブランチオフィスと既存のインターネット接続を持つ顧客が、リ モートオフィス間でプライマリ接続またはバックアップ接続を実現するために、便利でコストを抑え られる可能性のあるハブアンドスポークモデルを実装したいと考えている場合に適しています。 次の図は VPN CloudHub アーキテクチャーです。青色の点線は、VPN 接続を介してルーティングさ れているリモートサイト間のネットワークトラフィックを示しています。 271 Amazon Virtual Private Cloud ユーザーガイド VPN CloudHub AWS VPN CloudHub を使用するには、複数のカスタマーゲートウェイを使って仮想プライベートゲー トウェイを作成する必要があります。それぞれのゲートウェイに対して同じボーダーゲートウェイプ ロトコル (BGP) 自律システム番号 (ASN) を使用できます。希望に応じて、それぞれに固有の ASN を 使用することもできます。カスタマーゲートウェイは、適切なルート (BGP プレフィックス) をその VPN 接続にアドバタイズします。これらのルーティングアドバタイズメントが受信され、各 BGP ピ アに再アドバタイズされることで、サイト間でのデータの送受信か可能になります。サイト間で IP 範 囲が重複することは許可されません。各サイトが、標準の VPN 接続を使用しているように、VPC と データを送受信することもできます。 仮想プライベートゲートウェイへの AWS Direct Connect 接続を使用するサイトを、AWS VPN CloudHub に含めることもできます。例えば、ニューヨーク本社で VPC へのAWS Direct Connect 接 続を確立しながら、ブランチオフィスで VPC への VPC 接続を使用できます。ロサンゼルスとマイア ミのブランチオフィスは、AWS VPN CloudHub を使用して、相互にデータを送受信したり、本社と データを送受信したりできます。 AWS VPN CloudHub を設定するには、AWS マネジメントコンソール を使用して、複数のカスタマー ゲートウェイを作成します。このそれぞれに、ゲートウェイのパブリック IP アドレスと ASN があり ます。次に、各カスタマーゲートウェイから一般的な仮想プライベートゲートウェイへの VPN 接続を 作成します。各 VPN 接続が、その特定の BGP ルートをアドバタイズする必要があります。これを行 うには、VPN 接続の VPN 設定ファイルでネットワークステートメントを使用します。ネットワーク ステートメントは、使用するルーターの種類によって少し違いがあります。 AWS VPN CloudHub を使用する場合は、通常の Amazon VPC VPN 接続料金を支払います。各 VPN が仮想プライベートゲートウェイに接続されている間は、1 時間ごとに接続料金が発生します。AWS VPN CloudHub を使用してサイト間でデータを送信する場合、サイトから仮想プライベートゲート ウェイへのデータ送信にはコストがかかりません。仮想プライベートゲートウェイからエンドポイン トに中継されるデータに対しては、標準の AWS データ転送料金のみがかかります。例えば、ロサン ゼルスとニューヨークそれぞれにサイトがあり、両方のサイトに、仮想プライベートゲートウェイへ の VPN 接続が存在する場合は、VPN 接続ごとに 0.05 USD/時間 (合計 0.10 USD/時間) の支払いが発 272 Amazon Virtual Private Cloud ユーザーガイド VPN CloudHub 生します。また、ロサンゼルスからニューヨーク (およびその逆) に VPN 接続経由でデータを送信す ると、そのデータすべてに対して標準の AWS データ転送料金が発生します。VPN 接続経由で仮想プ ライベートゲートウェイに送信されるネットワークトラフィックは無料ですが、VPN 接続経由で仮想 プライベートゲートウェイからエンドポイントに送信されるネットワークトラフィックには、標準の AWS データ転送料金がかかります。詳細については、「VPN 接続料金表」を参照してください。 273 Amazon Virtual Private Cloud ユーザーガイド ハードウェア専有インスタンスの基礎 ハードウェア専有インスタンス ハードウェア専有インスタンスは、単一のカスタマー専用のハードウェアの Virtual Private Cloud (VPC) で実行される Amazon EC2 インスタンスです。専用インスタンスは、他の AWS アカウントに 属するインスタンスとは、ホストハードウェアのレベルで物理的に分離されます。専用インスタンス は、同じ AWS アカウントからの他のインスタンスで、専用インスタンスではないインスタンスと、 ハードウェアをシェアする可能性があります。 このトピックでは、ハードウェア専有インスタンスの基礎を説明し、その実装方法を示します。 Note また、Dedicated Host はお客様専用の物理サーバーです。Dedicated Host では、インスタン スをサーバーに配置する方法について可視性と制御を高めることができます。詳細について は、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Dedicated Hosts」参照してくだ さい。 トピック • ハードウェア専有インスタンスの基礎 (p. 274) • ハードウェア専有インスタンスの使用 (p. 276) • API とコマンドの概要 (p. 278) ハードウェア専有インスタンスの基礎 VPC 内に起動する各インスタンスにはテナント属性があります。この属性の値を次に示します。 値 説明 default インスタンスは共有するハードウェアで実行されます。 dedicated インスタンスはシングルテナントのハードウェアで実行されま す。 host インスタンスは Dedicated Host で実行します。Dedicated Host は ユーザーが設定を制御できる隔離サーバーです。 274 Amazon Virtual Private Cloud ユーザーガイド ハードウェア専有インスタンスの制限事項 デフォルトのインスタンスのテナント属性は、インスタンスの起動後は変更できません。インスタン スのテナント属性は、インスタンスの起動後に dedicated から host に変更したりその逆に変更し たりできます。詳細については、「インスタンスのテナント属性の変更 (p. 278)」を参照してくださ い。 各 VPC には関連したインスタンスのテナント属性があります。VPC の作成後に VPC インスタンスの テナント属性を変更することはできません。この属性の値を次に示します。 値 説明 default VPC で起動されたインスタンスはデフォルトでは共有ハードウェアで実行されま す。ただし、これはインスタンスの起動時に別のテナントを明示的に指定しない場 合に限ります。 dedicated VPC で起動されたインスタンスはデフォルトではハードウェア専有インスタンスで す。ただし、これはインスタンスの起動時に host のテナントを明示的に指定しな い場合に限ります。インスタンスの起動時に default のテナントを指定すること はできません。 ハードウェア専有インスタンスを使用する場合は、次のいずれかの方法でインスタンスを実装できま す。 • インスタンスのテナント属性を dedicated (この VPC 内に起動されたすべてのインスタンスは ハードウェア専有インスタンス) に設定して VPC を作成します。 • インスタンスのテナント属性を default に設定して VPC を作成し、起動時にハードウェア専有イ ンスタンスとするインスタンスの専有テナント属性を指定します。 ハードウェア専有インスタンスの制限事項 AWS の一部のサービスまたは機能は、インスタンスのテナント属性が dedicated に設定されている VPC では動作しません。そのほかにも制限事項があるかどうかを確認するには、サービスのドキュメ ントを参照してください。 一部の種類のインスタンスは、インスタンスのテナント属性が dedicated に設定されている VPC で は起動できません。サポートされているインスタンスの種類の詳細については、「Amazon EC2 専有 インスタンス」を参照してください。 Amazon EBS とハードウェア専有インスタンス Amazon EBS バックト専有インスタンスを起動した場合、シングルテナントのハードウェアで EBS ボリュームは実行できません。 専有テナント属性を所有するリザーブドインスタン ス 専有インスタンスを起動するうえで十分な空き容量を確保するために、専有リザーブドインスタンス を購入できます。リザーブドインスタンスの詳細については、「リザーブドインスタンス」を参照し てください。 ハードウェア専有リザーブドインスタンスを購入すると、VPC 内にハードウェア専有インスタンス を起動するための容量を格安の使用料金で購入することになります。時間単位での料金引き下げは、 専有テナント属性が指定されたインスタンスを起動した場合にのみ適用されるためです。だだし、デ フォルトのテナント属性値でリザーブドインスタンスを購入する場合は、dedicated インスタンステ 275 Amazon Virtual Private Cloud ユーザーガイド ハードウェア専有インスタンスの Auto Scaling ナント属性でインスタンスを起動するときに、ハードウェア専有リザーブドインスタンスは取得され ません。 さらに、リザーブドインスタンスの購入後にそのインスタンスのテナント属性を変更することはでき ません。 ハードウェア専有インスタンスの Auto Scaling Auto Scaling を使用してハードウェア専有インスタンスを起動する方法の詳細については、Auto Scaling ユーザーガイドの「Amazon Virtual Private Cloud での Auto Scaling」を参照してください。 ハードウェア専有インスタンスの価格設定 ハードウェア専有インスタンスには個別の価格設定モデルがあります。詳細については、Amazon EC2 ハードウェア専有インスタンスの製品ページを参照してください。 ハードウェア専有インスタンスの使用 このセクションでは、ハードウェア専用インスタンスを起動して操作する方法について説明します。 トピック • インスタンスのテナント属性が専有である VPC を作成する (p. 276) • ハードウェア専有インスタンスを VPC 内に起動する (p. 277) • テナント属性情報を表示する (p. 277) • インスタンスのテナント属性の変更 (p. 278) インスタンスのテナント属性が専有である VPC を 作成する VPC を作成するときにインスタンスのテナント属性を指定できます。デフォルト設定のまま使用する ことも、使用する VPC にインスタンスのテナント属性として dedicated を指定することもできま す。 インスタンスのテナント属性がハードウェア専有である VPC を作成するには (VPC ウィザー ド) 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ダッシュボードで、[VPC ウィザードの開始] を選択します。 3. VPC 設定を選択し、[選択] を選択します。 4. ウィザードの次のページで、[ハードウェアのテナンシー] のリストから [ハードウェア専有] を選 択します。 5. [VPC の作成] を選択します。 インスタンスのテナント属性がハードウェア専有である VPC を作成するには (VPC ダイアロ グボックスの作成) 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [VPC] を選択し、[VPC の作成] を選択します。 276 Amazon Virtual Private Cloud ユーザーガイド ハードウェア専有インスタンスを VPC 内に起動する 3. [VPC の作成] ダイアログボックスで、[テナンシー] のリストから [ハードウェア専有] を選択しま す。CIDR ブロックを指定し、[作成] を選択します。 ハードウェア専有インスタンスを VPC 内に起動す る インスタンスのテナント属性が dedicated である VPC 内にインスタンスを起動すると、インスタ ンスのテナント属性とは関係なく、インスタンスは自動的にハードウェア専有インスタンスとなりま す。次の手順は、デフォルトのインスタンスのテナント属性が指定された VPC 内にハードウェア専有 インスタンスを起動する方法を示しています。 テナント属性がハードウェア専有であるインスタンスを、テナント属性がデフォルトである VPC 内に起動するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. VPC を作成するか、デフォルトのインスタンスのテナント属性が指定された既存の VPC を使用 することを選択します。 3. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 4. [インスタンスの作成] を選択します。 5. [Amazon マシンイメージ (AMI)] ページで、AMI を選択し、[選択] を選択します。 6. [インスタンスタイプの選択] ページで、作成するインスタンスのタイプを選択し、[次の手順: イ ンスタンスの詳細の設定] を選択します。 7. [Configure Instance Details] ページで、VPC とサブネットを選択します。[テナンシー] のリスト から [専用 - 専用ハードウェアインスタンスの実行] を選択し、[次の手順: ストレージの追加] を選 択します。 8. ウィザードにしたがって続行します。[インスタンス作成の確認] ページでオプションの確認が終 了したら、[作成] を選択し、キーペアを選択してハードウェア専有インスタンスを作成します。 テナント属性が host であるインスタンスの作成の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Dedicated Host でのインスタンスの起動」を参照してください。 テナント属性情報を表示する VPC のテナント属性情報を表示するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. 画面左枠のナビゲーションペインで、[VPC] を選択します。 3. [テナンシー] 列で、VPC のインスタンスのテナント属性を確認します。 4. [テナンシー] 列が表示されていない場合は、[テーブル列の編集] (歯車型のアイコン) を選択しま す。[列の表示/非表示] ダイアログボックスで [テナンシー] を選択し、[閉じる] を選択します。 インスタンスのテナント属性情報を表示するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで、[インスタンス] を選択します。 3. [テナンシー] 列でインスタンスのテナント属性を確認します。 4. [テナンシー] 列が表示されていない場合は、次のいずれかを行います。 • [テーブル列の編集] (歯車型のアイコン) を選択し、[列の表示/非表示] ダイアログボックスで [テ ナンシー] を選択して [閉じる] を選択します。 277 Amazon Virtual Private Cloud ユーザーガイド インスタンスのテナント属性の変更 • インスタンスを選択します。詳細ペインの [説明] タブに、テナント属性を含めてインスタンス に関する情報が表示されます。 インスタンスのテナント属性の変更 インスタンスタイプおよびプラットフォームによっては、インスタンスの起動後に、停止されたハー ドウェア専有インスタンスのテナント属性を host に変更できます。次回のインスタンスの起動時 に、インスタンスはアカウントに割り当てられた Dedicated Host で実行されます。Dedicated Host の 割り当てと使用の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Dedicated Host の使用方法」を参照してください。同様に、インスタンスの起動後に、停止された Dedicated Host インスタンスのテナント属性を dedicated に変更できます。次回のインスタンスの起動時に、 インスタンスは Amazon が管理するシングルテナントのハードウェアで実行されます。 インスタンスのテナント属性を変更するには 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで [インスタンス] を選択し、インスタンスを選択します。 3. [アクション] から [インスタンスの状態]、[停止] の順に選択します。 4. [アクション] から [インスタンスの設定]、[インスタンスプレイスメントの変更] の順に選択しま す。 5. [Tenancy] のリストで、インスタンスを専有ハードウェアで実行するか、Dedicated Host で実行 するかを選択します。[Save] を選択します。 API とコマンドの概要 このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ ス (p. 8)」を参照してください。 VPC 内に起動するインスタンスに対してサポートされているテナント属性オプションを設定 する • create-vpc (AWS CLI) • New-EC2Vpc (AWS Tools for Windows PowerShell) VPC 内に起動するインスタンスに対してサポートされているテナント属性オプションについ て説明する • describe-vpcs (AWS CLI) • Get-EC2Vpc (AWS Tools for Windows PowerShell) インスタンスに対してテナント属性オプションを設定する起動時 • run-instances (AWS CLI) • New-EC2Instance (AWS Tools for Windows PowerShell) インスタンスのテナント属性値について説明する • describe-instances (AWS CLI) • Get-EC2Instance (AWS Tools for Windows PowerShell) 278 Amazon Virtual Private Cloud ユーザーガイド API とコマンドの概要 リザーブドインスタンスのテナント属性値について説明する • describe-reserved-instances (AWS CLI) • Get-EC2ReservedInstance (AWS Tools for Windows PowerShell) リザーブドインスタンスサービスのテナント属性値について説明する • describe-reserved-instances-offerings (AWS CLI) • Get-EC2ReservedInstancesOffering (AWS Tools for Windows PowerShell) インスタンスのテナント属性値を変更する • modify-instance-placement (AWS CLI) • Edit-EC2InstancePlacement (AWS Tools for Windows PowerShell) 279 Amazon Virtual Private Cloud ユーザーガイド VPC とサブネット Amazon VPC の制限 次の表は、AWS アカウントに対してリージョン別に適用される Amazon VPC リソースの制限事項の 一覧です。他に明記されていない限り、Amazon VPC 制限フォームを使用して、これらの制限の引き 上げをリクエストできます。リソースごとに適用される制限の引き上げを希望される場合、リージョ ン内のすべてリソースの制限が引き上げられます。たとえば、VPC あたりのセキュリティグループの 制限はリージョン内のすべての VPC に適用されます。 トピック • VPC とサブネット (p. 280) • Elastic IP アドレス (IPv4) (p. 281) • フローログ (p. 281) • ゲートウェイ (p. 281) • ネットワーク ACL (p. 282) • ネットワークインターフェイス (p. 282) • ルートテーブル (p. 283) • セキュリティグループ (p. 283) • VPC ピアリング接続 (p. 284) • VPC エンドポイント (p. 284) • VPN 接続 (p. 285) VPC とサブネット リソース デ フォ ルト の制 限 コメント リージョン当たりの VPC の数 5 この制限を引き上げる必要がある場合 は、リクエストを送信します。リージョン あたりのインターネットゲートウェイの制 限は、これと直接的な相関があります。こ の制限を増やすと、リージョンあたりのイ ンターネットゲートウェイの制限が同じ数 だけ増加します。 VPC 当たりのサブネットの数 200 この制限を引き上げる必要がある場合 は、リクエストを送信します。 280 Amazon Virtual Private Cloud ユーザーガイド Elastic IP アドレス (IPv4) Elastic IP アドレス (IPv4) リソース デフォル トの制限 コメント リージョン当たりの Elastic IP アドレスの 数 5 これは、リージョン内で割り当てることが できる VPC Elastic IP アドレスの数に関す る制限です。Amazon EC2 Elastic IP アド レスの制限とは異なります。この制限を引 き上げる必要がある場合は、リクエストを 送信します。 リソース デフォル トの制限 コメント リージョン内の 1 つのネットワークイン ターフェイス、1 つのサブネット、または 1 つの VPC ごとのフローログ 2 ネットワークインターフェイスが含まれる サブネットに 2 つのフローログを作成し、 同じくそのネットワークインターフェース が含まれる VPC にも 2 つのフローログを 作成することによって、ネットワークイン ターフェースごとに実質的に 6 つのフロー ログを持つことができます。この制限を増 やすことはできません。 リソース デフォル トの制限 コメント リージョン当たりのカスタマーゲートウェ イの数 50 この制限数を増やす必要がある場合 は、AWS サポートにお問い合わせくださ い。 リージョンあたりの Egress-only インター ネットゲートウェイ 5 この制限は、リージョンあたりの VPC の 制限と直接的な相関があります。この制限 を単独で増やすことはできません。この制 限を増やす唯一の方法は、リージョンあた りの VPC の制限を増やすことです。一度 に VPC にアタッチできる Egress-Only イ ンターネットゲートウェイは 1 つだけで す。 リージョン当たりのインターネットゲート ウェイの数 5 この制限は、リージョンあたりの VPC の 制限と直接的な相関があります。この制限 を単独で増やすことはできません。この制 限を増やす唯一の方法は、リージョンあた りの VPC の制限を増やすことです。一度 に VPC にアタッチできるインターネット ゲートウェイは 1 つだけです。 フローログ ゲートウェイ 281 Amazon Virtual Private Cloud ユーザーガイド ネットワーク ACL リソース デフォル トの制限 コメント アベイラビリティーゾーン当たりの NAT ゲートウェイの数 5 この制限を引き上げる必要がある場合 は、リクエストを送信します。状態が pending、active、または deleting の NAT ゲートウェイは、制限数に含まれま す。 リージョン当たりの仮想プライベートゲー トウェイの数 5 この制限数を増やす必要がある場合 は、AWS サポートにお問い合わせくださ い。ただし、VPC に一度にアタッチでき る仮想プライベートゲートウェイは 1 つの みです。 リソース デフォル トの制限 コメント VPC 当たりのネットワーク ACL の数 200 1 つのネットワーク ACL を VPC の 1 つ 以上のサブネットに関連付けることができ ます。この制限は、ネットワーク ACL 当 たりのルールの数と同じものではありませ ん。 ネットワーク ACL 当たりのルールの数 20 これは、1 つのネットワーク ACL の一方 向制限であり、Ingress ルールの制限は 20 であり、Egress ルールの制限は 20 です。 この制限には、IPv4 ルールと IPv6 ルー ルの両方、またデフォルトの拒否ルール が含まれます (ルール番号は、IPv4 では 32767、IPv6 では 32768、または Amazon VPC コンソールのアスタリスク * です)。 ネットワーク ACL この制限はリクエスト時に最大 40 まで増 やすことができます。ただし、追加のルー ルを処理するためのワークロードが増える ため、ネットワークのパフォーマンスに影 響することがあります。 ネットワークインターフェイス リソース デフォル トの制限 コメント インスタンス当たりのネットワークイン ターフェイス - この制限は、インスタンスタイプによって 異なります。詳細については、「インスタ ンスタイプあたりの ENI ごとの IP アドレ ス」を参照してください。 リージョンあたりのネットワークインター フェイス 350 この制限は、デフォルトの制限 (350) また はオンデマンドインスタンス制限に 5 を 乗算した値のいずれか大きい方となりま す。デフォルトのオンデマンドインスタン 282 Amazon Virtual Private Cloud ユーザーガイド ルートテーブル リソース デフォル トの制限 コメント スの制限は、20 です。オンデマンドイン スタンス制限が 70 を下回っている場合、 デフォルトの制限 (350) が適用されます。 リージョンあたりのネットワークインター フェイス数を増やすには、AWS サポート に問い合わせるか、オンデマンドインスタ ンスの制限数を増やしてください。 ルートテーブル リソース デフォル トの制限 コメント VPC 当たりのルートテーブルの数 200 メインルートテーブルを含む。1 つのルー トテーブルを VPC の 1 つ以上のサブネッ トに関連付けることができます。この制限 を引き上げる必要がある場合は、リクエス トを送信します。 ルートテーブル当たりのルートの数 (伝播 されないルート) 50 これは、1 つのルートテーブルでの伝播さ れないエントリの数に関する制限です。リ クエストを送信して最大 100 までの引き 上げを要請できます。ただし、ネットワー クパフォーマンスが影響を受ける場合があ ります。この制限は、IPv4 ルートと IPv6 ルート (各 50、最大各 100) に対して個別 に適用されます。 ルートテーブル当たりの、BGP でアドバ タイズされるルートの数 (伝播されるルー ト) 100 ルートテーブルあたり最大 100 の伝播さ れたルートを持つことができます。この制 限を増やすことはできません。100 を超え るプレフィックスが必要な場合は、デフォ ルトルートをアドバタイズします。 リソース デフォル トの制限 コメント VPC 当たりのセキュリティグループの数 (リージョン別) 500 この制限を引き上げる必要がある場合 は、リクエストを送信できます。 セキュリティグループ当たりのインバウン ドルールまたはアウトバウンドルールの数 50 セキュリティグループ当たり 50 個のイン バウンドルール、50 個のアウトバウンド ルール (両方を合わせて 100 個) を指定で きます 。この制限数を増減する必要があ る場合は、AWS サポートにお問い合わせ ください。この変更はインバウンドとア ウトバウンドの両方のルールに適用されま す。ただし、セキュリティグループあたり のインバウンドまたはアウトバウンドルー ルの制限数とネットワークインターフェイ セキュリティグループ 283 Amazon Virtual Private Cloud ユーザーガイド VPC ピアリング接続 リソース デフォル トの制限 コメント スあたりのセキュリティグループの制限数 を乗算した値は 250 を超えることができ ません。たとえば、制限を 100 個まで増 やす場合は、ネットワークインターフェイ スあたりのセキュリティグループの数を 2 に減らします。 この制限には、IPv4 と IPv6 の両方のルー ルが含まれます。 ネットワークインターフェイス当たりのセ キュリティグループ 5 この制限数を増減する必要がある場合 は、AWS サポートにお問い合わせくださ い。最大数は 16 です。ネットワークイン ターフェイスあたりのセキュリティグルー プの制限とセキュリティグループあたり のルールの制限を乗算した値は 250 を超 えることができません。たとえば、ネット ワークインターフェイスあたり 10 個のセ キュリティグループが必要な場合は、セ キュリティグループあたりルールの数を 25 に減らします。 リソース デフォル トの制限 コメント VPC 当たりのアクティブな VPC ピア接続 50 この制限数を増やす必要がある場合 は、AWS サポートにお問い合わせくだ さい。1 つの VPC でのピア接続の上限 は、125 個になります。これに応じて、 ルートテーブルあたりのエントリ数を増や します。ただし、ネットワークパフォーマ ンスに影響することがあります。 未処理の VPC ピア接続リクエスト 25 これは、アカウントからリクエストした未 処理の VPC ピア接続リクエストの数に関 する制限です。この制限数を増やす必要が ある場合は、AWS サポートにお問い合わ せください。 許容されない VPC ピア接続リクエストの 有効期限 1 週間 (168 時 間) この制限数を増やす必要がある場合 は、AWS サポートにお問い合わせくださ い。 リソース デフォル トの制限 コメント リージョンごとの VPC エンドポイント 20 この制限数を増やす必要がある場合 は、AWS サポートにお問い合わせくださ VPC ピアリング接続 VPC エンドポイント 284 Amazon Virtual Private Cloud ユーザーガイド VPN 接続 リソース デフォル トの制限 コメント い。リージョンごとのエンドポイント制限 にかかわらず、VPC ごとの上限は 255 エ ンドポイントです。 VPN 接続 リソース デフォル トの制限 コメント リージョン当たりの VPN 接続の数 50 この制限を引き上げる必要がある場合 は、リクエストを送信します。 VPC あたり (仮想プライベートゲートウェ イあたり) の VPN 接続の数 10 この制限を引き上げる必要がある場合 は、リクエストを送信します。 285 Amazon Virtual Private Cloud ユーザーガイド ドキュメント履歴 次の表に、この Amazon VPC ガイドの各リリースにおける重要な変更点を示します。 機能 API バージョン 説明 リリース日 IPv6 サポート 2016-11-15 VPC CIDR ブロックを IPv6 と関連付け、IPv6 ア 2016 年 12 ドレスを VPC 内のリソースに割り当てることが 月 1 日 できます。詳細については、「VPC の IP アドレ ス指定 (p. 101)」を参照してください。 非RFC 1918 IP アドレス範囲 の DNS 解決サ ポート Amazon DNS サーバーは、プライベート DNS ホスト名をすべてのアドレス空間のプライベー ト IP アドレスに解決できます。詳細について は、「VPC での DNS の使用 (p. 236)」を参照し てください。 2016 年 10 月 24 日 VPC ピア接続 の DNS 解決サ ポート 2016-04-01 ローカルの VPC を有効にして、ピア VPC の インスタンスからクエリが実行されたときに、 パブリック DNS ホスト名がプライベート IP ア ドレスに解決されるように設定できます。詳細 については、Amazon VPC ユーザーガイド の 「VPC ピア接続の変更」を参照してください。 2016 年 7 月 28 日 古くなったセ キュリティグ ループルール 2015-10-01 セキュリティグループがピア VPC のセキュ リティグループルールで参照されているかど うかを確認し、古くなったセキュリティグ ループルールを特定できます。詳細について は、Amazon VPC Peering Guide の「古いセ キュリティグループの操作」を参照してくださ い。 2016 年 12 月5日 VPC ピア 接続での ClassicLink の 使用 2015-10-01 ローカルのリンクされた EC2-Classic インス タンスとピア VPC のインスタンスが相互に通 信できるように、ピア接続を変更できます。詳 細については、Amazon VPC Peering Guide の 「ClassicLink を使用した設定」を参照してくだ さい。 2016 年 4 月 26 日 NAT ゲート ウェイ 2015-10-01 パブリックサブネットで NAT ゲートウェイを作 成し、プライベートサブネットのインスタンス からインターネットや他の AWS サービスへの アウトバウンドトラフィックを開始することが 2015 年 12 月 17 日 286 Amazon Virtual Private Cloud ユーザーガイド 機能 API バージョン 説明 リリース日 できます。詳細については、「NAT ゲートウェ イ (p. 210)」を参照してください。 VPC フローロ グ 2015-04-15 フローログを作成して、VPC のネットワーク インターフェイスとの間で行き来する IP トラ フィックに関する情報をキャプチャできます。 詳細については、「VPC フローログ (p. 175)」 を参照してください。 VPC エンドポ イント 2015-03-01 エンドポイントにより、インターネット、VPN 2015 年 5 接続、NAT インスタンス、または AWS Direct 月 11 日 Connect 経由でのアクセスを使用せずに、VPC と別の AWS サービスとの間でプライベート接続 を作成できます。詳細については、「VPC エン ドポイント (p. 243)」を参照してください。 ClassicLink 2014-10-01 ClassicLink を使用すると、EC2-Classic イン スタンスを自アカウントの VPC にリンクでき ます。これによって、VPC のセキュリティグ ループを EC2-Classic インスタンスに関連付 け、プライベート IP アドレスを使用して EC2Classic インスタンスと VPC 内のインスタン スが通信できるようになります。詳細について は、「ClassicLink (p. 256)」を参照してくださ い。 2015 年 1 月7日 プライベート ホストゾーン の使用 2014-09-01 Amazon Route 53 のプライベートホストゾーン で定義したカスタムの DNS ドメイン名を使用し て、VPC のリソースにアクセスできます。詳細 については、「プライベートホストゾーンの使 用 (p. 239)」を参照してください。 2014 年 11 月5日 サブネットの パブリック IP アドレス属性 の変更 2014-06-15 サブネットのパブリック IP アドレス属性を変更 して、そのサブネットで起動するインスタンス がパブリック IP アドレスを受け取るかどうかを 示すことができます。詳細については、「サブ ネットのパブリック IPv4 アドレス属性を変更す る (p. 105)」を参照してください。 2014 年 6 月 21 日 VPC ピア接続 2014-02-01 2 つの VPC 間で VPC ピア接続を作成して、い ずれかの VPC のインスタンスが、プライベー ト IP アドレスを使用して同じ VPC 内にある かのように相互に通信できるようにすること ができます。詳細については、「VPC ピア接 続 (p. 240)」を参照してください。 2014 年 3 月 24 日 新しい EC2 起 動ウィザード 2013-10-01 再設計された EC2 起動ウィザードに関する情報 2013 年 10 を追加しました。詳細については、「ステップ 月 10 日 3: インスタンスを VPC 内で起動する (p. 15)」を 参照してください。 パブリック IP アドレスの割 り当て 2013-07-15 VPC 内に起動されたインスタンス用の新しいパ ブリック IP アドレス指定機能に関する情報を 追加しました。詳細については、「インスタン ス起動時のパブリック IPv4 アドレスの割り当 て (p. 106)」を参照してください。 287 2015 年 6 月 10 日 2013 年 8 月 20 日 Amazon Virtual Private Cloud ユーザーガイド 機能 API バージョン 説明 リリース日 DNS ホスト 名の有効化と DNS 解決の無 効化 2013-02-01 デフォルトでは、DNS 解決は有効になってい ます。DNS 解決は、Amazon VPC コンソー ル、Amazon EC2 コマンドラインインターフェ イス、または Amazon EC2 API アクションを使 用して無効にできます。 2013 年 3 月 11 日 デフォルトでは、デフォルトではない VPC に対して DNS ホスト名は無効になっていま す。DNS ホスト名は、Amazon VPC コンソー ル、Amazon EC2 コマンドラインインターフェ イス、または Amazon EC2 API アクションを使 用して有効にできます。 詳細については、「VPC での DNS の使 用 (p. 236)」を参照してください。 静的なルー ティング設定 を使用した VPN 接続 2012-08-15 静的なルーティング設定を使用して Amazon VPC への IPsec VPN 接続を作成できます。以 前は、VPN 接続にはボーダーゲートウェイプ ロトコル (BGP) を使用する必要がありました。 現在では両方のタイプの接続をサポートして おり、Cisco ASA や Microsoft Windows Server 2008 R2 など、BGP をサポートしていないデバ イスからの接続も可能です。 2012 年 9 月 13 日 ルートの自動 伝播 2012-08-15 VPN および Direct Connect リンクから VPC ルーティングテーブルへのルートの自動伝播 を設定できるようになりました。この機能によ り、Amazon VPC への接続を作成して維持する 手間が簡略化されます。 2012 年 9 月 13 日 VPC の有無にかかわらず、1 つのサイトから別 のサイトに安全に通信できます。冗長な VPN 接 続を使用して、VPC へのフォールトトレラント な接続ができます。 2011年9月 29日 AWS VPN CloudHub と冗 長な VPN 接続 VPC Everywhere 2011-07-15 5 つの AWS リージョンでのサポート、複数のア ベイラビリティーゾーンでの VPC、AWS アカ ウント当たり複数の VPC、VPC 当たり複数の VPN 接続、Microsoft Windows Server 2008 R2 および Microsoft SQL Server リザーブドインス タンス。 2011 年 8 月 03 日 ハードウェア 専有インスタ ンス 2011-02-28 ハードウェア専有インスタンスとは、単一のお 客様専用のハードウェアを実行する VPC 内で 起動される Amazon EC2 インスタンスのことで す。ハードウェア専有インスタンスを使用すれ ば、インスタンスをハードウェアレベルで確実 に分離しながら、従量課金制、プライベートの 独立した仮想ネットワークといった、Amazon VPC と AWS 伸縮自在なプロビジョニングの利 点を十分にご活用いただけます。 2011 年 3 月 27 日 288 Amazon Virtual Private Cloud ユーザーガイド AWS の用語集 空白 プレースホルダー このページは、「AWS General Reference」の AWS 用語集にリダイレクトさ れます。 289
© Copyright 2024 Paperzz