目次

Amazon VPC (Virtual Private Cloud)で、プライベートクラウド

AWS VPC エンドポイントとは。設定手順・利用手順




エンドポイントとは

S3を利用したり、AWS CLIを利用する際に、通常はインターネット経由で接続するのですが、
インターネットに接続できない環境もあると思います。
そのような環境で、エンドポイントを利用すると、AWSにインターネット経由ではなく、AWS内経由でアクセスできます。

エンドポイントが必要な例

インターネット接続できない環境で、以下を利用したい場合エンドポイントが必要になります。

Amazon Linuxで、yumを使いたい場合。

Amazon Linuxのyumは、S3を利用しますので、エンドポント(S3)が必要になります。
S3のゲートウェイタイプが必要になり、ルートテーブルの編集が必要です。

参考:インターネットにアクセスせずに自分の AL1 または AL2 EC2 インスタンスで yum を更新する


aws cliを使いたい場合
#EC2のエンドポイント
aws ec2 describe-instances --endpoint-url https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com

※サービスデフォルトのDNSを利用していて、エンドポイントを作る際に「プライベートDNS名を有効にする」にした場合、
--endpoint-url https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com は不要になります。


エンドポイントの種類

ゲートウェイタイプ


エンドポイントの作成

「VPC」で、[エンドポイント] - 「エンドポイントの作成」ボタンをクリック

ゲートウェイタイプ「S3」の場合

ターゲット(例S3)に対してルートテーブルを設定する

サービスカテゴリ AWSサービス
サービス名 xxxxxxxxx.s3
VPC 適用するVPCを選択します。
ルートテーブルの設定 適用したいルートテーブルを選択します。
ポリシー フルアクセス VPC エンドポイントにアタッチするポリシー
フルアクセスかカスタムを選べます。
フルアクセスだと、VPC 内のすべてのユーザーまたはサービスが、
この AWS のサービスのすべてのリソースへアクセスすることが可能です。

追加されたルートテーブルの例

送信先  : pl-61xxxxx(com.amazonaws.ap-northeast-1.s3,52.x.x.0/20, 52.x.x.0/22,52.x.x.x/22, 52.xx.x.x/22)
ターゲット : vpce-xxxxxxxxxxxx


インターフェースタイプ「EC2」の場合

ENI(Elastic Network Interface)がサブネットに作成され、そのプライベート IP アドレスがサービスへのトラフィックのエントリポイントとなります。

サービスカテゴリ AWSサービス
サービス名 xxxxxxxxx.ec2
VPC 適用するVPCを選択します。
サブネット 適用するサブネットを選択します。
プライベートDNS名を有効にする 有効 「DNS ホスト名を有効化」および
「DNS サポートを有効化」属性が VPC に対して「true」になっていることを確認します。
セキュリティグループ 適用するセキュリティグループを選択 ENIに関連付けるセキュリティーグループを選択します。
443のインバウンドを許可が必要
ポリシー フルアクセス VPC エンドポイントにアタッチするポリシー
フルアクセスかカスタム
フルアクセスだと、VPC 内のすべてのユーザーまたはサービスが、
この AWS のサービスのすべてのリソースへアクセスすることが可能です。

エンドポイントの作成が完了したら、エンドポイントURLを確認しましょう。
https://vpce-xxxxxxxxxx.ec2.ap-northeast-1.vpce.amazonaws.com