Amazon Virtual Private Cloud
ユーザーガイド
API Version 2014-02-01
Amazon Virtual Private Cloud ユーザーガイド
Amazon Virtual Private Cloud: ユーザーガイド
Copyright © 2015 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Abstract
Amazon VPC を使用すると、AWS クラウドの論理的に分離されたセクションである仮想ネットワーク内
に AWS リソースを起動できます。
The following are trademarks of Amazon Web Services, Inc.: Amazon, Amazon Web Services Design, AWS, Amazon CloudFront,
AWS CloudTrail, AWS CodeDeploy, Amazon Cognito, Amazon DevPay, DynamoDB, ElastiCache, Amazon EC2, Amazon Elastic
Compute Cloud, Amazon Glacier, Amazon Kinesis, Kindle, Kindle Fire, AWS Marketplace Design, Mechanical Turk, Amazon Redshift,
Amazon Route 53, Amazon S3, Amazon VPC, and Amazon WorkDocs. In addition, Amazon.com graphics, logos, page headers, button
icons, scripts, and service names are trademarks, or trade dress of Amazon in the U.S. and/or other countries. Amazon's trademarks
and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause
confusion among customers, or in any manner that disparages or discredits Amazon.
All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected
to, or sponsored by Amazon.
Amazon Virtual Private Cloud ユーザーガイド
Table of Contents
Amazon VPC とは ......................................................................................................................... 1
Amazon VPC の概念 .............................................................................................................. 1
VPC とサブネット ......................................................................................................... 1
サポートされているプラットフォーム .............................................................................. 2
値とデフォルト以外の VPCs ........................................................................................... 2
インターネットにアクセスする ....................................................................................... 2
企業ネットワークまたはホームネットワークにアクセスする ............................................... 4
Amazon VPC の使用を開始する方法 ........................................................................................ 5
Amazon VPC をサポートするサービス ..................................................................................... 6
Amazon VPC へのアクセス .................................................................................................... 6
Amazon VPC の料金表 ........................................................................................................... 7
Amazon VPC 制限 ................................................................................................................. 7
はじめに ...................................................................................................................................... 8
ステップ 1: VPC を作成する ................................................................................................... 9
VPC に関する情報の表示 .............................................................................................. 11
ステップ 2: セキュリティグループを作成する .......................................................................... 11
WebServerSG セキュリティグループのルール ................................................................. 12
WebserverSG セキュリティグループを作成する .............................................................. 12
ステップ 3: インスタンスを VPC 内で起動する ........................................................................ 13
ステップ 4: Elastic IP アドレスをインスタンスに割り当てる ...................................................... 14
ステップ 5: クリーンアップ .................................................................................................. 15
Amazon VPC の VPC ウィザードのシナリオ ................................................................................... 17
シナリオ 1: 単一のパブリックサブネットを持つ VPC ................................................................ 18
シナリオ 1 の設定 ........................................................................................................ 18
シナリオ 1 の基本コンポーネント .................................................................................. 19
シナリオ 1 のルーティング ........................................................................................... 19
シナリオ 1 のセキュリティ ........................................................................................... 20
シナリオ 1 を実装する ................................................................................................. 21
シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC（NAT） ........................ 23
シナリオ 2 の設定 ........................................................................................................ 24
シナリオ 2 の基本コンポーネント .................................................................................. 24
シナリオ 2 のルーティング ........................................................................................... 25
シナリオ 2 のセキュリティ ........................................................................................... 26
シナリオ 2 を実装する ................................................................................................. 29
シナリオ 3: パブリックサブネットとプライベートサブネット、およびハードウェア VPN アクセス
を持つ VPC ........................................................................................................................ 34
シナリオ 3 の設定 ........................................................................................................ 34
シナリオ 3 の基本的な設定 ........................................................................................... 35
シナリオ 3 のルーティング ........................................................................................... 36
シナリオ 3 のセキュリティ ........................................................................................... 38
シナリオ 3 を実装する ................................................................................................. 40
シナリオ 4: 1 つのプライベートサブネットのみ、およびハードウェア VPN アクセスを持つ
VPC .................................................................................................................................. 45
シナリオ 4 の設定 ........................................................................................................ 45
シナリオ 4 の基本コンポーネント .................................................................................. 46
シナリオ 4 のルーティング ........................................................................................... 47
シナリオ 4 のセキュリティ ........................................................................................... 47
シナリオ 4 を実装する ................................................................................................. 48
VPC とサブネット ....................................................................................................................... 52
VPC .................................................................................................................................. 52
新しい VPC ................................................................................................................ 52
VPC のサイズ設定 ....................................................................................................... 53
ローカルネットワークおよびその他の VPC との接続 ........................................................ 54
VPC を作成する .......................................................................................................... 54
VPC を削除する .......................................................................................................... 55
API Version 2014-02-01
iii
Amazon Virtual Private Cloud ユーザーガイド
VPC のサブネット ............................................................................................................... 55
サブネットを持つ VPC ................................................................................................. 56
サブネットのサイズ設定 ............................................................................................... 57
サブネットのルーティング ............................................................................................ 58
サブネットのセキュリティ ............................................................................................ 58
サブネットを VPC に追加する ....................................................................................... 59
サブネット内にインスタンスを起動する ......................................................................... 59
サブネットを削除する .................................................................................................. 60
CLI の概要 .......................................................................................................................... 60
デフォルトの VPC とサブネット .................................................................................................... 62
デフォルトの VPC の基本 ..................................................................................................... 62
可用性 ....................................................................................................................... 62
コンポーネント ........................................................................................................... 63
デフォルトのサブネット ............................................................................................... 64
サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する ..................... 65
コンソールを使用してプラットフォームのサポートを確認する ........................................... 65
コマンドラインを使用してプラットフォームのサポートを確認する .................................... 65
EC2 インスタンスをデフォルトの VPC 内に起動する ............................................................... 66
コンソールを使用して EC2 インスタンスを起動する ........................................................ 66
コマンドラインを使用して EC2 インスタンスを起動する .................................................. 66
デフォルトの VPC を削除する ............................................................................................... 66
VPC のセキュリティ .................................................................................................................... 68
セキュリティグループとネットワーク ACL の比較 ................................................................... 69
セキュリティグループ .......................................................................................................... 70
セキュリティグループの基本 ......................................................................................... 70
VPC のデフォルトセキュリティグループ ........................................................................ 71
セキュリティグループのルール ..................................................................................... 71
EC2-Classic と EC2-VPC のセキュリティグループの違い .................................................. 72
セキュリティグループを操作する .................................................................................. 73
API と CLI の概要 ........................................................................................................ 76
ネットワーク ACL ............................................................................................................... 77
ネットワーク ACL の基本 ............................................................................................. 78
ネットワーク ACL ルール ............................................................................................. 78
デフォルトのネットワーク ACL ..................................................................................... 78
カスタムネットワーク ACL の例 .................................................................................... 79
一時ポート ................................................................................................................. 81
ネットワーク ACL の操作 ............................................................................................. 82
API とコマンドの概要 ................................................................................................ 143
VPC に推奨されるネットワーク ACL ルール ............................................................................ 86
シナリオ 1 に推奨されるルール ..................................................................................... 87
シナリオ 2 に推奨されるルール ..................................................................................... 88
シナリオ 3 に推奨されるルール ..................................................................................... 91
シナリオ 4 に推奨されるルール ..................................................................................... 95
アクセスの制御 ................................................................................................................... 96
CLI または SDK のサンプルポリシー .............................................................................. 97
コンソールのサンプルポリシー .................................................................................... 107
VPC フローログ ................................................................................................................ 116
フローログの基礎 ...................................................................................................... 117
フローログの制限事項 ................................................................................................ 118
フローログレコード ................................................................................................... 118
フローログの IAM ロール ............................................................................................ 119
フローログを使用する ................................................................................................ 121
トラブルシューティング ............................................................................................. 123
API と CLI の概要 ...................................................................................................... 123
例: フローログレコード .............................................................................................. 124
例: フローログの CloudWatch メトリックスフィルタとアラームの作成 .............................. 125
VPC でのネットワーキング ......................................................................................................... 127
IP アドレス指定 ................................................................................................................. 127
API Version 2014-02-01
iv
Amazon Virtual Private Cloud ユーザーガイド
パブリック IP アドレスとプライベート IP アドレス ........................................................
サブネットのパブリック IP アドレス動作の変更 .............................................................
起動中のパブリック IP アドレスの割り当て ...................................................................
Elastic IP アドレス .....................................................................................................
ネットワークインターフェイス ............................................................................................
ルートテーブル .................................................................................................................
ルートテーブルの基本 ................................................................................................
メインルートテーブル ................................................................................................
カスタムルートテーブル .............................................................................................
ルートテーブルの関連付け ..........................................................................................
VPC ピア接続のルートテーブル ...................................................................................
ClassicLink のルートテーブル ......................................................................................
VPC エンドポイントのルートテーブル ..........................................................................
ルートテーブルを操作する ..........................................................................................
API とコマンドの概要 ................................................................................................
インターネットゲートウェイ ...............................................................................................
インターネットゲートウェイを関連付けた VPC の作成 ...................................................
NAT インスタンス .............................................................................................................
NAT インスタンスの基本 ............................................................................................
NAT インスタンスを設定する ......................................................................................
NATSG セキュリティグループを作成する .....................................................................
送信元/送信先チェックを無効にする .............................................................................
メインルートテーブルを更新する .................................................................................
NAT インスタンスの設定のテスト ................................................................................
DHCP オプションセット .....................................................................................................
DHCP オプションセットの概要 ...................................................................................
Amazon DNS サーバー ...............................................................................................
DHCP オプションを変更する ......................................................................................
DHCP オプションセットを使用する .............................................................................
API とコマンドの概要 ................................................................................................
DNS ................................................................................................................................
EC2 インスタンスの DNS ホスト名を確認する ...............................................................
VPC の DNS サポートを更新する .................................................................................
プライベートホストゾーンの使用 .................................................................................
VPC ピア接続 ...................................................................................................................
VPC ピア機能の基本 ..................................................................................................
VPC ピア接続の操作 ..................................................................................................
API と CLI の概要 ......................................................................................................
VPC ピア接続へのアクセスを制御する ..........................................................................
VPC エンドポイント ..........................................................................................................
エンドポイントの基本 ................................................................................................
エンドポイントの使用の管理 .......................................................................................
サービスへのアクセスの制御 .......................................................................................
エンドポイントの使用 ................................................................................................
API と CLI の概要 ......................................................................................................
VPC へのハードウェア仮想プライベートゲートウェイの追加 ...........................................................
VPN のコンポーネント .......................................................................................................
仮想プライベートゲートウェイ ....................................................................................
カスタマーゲートウェイ .............................................................................................
VPN の設定例 ...................................................................................................................
単一の VPN 接続 .......................................................................................................
複数の VPN 接続 .......................................................................................................
VPN のルーティングオプション ...........................................................................................
VPN 接続に必要なもの .......................................................................................................
VPN 接続用に 2 つの VPN トンネルを設定する ......................................................................
冗長な VPN 接続を使用してフェイルオーバーを提供する ........................................................
VPN 接続を設定する ..........................................................................................................
カスタマーゲートウェイを作成する ..............................................................................
API Version 2014-02-01
v
127
129
129
130
134
134
135
135
136
137
138
139
139
139
143
145
146
151
151
152
154
155
156
156
159
159
160
161
161
163
163
164
165
166
167
167
169
174
175
175
176
181
181
183
186
188
189
189
189
189
190
190
190
191
192
193
193
194
Amazon Virtual Private Cloud ユーザーガイド
仮想プライベートゲートウェイを作成する ....................................................................
ルートテーブルでルート伝達を有効にする ....................................................................
セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効にす
る ............................................................................................................................
VPN 接続を作成して、カスタマーゲートウェイを設定する ..............................................
サブネット内にインスタンスを起動する .......................................................................
インスタンスのエンドツーエンド接続のテスト ......................................................................
漏洩した認証情報の置き換え ...............................................................................................
VPN 接続の静的ルートの編集 ..............................................................................................
VPN 接続を削除する ..........................................................................................................
API と CLI の概要 ..............................................................................................................
VPN CloudHub を使用して安全なサイト間通信を提供する ...............................................................
ハードウェア専有インスタンス ....................................................................................................
ハードウェア専有インスタンスの基礎 ...................................................................................
ハードウェア専有インスタンスの制限事項 ....................................................................
Amazon EBS とハードウェア専有インスタンス ..............................................................
専有テナント属性を所有するリザーブドインスタンス .....................................................
ハードウェア専有インスタンスの Auto Scaling ...............................................................
ハードウェア専有インスタンスの価格設定 ....................................................................
ハードウェア専有インスタンスの使用 ...................................................................................
インスタンスのテナント属性が専有である VPC を作成する .............................................
ハードウェア専有インスタンスを VPC 内に起動する ......................................................
テナント属性情報を表示する .......................................................................................
API とコマンドの概要 ........................................................................................................
ClassicLink ...............................................................................................................................
Amazon VPC 制限 .....................................................................................................................
ドキュメントの履歴 ...................................................................................................................
AWS の用語集 ...........................................................................................................................
API Version 2014-02-01
vi
194
194
195
195
196
196
197
197
198
199
201
204
204
205
205
205
205
206
206
206
206
207
207
209
210
213
216
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC の概念
Amazon VPC とは
Abstract
Amazon VPC を使用して、AWS クラウドの論理的に分離されたセクションである仮想ネットワーク内に AWS リ
ソースを起動します。
Amazon Virtual Private Cloud（Amazon VPC）を使用すると、定義した仮想ネットワーク内にアマゾン
ウェブ サービス（AWS）リソースを起動できます。仮想ネットワークは、ご自身のデータセンターで
操作していた従来のネットワークとよく似ていますが、AWS のスケーラブルなインフラストラクチャ
を使用できるというメリットがあります。
VPC を使用するメリットの詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』
の「VPC を使用する利点」を参照してください。
Topics
• Amazon VPC の概念 (p. 1)
• Amazon VPC の使用を開始する方法 (p. 5)
• Amazon VPC をサポートするサービス (p. 6)
• Amazon VPC へのアクセス (p. 6)
• Amazon VPC の料金表 (p. 7)
• Amazon VPC 制限 (p. 7)
Amazon VPC の概念
Amazon VPC を開始する場合、この仮想ネットワークの重要な概念と、ご自身のネットワークとの類
似点または相違点を理解する必要があります。このセクションでは、Amazon VPC の重要な概念につ
いて簡単に説明します。
Amazon VPC は、Amazon EC2 のネットワーキングレイヤーです。Amazon EC2 を始めて使う場合は、
Amazon EC2 の概要をご覧ください。」（Linux インスタンス用 Amazon EC2 ユーザーガイド）でそ
の概要を確認してください。
VPC とサブネット
Virtual Private Cloud（VPC）は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラ
ウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース（例えば Amazon EC2
API Version 2014-02-01
1
Amazon Virtual Private Cloud ユーザーガイド
サポートされているプラットフォーム
インスタンス）を VPC 内に起動できます。VPC は設定できます。例えば、IP アドレス範囲の選択、
サブネットの作成、ルートテーブル、ネットワークゲートウェイ、セキュリティの設定などが可能で
す。
サブネットは、VPC の IP アドレスの範囲です。AWS リソースは、選択したサブネット内に起動でき
ます。インターネットに接続する必要があるリソースにはパブリックサブネットを、インターネットに
接続されないリソースにはプライベートサブネットを使用してください。パブリックサブネットとプラ
イベートサブネットの詳細については、「サブネットを持つ VPC (p. 56)」を参照してください。
各サブネットでの AWS リソースの保護には、セキュリティグループ、ネットワークアクセスコント
ロールリスト（ACL）など、複数のセキュリティレイヤーを使用できます。詳細については、「VPC
のセキュリティ (p. 68)」を参照してください。
サポートされているプラットフォーム
オリジナルリリースの Amazon EC2 は、ほかのカスタマーと共用していた EC2-Classic プラットフォー
ムという名の単一のフラットネットワークをサポートしていました。 以前の AWS アカウントでは、現
在でもこのプラットフォームをサポートしており、EC2-Classic または VPC にインスタンスを起動で
きます。 2013 年 12 月 4 日以降に作成されたアカウントは EC2-VPC のみをサポートします。 詳細に
ついては、「サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する (p. 65)」
を参照してください。
値とデフォルト以外の VPCs
アカウントが EC2-VPC プラットフォームのみをサポートする場合は、各アベイラビリティーゾーンで
デフォルトサブネットを持つデフォルト VPC が作成されます。 デフォルト VPC は EC2-VPC による
高度な機能のメリットがあり、即時に利用することができます。 デフォルト VPC をお持ちのお客様
が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォル
ト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関する
知識は必要ありません。 詳細については、「デフォルトの VPC とサブネット (p. 62)」および「EC2
インスタンスをデフォルトの VPC 内に起動する (p. 66)」を参照してください。
アカウントがサポートするプラットフォームのタイプにかわらず、必要に応じた独自の VPC を作成お
よび設定をすることができます。 これはデフォルト以外の VPC と呼ばれます。 デフォルト以外の VPC
で作成するサブネット、そしてデフォルト VPC で作成する追加サブネットは、デフォルト以外のサブ
ネットと呼ばれます。
インターネットにアクセスする
VPC 内に起動するインスタンスが VPC 外のリソースにどのようにアクセスするかをコントロールしま
す。
デフォルトの VPC にはインターネットゲートウェイが含まれ、各デフォルトのサブネットはパブリッ
クサブネットです。 デフォルトのサブネット内に起動するインスタンスはそれぞれ、プライベート IP
アドレスとパブリック IP アドレスを持っています。これらのインスタンスは、このインターネットゲー
トウェイを介してインターネットと通信できます。 インターネットゲートウェイを使用すると、イン
スタンスが Amazon EC2 ネットワークエッジを介してインターネットに接続できます。
API Version 2014-02-01
2
Amazon Virtual Private Cloud ユーザーガイド
インターネットにアクセスする
デフォルトでは、デフォルト以外のサブネットで起動した各インスタンスにはプライベート IP アドレ
スが割り当てられ、パブリック IP アドレスは割り当てられません。ただし、起動時に特にパブリック
IP アドレスを割り当てた場合や、サブネットのパブリック IP アドレス属性を変更した場合にはこの限
りではありません。 これらのインスタンスは相互に通信できますが、インターネットにアクセスでき
ません。
API Version 2014-02-01
3
Amazon Virtual Private Cloud ユーザーガイド
企業ネットワークまたはホームネットワークにアクセスす
る
デフォルト以外のサブネットで起動するインスタンスのインターネットアクセスを有効にするには、イ
ンターネットゲートウェイをその VPC にアタッチし（その VPC がデフォルトの VPC でない場合）、
インスタンスに Elastic IP アドレスを関連付けます。
また、ネットワークアドレス変換（NAT)インスタンスを使用して、VPC のインスタンスによるイン
ターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続
を拒否することもできます。NAT では、複数のプライベート IP アドレスが 1 つのパブリック IP アド
レスにマップされます。NAT インスタンスは Elastic IP アドレスを持ち、インターネットゲートウェイ
を介してインターネットに接続されます。プライベートサブネットのインスタンスをインターネットに
接続するには、この NAT インスタンスを使用します。これにより、トラフィックがインスタンスから
インターネットゲートウェイにルーティングされ、すべての応答がインスタンスにルーティングされま
す。
VPC におけるルーティングと NAT の詳細については、「ルートテーブル (p. 134)」および「NAT イン
スタンス (p. 151)」を参照してください。
企業ネットワークまたはホームネットワークにアク
セスする
オプションで、IPsec ハードウェア VPN 接続を使用して、VPC をご自身の企業データセンターに接続
し、AWS クラウドをデータセンターの拡張機能にすることができます。
VPN 接続は、VPC にアタッチされている仮想プライベートゲートウェイと、データセンターに配置さ
れているカスタマーゲートウェイで構成されています。仮想プライベートゲートウェイは、VPN 接続
の Amazon 側にある VPN コンセントレータです。カスタマーゲートウェイは、VPN 接続のお客様側
の物理デバイスまたはソフトウェアアプライアンスです。
API Version 2014-02-01
4
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC の使用を開始する方法
詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 188)」を参照して
ください。
Amazon VPC の使用を開始する方法
Amazon VPC の実践入門をするには、チュートリアル「Amazon VPC の使用開始 (p. 8)」を行ってく
ださい。 この演習では、パブリックサブネットでデフォルト以外の VPC を作成して、サブネット内に
インスタンスを起動する手順を説明します。
デフォルト VPC があり、VPC の追加設定を一切行わずに VPC にインスタンスの起動を始める場合は、
「EC2 インスタンスをデフォルトの VPC 内に起動する (p. 66)」を参照してください。
Amazon VPC の基本的なシナリオについては、「Amazon VPC の VPC ウィザードのシナリオ (p. 17)」
を参照してください。VPC とサブネットは、お客様のニーズに合わせて他の方法でも設定できます。
他のシナリオの詳細については、「Amazon Virtual Private Cloud Connectivity Options」を参照してく
ださい。
以下の表は、本サービスを利用する際に役立つ関連リソースをまとめたものです。
リソース
説明
Amazon Virtual Private Cloud Connectiv- ネットワーク接続のオプションの概要が記載されているホワ
ity Options
イトペーパーです。
Amazon VPC forum
Amazon VPC に関する技術的な疑問について話し合うコミュ
ニティフォーラムです。
API Version 2014-02-01
5
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC をサポートするサービス
リソース
説明
AWS の開発者用リソース
ドキュメンテーション、コードサンプル、リリースノートを
はじめとする、AWS ベースの革新的なアプリケーション開
発に役立つさまざまな情報が収められた、中心的起点となる
リソースセンターです。
AWS サポートセンター
AWS サポートのホームページです。
お問い合わせ
AWS の請求、アカウント、イベントに関するお問い合わせ
の受付窓口です。
Amazon VPC をサポートするサービス
他の AWS 製品での Amazon VPC の使用については、次のドキュメントを参照してください。
サービス
関連トピック
AWS Data Pipeline
VPC に対するパイプラインのリソースの起動
Amazon EC2
Amazon EC2 と Amazon VPC
Auto Scaling
Auto Scaling と Amazon VPC
Elastic Beanstalk
Amazon VPC で AWS Elastic Beanstalk を使用する
Elastic Load Balancing
Elastic Load Balancing と Amazon VPC
Amazon ElastiCache
Amazon VPC で ElastiCache を使用する
Amazon EMR
クラスターのサブネットを選択する
AWS OpsWorks
VPC でのスタックの実行
Amazon RDS
Amazon RDS と Amazon VPC
Amazon Redshift
VPC でクラスターを管理する
Amazon Route 53
プライベートホストゾーンの使用
Amazon VPC へのアクセス
Amazon VPC には、Amazon VPC コンソールというウェブベースのユーザーインターフェイスがあり
ます。AWS アカウントにサインアップ済みの場合は、AWS マネジメントコンソールにサインインし、
コンソールのホームページから [VPC] を選択することで Amazon VPC コンソールにアクセスできま
す。
コマンドラインインターフェイスを使用する場合は、以下のように複数の選択肢があります。
AWS コマンドラインインターフェイス（CLI）
一連のさまざまな AWS 製品用のコマンドを提供し、Windows、Mac、および Linux/UNIX でサポー
トされています。開始するには、「AWS Command Line Interface ユーザーガイド」を参照してく
ださい。Amazon VPC 用のコマンドの詳細については、「ec2」を参照してください。
API Version 2014-02-01
6
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC の料金表
Amazon EC2 コマンドラインインターフェイス（CLI）ツール
Amazon EC2、Amazon EBS、および Amazon VPC 用のコマンドが用意されており、Windows、
Mac、および Linux/UNIX でサポートされています。コマンドの詳細については、「Amazon EC2
コマンドラインリファレンス」の「Commands (CLI Tools)」を参照してください。
AWS Tools for Windows PowerShell
PowerShell 環境でスクリプティングを行うユーザーに対して、一連のさまざまな AWS 製品用のコ
マンドを提供します。開始するには、「AWS Tools for Windows PowerShell ユーザーガイド」を
参照してください。
Amazon VPC にはクエリ API が用意されています。これらのリクエストは、HTTP 動詞（GET または
POST）とクエリパラメータ Action で記述する HTTP または HTTPS リクエストです。Amazon VPC
用の API アクションの詳細については、「Amazon EC2 API Reference」の「Actions」を参照してくだ
さい。
HTTP または HTTPS を介してリクエストを送信する代わりに、言語固有の API を使用してアプリケー
ションを構築することを希望する場合に備えて、AWS には、ソフトウェア開発者向けのライブラリ、
サンプルコード、チュートリアル、その他のリソースが用意されています。これらのライブラリには、
リクエストの暗号化署名、リクエストの再試行、エラーレスポンスの処理などのタスクを自動処理する
基本機能が用意されているので、開発を簡単に始められます。AWS SDK のダウンロードの詳細につい
ては、「AWS SDK とツール」を参照してください。
Amazon VPC の料金表
Amazon VPC は追加料金なしで使用できます。使用するインスタンスおよびその他の Amazon EC2 機
能に対して標準料金がかかります。ハードウェア VPN 接続を作成する場合は、VPN が VPC に接続さ
れている時間に対して時間単位で料金が発生します。詳細については、「Amazon VPC 料金表」およ
び「Amazon EC2 料金表」を参照してください。
Amazon VPC 制限
プロビジョニングできる Amazon VPC コンポーネントの数には制限があります。コンポーネント数の
上限を引き上げるように申請することができます。コンポーネント数の上限と、上限の引き上げを申請
する詳細については、「Amazon VPC 制限 (p. 210)」を参照してください。
API Version 2014-02-01
7
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC の使用開始
この演習では、VPC およびサブネットを作成して、サブネットにパブリック側のインスタンスを起動
します。 インスタンスはインターネットとは通信できるようになり、SSH（Linux インスタンスの場
合）またはリモートデスクトップ（Windows インスタンスの場合）を使用して、ローカルコンピュー
タからインスタンスにアクセスできるようになります。 実際の環境では、このシナリオを使用して、
たとえばブログをホストするなどのパブリック側のウェブサーバーを作成できます。
Note
この演習では、独自のデフォルト以外の VPC を迅速にセットアップするためのヘルプを目的
としています。 デフォルト VPC があり、このデフォルト VPC でインスタンスを起動する場
合には（新しい VPC の作成または設定をせずに）、[EC2 インスタンスをデフォルトの VPC
内に起動する (p. 66)] を参照してください。
この演習を完了するには、次のタスクを実行してください。
• 1 つのパブリックサブネットを持つデフォルト以外の VPC を作成する。 サブネットを使うと、イン
スタンスをセキュリティや運用上の必要に応じてグループ化することができます。パブリックサブ
ネットとは、インターネットゲートウェイを通してインターネットにアクセスするサブネットです。
• 特定のポートのみからトラフィックを許可するセキュリティグループをインスタンスに作成します。
• サブネット内に Amazon EC2 インスタンスを起動します。
• Elastic IP アドレスをインスタンスに関連付ける. これでインスタンスがインターネットにアクセスで
きるようになります。
初めて Amazon VPC を使用する際には、Amazon Web Services（AWS）にサインアップする必要があ
ります。サインアップすると、Amazon VPC を含む AWS のすべてのサービスに対して AWS アカウン
トが自動的にサインアップされます。AWS アカウントをまだ作成していない場合は、
[http://aws.amazon.com] にアクセスし、[Create a Free Account] を選択します。
Note
この演習では、アカウントが EC2-VPC プラットフォームのみをサポートするものと仮定しま
す。 アカウントが以前の EC2-Classic プラットフォームをサポートしている場合でも、この演
習の手順に従うことができます。ただし、そのアカウントにはデフォルト以外の VPC と比較
するためのデフォルトの VPC はありません。 詳細については、「サポートされているプラッ
トフォーム (p. 2)」を参照してください。
API Version 2014-02-01
8
Amazon Virtual Private Cloud ユーザーガイド
ステップ 1: VPC を作成する
目次
• ステップ 1: VPC を作成する (p. 9)
• ステップ 2: セキュリティグループを作成する (p. 11)
• ステップ 3: インスタンスを VPC 内で起動する (p. 13)
• ステップ 4: Elastic IP アドレスをインスタンスに割り当てる (p. 14)
• ステップ 5: クリーンアップ (p. 15)
ステップ 1: VPC を作成する
このステップでは、Amazon VPC コンソールの Amazon VPC ウィザードを使用して、VPC を作成し
ます。 ウィザードは次の手順を自動的に行います。
• /16 CIDR ブロック（65,536 個のプライベート IP アドレスのネットワーク）を持つ VPC を作成しま
す。 VPC の CIDR 表記とサイズについての詳細は、「VPC (p. 52)」を参照してください。
• インターネットゲートウェイをこの VPC にアタッチします。 インターネットゲートウェイの詳細に
ついては、「インターネットゲートウェイ (p. 145)」を参照してください。
• サイズ /24 のサブネット（256 個のプライベート IP アドレスを含む範囲）を VPC に作成します。
• カスタムルートテーブルを作成し、サブネットに関連付けると、サブネットとインターネットゲート
ウェイ間でトラフィックが転送されます。 ルートテーブルの詳細については、「ルートテーブ
ル (p. 134)」を参照してください。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
Note
この演習では、VPC ウィザードの最初のシナリオを扱います。 そのほかのシナリオについて
は、「Scenarios for Amazon VPC」を参照してください。
API Version 2014-02-01
9
Amazon Virtual Private Cloud ユーザーガイド
ステップ 1: VPC を作成する
Amazon VPC ウィザードを使用して VPC を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションバーの右上から、VPC を作成するリージョンをメモしておきます。 別のリージョ
ンから VPC 内にインスタンスを起動できないので、この演習が終了するまでは同じリージョンで
作業を続けるようにしてください。 リージョンの詳細については、「リージョンとアベイラビリ
ティーゾーン」を参照してください。
3.
Amazon VPC ダッシュボードで、[Start VPC Wizard] を選択します。
4.
5.
最初のオプション [VPC with a Single Public Subnet] を選択し、続いて [Select] を選択します。
設定ページで [VPC name] フィールドに VPC の名前を入力します（たとえば、my-vpc）。続い
て、[Subnet name] フィールドにサブネットの名前を入力します。 これは、VPC およびサブネッ
トを作成後に Amazon VPC においてそれらを識別するのに役立ちます。 この演習では、その他の
設定をページに残したまま、[Create VPC] を選択することができます。
(オプション) 必要に応じて、設定を次のように変更してから、[Create VPC] を選択します。
• [IP CIDR block] には、VPC に使用する IP アドレス範囲が表示され（10.0.0.0/16）、また
[Public subnet] フィールドには、サブネットに使用する IP アドレス範囲が表示されます
（10.0.0.0/24）。 デフォルト CIDR の範囲を使用しない場合は、独自の値を指定できます。
詳細については、「VPC のサイズ設定 (p. 53)」および「サブネットのサイズ設定 (p. 57)」を参
照してください。
• [Availability Zone] リストから、サブネットを作成するアベイラビリティーゾーンの選択ができま
す。 アベイラビリティーゾーンを AWS で自動的に選択するには、[No Preference] を選択しま
す。 詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。
• [Add endpoints for S3 to your subnets] セクションでは、VPC 内の Amazon S3 へのエンドポイ
ントを同じリージョンで共有するサブネットを選択できます。 詳細については、「VPC エンド
ポイント (p. 175)」を参照してください。
• [Enable DNS hostnames] オプションで [Yes] を選択すると、VPC で起動されるインスタンスが
DNS ホスト名を受信するようになります。 詳細については、「VPC での DNS の使用 (p. 163)」
を参照してください。
• [Hardware tenancy] オプションでは、VPC で起動されるインスタンスが共有または専用のハー
ドウェアで実行されるかを選択することができます。 専有テナンシーの選択には追加コストが
発生します。 ハードウェアテナンシーの詳細については、「ハードウェア専有インスタン
ス (p. 204)」を参照してください。
6.
7.
ステータスウィンドウに、作業の進行状況が表示されます。作業が完了したら、[OK] を選択して
ステータスウィンドウを閉じます。
[Your VPCs] ページは、今作成したデフォルト VPC とその他の VPC が表示されます。 デフォル
ト以外の VPC を作成した場合には、[Default VPC] 列に [No] と表示されます。
API Version 2014-02-01
10
Amazon Virtual Private Cloud ユーザーガイド
VPC に関する情報の表示
VPC に関する情報の表示
VPC を作成したら、そのサブネット、インターネットゲートウェイ、およびルートテーブルに関する
情報を表示できます。 作成した VPC には 2 個のルートテーブルがあります — すべての VPCs にある
メインルートテーブル、そしてウィザードから作成したカスタムルートテーブルです。 このカスタム
ルートテーブルにはサブネットが関連付けられます。したがって、サブネットへのトラフィックの流れ
方は、このテーブル内のルートから決定されます。 VPC に新規のサブネットを追加する場合、そのサ
ブネットはデフォルトでメインルートテーブルを使用します。
VPC に関する情報を表示するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
画面左枠のナビゲーションペインで、[Your VPCs] を選択します。作成した VPC の名前と ID を書
き留めておきます（[Name] および [VPC ID] 列を参照します）。 この情報で VPC に関連付けられ
るコンポーネントを識別することができます。
3.
ナビゲーションペインで、[Subnets] を選択します。 コンソールには、VPC を作成した時に作成さ
れたサブネットが表示されます。 [Name] 列からその名前でサブネットを識別したり、前記の手順
で VPC 情報を入手して、[VPC] 列から確認できます。
ナビゲーションペインで、[Internet Gateways] を選択します。 VPC にアタッチしているインター
ネットゲートウェイは、[VPC] 列から確認でき、ここから VPC の ID と名前（適用できれば）が表
示されます。
ナビゲーションペインで、[Route Tables] を選択します。 VPC に関連付けられる 2 つのルートテー
ブルがあります。 カスタムルートテーブル（[Main] 列に [No] と表示されているもの）を選択し、
[Routes] タブを選択すると、ルート情報が詳細ペインに表示されます。
4.
5.
• テーブルの 1 行目がローカルルートで、これによってインスタンスは VPC 内で通信できるよう
になります。このルートは、どのルートテーブルにもデフォルトで存在するものであり、削除す
ることはできません。
• 2 行目は Amazon VPC ウィザードがテーブルに追加したルートです。これにより、VPC の外の
IP アドレス（0.0.0.0/0）に向けられたトラフィックが、サブネットからインターネットゲー
トウェイに流れるようになります。
6.
メインルートテーブルを選択します。メインルートテーブルはローカルルートだけで、それ以外の
ルートがありません。
ステップ 2: セキュリティグループを作成する
セキュリティグループは、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのトラ
フィックを管理します。 セキュリティグループを使用するには、インスタンスの出力トラフィックを
制御するインバウンドルール、およびインスタンスから送信されるトラフィックを制御するアウトバン
ドルールを追加します。 インスタンスにセキュリティグループを関連付けるには、インスタンスの起
動時にセキュリティグループを指定します。 セキュリティーグループのルールを追加したり削除した
りすると、そのグループに関連するインスタンスすべてに、同じ変更が自動的に適用されます。
VPC には、デフォルトのセキュリティグループが用意されています。起動時に他のセキュリティグルー
プに関連付けられていないインスタンスは、デフォルトのセキュリティグループに関連付けられます。
この演習では、新しいセキュリティグループを作成し、WebServerSG、続いて VPC でインスタンスを
起動するときにこのセキュリティグループを指定します。
Topics
• WebServerSG セキュリティグループのルール (p. 12)
• WebserverSG セキュリティグループを作成する (p. 12)
API Version 2014-02-01
11
Amazon Virtual Private Cloud ユーザーガイド
WebServerSG セキュリティグループのルール
WebServerSG セキュリティグループのルール
以下の表では、WebServerSG セキュリティグループのインバウンドとアウトバウンドのルールについ
て説明します。 インバウンドルールを各自で追加してください。 アウトバウンドルールとは、あらゆ
る場所へのアウトバウンド通信を許可するデフォルトのルールです— ユーザーがこのルールを追加す
る必要はありません。
Inbound
送信元 IP
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
すべての場所からインバウンド HTTP
アクセスを許可する。
0.0.0.0/0
TCP
443
すべての場所からの HTTPS アクセスを
許可する
ホームネットワー TCP
クのパブリック IP
アドレスの範囲
22
ホームネットワークから Linux/UNIX イ
ンスタンスへのインバウンド SSH アク
セスを許可します。
ホームネットワー TCP
クのパブリック IP
アドレスの範囲
3389
ホームネットワークから Windows イン
スタンスへのインバウンド RDP アクセ
スを許可します。
アウトバウンド
送信先 IP
プロトコル
ポート範囲
コメント
0.0.0.0/0
すべて
すべて
デフォルトのアウトバウンドルールは、
すべてのアウトバウンド通信を許可し
ます。
WebserverSG セキュリティグループを作成する
Amazon VPC コンソールを使いセキュリティグループを作成することができます。
WebServerSG セキュリティグループを作成し、ルールを追加するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] を選択します。
3.
4.
[Create Security Group] を選択します。
[Group name] フィールドで、セキュリティグループ名として WebServerSG を入力し、説明を入
力します。オプションで [Name tag] フィールドを使用して、キー Name および指定する値で、セ
キュリティグループのタグを作成できます。
[VPC] メニューで VPC の ID を選択し、[Yes, Create] を選択します。
作成した WebServerSG セキュリティグループを選択します (グループ名は [Group Name] 列で確
認できます)。
[Inbound Rules] タブで [Edit] を選択し、次に示すようにインバウンドトラフィックのルールを追加
が完了したら、続いて [Save] を選択します。
5.
6.
7.
a.
[Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。
b.
[Add another rule] を選択し、[Type] リストから [HTTPS] を選択し、[Source] フィールドに
「0.0.0.0/0」と入力します。
API Version 2014-02-01
12
Amazon Virtual Private Cloud ユーザーガイド
ステップ 3: インスタンスを VPC 内で起動する
c.
[Add another rule] を選択します。 Linux インスタンスを起動した場合、[Type] リストから
[SSH] を選択し、Windows インスタンスを起動した場合には、[Type] リストから [RDP] を選
択します。 [Source] フィールドに、ネットワークのパブリック IP アドレスの範囲を入力しま
す。このアドレス範囲が不明の場合は、この実習では 0.0.0.0/0 を使用してください。
Caution
0.0.0.0/0 を使うと、すべての IP アドレスから SSH や RDP 経由でインスタンスに
アクセスすることが許可されます。これは、短期間の実習では許容されますが、本稼
働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定の
アドレス範囲にのみ、インスタンスへのアクセスを限定します。
ステップ 3: インスタンスを VPC 内で起動する
EC2 インスタンスを VPC 内で起動するときは、どのサブネットでインスタンスを起動するかを指定す
る必要があります。 この場合、作成した VPC のパブリックサブネットにインスタンスを起動します。
Amazon EC2 コンソールで Amazon EC2 起動ウィザードを使用して、インスタンスを起動します。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
API Version 2014-02-01
13
Amazon Virtual Private Cloud ユーザーガイド
ステップ 4: Elastic IP アドレスをインスタンスに割り当て
る
EC2 インスタンスを VPC 内で起動するには
1.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
2.
ナビゲーションバーの右上で、VPC とセキュリティグループを作成したリージョンが選択されて
いることを確認します。
ダッシュボードから、[Launch Instance] を選択します。
ウィザードの最初のページで、使用する AMI を選択します。 この演習では、Amazon Linux AMI
または Windows AMI を選択することをお勧めします。
3.
4.
5.
[Choose an Instance Type] ページで、起動するインスタンスのハードウェア設定とサイズを選択
できます。デフォルトでは、お客様が選択した AMI に基づいて使用可能な最初のインスタンスタ
イプがウィザードで選択されます。デフォルトの選択のまま残して [Next: Configure Instance Details
を選択できます。
6.
[Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、[Subnet] リ
ストからサブネットを選択します。 デフォルト設定の残りを終了して、ウィザードに [Tag Instance]
ページが表示されるまでページを移動します。
7. [Tag Instance] のページで、Name タグを利用してインスタンスをタグできます。たとえば
Name=MyWebServer。 これはインスタンスが起動した後、Amazon EC2 コンソールでインスタン
スを識別するのに役立ちます。 完了したら、[Next: Configure Security Group] を選択します。
8. [Configure Security Group] ページで、ウィザードは自動的に launch-wizard-x セキュリティグルー
プを定義して、インスタンスに接続できるようにします。代わりに、[Select an existing security
group] オプションを選択し、以前から作成してある [WebServerSG] グループを選び、続いて
[Review and Launch] を選択します。
9. [Review Instance Launch] ページでインスタンスの詳細を確認して、続いて [Launch] を選択しま
す。
10. [Select an existing key pair or create a new key pair] ダイアログボックスで、既存のキーペアを選
択するか、新しいキーペアを作成できます。新しいキーペアを作成する場合、ファイルをダウン
ロードして、安全な場所に保存してください。 起動後にインスタンスに接続するには、プライベー
トキーの内容が必要になります。
インスタンスを起動するには、確認のチェックボックスをオンにし、続いて [Launch Instances] を
選択します。
11. 確認ページで、[View Instances] を選択して、[Instances] ページのインスタンスを表示します。 イ
ンターフェースを選択し、[Description] タブで詳細を表示します。 [Private IPs] フィールドは、サ
ブネットの IP アドレスの範囲からのインスタンスに割り当てられたプライベート IP アドレスが表
示されます。
Amazon EC2 起動ウィザードで使用できるオプションの詳細については、Linux インスタンス用 Amazon
EC2 ユーザーガイド で「、Launching an Instance を参照してください。
ステップ 4: Elastic IP アドレスをインスタンスに
割り当てる
これまでのステップでは、パブリックサブネット内にインスタンスを起動しました— インターネット
ゲートウェイへのルートが存在するサブネット。 ただし、サブネットのインスタンスは、パブリック
IP アドレスがインターネットと通信できることも必要です。 デフォルトでは、デフォルト以外の VPC
のインスタンスはパブリック IP アドレスを割り当てられません。 このステップでは、Elastic IP アド
レスをアカウントに割り当て、それをインスタンスに関連付けます。 Elastic IP アドレスについては、
「Elastic IP アドレス (p. 130)」を参照してください。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
API Version 2014-02-01
14
Amazon Virtual Private Cloud ユーザーガイド
ステップ 5: クリーンアップ
Elastic IP アドレスを割り当てるには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] を選択します。
[Allocate New Address を選択し、続いて [Yes, Allocate] を選択します。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] リストから選択します。
4.
5.
リストで Elastic IP アドレスを選び、から [Associate Address] を選択します。
ダイアログボックスの [Associate with] リストから [Instance] を選択し、続いて [Instance] リスト
からユーザーのインスタンスを選択します。 以上が完了したら、[Yes, Associate] を選択します。
インスタンスが、インターネットからアクセス可能になりました。SSH またはホームネットワークか
らリモートデスクトップを使って、Elastic IP アドレスからインスタンスに接続できます。 Linux イン
スタンスに接続する方法の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の
「Connecting to Your Linux Instance」を参照してください。 Windows インスタンスに接続する方法に
ついては、「Microsoft Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your
Windows Instance Using RDP を参照してください。
これで実習は終了します。このまま VPC でインスタンスを使用し続けることができます。もしこのイ
ンスタンスが不要な場合には、アドレスへの料金発生を防ぐためにインスタンスを終了して Elastic IP
アドレスを解除してください。 VPC を削除することもできます— この演習で作成された VPC および
VPC のコンポーネントには料金が発生しないことを注記します（サブネットやルートテーブルなど）。
ステップ 5: クリーンアップ
VPC を削除する前に、VPC で実行中のすべてのインスタンスを停止する必要があります。VPC コン
ソールを使用して VPC を削除すると、サブネット、セキュリティグループ、ネットワーク ACLs、
API Version 2014-02-01
15
Amazon Virtual Private Cloud ユーザーガイド
ステップ 5: クリーンアップ
DHCP オプションセット、ルートテーブル、インターネットゲートウェイなどこの VPC に関連付けら
れたリソースも削除されます。
インスタンスを終了し、Elastic IP アドレスを解除して VPC を削除するには
1.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
2.
3.
ナビゲーションペインで、[Instances] を選択します。
インスタンスを選び、[Actions] を選択し、[Instance State] を選択した後、[Terminate] を選択しま
す。
ダイアログボックスで [Release attached Elastic IPs] セクションを展開し、Elastic IP アドレスの
横にあるチェックボックスを選択します。 [Yes, Terminate] を選択します。
4.
5.
6.
7.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
画面左枠のナビゲーションペインで、[Your VPCs] を選択します。
VPC を選び、[Actions] を選択後、[Delete VPC] を選択します。
8.
確認を求めるメッセージが表示されたら、[Yes, Delete] を選択します。
API Version 2014-02-01
16
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC の VPC ウィザードの
シナリオ
Abstract
VPC ウィザードでサポートされている 4 つのシナリオのいずれかを使用して、VPC を作成します。
このセクションでは、Amazon VPC の基本シナリオを作成する VPC ウィザードを使用する方法を説明
します。 各シナリオには次の情報が含まれています。
•
•
•
•
•
基本コンポーネントが示されている図
VPC とサブネットに関する情報
サブネットのルーティングテーブルに関する情報
推奨セキュリティグループのルールに関する情報
シナリオの実装手順
次の表では、基本シナリオについて説明します。
シナリオ
用途
シナリオ 1: 単一のパブリックサ ブログや簡単なウェブサイトなど、単層でパブリックなウェブアプ
ブネットを持つ VPC (p. 18)
リケーションを実行します。
シナリオ 2: パブリックサブネッ 2 つ目のサブネットでパブリックにはアクセスできないバックエン
トとプライベートサブネットを ドサーバーを維持しながら、単層でパブリックなウェブアプリケー
持つ VPC（NAT） (p. 23)
ションを実行します。
シナリオ 3: パブリックサブネッ データセンターをクラウドに拡張し、さらに、VPC からインター
トとプライベートサブネット、 ネットに直接アクセスします。
およびハードウェア VPN アクセ
スを持つ VPC (p. 34)
シナリオ 4: 1 つのプライベート データセンターをクラウドに拡張し、ネットワークをインターネッ
サブネットのみ、およびハード トに公開せずに、Amazon のインフラストラクチャを利用します。
ウェア VPN アクセスを持つ
VPC (p. 45)
API Version 2014-02-01
17
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1: 単一のパブリックサブネットを持つ VPC
シナリオ 1: 単一のパブリックサブネットを持つ
VPC
Abstract
ブログや簡単なウェブサイトなど、単層でパブリックなウェブアプリケーションを実行できるように、1 つのパブ
リックサブネットを持つ VPC を作成します。
このシナリオの設定には、1 つのパブリックサブネットを持つ Virtual Private Cloud（VPC）と、イン
ターネットを介した通信を有効にするインターネットゲートウェイが含まれます。この設定は、ブログ
や簡単なウェブサイトなど、単層でパブリックなウェブアプリケーションを実行する必要がある場合に
お勧めします。
Topics
•
•
•
•
•
シナリオ 1 の設定 (p. 18)
シナリオ 1 の基本コンポーネント (p. 19)
シナリオ 1 のルーティング (p. 19)
シナリオ 1 のセキュリティ (p. 20)
シナリオ 1 を実装する (p. 21)
シナリオ 1 の設定
次の図は、このシナリオの設定に重要なコンポーネントを示しています。
API Version 2014-02-01
18
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1 の基本コンポーネント
Note
If you completed the exercise Amazon VPC の使用開始 (p. 8)」の演習が完了している場合、
すでにこのシナリオは Amazon VPC コンソールの VPC ウィザードを使用して実装済みです。
シナリオ 1 の基本コンポーネント
次のリストでは、このシナリオの設定図で示されている基本コンポーネントについて説明します。
• サイズ/16（サンプル CIDR: 10.0.0.0/16）の Virtual Private Cloud（VPC）。65,536 個のプライベー
ト IP アドレスを提供します。
• サイズ/24（サンプル CIDR: 10.0.0.0/24）のサブネット。256 個のプライベート IP アドレスを提供し
ます。
• インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。
• サブネット範囲のプライベート IP アドレス（例: 10.0.0.6）と Elastic IP アドレス（例: 198.51.100.2）
を持つインスタンス。前者はインスタンスが VPC 内の他のインスタンスと通信できるようにし、後
者はインターネットからインスタンスにアクセスできるようにします。
• サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするルートテーブルエ
ントリと、サブネットのインスタンスがインターネットで直接通信できるようにするルートテーブル
エントリ。
サブネットの詳細については、「VPC とサブネット (p. 52)」および「VPC の IP アドレス指定 (p. 127)」
を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェ
イ (p. 145)」を参照してください。
Tip
各インスタンスを Elastic IP アドレスに割り当てずに、VPC のインスタンスがインターネット
で通信できるようにするには、NAT インスタンスを使用します。NAT インスタンスの設定の
詳細については、「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC
（NAT） (p. 23)」または「NAT インスタンス (p. 151)」を参照してください。
シナリオ 1 のルーティング
VPC には暗示的なルーターがあります（このシナリオの設定図を参照）。このシナリオでは、VPC
ウィザードによって、送信先が VPC 外のアドレスであるトラフィックすべてをインターネットゲート
ウェイにルーティングするルートテーブルを作成し、それをサブネットに関連付けます。これを行わな
い場合は、ご自身でルートテーブルを作成し、関連付ける必要があります。
次の表は、このシナリオの設定図で使用されているサンプルアドレスが、ルートテーブルではどのよう
に表示されるかを示しています。1 行目は、VPC のローカルルーティングのエントリを示しています。
このエントリによって、VPC 内のインスタンスが相互に通信できるようになります。2 行目は、他の
すべてのサブネットトラフィックをインターネットゲートウェイにルーティングするエントリを示して
います。これは、AWS によって割り当てられた識別子を使用して指定されます。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw-xxxxxxxx
API Version 2014-02-01
19
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1 のセキュリティ
シナリオ 1 のセキュリティ
AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ
リティを強化できます。どちらの機能も、インスタンスのインバウンドトラフィックとアウトバウンド
トラフィックを制御できますが、セキュリティグループはインスタンスレベルで、ネットワーク ACL
はサブネットレベルで動作します。セキュリティグループだけでも、多くの VPC ユーザーのニーズを
満たすことができますが、ネットワーク ACL によってセキュリティを一層強化するために、セキュリ
ティグループとネットワーク ACL の両方を使用する VPC ユーザーもいます。セキュリティグループと
ネットワーク ACL の詳細、これらの相違については、「VPC のセキュリティ (p. 68)」を参照してくだ
さい。
シナリオ 1 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネット
ワーク ACL を使用する場合は、「シナリオ 1 に推奨されるルール (p. 87)」を参照してください。
推奨されるセキュリティグループのルール
VPC にはデフォルトのセキュリティグループが用意されており、この初期設定では、すべてのアウト
バウンドトラフィックと、セキュリティグループに割り当てられているインスタンス間のすべてのトラ
フィックが許可されます。インスタンスを起動するときにセキュリティグループを指定しないと、その
インスタンスは VPC のデフォルトのセキュリティグループに自動的に割り当てられます。デフォルト
のセキュリティグループのルールは変更できますが、ウェブサーバーに必要なルールは、VPC 内に起
動する他のインスタンスには有効でない可能性があります。したがって、セキュリティグループを作成
し、パブリックサブネットのウェブサーバーで使用することをお勧めします。
WebServerSG という名前のセキュリティグループを作成し、必要に応じてルールを変更し、VPC 内に
インスタンスを起動するときにセキュリティグループを指定します。デフォルトでは、新しいセキュリ
ティグループには、すべてのトラフィックがインスタンスを出ることを許可するアウトバウンドルール
のみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドト
ラフィックを制限するには、ルールを追加する必要があります。
以下の表では、WebServerSG グループのインバウンドとアウトバウンドのルールについて説明しま
す。ウェブサーバーでアウトバウンドトラフィックの開始を許可する場合（ソフトウェアの更新プログ
ラムを取得するためになど）、デフォルトのアウトバウンドルールをそのまま使用できます。ウェブ
サーバーでアウトバウンドトラフィックの開始を禁止する場合は、デフォルトのアウトバウンドルール
を削除できます。
インバウンド
送信元
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
任意の場所からウェブサーバーへの
インバウンド HTTP アクセスを許可
する
0.0.0.0/0
TCP
443
任意の場所からウェブサーバーへの
インバウンド HTTPS アクセスを許可
する
ネットワークのパブリック IP ア TCP
ドレスの範囲
22
（Linux インスタンス）ネットワーク
からのインバウンド SSH アクセスを
許可する
ネットワークのパブリック IP ア TCP
ドレスの範囲
3389
（Windows インスタンス）ネット
ワークからのインバウンド RDP アク
セスを許可する
アウトバウンド（オプション）
API Version 2014-02-01
20
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1 を実装する
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
すべて
すべて
いずれの場所へのすべてのアウトバ
ウンドアクセスを許可する
Tip
サービスを使用して、ローカルコンピュータのパブリック IP アドレスを取得することもでき
ます。IP アドレスを提供するサービスを検索するには、検索フレーズ「what is my IP address」
を使用します。ISP 経由、またはファイアウォールの内側から静的 IP アドレスなしで接続して
いる場合は、クライアントコンピュータで使用されている IP アドレスの範囲を見つける必要
があります。
VPC のデフォルトのセキュリティグループには、割り当てられたインスタンスが相互に通信すること
を自動的に許可するルールがあります。VPC のインスタンス間でその種類の通信を許可するには、セ
キュリティグループに以下のようなルールを追加する必要があります。
インバウンド
送信元
プロトコル
ポート範囲
コメント
セキュリティグループ ID
（sg-xxxxxxxx）
すべて
すべて
このセキュリティグループに割り当
てられた他のインスタンスからのイ
ンバウンドトラフィックを許可する
シナリオ 1 を実装する
次のプロセスにしたがって、VPC ウィザードを使用してシナリオを実装します。
VPC ウィザードを使用してシナリオ 1 を実装するには
1.
VPC、サブネット、およびインターネットゲートウェイを設定する。
a.
b.
c.
d.
e.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [VPC Dashboard] をクリックします。
ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started creating a VPC] をクリッ
クします。VPC リソースがない場合は、[Start VPC Wizard] をクリックします。
最初のオプション [VPC with a Single Public Subnet] を選択し、[Select] をクリックします。
確認ページに、選択した CIDR の範囲と設定が表示されます。必要に応じて設定を変更し、
[Create VPC] をクリックして、VPC、サブネット、インターネットゲートウェイ、およびルー
トテーブルを作成します。
WebServerSG セキュリティグループを作成し、ルールを追加する。
a.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
b.
c.
ナビゲーションペインで、[Security Groups] をクリックします。
[Create Security Group] ボタンをクリックします。
d.
セキュリティグループの名前として WebServerSG を指定し、説明を入力します。[VPC] メ
ニューで VPC の ID を選択し、[Yes, Create] をクリックします。
API Version 2014-02-01
21
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1 を実装する
e.
f.
先ほど作成した WebServerSG セキュリティグループを選択します。詳細ペインには、セキュ
リティグループに関する情報のタブと、インバウンドルールおよびアウトバウンドルールを操
作するためのタブがあります。
[Inbound Rules] タブで [Edit] をクリックし、次の操作を行います。
• [Type] リストから [HTTP] を選択し、[Source] フィールドに [0.0.0.0/0] と入力します。
• [Add another rule] をクリックし、[Type] リストから [HTTPS] を選択し、[Source] フィール
ドに「0.0.0.0/0」と入力します。
• [Add another rule] をクリックし、[Type] リストから [SSH] を選択します。[Source] フィー
ルドに、ネットワークのパブリック IP アドレスの範囲を入力します。（このアドレス範囲
を知らない場合は、0.0.0.0/0 を使用してテストすることができます。プロダクションで
は、インスタンスへのアクセスを特定の IP アドレスまたはアドレス範囲のみに許可しま
す）。
Tip
お客様の会社で Linux インスタンスと Windows インスタンスが両方とも使用され
ている場合は、SSH および RDP の双方に対してアクセス権を追加できます。
• [Save] をクリックします。
g.
3.
[Outbound Rules] タブで [Edit] をクリックします。すべてのアウトバウンドトラフィックを有
効にするデフォルトのルールを見つけ、[Remove] をクリックして、[Save] をクリックしま
す。
VPC 内にインスタンスを起動する:
a.
b.
c.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ダッシュボードで、[Launch Instance] ボタンをクリックします。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、
[Next: Configure Instance Details] をクリックします。
d.
[Configure Instance Details] ページで、[Network] リストから手順 1 で作成した VPC を選択
し、サブネットを指定します。
e.
（オプション）デフォルトでは、デフォルトではない VPC に起動するインスタンスには、パ
ブリック IP アドレスは割り当てられません。インスタンスへの接続を可能にするには、ここ
でパブリック IP アドレスを割り当てることも、Elastic IP アドレスをアロケートし、インスタ
ンス起動後にそれをインスタンスに割り当てることもできます。ここでパブリック IP を割り
当てるためには、[Assign Public IP] リストから [Enable] を選択したことを確認します。
API Version 2014-02-01
22
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2: パブリックサブネットとプライベートサブネッ
トを持つ VPC（NAT）
Note
パブリック IP アドレスは、デバイスインデックスが eth0 になっている単一の新しい
ネットワークインターフェイスにしか割り当てることはできません。詳細について
は、「起動中のパブリック IP アドレスの割り当て (p. 129)」を参照してください。
f.
g.
4.
ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。
[Configure Security Group] ページで、[Select an existing security group] オプションを選択し、
手順 2 で作成した [WebServerSG] セキュリティグループを選択します。[Review and Launch]
をクリックします。
選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択して
インスタンスを起動します。
手順 3 の中でインスタンスにパブリック IP アドレスを割り当てなかった場合、インスタンスに接
続することはできません。Elastic IP アドレスをインスタンスに割り当てる。
a.
b.
c.
d.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Elastic IPs] をクリックします。
[Allocate New Address] ボタンをクリックします。
[Yes, Allocate] をクリックします。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] から選択します。
e.
f.
リストで Elastic IP アドレスを選択し、[Associate Address] ボタンをクリックします。
[Associate Address] ダイアログボックスで、アドレスを関連付けるインスタンスを選択し、
[Yes, Associate] をクリックします。
これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法につ
いては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を
参照してください。Windows インスタンスに接続する方法については、「Microsoft Windows インスタ
ンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。
シナリオ 2: パブリックサブネットとプライベート
サブネットを持つ VPC（NAT）
Abstract
パブリックにはアクセスできないバックエンドサーバーを維持しながら、パブリックなウェブアプリケーションを
実行できるように、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。
このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud
（VPC）が含まれます。このシナリオは、パブリックにはアクセスできないバックエンドサーバーを維
持しながら、パブリックなウェブアプリケーションを実行する場合にお勧めします。一般的な例として
は、パブリックサブネットのウェブサーバーとプライベートサブネットのデータベースサーバーを持つ
多階層のウェブサイトが挙げられます。ウェブサーバーがデータベースサーバーと通信できるように、
セキュリティとルーティングを設定できます。
API Version 2014-02-01
23
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 の設定
パブリックサブネットのインスタンスはインターネットから直接インバウンドトラフィックを受信でき
ますが、プライベートサブネットのインスタンスはこれができません。また、パブリックサブネットの
インスタンスはアウトバウンドトラフィックを直接インターネットに送信できますが、プライベートサ
ブネットのインスタンスはできません。代わりに、プライベートサブネットのインスタンスは、パブ
リックサブネット内に起動するネットワークアドレス変換（NAT）インスタンスを使用して、インター
ネットにアクセスできます。
Topics
• シナリオ 2 の設定 (p. 24)
• シナリオ 2 の基本コンポーネント (p. 24)
• シナリオ 2 のルーティング (p. 25)
• シナリオ 2 のセキュリティ (p. 26)
• シナリオ 2 を実装する (p. 29)
シナリオ 2 の設定
次の図は、このシナリオの設定に重要なコンポーネントを示しています。
シナリオ 2 の基本コンポーネント
次のリストでは、このシナリオの設定図で示されている基本コンポーネントについて説明します。
• サイズ/16（サンプル CIDR: 10.0.0.0/16）の Virtual Private Cloud（VPC）。65,536 個のプライベー
ト IP アドレスを提供します。
• サイズ/24（サンプル CIDR: 10.0.0.0/24）のパブリックサブネット。256 個のプライベート IP アドレ
スを提供します。
API Version 2014-02-01
24
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 のルーティング
• サイズ/24（サンプル CIDR: 10.0.1.0/24）のプライベートサブネット。256 個のプライベート IP アド
レスを提供します。
• インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。
• サブネット範囲のプライベート IP アドレス（例: 10.0.0.5、10.0.1.5）を持つインスタンス。そのイ
ンスタンスが VPC 内で相互に、および他のインスタンスと通信できるようにします。パブリックサ
ブネットのインスタンスにも Elastic IP アドレス（例: 198.51.100.1）が含まれ、インターネットから
そのインスタンスにアクセスできるようにします。プライベートサブネットのインスタンスは、イン
ターネットからの受信トラフィックを受け取る必要がないバックエンドサーバーです。ただし、NAT
インスタンスを使用して、リクエストをインターネットに送信できます（次の箇条書きを参照）。
• 独自の Elastic IP アドレスを持つネットワークアドレス変換（NAT）インスタンス。プライベートサ
ブネットのインスタンスが、リクエストをインターネットに送信できるようにします（例: ソフトウェ
アのアップデート用）。
• パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、サ
ブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネッ
トのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。
• プライベートサブネットに関連付けられているメインルートテーブル。このルートテーブルには、サ
ブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネッ
トのインスタンスが NAT インスタンスを介してインターネットと通信できるようにするエントリが
含まれます。
サブネットの詳細については、「VPC とサブネット (p. 52)」および「VPC の IP アドレス指定 (p. 127)」
を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェ
イ (p. 145)」を参照してください。NAT の詳細については、「NAT インスタンス (p. 151)」を参照してく
ださい。
Tip
プロキシとして動作する拠点サーバーをパブリックサブネットに設定すると、プライベートサ
ブネットでインスタンスを管理するのに役立ちます。例えば、パブリックサブネットで SSH
ポートフォーワード機能または RDP ゲートウェイを設定し、ご自身のネットワークからデー
タベースサーバーに向かうトラフィックをプロキシできます。
シナリオ 2 のルーティング
VPC には暗示的なルーターがあります（このシナリオの設定図を参照）。このシナリオでは、VPC
ウィザードによって、プライベートサブネットで使用されるメインルートテーブルを更新し、カスタム
ルートテーブルを作成してパブリックサブネットに関連付けます。これを行わない場合は、ご自身で
ルートテーブルを作成し、関連付ける必要があります。
このシナリオでは、各サブネットから AWS に向かう（例えば、Amazon EC2 または Amazon S3 エン
ドポイントに向かう）すべてのトラフィックが、インターネットゲートウェイを介して流れます。プラ
イベートサブネットのデータベースサーバーには Elastic IP アドレスがありません。したがって、イン
ターネットからのトラフィックを直接受け取ることはできません。ただし、パブリックサブネットで
NAT インスタンスを使用すれば、データベースサーバーでインターネットトラフィックを送受信でき
ます。
追加のサブネットを作成した場合、そのサブネットはデフォルトでメインルートテーブルを使用しま
す。つまり、デフォルトではプライベートサブネットです。サブネットをパブリックにする必要がある
場合、関連付けられているルートテーブルはいつでも変更できます。
以下の表は、このシナリオのルートテーブルを示しています。
メインルートテーブル
API Version 2014-02-01
25
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 のセキュリティ
1 行目は、VPC のローカルルーティングのエントリを示しています。このエントリによって、VPC 内
のインスタンスが相互に通信できるようになります。2 行目は、他のすべてのサブネットトラフィック
を NAT インスタンスに送信するエントリを示しています。これは、AWS によって割り当てられた識別
子（ネットワークインターフェイス eni-1a2b3c4d、インスタンス i-1a2b3c4d など）を使用して指
定されます。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
eni-xxxxxxxx / i-xxxxxxxx
カスタムルートテーブル
1 行目は、VPC のローカルルーティングのエントリを示しています。このエントリによって、この VPC
内のインスタンスが相互に通信できるようになります。2 行目は、他のすべてのサブネットトラフィッ
クを、インターネットゲートウェイを介してインターネットにルーティングするエントリを示していま
す。これは、AWS によって割り当てられた識別子（igw-1a2b3d4d など）を使用して指定されます。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw–xxxxxxxx
シナリオ 2 のセキュリティ
AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ
リティを強化できます。どちらの機能も、インスタンスのインバウンドトラフィックとアウトバウンド
トラフィックを制御できますが、セキュリティグループはインスタンスレベルで、ネットワーク ACL
はサブネットレベルで動作します。セキュリティグループだけでも、多くの VPC ユーザーのニーズを
満たすことができますが、ネットワーク ACL によってセキュリティを一層強化するために、セキュリ
ティグループとネットワーク ACL の両方を使用する VPC ユーザーもいます。セキュリティグループと
ネットワーク ACL の詳細、これらの相違については、「VPC のセキュリティ (p. 68)」を参照してくだ
さい。
シナリオ 2 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネット
ワーク ACL を使用する場合は、「シナリオ 2 に推奨されるルール (p. 88)」を参照してください。
推奨セキュリティグループ
VPC に用意されているデフォルトのセキュリティグループの初期設定では、すべてのインバウンドト
ラフィックが拒否され、すべてのアウトバウンドトラフィックと、そのグループに割り当てられている
インスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティ
グループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的に割り当て
られます。
このシナリオでは、デフォルトのセキュリティグループを変更するのではなく、以下のセキュリティグ
ループを作成することをお勧めします。
• WebServerSG – パブリックサブネットのウェブサーバーの場合
• NATSG – パブリックサブネットの NAT インスタンスの場合
• DBServerSG – プライベートサブネットのデータベースサーバーの場合
API Version 2014-02-01
26
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 のセキュリティ
セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリオ
では、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタンス
が特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュリティ
グループに割り当てられたインスタンスはすべて、同じサブネットに属しています。
WebServerSG セキュリティグループは、パブリックサブネット内にウェブサーバーを起動するときに
指定するセキュリティグループです。次の表では、このセキュリティグループの推奨ルールについて説
明します。このルールにより、ウェブサーバーがインターネットトラフィックを受信したり、ご利用の
ネットワークから SSH または RDP トラフィックを受信したりできます。また、そのウェブサーバー
は、プライベートサブネットのデータベースサーバーへの読み込みおよび書き込みリクエストを開始す
ることもできます。ウェブサーバーがアウトバウンド通信を開始しないため、デフォルトのアウトバウ
ンドルールは削除されます。
Note
これらの推奨事項には SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server ア
クセスと MySQL アクセスの両方が含まれます。この場合は、Linux（SSH および MySQL）ま
たは Windows（RDP および Microsoft SQL Server）に対するルールのみで十分かもしれませ
ん。
WebServerSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
任意の場所からウェブサーバーへの
インバウンド HTTP アクセスを許可
する
0.0.0.0/0
TCP
443
任意の場所からウェブサーバーへの
インバウンド HTTPS アクセスを許可
する
ホームネットワークのパブリッ
ク IP アドレスの範囲
TCP
22
ホームネットワークから Linux インス
タンスへのインバウンド SSH アクセ
ス（インターネットゲートウェイ経
由）を許可する
ホームネットワークのパブリッ
ク IP アドレスの範囲
TCP
3389
ホームネットワークから Windows イ
ンスタンスへのインバウンド RDP ア
クセス（インターネットゲートウェ
イ経由）を許可する
送信先
プロトコル
ポート範囲
コメント
DBServerSG セキュリティグ
ループの ID
TCP
1433
DBServerSG に割り当てられたデー
タベースサーバーへのアウトバウン
ド Microsoft SQL Server アクセスを
許可する
DBServerSG セキュリティグ
ループの ID
TCP
3306
DBServerSG に割り当てられたデー
タベースサーバーへのアウトバウン
ド MySQL アクセスを許可する
アウトバウンド
API Version 2014-02-01
27
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 のセキュリティ
NATSG セキュリティグループは、パブリックサブネット内に NAT インスタンスを起動するときに指
定するセキュリティグループです。次の表では、このセキュリティグループの推奨ルールについて説明
します。このルールにより、NAT インスタンスがプライベートサブネットのインスタンスからインター
ネット宛てのトラフィックを受信したり、ご利用のネットワークから SSH または RDP トラフィック
を受信したりできます。また、NAT インスタンスは、ネットワークにトラフィックを送信することも
できます。これにより、プライベートサブネットのインスタンスがソフトウェア更新を取得できます。
NATSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
10.0.1.0/24
TCP
80
プライベートサブネットのデータベー
スサーバーからのインバウンド HTTP
トラフィックを許可する
10.0.1.0/24
TCP
443
プライベートサブネットのデータベー
スサーバーからのインバウンド HTTPS トラフィックを許可する
22
ネットワークから NAT インスタンス
へのインバウンド SSH アクセス（イ
ンターネットゲートウェイ経由）を
許可する
ネットワークのパブリック IP ア TCP
ドレス範囲
アウトバウンド
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
インターネットへのアウトバウンド
HTTP アクセス（インターネットゲー
トウェイ経由）を許可する
0.0.0.0/0
TCP
443
インターネットへのアウトバウンド
HTTPS アクセス（インターネット
ゲートウェイ経由）を許可する
DBServerSG セキュリティグループは、プライベートサブネット内にデータベースサーバーを起動する
ときに指定するセキュリティグループです。次の表では、このセキュリティグループの推奨ルールにつ
いて説明します。このルールにより、ウェブサーバーからの読み込みおよび書き込みデータベースリク
エストが許可されます。また、インターネットへのトラフィックを開始することもできます（ルート
テーブルは、そのトラフィックを NAT インスタンスに送信し、その後、インターネットゲートウェイ
を介してインターネットに転送します）。
DBServerSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
WebServerSG セキュリティグ
ループの ID
TCP
1433
DBServerSG に割り当てられたデー
タベースサーバーへの、WebServerSG に割り当てられたウェブ
サーバーの Microsoft SQL Server ア
クセスを許可する
API Version 2014-02-01
28
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 を実装する
WebServerSG セキュリティグ
ループの ID
TCP
3306
DBServerSG に割り当てられたデー
タベースサーバーへの、WebServerSG に割り当てられたウェブ
サーバーの MySQL アクセスを許可す
る
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
インターネットへのアウトバウンド
HTTP アクセス（例: ソフトウェアの
アップデート用）を許可する
0.0.0.0/0
TCP
443
インターネットへのアウトバウンド
HTTPS アクセス（例: ソフトウェア
のアップデート用）を許可する
アウトバウンド
VPC のデフォルトのセキュリティグループには、割り当てられたインスタンスが相互に通信すること
を自動的に許可するルールがあります。異なるセキュリティグループを使用するときに VPC のインス
タンス間でその種類の通信を許可するには、セキュリティグループに以下のようなルールを追加する必
要があります。
インバウンド
送信元
プロトコル
ポート範囲
コメント
セキュリティグループの ID
すべて
すべて
このセキュリティグループに割り当
てられた他のインスタンスからのイ
ンバウンドトラフィックを許可する
シナリオ 2 を実装する
次のプロセスにしたがって、VPC ウィザードを使用してシナリオ 2 を実装します。
VPC ウィザードを使用してシナリオ 2 を実装するには
1.
2.
3.
4.
5.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [VPC Dashboard] をクリックします。
ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started creating a VPC] をクリックし
ます。VPC リソースがない場合は、[Start VPC Wizard] をクリックします。
2 つ目のオプション [VPC with Public and Private Subnets] を選択し、[Select] をクリックします。
確認ページで情報を確認します。必要に応じて情報を変更し、[Create VPC] をクリックして、
VPC、サブネット、インターネットゲートウェイ、およびルートテーブルを作成し、パブリックサ
ブネット内に NAT インスタンスを起動します。
WebServerSG セキュリティグループと DBServerSG セキュリティグループは互いに参照し合うので、
ルールを追加する前に、このシナリオで必要なすべてのセキュリティグループを作成します。
WebServerSG、NATSG、および DBServerSG セキュリティグループを作成するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] をクリックします。
API Version 2014-02-01
29
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 を実装する
3.
4.
5.
6.
7.
8.
[Create Security Group] ボタンをクリックします。
[Create Security Group] ダイアログボックスで、セキュリティグループ名として WebServerSG を
指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックしま
す。
再度 [Create Security Group] ボタンをクリックします。
[Create Security Group] ダイアログボックスで、セキュリティグループ名として NATSG を指定し、
説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックします。
再度 [Create Security Group] ボタンをクリックします。
[Create Security Group] ダイアログボックスで、セキュリティグループ名として DBServerSG を
指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックしま
す。
ルールを WebServerSG セキュリティグループに追加するには
1.
2.
作成した WebServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー
プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま
す。
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
[Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。
b.
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択し、[Source] フィールド
に「0.0.0.0/0」と入力します。
c.
[Add another rule] をクリックし、[Type] リストから [SSH] を選択します。[Source] フィール
ドに、ネットワークのパブリック IP アドレスの範囲を入力します。
[Add another rule] をクリックし、[Type] リストから [RDP] を選択します。[Source] フィール
ドに、ネットワークのパブリック IP アドレスの範囲を入力します。
[Save] をクリックします。
d.
e.
3.
[Outbound Rules] タブで [Edit] をクリックして、次に示すようにアウトバウンドトラフィックの
ルールを追加します。
a.
すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove]
をクリックします。
b.
[Type] リストから [MS SQL] を選択します。[Destination] フィールドで、DBServerSG セキュ
リティグループの ID を指定します。
c.
[Add another rule] をクリックし、[Type] リストから [MySQL] を選択します。[Destination]
フィールドで、DBServerSG セキュリティグループの ID を指定します。
[Save] をクリックします。
d.
API Version 2014-02-01
30
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 を実装する
推奨ルールを NATSG セキュリティグループに追加するには
1.
2.
作成した NATSG セキュリティグループを選択します。詳細ペインに、セキュリティグループの詳
細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されます。
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
b.
c.
d.
3.
[Type] リストから [HTTP] を選択し、[Source] フィールドにプライベートサブネットの IP ア
ドレス範囲を入力します。
[Add another rule] をクリックして、[Type] リストから [HTTPS] を選択し、[Source] フィール
ドにプライベートサブネットの IP アドレス範囲を入力します。
[Add another rule] をクリックし、[Type] リストから [SSH] を選択します。[Source] フィール
ドに、ネットワークのパブリック IP アドレスの範囲を入力します。
[Save] をクリックします。
[Outbound Rules] タブで [Edit] をクリックして、次に示すようにアウトバウンドトラフィックの
ルールを追加します。
a.
b.
c.
d.
すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove]
をクリックします。
[Type] リストから [HTTP] を選択します。[Destination] フィールドに「0.0.0.0/0」と入力し
ます。
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択します。[Destination]
フィールドに「0.0.0.0/0」と入力します。
[Save] をクリックします。
推奨ルールを DBServerSG セキュリティグループに追加するには
1.
作成した DBServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー
プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま
す。
2.
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
[Type] リストから [MS SQL] を選択し、[Source] フィールドに WebServerSG セキュリティグ
ループの ID を指定します。
b.
[Add another rule] をクリックして、[Type] リストから [MYSQL] を選択し、[Source] フィール
ドに WebServerSG セキュリティグループの ID を指定します。
API Version 2014-02-01
31
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 を実装する
c.
3.
[Save] をクリックします。
[Outbound Rules] タブで [Edit] をクリックして、次に示すようにアウトバウンドトラフィックの
ルールを追加します。
a.
b.
c.
d.
すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove]
をクリックします。
[Type] リストから [HTTP] を選択します。[Destination] フィールドに「0.0.0.0/0」と入力し
ます。
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択します。[Destination]
フィールドに「0.0.0.0/0」と入力します。
[Save] をクリックします。
VPC ウィザードは、NAT インスタンスを起動したときに、VPC のデフォルトのセキュリティグループ
を使用しました。この NAT インスタンスは、NATSG セキュリティグループに関連付ける必要があり
ます。
NAT インスタンスのセキュリティグループを変更するには
1.
2.
3.
4.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインの [Network Interfaces] をクリックします。
リストから NAT インスタンスのネットワークインターフェイスを選択し、[Actions] リストで
[Change Security Groups] を選択します。
[Change Security Groups] ダイアログボックスで、作成した NATSG セキュリティグループ（「シ
ナリオ 2 のセキュリティ (p. 26)」を参照）を [Security Groups] リストから選択し、[Save] をク
リックします。
VPC 内にインスタンスを起動できます。VPC 外でのインスタンスの起動について既によくわかってい
る場合は、VPC 内へのインスタンスの起動に関して必要な情報は大体把握できています。
インスタンスを起動するには（ウェブサーバーまたはデータベースサーバー）
1.
WebServerSG および DBServerSG セキュリティグループをまだ作成していない場合は作成します
（「シナリオ 2 のセキュリティ (p. 26)」を参照）。このセキュリティグループのいずれかを、イ
ンスタンスの起動時に指定します。
2.
起動ウィザードを開始します。
a.
b.
3.
4.
5.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ダッシュボードで [Launch Instance] ボタンをクリックします。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、[Next:
Configure Instance Details] をクリックします。
[Configure Instance Details] ページで、[Network] リストから前に作成した VPC を選択し、サブ
ネットを選択します。例えば、パブリックサブネット内にウェブサーバーを起動し、プライベート
サブネット内にデータベースサーバーを起動します。
（オプション）デフォルトでは、デフォルトではない VPC に起動するインスタンスには、パブリッ
ク IP アドレスは割り当てられません。インスタンスへの接続を可能にするには、ここでパブリッ
ク IP アドレスを割り当てることも、Elastic IP アドレスをアロケートし、インスタンス起動後にそ
れをインスタンスに割り当てることもできます。ここでパブリック IP を割り当てるためには、
[Assign Public IP] リストから [Enable] を選択したことを確認します。
API Version 2014-02-01
32
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 を実装する
Note
パブリック IP アドレスは、デバイスインデックスが eth0 になっている単一の新しいネッ
トワークインターフェイスにしか割り当てることはできません。詳細については、「起動
中のパブリック IP アドレスの割り当て (p. 129)」を参照してください。
6.
7.
ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[Configure
Security Group] ページで、[Select an existing security group] オプションを選択し、インスタンス
のセキュリティグループ（ウェブサーバーの場合、[WebServerSG]、データベースサーバーの場
合、[DBServerSG]）を選択します。[Review and Launch] をクリックします。
選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択してイン
スタンスを起動します。
手順 5 でパブリック IP アドレスをインスタンスに割り当てていない場合、インスタンスへの接続は不
可能です。パブリックサブネットのインスタンスにアクセスするには、そのインスタンスに Elastic IP
アドレスを割り当てておく必要があります。
コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Elastic IPs] をクリックします。
[Allocate New Address] ボタンをクリックします。
[Yes, Allocate] をクリックします。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] リストから選択します。
5.
6.
リストで Elastic IP アドレスを選択し、[Associate Address] ボタンをクリックします。
[Associate Address] ダイアログボックスで、ネットワークインターフェイスまたはインスタンスを
選択します。対応する [Private IP address] リストから Elastic IP アドレスを関連付けるアドレスを
選択して、[Yes, Associate] をクリックします。
これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法につ
いては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を
参照してください。Windows インスタンスに接続する方法については、「Microsoft Windows インスタ
ンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。
API Version 2014-02-01
33
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3: パブリックサブネットとプライベートサブネッ
ト、およびハードウェア VPN アクセスを持つ VPC
シナリオ 3: パブリックサブネットとプライベート
サブネット、およびハードウェア VPN アクセスを
持つ VPC
Abstract
ネットワークをクラウドに拡張すると同時に、VPC からインターネットにアクセスできるように、パブリックサブ
ネットとプライベートサブネットを持つ VPC を作成します。
このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud
（VPC）、および IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライ
ベートゲートウェイが含まれます。このシナリオは、ネットワークをクラウドに拡張し、さらに、VPC
からインターネットに直接アクセスする必要がある場合にお勧めします。このシナリオを使用すると、
スケーラブルなウェブフロントエンドを持つ多階層のアプリケーションをパブリックサブネットで実行
し、IPsec VPN 接続によりネットワークに接続されているプライベートサブネットにデータを保存でき
ます。
Topics
• シナリオ 3 の設定 (p. 34)
• シナリオ 3 の基本的な設定 (p. 35)
• シナリオ 3 のルーティング (p. 36)
• シナリオ 3 のセキュリティ (p. 38)
• シナリオ 3 を実装する (p. 40)
シナリオ 3 の設定
次の図は、このシナリオの設定に重要なコンポーネントを示しています。
API Version 2014-02-01
34
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 の基本的な設定
Important
「Amazon VPC ネットワーク管理者ガイド」では、このシナリオに関して、ネットワーク管理
者が、お客様の VPN 接続で Amazon VPC カスタマーゲートウェイを設定する際に行う必要が
あることを説明しています。
シナリオ 3 の基本的な設定
次のリストでは、このシナリオの設定図で示されている基本コンポーネントについて説明します。
• サイズ/16（サンプル CIDR: 10.0.0.0/16）の Virtual Private Cloud（VPC）。65,536 個のプライベー
ト IP アドレスを提供します。
• サイズ/24（サンプル CIDR: 10.0.0.0/24）のパブリックサブネット。256 個のプライベート IP アドレ
スを提供します。
• サイズ/24（サンプル CIDR: 10.0.1.0/24）の VPN のみのサブネット。256 個のプライベート IP アド
レスを提供します。
• インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。
• VPC とネットワークの間の VPN 接続。この VPN 接続は、仮想プライベートゲートウェイとカスタ
マーゲートウェイで構成され、前者は VPN 接続の Amazon 側、後者はお客様側に配置されていま
す。
• サブネット範囲のプライベート IP アドレス（例: 10.0.0.5 と 10.0.1.5）を持つインスタンス。そのイ
ンスタンスが VPC 内で相互に、および他のインスタンスと通信できるようにします。パブリックサ
API Version 2014-02-01
35
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 のルーティング
ブネットのインスタンスにも Elastic IP アドレス（例: 198.51.100.1）が含まれ、インターネットから
そのインスタンスにアクセスできるようにします。VPN のみのサブネットのインスタンスは、イン
ターネットからの受信トラフィックを受け取る必要がないバックエンドサーバーです。ただし、ネッ
トワークからのトラフィックを送受信できます。
• パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、サ
ブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネッ
トのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。
• VPN のみのサブネットに関連付けられているメインルートテーブル。ルートテーブルには、サブネッ
トのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットの
インスタンスがネットワークと直接通信できるようにするエントリが含まれます。
サブネットの詳細については、「VPC とサブネット (p. 52)」および「VPC の IP アドレス指定 (p. 127)」
を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェ
イ (p. 145)」を参照してください。VPN 接続の詳細については、「VPC へのハードウェア仮想プライ
ベートゲートウェイの追加 (p. 188)」を参照してください。カスタマーゲートウェイの設定の詳細につ
いては、「Amazon VPC ネットワーク管理者ガイド」を参照してください。
シナリオ 3 のルーティング
VPC には暗示的なルーターがあります（このシナリオの設定図を参照）。このシナリオでは、VPC
ウィザードによって、VPN のみのサブネットで使用されるメインルートテーブルを更新し、カスタム
ルートテーブルを作成してパブリックサブネットに関連付けます。これを行わない場合は、ご自身で
ルートテーブルを作成し、関連付ける必要があります。
VPN のみのサブネットのインスタンスはインターネットに直接接続することはできません。インター
ネット宛てのトラフィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向
かいます。そこでは、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンス
が AWS 宛てのトラフィック（Amazon S3 または Amazon EC2 API へのリクエストなど）を送信する
場合、リクエストは仮想プライベートゲートウェイを介してネットワークに向かい、AWS に到達する
前にインターネットに達する必要があります。
Tip
ネットワークからのトラフィックで、パブリックサブネットのインスタンスの Elastic IP アド
レスに向かうものはすべて、仮想プライベートゲートウェイではなく、インターネットを経由
します。代わりに、ネットワークからのトラフィックでパブリックサブネットに向かうものが
仮想プライベートゲートウェイを経由できるように、ルートとセキュリティグループのルール
を設定することができます。
VPN 接続は、静的にルーティングされた VPN 接続または動的にルーティングされた VPN 接続（BGP
を使用）のいずれかとして設定されます。静的なルーティングを選択すると、VPN 接続を作成すると
きに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティング
を選択すると、IP プレフィックスは、BGP を使用して VPC の仮想プライベートゲートウェイに自動
的にアドバタイズされます。
以下の表は、このシナリオのルートテーブルを示しています。
メインルートテーブル
1 行目は、VPC のローカルルーティングのエントリを示しています。このエントリによって、VPC 内
のインスタンスが相互に通信できるようになります。2 行目は、プライベートサブネットからの他のす
べてのサブネットトラフィックを、仮想プライベートゲートウェイを介してネットワークにルーティン
グするエントリを示しています。これは、AWS によって割り当てられた識別子（vgw-1a2b3c4d な
ど）を使用して指定されます。
API Version 2014-02-01
36
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 のルーティング
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
vgw–xxxxxxxx
カスタムルートテーブル
1 行目は、VPC のローカルルーティングのエントリを示しています。このエントリによって、VPC 内
のインスタンスが相互に通信できるようになります。2 行目は、パブリックサブネットからの他のすべ
てのサブネットトラフィックを、インターネットゲートウェイを介してインターネットにルーティング
するエントリを示しています。これは、AWS によって割り当てられた識別子（igw-1a2b3c4d など）
を使用して指定されます。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw–xxxxxxxx
代替ルーティング
プライベートサブネットのインスタンスをインターネットにアクセスする場合、サブネットのインター
ネット宛てのトラフィックが、パブリックサブネットのネットワークアドレス変換（NAT）インスタン
スに向かうようにルーティングを設定することもできます。NAT インスタンスは、VPN のみのサブネッ
トのインスタンスが、リクエストをインターネットゲートウェイ経由で送信できるようにします（例:
ソフトウェアのアップデート用）。プライベートサブネットのインターネット宛てのトラフィックが
NAT インスタンスにアクセスできるようにするには、メインルートテーブルを次のように更新する必
要があります。
メインルートテーブル
1 行目は、VPC のローカルルーティングのエントリを示しています。2 行目は、ネットワーク宛てのサ
ブネットトラフィックを、仮想プライベートゲートウェイにルーティングするエントリを示していま
す。これは、AWS によって割り当てられた識別子（vgw-1a2b3c4d など）を使用して指定されます。
3 行目は、他のすべてのサブネットトラフィックを NAT インスタンスに送信します。これは、AWS に
よって割り当てられた識別子（i-1a2b3c4d など）によって指定されます。
送信先
ターゲット
10.0.0.0/16
ローカル
172.16.0.0/12
vgw–xxxxxxxx
0.0.0.0/0
i–xxxxxxxx
手動による NAT インスタンスの設定については、「NAT インスタンス (p. 151)」を参照してください。
VPC ウィザードを使用した NAT インスタンスの設定については、「シナリオ 2: パブリックサブネッ
トとプライベートサブネットを持つ VPC（NAT） (p. 23)」を参照してください。
API Version 2014-02-01
37
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 のセキュリティ
シナリオ 3 のセキュリティ
AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ
リティを強化できます。どちらの機能も、インスタンスのインバウンドトラフィックとアウトバウンド
トラフィックを制御できますが、セキュリティグループはインスタンスレベルで、ネットワーク ACL
はサブネットレベルで動作します。セキュリティグループだけでも、多くの VPC ユーザーのニーズを
満たすことができますが、ネットワーク ACL によってセキュリティを一層強化するために、セキュリ
ティグループとネットワーク ACL の両方を使用する VPC ユーザーもいます。セキュリティグループと
ネットワーク ACL の詳細、これらの相違については、「VPC のセキュリティ (p. 68)」を参照してくだ
さい。
シナリオ 3 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネット
ワーク ACL を使用する場合は、「シナリオ 3 に推奨されるルール (p. 91)」を参照してください。
Topics
• 推奨セキュリティグループ (p. 38)
推奨セキュリティグループ
VPC に用意されているデフォルトのセキュリティグループの初期設定では、すべてのインバウンドト
ラフィックが拒否され、すべてのアウトバウンドトラフィックと、セキュリティグループに割り当てら
れているインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセ
キュリティグループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的
に割り当てられます。
このシナリオでは、デフォルトのセキュリティグループを変更するのではなく、以下のセキュリティグ
ループを作成することをお勧めします。
• WebServerSG – パブリックサブネットのウェブサーバーの場合
• DBServerSG – VPN のみのサブネットのデータベースサーバーの場合
セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリオ
では、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタンス
が特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュリティ
グループに割り当てられたインスタンスはすべて、同じサブネットに属しています。
WebServerSG セキュリティグループは、パブリックサブネット内にウェブサーバーを起動するときに
指定するセキュリティグループです。次の表では、このセキュリティグループの推奨ルールについて説
明します。このルールにより、ウェブサーバーがインターネットトラフィックを受信したり、ご利用の
ネットワークから SSH または RDP トラフィックを受信したりできます。また、このウェブサーバー
は、VPN のみのサブネット内のデータベースサーバーインスタンスへの読み込みおよび書き込みリク
エストを開始することもできます。
Note
グループには SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセスと
MySQL アクセスの両方が含まれます。この場合は、Linux（SSH および MySQL）または
Windows（RDP および Microsoft SQL Server）に対するルールのみで十分かもしれません。
WebServerSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
API Version 2014-02-01
38
コメント
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 のセキュリティ
0.0.0.0/0
TCP
80
任意の場所からウェブサーバーへの
インバウンド HTTP アクセスを許可
する
0.0.0.0/0
TCP
443
任意の場所からウェブサーバーへの
インバウンド HTTPS アクセスを許可
する
ネットワークのパブリック IP ア TCP
ドレス範囲
22
ネットワークから Linux インスタンス
へのインバウンド SSH アクセス（イ
ンターネットゲートウェイ経由）を
許可する
ネットワークのパブリック IP ア TCP
ドレス範囲
3389
ネットワークから Windows インスタ
ンスへのインバウンド RDP アクセス
（インターネットゲートウェイ経由）
を許可する
アウトバウンド
DBServerSG セキュリティグ
ループの ID
TCP
1433
DBServerSG に割り当てられたデー
タベースサーバーへのアウトバウン
ド Microsoft SQL Server アクセスを
許可する
DBServerSG セキュリティグ
ループの ID
TCP
3306
DBServerSG に割り当てられたデー
タベースサーバーへのアウトバウン
ド MySQL アクセスを許可する
DBServerSG セキュリティグループは、VPN のみのサブネット内にデータベースサーバーを起動する
ときに指定するセキュリティグループです。次の表では、このセキュリティグループの推奨ルールにつ
いて説明します。このルールにより、ウェブサーバーからの Microsoft SQL Server と MySQL の読み取
りおよび書き込みリクエストと、ご利用のネットワークからの SSH および RDP トラフィックが許可
されます。また、データベースサーバーは、インターネットへのトラフィックを開始することもできま
す（ルートテーブルは、そのトラフィックを仮想プライベートゲートウェイを介して送信します）。
DBServerSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
WebServerSG セキュリティグ
ループの ID
TCP
1433
DBServerSG に割り当てられたデー
タベースサーバーへの、WebServerSG に割り当てられたウェブ
サーバーの Microsoft SQL Server ア
クセスを許可する
WebServerSG セキュリティグ
ループの ID
TCP
3306
DBServerSG に割り当てられたデー
タベースサーバーへの、WebServerSG に割り当てられたウェブ
サーバーの MySQL アクセスを許可す
る
API Version 2014-02-01
39
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 を実装する
ネットワークの IP アドレス範囲 TCP
22
ネットワークから Linux インスタンス
へのインバウンド SSH トラフィック
（仮想プライベートゲートウェイ経
由）を許可する
ネットワークの IP アドレス範囲 TCP
3389
ネットワークから Windows インスタ
ンスへのインバウンド RDP トラ
フィック（仮想プライベートゲート
ウェイ経由）を許可する
アウトバウンド
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
仮想プライベートゲートウェイ経由
のインターネットへのアウトバウン
ド HTTP アクセス（例: ソフトウェア
のアップデート用）を許可する
0.0.0.0/0
TCP
443
仮想プライベートゲートウェイ経由
のインターネットへのアウトバウン
ド HTTPS アクセス（例: ソフトウェ
アのアップデート用）を許可する
VPC のデフォルトのセキュリティグループには、割り当てられたインスタンスが相互に通信すること
を自動的に許可するルールがあります。異なるセキュリティグループを使用するときに VPC のインス
タンス間でその種類の通信を許可するには、セキュリティグループに以下のようなルールを追加する必
要があります。
インバウンド
送信元
プロトコル
ポート範囲
コメント
セキュリティグループの ID
すべて
すべて
このセキュリティグループに割り当
てられた他のインスタンスからのイ
ンバウンドトラフィックを許可する
シナリオ 3 を実装する
次のプロセスにしたがって、VPC ウィザードを使用してシナリオ 3 を実装します。
カスタマーゲートウェイを準備するには
1.
2.
3.
カスタマーゲートウェイとして使用するアプライアンスを特定します。テストしたデバイスの詳細
については、Amazon Virtual Private Cloud のよくある質問を参照してください。カスタマーゲー
トウェイの要件の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してくだ
さい。
カスタマーゲートウェイの外部インターフェイスのインターネットルーティングが可能な IP アド
レスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変換
（NAT）を実行するデバイスの背後に存在する可能性があります。ただし、NAT トラバーサル
（NAT-T）はサポートされていません。
仮想プライベートゲートウェイへの VPN 接続にアドバタイズする内部 IP 範囲のリスト（CIDR 注
記内）を収集します（静的にルーティングされた VPN 接続を使用する場合）。詳細については、
「VPN のルーティングオプション (p. 190)」を参照してください。
API Version 2014-02-01
40
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 を実装する
VPC ウィザードを使用してシナリオ 3 を実装するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [VPC Dashboard] をクリックします。
ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started creating a VPC] をクリックし
ます。VPC リソースがない場合は、[Start VPC Wizard] をクリックします。
3 つ目のオプション [VPC with Public and Private Subnets and Hardware VPN Access] を選択し、
[Select] をクリックします。
4.
5.
6.
ウィザードの最初のページで、VPC およびパブリックサブネットとプライベートサブネットの詳
細を確認し、[Next] をクリックします。
[Configure your VPN] ページで、次の操作を行ってから、[Create VPC] をクリックします。
• [Customer Gateway IP] で、VPN ルーターのパブリック IP アドレスを指定します。
• オプションで、カスタマーゲートウェイの名前と VPN 接続の名前を指定できます。
• [Routing Type] で、次のように、ルーティングオプションのいずれかを選択します。
• VPN（BGP）がサポートされている場合は、[Dynamic (requires BGP)] を選択します。
• VPN ルーターが BGP をサポートしていない場合は、[Static] をクリックします。[IP Prefix]
で、ネットワークに対して各 IP プレフィックスを追加します。
選択対象のオプションの詳細については、Amazon Virtual Private Cloud のよくある質問を参照
してください。動的ルーティングと静的ルーティングの詳細については、「VPN のルーティン
グオプション (p. 190)」を参照してください。
7.
8.
ウィザードが完了したら、ナビゲーションペインの [VPN Connections] をクリックします。ウィ
ザードで作成した VPN 接続を選択し、[Download Configuration] をクリックします。] ダイアログ
ボックスで、カスタマーゲートウェイ、プラットフォーム、およびソフトウェアバージョンのベン
ダーを選択し、[Yes, Download] をクリックします。
VPN 設定が含まれるテキストファイルを保存し、「Amazon VPC ネットワーク管理者ガイド」と
一緒にネットワーク管理者に提供します。VPN は、ネットワーク管理者がカスタマーゲートウェ
イを設定するまで動作しません。
WebServerSG セキュリティグループと DBServerSG セキュリティグループは互いに参照し合うので、
ルールを追加する前に、このシナリオで必要なすべてのセキュリティグループを作成します。
WebServerSG および DBServerSG セキュリティグループを作成するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] をクリックします。
[Create Security Group] ボタンをクリックします。
4.
[Create Security Group] ダイアログボックスで、セキュリティグループ名として WebServerSG を
指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックしま
す。
5.
6.
再度 [Create Security Group] ボタンをクリックします。
[Create Security Group] ダイアログボックスで、セキュリティグループ名として DBServerSG を
指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックしま
す。
推奨ルールを WebServerSG セキュリティグループに追加するには
1.
作成した WebServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー
プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま
す。
API Version 2014-02-01
41
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 を実装する
2.
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
[Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。
b.
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択し、[Source] フィールド
に「0.0.0.0/0」と入力します。
c.
[Add another rule] をクリックし、[Type] リストから [SSH] を選択します。[Source] フィール
ドに、ネットワークのパブリック IP アドレスの範囲を入力します。
d.
[Add another rule] をクリックし、[Type] リストから [RDP] を選択します。[Source] フィール
ドに、ネットワークのパブリック IP アドレスの範囲を入力します。
[Save] をクリックします。
e.
3.
[Outbound Rules] タブで [Edit] をクリックして、次に示すようにアウトバウンドトラフィックの
ルールを追加します。
a.
b.
c.
d.
すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove]
をクリックします。
[Type] リストから [MS SQL] を選択します。[Destination] フィールドで、DBServerSG セキュ
リティグループの ID を指定します。
[Add another rule] をクリックし、[Type] リストから [MySQL] を選択します。[Destination]
フィールドで、DBServerSG セキュリティグループの ID を指定します。
[Save] をクリックします。
推奨ルールを DBServerSG セキュリティグループに追加するには
1.
2.
作成した DBServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー
プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま
す。
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
b.
c.
[Type] リストから [SSH] を選択し、[Source] フィールドにネットワークの IP アドレス範囲を
入力します。
[Add another rule] をクリックして、[Type] リストから [RDP] を選択し、[Source] フィールド
にネットワークの IP アドレス範囲を入力します。
[Add another rule] をクリックし、[Type] リストから [MS SQL] を選択します。[Source] フィー
ルドに、WebServerSG セキュリティグループの ID を指定します。
API Version 2014-02-01
42
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 を実装する
d.
e.
3.
[Add another rule] をクリックし、[Type] リストから [MySQL] を選択します。[Source] フィー
ルドに、WebServerSG セキュリティグループの ID を指定します。
[Save] をクリックします。
[Outbound Rules] タブで [Edit] をクリックして、次に示すようにアウトバウンドトラフィックの
ルールを追加します。
a.
b.
c.
d.
すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove]
をクリックします。
[Type] リストから [HTTP] を選択します。[Destination] フィールドに「0.0.0.0/0」と入力し
ます。
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択します。[Destination]
フィールドに「0.0.0.0/0」と入力します。
[Save] をクリックします。
ネットワーク管理者がカスタマーゲートウェイを設定したら、VPC 内にインスタンスを起動できます。
VPC 外でのインスタンスの起動について既によくわかっている場合は、VPC 内へのインスタンスの起
動に関して必要な情報は大体把握できています。
インスタンスを起動するには（ウェブサーバーまたはデータベースサーバー）
1.
2.
WebServerSG および DBServerSG セキュリティグループをまだ作成していない場合は作成します
（「シナリオ 3 のセキュリティ (p. 38)」を参照）。このセキュリティグループのいずれかを、イ
ンスタンスの起動時に指定します。
起動ウィザードを開始します。
a.
b.
3.
4.
5.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ダッシュボードで [Launch Instance] ボタンをクリックします。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、[Next:
Configure Instance Details] をクリックします。
[Configure Instance Details] ページで、[Network] リストから前に作成した VPC を選択し、サブ
ネットを選択します。例えば、パブリックサブネット内にウェブサーバーを起動し、プライベート
サブネット内にデータベースサーバーを起動します。
（オプション）デフォルトでは、デフォルトではない VPC に起動するインスタンスには、パブリッ
ク IP アドレスは割り当てられません。インスタンスへの接続を可能にするには、ここでパブリッ
ク IP アドレスを割り当てることも、Elastic IP アドレスをアロケートし、インスタンス起動後にそ
れをインスタンスに割り当てることもできます。ここでパブリック IP を割り当てるためには、
[Assign Public IP] リストから [Enable] を選択したことを確認します。
Note
パブリック IP アドレスは、デバイスインデックスが eth0 になっている単一の新しいネッ
トワークインターフェイスにしか割り当てることはできません。詳細については、「起動
中のパブリック IP アドレスの割り当て (p. 129)」を参照してください。
6.
ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[Configure
Security Group] ページで、[Select an existing security group] オプションを選択し、インスタンス
のセキュリティグループ（ウェブサーバーの場合、[WebServerSG]、データベースサーバーの場
合、[DBServerSG]）を選択します。[Review and Launch] をクリックします。
API Version 2014-02-01
43
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 を実装する
7.
選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択してイン
スタンスを起動します。
VPN のみのサブネットで実行されているインスタンスについては、ネットワークから Ping を実行して
接続をテストします。詳細については、「インスタンスのエンドツーエンド接続のテスト (p. 196)」を
参照してください。
手順 5 でパブリック IP アドレスをインスタンスに割り当てていない場合、インスタンスへの接続は不
可能です。パブリックサブネットのインスタンスにアクセスするには、そのインスタンスに Elastic IP
アドレスを割り当てておく必要があります。
コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで、[Elastic IPs] をクリックします。
[Allocate New Address] ボタンをクリックします。
4.
[Yes, Allocate] をクリックします。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] から選択します。
5.
6.
リストで Elastic IP アドレスを選択し、[Associate Address] ボタンをクリックします。
[Associate Address] ダイアログボックスで、ネットワークインターフェイスまたはインスタンスを
選択します。対応する [Private IP address] リストから Elastic IP アドレスを関連付けるアドレスを
選択して、[Yes, Associate] をクリックします。
シナリオ 3 では、パブリックサブネットがインターネットのサーバーと通信できるようにする DNS
サーバーが必要です。また、VPN のみのサブネットがネットワーク内のサーバーと通信できるように
する DNS サーバーも別に必要です。
VPC には、domain-name-servers=AmazonProvidedDNS を持つ DHCP オプションセットが自動的に用
意されます。これは Amazon によって提供される DNS サーバーで、VPC の任意のパブリックサブネッ
トがインターネットゲートウェイを介してインターネットと通信できるようにします。また、ご自身の
DNS サーバーを提供し、VPC が使用する DNS サーバーのリストに追加する必要があります。オプショ
ンセットは変更できないので、ご自身の DNS サーバーと Amazon DNS サーバーの両方が含まれる
DHCP オプションセットを作成し、この新しい DHCP オプションセットをするように VPC を更新する
必要があります。
DHCP オプションを更新するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [DHCP Options Sets] をクリックします。
[Create DHCP Options Set] ボタンをクリックします。
4.
[Create DHCP Options Set] ダイアログボックスの [Domain name servers] ボックスで、Amazon
DNS サーバー（AmazonProvidedDNS）のアドレスとご自身の DNS サーバーのアドレスをカンマ
で区切って指定し、[Yes, Create] をクリックします。この例ではご自身の DNS サーバーは 192.0.2.1
です。
5.
6.
ナビゲーションペインで [Your VPCs] をクリックします。
VPC を選択し、[Summary] タブにある [Edit] ボタンをクリックします。
7.
[DHCP options set] リストから新しいオプションセットの ID を選択し、[Save] をクリックします。
API Version 2014-02-01
44
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4: 1 つのプライベートサブネットのみ、および
ハードウェア VPN アクセスを持つ VPC
8.
（オプション）これで VPC が新しい DHCP オプションセットを使用するようになったので、両方
の DNS サーバーにアクセスできます。VPC が使用している元のオプションセットは、必要に応じ
て削除できます。
これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法につ
いては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を
参照してください。Windows インスタンスに接続する方法については、「Microsoft Windows インスタ
ンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。
シナリオ 4: 1 つのプライベートサブネットのみ、
およびハードウェア VPN アクセスを持つ VPC
Abstract
ネットワークをインターネットに公開せずに、ネットワークをクラウドに拡張できるように、プライベートサブ
ネットを持つ VPC を作成します。
このシナリオの設定には、1 つのプライベートサブネットを持つ Virtual Private Cloud（VPC）、およ
び IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライベートゲートウェ
イが含まれます。インターネット経由の通信を有効にするインターネットゲートウェイはありません。
このシナリオは、ネットワークをインターネットに公開せずに、Amazon のインフラストラクチャを使
用してネットワークをクラウドに拡張する場合にお勧めします。
Topics
• シナリオ 4 の設定 (p. 45)
• シナリオ 4 の基本コンポーネント (p. 46)
• シナリオ 4 のルーティング (p. 47)
• シナリオ 4 のセキュリティ (p. 47)
• シナリオ 4 を実装する (p. 48)
シナリオ 4 の設定
次の図は、このシナリオの設定に重要なコンポーネントを示しています。
API Version 2014-02-01
45
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 の基本コンポーネント
Important
「Amazon VPC ネットワーク管理者ガイド」では、このシナリオに関して、ネットワーク管理
者が、お客様の VPN 接続で Amazon VPC カスタマーゲートウェイを設定する際に行う必要が
あることを説明しています。
シナリオ 4 の基本コンポーネント
次のリストでは、このシナリオの設定図で示されている基本コンポーネントについて説明します。
• サイズ/16（サンプル CIDR: 10.0.0.0/16）の Virtual Private Cloud（VPC）。65,536 個のプライベー
ト IP アドレスを提供します。
• サイズ/24（サンプル CIDR: 10.0.0.0/24）の VPN のみのサブネット。256 個のプライベート IP アド
レスを提供します。
• VPC とネットワークの間の VPN 接続。この VPN 接続は、仮想プライベートゲートウェイとカスタ
マーゲートウェイで構成され、前者は VPN 接続の Amazon 側、後者はお客様側に配置されていま
す。
• サブネット範囲のプライベート IP アドレス（例: 10.0.0.5、10.0.0.6、および 10.0.0.7）を持つイン
スタンス。そのインスタンスが VPC 内で相互に、および他のインスタンスと通信できるようにしま
す。
• サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするルートテーブルエ
ントリと、サブネットのインスタンスがネットワークと直接通信できるようにするルートテーブルエ
ントリ。
サブネットの詳細については、「VPC とサブネット (p. 52)」および「VPC の IP アドレス指定 (p. 127)」
を参照してください。VPN 接続の詳細については、「VPC へのハードウェア仮想プライベートゲート
API Version 2014-02-01
46
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 のルーティング
ウェイの追加(p.188)」を参照してください。カスタマーゲートウェイの設定の詳細については、「Amazon
VPC ネットワーク管理者ガイド」を参照してください。
シナリオ 4 のルーティング
VPC には暗示的なルーターがあります（このシナリオの設定図を参照）。このシナリオでは、VPC
ウィザードによって、送信先が VPC 外のアドレスであるトラフィックすべてを VPN 接続にルーティ
ングするルートテーブルを作成し、それをサブネットに関連付けます。これを行わない場合は、ご自身
でルートテーブルを作成し、関連付ける必要があります。
次の表は、このシナリオの設定図で使用されているサンプルアドレスが、ルートテーブルではどのよう
に表示されるかを示しています。1 行目は、VPC のローカルルーティングのエントリを示しています。
このエントリによって、この VPC 内のインスタンスが相互に通信できるようになります。2 行目は、
他のすべてのサブネットトラフィックを仮想プライベートゲートウェイにルーティングするエントリを
示しています。これは、AWS によって割り当てられた識別子（vgw-1a2b3c4d など）を使用して指定
されます。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
vgw-xxxxxxxx
VPN 接続は、静的にルーティングされた VPN 接続または動的にルーティングされた VPN 接続（BGP
を使用）のいずれかとして設定されます。静的なルーティングを選択すると、VPN 接続を作成すると
きに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティング
を選択すると、IP プレフィックスは、BGP を使用して VPC に自動的にアドバタイズされます。
VPN のインスタンスはインターネットに直接接続することはできません。インターネットあてのトラ
フィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向かいます。そこで
は、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンスが AWS 宛てのト
ラフィック（Amazon S3 または Amazon EC2 へのリクエストなど）を送信する場合、リクエストは仮
想プライベートゲートウェイを介してネットワークに向かい、AWS に到達する前にインターネットに
達する必要があります。
シナリオ 4 のセキュリティ
AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ
リティを強化できます。どちらの機能も、インスタンスのインバウンドトラフィックとアウトバウンド
トラフィックを制御できますが、セキュリティグループはインスタンスレベルで、ネットワーク ACL
はサブネットレベルで動作します。セキュリティグループだけでも、多くの VPC ユーザーのニーズを
満たすことができますが、ネットワーク ACL によってセキュリティを一層強化するために、セキュリ
ティグループとネットワーク ACL の両方を使用する VPC ユーザーもいます。セキュリティグループと
ネットワーク ACL の詳細、これらの相違については、「VPC のセキュリティ (p. 68)」を参照してくだ
さい。
シナリオ 4 では、VPC に対してデフォルトのセキュリティグループを使用します。ネットワーク ACL
は使用しません。ネットワーク ACL を使用する場合は、「シナリオ 4 に推奨されるルール (p. 95)」を
参照してください。
推奨セキュリティグループのルール
VPC に用意されているデフォルトのセキュリティグループの初期設定では、すべてのインバウンドト
ラフィックが拒否され、すべてのアウトバウンドトラフィックと、セキュリティグループに割り当てら
れているインスタンス間のすべてのトラフィックが許可されます。デフォルトのセキュリティグループ
API Version 2014-02-01
47
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 を実装する
にインバウンドルールを追加して、ネットワークからの SSH トラフィック（Linux）とリモートデスク
トップトラフィック（Windows）を許可するためことをお勧めします。
Important
デフォルトのセキュリティグループでは、割り当てられたインスタンスが相互に通信するよう
に自動的に許可されます。したがって、これを許可するためのルールを追加する必要はありま
せん。異なるセキュリティグループを使用する場合は、これを許可するためのルールを追加す
る必要があります。
次の表では、VPC のデフォルトのセキュリティグループに追加する必要があるインバウンドルールに
ついて説明します。
デフォルトのセキュリティグループ: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
ネットワークのプライベート IP TCP
アドレスの範囲
22
（Linux インスタンス）ネットワーク
からのインバウンド SSH トラフィッ
クを許可する
ネットワークのプライベート IP TCP
アドレスの範囲
3389
（Windows インスタンス）ネット
ワークからのインバウンド RDP トラ
フィックを許可する
シナリオ 4 を実装する
次のプロセスにしたがって、VPC ウィザードを使用してシナリオ 4 を実装します。
カスタマーゲートウェイを準備するには
1.
2.
3.
カスタマーゲートウェイとして使用するアプライアンスを特定します。テストしたデバイスのリス
トについては、Amazon Virtual Private Cloud のよくある質問を参照してください。カスタマーゲー
トウェイの要件の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してくだ
さい。
カスタマーゲートウェイの外部インターフェイスのインターネットルーティングが可能な IP アド
レスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変換
（NAT）を実行するデバイスの背後に存在する可能性があります。ただし、NAT トラバーサル
（NAT-T）はサポートされていません。
仮想プライベートゲートウェイへの VPN 接続にアドバタイズする内部 IP 範囲のリスト（CIDR 注
記内）を収集します（静的にルーティングされた VPN 接続を使用する場合）。詳細については、
「VPN のルーティングオプション (p. 190)」を参照してください。
次に、次の手順で説明する VPC ウィザードを使用して、VPC と VPN 接続を作成します。
VPC ウィザードを使用してシナリオ 4 を実装するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [VPC Dashboard] をクリックします。
3.
ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started creating a VPC] をクリックし
ます。VPC リソースがない場合は、[Start VPC Wizard] をクリックします。
API Version 2014-02-01
48
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 を実装する
4.
5.
6.
4 つ目のオプションの [VPC with a Private Subnet Only and Hardware VPN Access] を選択して、
[Select] をクリックします。
ウィザードの最初のページで、VPC およびプライベートサブネットの詳細を確認し、[Next] をク
リックします。
[Configure your VPN] ページで、次の操作を行ってから、[Create VPC] をクリックします。
• [Customer Gateway IP] で、VPN ルーターのパブリック IP アドレスを指定します。
• オプションで、カスタマーゲートウェイの名前と VPN 接続の名前を指定できます。
• [Routing Type] で、次のように、ルーティングオプションのいずれかを選択します。
• VPN（BGP）がサポートされている場合は、[Dynamic (requires BGP)] を選択します。
• VPN ルーターが BGP をサポートしていない場合は、[Static] をクリックします。[IP Prefix]
で、ネットワークに対して各 IP プレフィックスを追加します。
選択対象のオプションの詳細については、Amazon Virtual Private Cloud のよくある質問を参照
してください。動的ルーティングと静的ルーティングの詳細については、「VPN のルーティン
グオプション (p. 190)」を参照してください。
7.
8.
ウィザードが完了したら、ナビゲーションペインの [VPN Connections] をクリックします。ウィ
ザードで作成した VPN 接続を選択し、[Download Configuration] をクリックします。] ダイアログ
ボックスで、カスタマーゲートウェイ、プラットフォーム、およびソフトウェアバージョンのベン
ダーを選択し、[Yes, Download] をクリックします。
VPN 設定が含まれるテキストファイルを保存し、「Amazon VPC ネットワーク管理者ガイド」と
一緒にネットワーク管理者に提供します。VPN は、ネットワーク管理者がカスタマーゲートウェ
イを設定するまで動作しません。
このシナリオでは、ネットワークからの SSH およびリモートデスクトップ（RDP）アクセスを許可す
る新しいインバウンドルールで、デフォルトのセキュリティグループを更新する必要があります。イン
スタンスがアウトバウンド通信を開始しない場合、デフォルトのアウトバウンドルールを削除すること
ができます。注意: デフォルトのセキュリティグループの初期設定では、すべてのインバウンドトラ
フィックがブロックされ、すべてのアウトバウンドトラフィックが許可されます。また、そのグループ
に割り当てられているインスタンスが相互に通信できます。
デフォルトのセキュリティグループのルールを更新するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Security Groups] をクリックし、VPC のデフォルトのセキュリティグルー
プを選択します。詳細ペインに、セキュリティグループの詳細と、インバウンドルールおよびアウ
トバウンドルールを操作するためのタブが表示されます。
[Inbound Rules] タブで [Edit] をクリックして、次に示すようにインバウンドトラフィックのルール
を追加します。
a.
b.
c.
[Type] リストから [SSH]型を選択し、[Source] フィールドでネットワークのプライベート IP
アドレスの範囲を入力します。
[Add another rule] をクリックして、[Type] リストから [RDP] 型を選択し、[Source] フィール
ドにネットワークのプライベート IP アドレスの範囲を入力します。
[Save] をクリックします。
API Version 2014-02-01
49
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 を実装する
4.
[Outbound Rules] タブで、[Edit] をクリックして、すべてのアウトバウンドトラフィックを有効に
するデフォルトルールを検索し、[Remove] をクリックして、[Save] をクリックします。
ネットワーク管理者がカスタマーゲートウェイを設定したら、VPC 内にインスタンスを起動できます。
VPC 外でのインスタンスの起動について既によくわかっている場合は、VPC 内へのインスタンスの起
動に関して必要な情報は大体把握できています。
インスタンスを起動するには
1.
起動ウィザードを開始します。
a.
b.
2.
3.
4.
5.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ダッシュボードで [Launch Instance] ボタンをクリックします。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、[Next:
Configure Instance Details] をクリックします。
[Configure Instance Details] ページで、[Network] リストから前に作成した VPC を選択し、サブ
ネットを選択します。[Next: Add Storage] をクリックします。
ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[Configure
Security Group] ページで、[Select an existing security group] オプションを選択し、デフォルトの
セキュリティグループを選択します。[Review and Launch] をクリックします。
選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択してイン
スタンスを起動します。
シナリオ 4 では、VPN のみのサブネットがネットワークのサーバーと通信できるようにする DNS サー
バーが必要です。ご自身の DNS サーバーが含まれる DHCP オプションセットを新しく作成し、そのオ
プションセットを使用するように VPC を設定する必要があります。
Note
VPC には、domain-name-servers=AmazonProvidedDNS を持つ DHCP オプションセットが自
動的に用意されます。これは Amazon によって提供される DNS サーバーで、VPC の任意のパ
ブリックサブネットがインターネットゲートウェイを介してインターネットと通信できるよう
にします。シナリオ 4 では、パブリックサブネットは使用しないので、この DHCP オプショ
ンセットは必要ありません。
DHCP オプションを更新するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [DHCP Options Sets] をクリックします。
API Version 2014-02-01
50
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 を実装する
3.
4.
5.
[Create DHCP Options Set] ボタンをクリックします。
[Create DHCP Options Set] ダイアログボックスで、[Domain name servers] ボックスにユーザーの
DNS サーバーのアドレスを入力し、[Yes, Create] をクリックします。この例ではご自身の DNS
サーバーは 192.0.2.1 です。
ナビゲーションペインで [Your VPCs] をクリックします。
6.
7.
VPC を選択し、[Summary] タブにある [Edit] ボタンをクリックします。
[DHCP options set] リストから新しいオプションセットの ID を選択し、[Save] をクリックします。
8.
（オプション）これで VPC は新しい DHCP オプションセットを使用するようになりました。した
がって VPC では DNS サーバーが使用されます。VPC が使用している元のオプションセットは、
必要に応じて削除できます。
これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux イ
ンスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の
Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法について
は、「Microsoft Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows
Instance を参照してください。
API Version 2014-02-01
51
Amazon Virtual Private Cloud ユーザーガイド
VPC
VPC とサブネット
Abstract
VPC とサブネットを作成して、Amazon VPC の使用を開始します。
Amazon Virtual Private Cloud (Amazon VPC) の使用を開始するには、VPC およびサブネットを作成し
ます。VPC とサブネットの概要については、「Amazon VPC とは (p. 1)」を参照してください。
Topics
• VPC (p. 52)
• VPC のサブネット (p. 55)
• CLI の概要 (p. 60)
VPC
Virtual Private Cloud（VPC）は、お客様の AWS アカウント専用の仮想ネットワークです。VPC は、
AWS クラウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース（例えば
Amazon EC2 インスタンス）を VPC 内に起動できます。VPC を作成するときに、その VPC に対し
て、一連の IP アドレスを Classless Inter-Domain Routing（CIDR）ブロックの形式で指定します（例:
10.0.0.0/16）。CIDR 表記と「/16」の意味について詳しくは、Wikipedia の Classless Inter-Domain
Routing を参照してください。
作成できる VPC の数の詳細については、「Amazon VPC 制限 (p. 210)」を参照してください。
Topics
• 新しい VPC (p. 52)
• VPC のサイズ設定 (p. 53)
• ローカルネットワークおよびその他の VPC との接続 (p. 54)
• VPC を作成する (p. 54)
• VPC を削除する (p. 55)
新しい VPC
次の図は、デフォルトのルートテーブルを持つ新しい VPC を示します。
API Version 2014-02-01
52
Amazon Virtual Private Cloud ユーザーガイド
VPC のサイズ設定
VPC 内にインスタンスを起動する前に、サブネットを追加しておく必要があります。
VPC のサイズ設定
1 つの CIDR ブロックを VPC に割り当てることができます。許可されているのは、/28 ネットマスク
から /16 ネットマスクの間のブロックサイズです。つまり、VPC には 16～65,536 個の IP アドレスを
含めることができます。一度作成した VPC のサイズは変更できません。VPC がニーズに対して小さす
ぎる場合は、新しい大きな VPC を作成し、新しい VPC にインスタンスを移行します。これを行うに
は、実行中のインスタンスから AMI を作成し、新しい大きな VPC で代替インスタンスを起動します。
その後、古いインスタンスを終了し、小さい VPC を削除します。詳細については、「VPC を削除す
る (p. 55)」を参照してください。
API Version 2014-02-01
53
Amazon Virtual Private Cloud ユーザーガイド
ローカルネットワークおよびその他の VPC との接続
ローカルネットワークおよびその他の VPC との接続
オプションで、VPC と企業またはホームネットワークの間の接続を設定できます。VPC 内に、ネット
ワークのプレフィックスの 1 つと重複する IP アドレスプレフィックスがある場合、そのネットワーク
のプレフィックスへのトラフィックはドロップされます。例えば、次の環境があるとします。
• CIDR ブロック 10.0.0.0/16 を持つ VPC
• CIDR ブロック 10.0.1.0/24 を持つ VPC 内のサブネット
• IP アドレス 10.0.1.4 と 10.0.1.5 を持つサブネットで実行されているインスタンス
• CIDR ブロック 10.0.37.0/24 と 10.1.38.0/24 が使用されているオンプレミスホストネットワー
ク
VPC 内のこれらのインスタンスが、10.0.37.0/24 アドレス空間のホストと通信しようとすると、そ
のトラフィックはドロップされます。これは、10.0.37.0/24 が、VPC に割り当てられている、より
大きなプレフィックス（10.0.0.0/16）の一部だからです。一方、10.1.38.0/24 空間のホストとは
通信できます。そのブロックは 10.0.0.0/16 の一部ではないからです。
VPC ピア接続は、自分の AWS アカウントの VPC 間や、他の AWS アカウントの VPC との間にも作
成できます。VPC ピア接続を作成すると、VPC 間でプライベート IP アドレスを使用してトラフィッ
クをルーティングできるようになります。ただし、CIDR ブロックが重複する VPC 間には VPC ピア接
続を作成できません。詳細については、「VPC ピア接続 (p. 167)」を参照してください。
したがって、作成する VPC の CIDR 範囲は、今後予想される規模拡大に十分に対応でき、かつ自社ま
たはホームネットワークの現在または今後のいずれのサブネットとも、現在または将来の VPC の CIDR
範囲とも重複しないようにすることをお勧めします。
VPC を作成する
Amazon VPC コンソールを使用して VPC を作成するには、[Create VPC] ダイアログボックスか VPC
ウィザードを使用します。次の手順では、[Create VPC] ダイアログボックスを使用して VPC のみを作
成します。その後、サブネット、ゲートウェイ、およびルーティングテーブルを追加する必要がありま
す。VPC ウィザードを使用して VPC と、そのサブネット、ゲートウェイ、およびルーティングテーブ
ルを一度に作成する方法については、「Amazon VPC の VPC ウィザードのシナリオ (p. 17)」を参照し
てください。
Note
（EC2-Classic）Amazon EC2 コンソールの起動ウィザードを使用して T2 インスタンスタイプ
を起動し、既存の VPC がない場合、ウィザードは自動的にデフォルト以外の VPC を作成しま
す。これには、各アベイラビリティゾーンのサブセット、インターネットゲートウェイ、およ
びすべての VPC トラフィックをインターネットゲートウェイにルーティングするルートテー
ブルが含まれます。T2 インスタンスタイプの詳細については、『Linux インスタンス用 Amazon
EC2 ユーザーガイド』の「T2 インスタンス」を参照してください。
VPC を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
画面左枠のナビゲーションペインで、[Your VPCs] を選択します。
[Create VPC] を選択します。
[Create VPC] ダイアログボックスで、必要に応じて以下の VPC の詳細を指定し、[Yes, Create] を
選択します。
• オプションで、VPC の名前を指定できます。これにより、Name というキーと指定した値を含む
タグが作成されます。
API Version 2014-02-01
54
Amazon Virtual Private Cloud ユーザーガイド
VPC を削除する
• VPC の CIDR ブロックを指定します。RFC 1918 で規定されているプライベート（パブリック
にルーティングできない）IP アドレス範囲から CIDR ブロックを指定することをお勧めします。
たとえば、10.0.0.0/16 や 192.168.0.0/16 から指定します。パブリックにルーティングで
きる IP アドレス範囲から CIDR ブロックを指定できますが、VPC では現在、パブリックにルー
ティングできる CIDR ブロックからインターネットへの直接アクセスはサポートされていませ
ん。Windows インスタンスは 224.0.0.0 から 255.255.255.255（クラス D とクラス E の IP
アドレス範囲）の VPC では正しく起動できません。IP アドレスについては、VPC の IP アドレ
ス指定 (p. 127) を参照してください。
• テナント属性オプションを選択します（例えば、シングルテナントのハードウェアでインスタン
スが確実に動作するように保証する専用のテナント属性）。ハードウェア専有のインスタンスの
詳細については、「ハードウェア専有インスタンス (p. 204)」を参照してください。
VPC を削除する
VPC はいつでも削除できます（VPC が小さすぎる場合など）。ただし、まず、VPC 内のすべてのイン
スタンスを終了する必要があります。VPC コンソールを使用して VPC を削除すると、サブネット、セ
キュリティグループ、ネットワーク ACL、ルートテーブル、インターネットゲートウェイ、VPC ピア
接続、DHCP オプションなどのコンポーネントがすべて削除されます。
VPN 接続がある場合、その接続または VPN に関連する他のコンポーネント（カスタマーゲートウェ
イ、仮想プライベートゲートウェイなど）を削除する必要はありません。他の VPC でカスタマーゲー
トウェイを使用する予定がある場合は、VPN 接続とゲートウェイは保持することをお勧めします。そ
れ以外の場合、VPN 接続を新しく作成したら、ネットワーク管理者がカスタマーゲートウェイを設定
する必要があります。
VPC を削除するには
1.
2.
3.
4.
5.
6.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
VPC のすべてのインスタンスを終了します。詳細については、「EC2 User Guide」の「Terminate
Your Instance」を参照してください。
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
画面左枠のナビゲーションペインで、[Your VPCs] を選択します。
削除する VPC を選択し、[Actions] を選択して、[Delete VPC] を選択します。
VPN 接続を削除する必要がある場合は、それを行うオプションを選択します。それ以外の場合、
そのオプションはオフのままにしておきます。[Yes, Delete] を選択します。
VPC のサブネット
複数のアベイラビリティーゾーンにまたがる VPC を作成できます。詳細については、「VPC を作成す
る (p. 54)」を参照してください。VPC を作成したら、アベイラビリティーゾーンごとに 1 つ以上のサ
ブネットを追加します。各サブネットが完全に 1 つのアベイラビリティーゾーン内に含まれている必要
があります。1 つのサブネットが複数のゾーンにまたがることはできません。アベイラビリティゾーン
とは、他のアベイラビリティーゾーンで発生した障害から切り離すために作られた場所です。個別のア
ベイラビリティーゾーンでインスタンスを起動することにより、1 つの場所で発生した障害からアプリ
ケーションを保護できます。AWS では、各サブネットに固有の ID が割り当てられます。
作成できるサブネットの数の詳細については、「Amazon VPC 制限 (p. 210)」を参照してください。
Topics
• サブネットを持つ VPC (p. 56)
• サブネットのサイズ設定 (p. 57)
API Version 2014-02-01
55
Amazon Virtual Private Cloud ユーザーガイド
サブネットを持つ VPC
• サブネットのルーティング (p. 58)
• サブネットのセキュリティ (p. 58)
• サブネットを VPC に追加する (p. 59)
• サブネット内にインスタンスを起動する (p. 59)
• サブネットを削除する (p. 60)
サブネットを持つ VPC
次の図は、複数のアベイラビリティーゾーンにある複数のサブネットで設定された VPC を示していま
す。必要に応じて、次の図に示すように、インターネットゲートウェイを追加してインターネットを通
じた通信を有効にしたり、仮想プライベートネットワーク（VPN）接続を追加してご使用のネットワー
クとの通信を有効にしたりできます。
サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネット
はパブリックサブネットと呼ばれます。この図では、サブネット 1 がパブリックサブネットです。パブ
リックサブネット内のインスタンスがインターネットと通信することが必要な場合は、そのインスタン
スにパブリック IP アドレスまたは Elastic IP アドレスが割り当てられている必要があります。パブリッ
ク IP アドレスについては、「パブリック IP アドレスとプライベート IP アドレス (p. 127)」を参照して
ください。
インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれます。
この図では、サブネット 2 がプライベートサブネットです。
インターネットゲートウェイへのルートがなく、トラフィックが仮想プライベートゲートウェイにルー
ティングされているサブネットは、VPN のみのサブネットと呼ばれます。この図では、サブネット 3
が VPN のみのサブネットです。
Note
サブネットの種類にかかわらず、サブネット内の IP アドレス範囲は常にプライベートです。
そのアドレスブロックがインターネットに公開されることはありません。詳細については、
「VPC の IP アドレス指定 (p. 127)」を参照してください。
API Version 2014-02-01
56
Amazon Virtual Private Cloud ユーザーガイド
サブネットのサイズ設定
詳細については「Amazon VPC の VPC ウィザードのシナリオ (p. 17)」、「インターネットゲートウェ
イ (p. 145)」または「VPC へのハードウェア仮想プライベートゲートウェイの追加 (p. 188)」を参照して
ください。
サブネットのサイズ設定
サブネットを作成するときに、そのサブネットの CIDR ブロックを指定します。サブネットの CIDR ブ
ロックは、VPC のサブネットが 1 つの場合、VPC の CIDR ブロックと同じにすることも、あるいは複
数のサブネットを有効にするサブネットと同じにすることもできます。許可されているのは、/28 ネッ
トマスクから /16 ネットマスクの間のブロックサイズです。VPC に複数のサブネットを作成する場合、
サブネットの CIDR ブロックは重複してはいけません。
API Version 2014-02-01
57
Amazon Virtual Private Cloud ユーザーガイド
サブネットのルーティング
例えば、CIDR ブロック 10.0.0.0/24 を持つ VPC を作成した場合、その VPC では 256 個の IP アド
レスがサポートされます。この CIDR ブロックは 2 つのサブネットに分割でき、それぞれのサブネット
で 128 個の IP アドレスがサポートされています。一方のサブネットでは CIDR ブロック 10.0.0.0/25
（アドレス 10.0.0.0～10.0.0.127）が、もう一方のサブネットでは CIDR ブロック 10.0.0.128/25
（アドレス 10.0.0.128～10.0.0.255）が使用されます。
サブネット CIDR ブロックの計算に役立つツールは多数あります。よく使用されるツールについては、
http://www.subnet-calculator.com/cidr.php を参照してください。また、ネットワーク技術グループが、
サブネットに指定する CIDR ブロックを特定することもできます。
Important
AWS は、各サブネット CIDR ブロックの最初の 4 つの IP アドレスと最後の IP アドレスの両
方を予約します。これらのアドレスをユーザーが使用することはできません。たとえば、CIDR
ブロック 10.0.0.0/24 を持つサブネットの場合、IP アドレス 10.0.0.0、10.0.0.1、
10.0.0.2、10.0.0.255、および 10.0.0.3 が予約されます。
サブネットのルーティング
設計上、各サブネットをルートテーブルに関連付ける必要があります。サブネットを出るアウトバウン
ドトラフィックに対して許可されるルートは、このテーブルによって指定されます。作成するすべての
サブネットが、VPC のメインルートテーブルに自動的に関連付けられます。この関連付けを変更し、
メインルートテーブルのコンテンツを変更できます。詳細については、「ルートテーブル (p. 134)」を
参照してください。
前の図では、サブネット 1 に関連付けられたルートテーブルは、すべてのトラフィック（0.0.0.0/0）
をインターネットゲートウェイ（例: igw-1a2b3c4d）にルーティングします。インスタンス V1 には
Elastic IP アドレスがあるため、インターネットからアクセスできます。
Note
インスタンスに関連付けられる Elastic IP アドレスまたはパブリック IP アドレスは、VPC の
インターネットゲートウェイ経由でアクセスします。インスタンスと別のネットワーク間の
VPN 接続経由で流れるトラフィックは、インターネットゲートウェイではなく仮想プライベー
トゲートウェイを通過します。したがって、Elastic IP アドレスまたはパブリック IP アドレス
にアクセスしません。
インスタンス V2 はインターネットにアクセスできませんが、VPC の他のインスタンスにはアクセスで
きます。ネットワークアドレス変換（NAT）インスタンスを使用して、VPC のインスタンスによるイ
ンターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接
続を拒否できます。Elastic IP アドレスは限られた数しかアロケートできないため、静的なパブリック
IP アドレスを必要とするインスタンスが多く存在する場合は、NAT インスタンスの使用をお勧めしま
す。詳細については、「NAT インスタンス (p. 151)」を参照してください。
サブネット 3 に関連付けられたルートテーブルは、すべてのトラフィック（0.0.0.0/0）を仮想プラ
イベートゲートウェイ（例: vgw-1a2b3c4d）にルーティングします。
サブネットのセキュリティ
AWS では、セキュリティグループとネットワーク ACL という 2 つの機能を使用して、VPC のセキュ
リティを強化できます。どちらの機能も、インスタンスのインバウンドトラフィックとアウトバウンド
トラフィックを制御できますが、セキュリティグループはインスタンスレベルで、ネットワーク ACL
はサブネットレベルで動作します。セキュリティグループだけでも、多くの VPC ユーザーのニーズを
満たすことができますが、ネットワーク ACL によってセキュリティを一層強化するために、セキュリ
ティグループとネットワーク ACL の両方を使用する VPC ユーザーもいます。セキュリティグループと
API Version 2014-02-01
58
Amazon Virtual Private Cloud ユーザーガイド
サブネットを VPC に追加する
ネットワーク ACL の詳細、これらの相違については、「VPC のセキュリティ (p. 68)」を参照してくだ
さい。
設計により、各サブネットをネットワーク ACL に関連付ける必要があります。作成するサブネットは
すべて、VPC のデフォルトのネットワーク ACL に自動的に関連付けられます。この関連付けを変更
し、デフォルトのネットワーク ACL のコンテンツを変更できます。詳細については、「ネットワーク
ACL (p. 77)」を参照してください。
VPC またはサブネットでフローログを作成し、VPC またはサブネットでネットワークインターフェイ
スとの間を行き来するトラフィックをキャプチャできます。個別のネットワークインターフェイスでフ
ローログを作成することもできます。フローログは CloudWatch Logs に発行されます。詳細について
は、「VPC フローログ (p. 116)」を参照してください。
サブネットを VPC に追加する
新しいサブネットを VPC に追加するとき、サブネットに必要なルーティングとセキュリティを設定す
る必要があります。この作業は、このセクションで説明するように手動で行うことも、「Amazon VPC
の VPC ウィザードのシナリオ (p. 17)」で説明するように VPC ウィザードで設定することもできます。
サブネットを VPC に追加するには
1.
サブネットを作成します。
a.
b.
c.
d.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Subnets] を選択します。
[Create Subnet] を選択します。
[Create Subnet] ダイアログボックスで、サブネットに名前を指定した場合は、VPC を選択し、
アベイラビリティーゾーンを選択します。次に、サブネットの CIDR 範囲を指定して、[Yes,
Create] を選択します。
サブネットのルーティングを設定します。例えば、インターネットゲートウェイまたは NAT イン
スタンスへのルートを追加できます。詳細については、「ルートテーブル (p. 134)」を参照してく
ださい。
（オプション）必要に応じて、セキュリティグループを作成または変更します。詳細については、
「VPC のセキュリティグループ (p. 70)」を参照してください。
（オプション）必要に応じて、ネットワーク ACL を作成または変更します。ネットワーク ACL の
詳細については、「ネットワーク ACL (p. 77)」を参照してください。
サブネット内にインスタンスを起動する
サブネット内にインスタンスを起動するには
1.
起動ウィザードを開始します。
a.
b.
2.
3.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ダッシュボードで、[Launch Instance] を選択します。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、[Next:
Configure Instance Details] を選択します。
[Configure Instance Details] ページの [Network] リストで必要な VPC を選択していることを確認
し、インスタンスを起動するサブネットを選択します。このページの他のデフォルトの設定はその
ままにして、[Next: Add Storage] を選択します。
API Version 2014-02-01
59
Amazon Virtual Private Cloud ユーザーガイド
サブネットを削除する
4.
ウィザードの次のページでは、インスタンスのストレージを設定し、タグを追加できます。[Configure
Security Group] ページで、所有する既存のセキュリティグループから選択するか、ウィザードの
指示にしたがって新しいセキュリティグループを作成します。完了したら、[Review and Launch]
を選択します。
5.
6.
設定を確認し、[Launch] を選択します。
所有する既存のキーペアを選択するか、新しいキーペアを作成し、完了したら [Launch Instances]
を選択します。
サブネットを削除する
サブネット内にインスタンスが存在する場合はそれをまず終了する必要があります。
サブネットを削除するには
1.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
2.
サブネットのすべてのインスタンスを終了します。詳細については、「EC2 User Guide」の
「Terminate Your Instance」を参照してください。
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Subnets] を選択します。
削除するサブネットを選択して、[Subnet Actions] を選択し、続いて [Delete] を選択します。
[Delete Subnet] ダイアログボックスで、[Yes, Delete] を選択します。
3.
4.
5.
6.
CLI の概要
このページで説明しているタスクは、コマンドラインインターフェイス（CLI）を使用して実行できま
す。使用できる API アクションのリストを含む詳細については、「Amazon VPC へのアクセス (p. 6)」
を参照してください。
VPC を作成する
• create-vpc（AWS CLI）
• ec2-create-vpc（Amazon EC2 CLI）
• New-EC2Vpc（AWS Tools for Windows PowerShell）
サブネットの作成
• create-subnet（AWS CLI）
• ec2-create-subnet（Amazon EC2 CLI）
• New-EC2Subnet（AWS Tools for Windows PowerShell）
VPC の説明
• describe-vpcs（AWS CLI）
• ec2-describe-vpcs（Amazon EC2 CLI）
• Get-EC2Vpc（AWS Tools for Windows PowerShell）
サブネットの説明
• describe-subnets（AWS CLI）
API Version 2014-02-01
60
Amazon Virtual Private Cloud ユーザーガイド
CLI の概要
• ec2-describe-subnets（Amazon EC2 CLI）
• Get-EC2Subnet（AWS Tools for Windows PowerShell）
VPC の削除
• delete-vpc（AWS CLI）
• ec2-delete-vpc（Amazon EC2 CLI）
• Remove-EC2Vpc（AWS Tools for Windows PowerShell）
サブネットの削除
• delete-subnet（AWS CLI）
• ec2-delete-subnet（Amazon EC2 CLI）
• Remove-EC2Subnet（AWS Tools for Windows PowerShell）
API Version 2014-02-01
61
Amazon Virtual Private Cloud ユーザーガイド
デフォルトの VPC の基本
デフォルトの VPC とサブネット
Abstract
デフォルトの Virtual Private Cloud（VPC）は、EC2-VPC の高度なネットワーキング機能と EC2-Classic プラット
フォームの使いやすさを兼ね備えています。
2013 年 12 月 4 日より後に AWS アカウントを作成した場合、EC2-VPC のみサポートされます。この
場合、各 AWS リージョンごとにデフォルト VPC があります。 デフォルト VPC は今すぐ使用できま
す— ほかの設定手順は必要なく、すぐにデフォルト VPC にインスタンスの起動を開始することができ
ます。 デフォルトの VPC は、EC2-VPC プラットフォームの高度なネットワーキング機能と EC2-Classic
プラットフォームの使いやすさのメリットを兼ね備えています。
EC2-Classic プラットフォームと EC2-VPC プラットフォームの詳細については、「サポートされてい
るプラットフォーム」を参照してください。
Topics
• デフォルトの VPC の基本 (p. 62)
• サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する (p. 65)
• EC2 インスタンスをデフォルトの VPC 内に起動する (p. 66)
• デフォルトの VPC を削除する (p. 66)
デフォルトの VPC の基本
このセクションでは、デフォルトの Virtual Private Cloud（VPC）とそのデフォルトのサブネットにつ
いて説明します。
可用性
2013 年 12 月 4 日より後に AWS アカウントを作成した場合、EC2-VPC のみサポートされます。この
場合は、AWS リージョンごとにデフォルトの VPC が作成されます。したがって、デフォルト以外の
VPC を作成し、インスタンスの起動時にそれを指定しない限り、インスタンスは、デフォルトの VPC
内に起動されます。
2013 年 3 月 18 日より前に AWS アカウントを作成した場合、以前使用したことがあるリージョンで
は、EC2-Classic と EC2-VPC の両方がサポートされます。使用したことがないリージョンでは EC2-VPC
のみがサポートされます。この場合、AWS リソースを作成しなかった各リージョンには、デフォルト
API Version 2014-02-01
62
Amazon Virtual Private Cloud ユーザーガイド
コンポーネント
の VPC が作成されます。したがって、デフォルト以外の VPC を作成し、以前に使用したことがない
リージョンでインスタンスを起動するときに該当する VPC を指定しない限り、インスタンスは、その
リージョンのデフォルトの VPC 内に起動されます。ただし、以前使用したことがあるリージョン内に
インスタンスを起動する場合、そのインスタンスは EC2-Classic 内に起動されます。
2013 年 3 月 18 日から 2013 年 12 月 4 日の間に AWS アカウントを作成した場合は、EC2-VPC のみ
がサポートされます。また、以前使用したことがあるリージョンによっては、EC2-Classic と EC2-VPC
の両方がサポートされることもあります。AWS アカウントの各リージョンがサポートするプラット
フォームを確認する場合は、「サポートされているプラットフォームとデフォルト VPC があるかどう
かを確認する (p. 65)」を参照してください。各リージョンでデフォルトの VPC が有効になった時期に
ついては、Amazon VPC の AWS フォーラムの「Announcement: Enabling regions for the default VPC
feature set」を参照してください。
AWS アカウントが EC2-VPC のみをサポートしている場合は、その AWS アカウントに関連付けられ
ている IAM アカウントも EC2-VPC のみをサポートし、AWS アカウントと同じデフォルトの VPC を
使用します。
AWS アカウントが EC2-Classic と EC2-VPC の両方をサポートしており、EC2-Classic 内にインスタ
ンスを起動するシンプルな EC2-VPC のメリットを利用したい場合は、新しい AWS アカウントを作成
するか、以前使用したことがないリージョンにインスタンスを起動します。リージョンにないデフォル
トの VPC をそのリージョンに追加する場合は、VPC のよくある質問で「既存の EC2 アカウントでど
うしてもデフォルト VPC が使いたいのです。何か方法はありますか?" （「デフォルトの VPC につい
てよくある質問」）を参照してください。
コンポーネント
デフォルトの VPC を作成するとき、Amazon 側で次の設定を行います。
• 各アベイラビリティーゾーンにデフォルトのサブネットを作成する。
• インターネットゲートウェイを作成して、デフォルトの VPC に接続する。
• デフォルトの VPC に対して、インターネット用のすべてのトラフィックをインターネットゲートウェ
イに送信するルールを持つメインルートテーブルを作成する。
• デフォルトのセキュリティグループを作成し、デフォルトの VPC に関連付ける。
• デフォルトのネットワークアクセスコントロールリスト（ACL）を作成し、デフォルトの VPC に関
連付ける。
• デフォルトの VPC を備えた AWS アカウントに、デフォルトの DHCP オプションセットを関連付け
る。
次の図は、デフォルトの VPC に対して設定する重要なコンポーネントを示します。
API Version 2014-02-01
63
Amazon Virtual Private Cloud ユーザーガイド
デフォルトのサブネット
デフォルトのサブネット内に起動する各インスタンスは、パブリック IP アドレスとプライベート IP ア
ドレスの両方を受け取ります。また、デフォルトのサブネット内のインスタンスは、パブリック DNS
ホスト名とプライベート DNS ホスト名の両方を受け取ります。デフォルト VPC 内のデフォルト以外
のサブネット内に起動するインスタンスは、パブリック IP アドレスまたはパブリック DNS ホスト名
を受け取りません。サブネットのデフォルトのパブリック IP アドレス指定の動作は変更できます。詳
細については、「サブネットのパブリック IP アドレス動作の変更 (p. 129)」を参照してください。
デフォルトの VPC は、他の VPC と同じように使用できます。サブネットの追加、メインルートテー
ブルの変更、ルートテーブルの追加、追加のセキュリティグループの関連付け、デフォルトのセキュリ
ティグループのルールの更新、および VPN 接続の追加が可能です。また、追加の VPC を作成するこ
ともできます。
デフォルトのサブネットは、他のサブネットと同じように使用できます。カスタムルートテーブルを追
加したり、ネットワーク ACL を設定したりできます。また、EC2 インスタンスを起動するときに、デ
フォルトのサブネットを指定することもできます。
デフォルトのサブネット
デフォルト VPC の CIDR ブロックは、常に /16 ネットマスク（たとえば、172.31.0.0/16）です。これ
は、最大 65,536 個のプライベート IP アドレスを提供します。デフォルトサブネットのネットマスクは
常に /20 です。これは、サブネットあたり最大 4,096 個のアドレスを提供します。この中のいくつか
は、Amazon が使用するように予約されています。
デフォルトでは、デフォルトのサブネットはパブリックサブネットです。メインルートテーブルがイン
ターネット用のサブネットのトラフィックをインターネットゲートウェイに送信するためです。デフォ
ルトのサブネットをプライベートサブネットにするには、送信元 0.0.0.0/0 からインターネットゲート
ウェイへのルートを削除します。ただし、この操作を行った場合、そのサブネットで実行されている
EC2 インスタンスすべてがインターネットにアクセスできなくなります。
AWS によって、リージョンに新しいアベイラビリティゾーンが追加される場合があります。ほとんど
の場合、デフォルト VPC について、このアベイラビリティーゾーン内で自動的に新しいデフォルトの
サブネットが作成されます。ただし、デフォルトの VPC への変更を行った場合、新しいデフォルトの
サブネットは追加されません。新しいアベイラビリティーゾーンのデフォルトのサブネットが必要な場
合は、デフォルトのサブネットの作成について AWS サポートにお問い合わせください。
API Version 2014-02-01
64
Amazon Virtual Private Cloud ユーザーガイド
サポートされているプラットフォームとデフォルト VPC
があるかどうかを確認する
サポートされているプラットフォームとデフォル
ト VPC があるかどうかを確認する
デフォルトの VPC で EC2 インスタンスを起動し、Elastic Load Balancing、Amazon Relational Database
Service（Amazon RDS）、および Amazon Elastic MapReduce（Amazon EMR）などのサービスを使
用できます。Amazon VPC について何も意識する必要はありません。これらのサービスは、デフォル
トの VPC または EC2-Classic のどちらを使っていても同じように利用できます。ただし、Amazon EC2
コンソールまたはコマンドラインを使用して、AWS アカウントが両方のプラットフォームをサポート
しているかどうか、およびデフォルトの VPC があるかどうかを確認できます。
コンソールを使用してプラットフォームのサポート
を確認する
Amazon EC2 コンソールは、EC2 インスタンスを起動できるプラットフォームと、デフォルトの VPC
があるかどうかを示しています。
使用するリージョンがナビゲーションバーで選択されていることを確認してください。Amazon EC2
コンソールダッシュボード上で、 Account Attributes の下にある Supported Platforms を探します。
そこに値が 2 つ（EC2 と VPC）あれば、どちらのプラットフォームにもインスタンスを起動できます。
値が 1 つ（VPC）なら、EC2-VPC にのみインスタンスを起動できます。
例えば、次の図は、アカウントが EC2-VPC プラットフォームのみをサポートしていること、および識
別子 vpc-1a2b3c4d を持つデフォルトの VPC があることを示しています。
デフォルトの VPC を削除すると、[Default VPC] 値として None が表示されます。詳細については、
「デフォルトの VPC を削除する (p. 66)」を参照してください。
コマンドラインを使用してプラットフォームのサポー
トを確認する
supported-platforms 属性は、EC2 インスタンスを起動できるプラットフォームを示します。アカ
ウントのこの属性の値を取得するには、次のいずれかのコマンドを使用します。
• describe-account-attributes（AWS CLI）
• ec2-describe-account-attributes（Amazon EC2 CLI）
• Get-EC2AccountAttributes（AWS Tools for Windows PowerShell）
また、以下のコマンドを使用して VPC を表示するときも、デフォルトの VPC が出力に表示されます。
• describe-vpcs（AWS CLI）
• ec2-describe-vpcs（Amazon EC2 CLI）
• Get-EC2Vpc（AWS Tools for Windows PowerShell）
API Version 2014-02-01
65
Amazon Virtual Private Cloud ユーザーガイド
EC2 インスタンスをデフォルトの VPC 内に起動する
EC2 インスタンスをデフォルトの VPC 内に起動
する
サブネットを指定せずに EC2 インスタンスを起動すると、そのインスタンスはデフォルトの VPC のデ
フォルトのサブネット内に自動的に起動されます。デフォルトでは、アベイラビリティーゾーンが選択
され、インスタンスは、そのアベイラビリティーゾーンに対応するサブネット内に起動されます。ま
た、インスタンスのアベイラビリティーゾーンを選択することもできます。それには、対応するデフォ
ルトのサブネットをコンソールで選択するか、サブネットまたはアベイラビリティーゾーンを CLI で指
定します。
コンソールを使用して EC2 インスタンスを起動する
EC2 インスタンスをデフォルトの VPC 内に起動するには
1.
2.
3.
4.
5.
Amazon EC2 コンソールを開きます。
コンソールダッシュボードで、[Launch Instance] をクリックします。
ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択します。
[Review and Launch] をクリックすると、ウィザードの残りの部分のデフォルト設定を確定できま
す。これにより、[Review Instance Launch] ページが直接表示されます。
設定を確認します。[Instance Details] セクションで、[Subnet] のデフォルトは [No preference
(default subnet in any Availability Zone)] です。つまり、インスタンスは、選択したアベイラビリ
ティーゾーンのデフォルトのサブネット内に起動されることを意味します。また、[Edit instance
details] をクリックし、特定のアベイラビリティーゾーンのデフォルトのサブネットを選択するこ
ともできます。
[Launch] をクリックし、キーペアを選択してインスタンスを起動します。
コマンドラインを使用して EC2 インスタンスを起動
する
次のいずれかのコマンドを使用して、EC2 インスタンスを起動できます。
• run-instances（AWS CLI）
• ec2-run-instances（Amazon EC2 CLI）
• New-EC2Instance（AWS Tools for Windows PowerShell）
デフォルトの VPC で EC2 インスタンスを起動するには、サブネットやアベイラビリティーゾーンを指
定しないでこれらのコマンドを使用します。
EC2 インスタンスをデフォルトの VPC の特定のサブネット内に起動するには、サブネット ID または
アベイラビリティーゾーンを指定します。
デフォルトの VPC を削除する
1 つ以上のデフォルトのサブネットを、他のサブネットと同じように削除できます。ただし、デフォル
トのサブネットを削除したら、そのサブネットは消失します。この場合、EC2 インスタンスを、デフォ
ルトの VPC のそのアベイラビリティーゾーン内に起動することはできません。これを行うには、その
アベイラビリティーゾーンにサブネットを作成し、インスタンスをそのサブネット内に明示的に起動す
る必要があります。デフォルトの VPC のすべてのデフォルトのサブネットを削除したら、EC2 インス
API Version 2014-02-01
66
Amazon Virtual Private Cloud ユーザーガイド
デフォルトの VPC を削除する
タンスを起動するときに、他の VPC のサブネットを指定する必要があります。これは、EC2-Classic
内にはインスタンスを起動できないからです。詳細については、「サブネットを削除する (p. 60)」を
参照してください。
デフォルトのサブネットを削除しようとすると、[Delete Subnet] ダイアログボックスに警告メッセー
ジが表示されます。このダイアログボックスで、デフォルトの VPC を削除することを確認する必要が
あります。
デフォルトの VPC は、他の VPC と同じように削除できます。ただし、デフォルトの VPC を削除した
ら、その VPC は消失します。つまり、EC2 インスタンスを起動するときに、他の VPC のサブネット
を指定する必要があります。これは、EC2-Classic 内にはインスタンスを起動できないからです。デ
フォルトの VPC を削除しようとすると、[Delete VPC] ダイアログボックスに警告メッセージが表示さ
れます。このダイアログボックスで、デフォルトの VPC を削除することを確認する必要があります。
詳細については、「VPC を削除する (p. 55)」を参照してください。
デフォルトの VPC を削除した後、その VPC を復元する必要がある場合は、AWS サポートに連絡し
て、そのリージョンで新しいデフォルトの VPC を作成できるようアカウントをリセットしてください。
既存の VPC をデフォルト VPC としてマーキングすることはできません。 デフォルトのサブネットを
削除し、それを復元する必要がある場合は、新しいサブネットをデフォルト VPC で作成し、AWS サ
ポートに連絡して、デフォルトのサブネットとしてサブネットをマーキングします。AWS アカウント
ID、リージョン、およびサブネット ID の詳細を指定する必要があります。新しいデフォルトサブネッ
トが想定どおりに動作することを確認するには、サブネット属性を変更して、そのサブネットで起動さ
れたインスタンスにパブリック IP アドレスを割り当てます。詳細については、「サブネットのパブリッ
ク IP アドレス動作の変更 (p. 129)」を参照してください。アベイラビリティーゾーンごとに 1 つだけデ
フォルトサブネットを持つことができます。デフォルト以外の VPC でデフォルトサブネットを作成す
ることはできません。
API Version 2014-02-01
67
Amazon Virtual Private Cloud ユーザーガイド
VPC のセキュリティ
Abstract
インスタンスレベルでトラフィックをコントロールするセキュリティグループと、サブネットレベルでトラフィッ
クをコントロールするネットワークアクセスコントロールリストを使用して、VPC のセキュリティを強化します。
Amazon VPC では、次の 2 つの機能を使用して、VPC のセキュリティを強化できます。
• セキュリティグループ – 関連付けられた Amazon EC2 インスタンスのファイアウォールとして動作
し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコント
ロールします
• ネットワークアクセスコントロールリスト（ACL） – 関連付けられたサブネットのファイアウォール
として動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をサブネットレベル
でコントロールします
VPC 内にインスタンスを起動するときに、作成した 1 つ以上のセキュリティグループを関連付けるこ
とができます。VPC 内のインスタンスごとに異なるセキュリティグループのセットに割り当てること
ができます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンス
は VPC のデフォルトのセキュリティグループに自動的に割り当てられます。セキュリティグループの
詳細については、「VPC のセキュリティグループ (p. 70)」を参照してください。
VPC インスタンスはセキュリティグループでのみ保護できます。ただし、第 2 保護レイヤーとしてネッ
トワーク ACL を追加することができます。ネットワーク ACL の詳細については、「ネットワーク
ACL (p. 77)」を参照してください。
AWS Identity and Access Management を使用すると、組織内の誰がセキュリティグループやネットワー
ク ACL を作成/管理できるようにするかをコントロールできます。例えば、ネットワーク管理者にだけ
その許可を付与し、インスタンスの起動のみが必要な作業員には付与しないようにできます。詳細につ
いては、「Amazon VPC のリソースに対するアクセスの制御 (p. 96)」を参照してください。
Amazon セキュリティグループとネットワーク ACL では、リンクローカルアドレス（169.254.0.0/16）
との間のトラフィック、または AWS 予約済みアドレス（各サブネットの最初の 4 つの IP アドレスと
最後の 1 つのアドレス）との間のトラフィックをフィルタしません。これらのアドレスでは、ドメイン
ネームサービス（DNS）、動的ホスト構成プロトコル（DHCP）、Amazon EC2 インスタンスメタデー
タ、Key Management Server（KMS – Windows インスタンスのライセンス管理）、およびサブネット
でのルーティングといったサービスをサポートしています。追加のファイアウォールソリューションを
インスタンスで実装すれば、リンクローカルアドレスとのネットワーク通信をブロックできます。
API Version 2014-02-01
68
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループとネットワーク ACL の比較
セキュリティグループとネットワーク ACL の比較
次の表は、セキュリティグループとネットワーク ACL の基本的な違いをまとめたものです。
セキュリティグループ
ネットワーク ACL
インスタンスレベルで動作します（第 1 保護レイ サブネットレベルで動作します（第 2 保護レイ
ヤー）
ヤー）
ルールの許可のみがサポートされます
ルールの許可と拒否がサポートされます
ステートフル: ルールに関係なく、返されたトラ
フィックが自動的に許可されます
ステートレス: 返されたトラフィックがルールに
よって明示的に許可されます
トラフィックを許可するかどうかを決める前に、 トラフィックを許可するかどうかを決めるとき
すべてのルールを評価します
に、順番にルールを処理します
インスタンスの起動時に誰かがセキュリティグ
ループを指定した場合、または後でセキュリティ
グループをインスタンスに関連付けた場合にの
み、インスタンスに適用されます。
関連付けられたサブネット内のすべてのインスタ
ンスに自動的に適用されます（バックアップの保
護レイヤーなので、セキュリティグループを指定
する人物に依存する必要はありません）
次の図は、セキュリティグループおよびネットワーク ACL が提供するセキュリティレイヤーを示して
います。例えば、インターネットゲートウェイからのトラフィックは、ルーティングテーブルのルート
を使用して適切なサブネットにルーティングされます。サブネットに対してどのトラフィックが許可さ
れるかは、そのサブネットに関連付けられているネットワーク ACL のルールによってコントロールさ
れます。インスタンスに対してどのトラフィックが許可されるかは、そのインスタンスに関連付けられ
ているセキュリティグループのルールによってコントロールされます。
API Version 2014-02-01
69
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループ
VPC のセキュリティグループ
Abstract
セキュリティグループを使用して、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックをコ
ントロールします。
セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィッ
クとアウトバウンドトラフィックをコントロールします。VPC 内でインスタンスを起動した場合、そ
のインスタンスは最大 5 つのセキュリティグループに割り当てることができます。セキュリティグルー
プは、サブネットレベルでなくインスタンスレベルで動作します。このため、VPC 内のサブネット内
のインスタンスごとに異なるセキュリティグループのセットに割り当てることができます。起動時に特
定のグループを指定しないと、インスタンスは VPC のデフォルトのセキュリティグループに自動的に
割り当てられます。
セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルール
と、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。このセクショ
ンでは、VPC のセキュリティグループとそのルールについて、知っておく必要がある基本事項につい
て説明します。
セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定し
たネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACL の違いの詳
細については、「セキュリティグループとネットワーク ACL の比較 (p. 69)」を参照してください。
Topics
• セキュリティグループの基本 (p. 70)
• VPC のデフォルトセキュリティグループ (p. 71)
• セキュリティグループのルール (p. 71)
• EC2-Classic と EC2-VPC のセキュリティグループの違い (p. 72)
• セキュリティグループを操作する (p. 73)
• API と CLI の概要 (p. 76)
セキュリティグループの基本
VPC のセキュリティグループの基本的な特性を次に示します。
• VPC ごとに最大 100 のセキュリティグループを作成できます。最大 50 のルールを各セキュリティ
グループに追加できます。1 つのインスタンスに 50 を超えるルールを適用する必要がある場合は、
各ネットワークインターフェイスに最大 5 つのセキュリティグループを関連付けることができます。
ネットワークインターフェイスの詳細については、「Elastic Network Interfaces (ENI)」を参照して
ください。
• 許可ルールを指定できます。拒否ルールは指定できません。
• インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できます。
• デフォルトでは、インバウンドトラフィックは、インバウンドルールをセキュリティグループに追加
するまで許可されません。
• デフォルトでは、アウトバウンドルールはすべてのアウトバンドトラフィックを許可します。 ルー
ルを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。
• セキュリティグループはステートフルです— アウトバウンドルールにかかわらず、許可されたイン
バウンドトラフィックのアウトバウンドへの通信、またその逆を許可する応答を出します。
• セキュリティグループに関連付けられたインスタンスの相互通信は、それを許可するルールを追加す
るまで許可されません（例外: デフォルトのセキュリティグループについては、このルールがデフォ
ルトで指定されています）。
API Version 2014-02-01
70
Amazon Virtual Private Cloud ユーザーガイド
VPC のデフォルトセキュリティグループ
• インスタンスを起動したら、インスタンスが関連付けられているセキュリティグループを変更できま
す。
セキュリティグループ関連の制限数を増やす方法については、「Amazon VPC 制限 (p. 210)」を参照し
てください。
VPC のデフォルトセキュリティグループ
VPC ではデフォルトのセキュリティグループが自動的に使用されます。VPC で起動する EC2 インス
タンスは、そのインスタンスの起動時に別のセキュリティグループを指定しない限り、それぞれがデ
フォルトのセキュリティグループに自動的に関連付けられます。
次の表では、デフォルトのセキュリティグループ用のデフォルトルールについて説明します。
インバウンド
送信元
プロトコル
ポート範囲
コメント
セキュリティグループ ID
（sg-xxxxxxxx）
すべて
すべて
同じセキュリティグループに割り当
てられたインスタンスからのインバ
ウンドトラフィックを許可する
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
すべて
すべて
すべてのアウトバウンドトラフィッ
クを許可する
アウトバウンド
デフォルトのセキュリティグループのルールは変更できます。
デフォルトのセキュリティグループを削除することはできません。デフォルトのセキュリティグループ
を削除しようとした場合、Client.CannotDelete: the specified group: "sg-51530134"
name: "default" cannot be deleted by a user エラーが発生します。
セキュリティグループのルール
セキュリティグループのルールは追加または削除できます（インバウンドまたはアウトバウンドアクセ
スの許可または取り消しとも呼ばれます）。ルールが適用されるのは、インバウンドトラフィック（受
信）またはアウトバウンドトラフィック（送信）のいずれかです。特定の CIDR 範囲へのアクセス、ま
たは VPC 内の他のセキュリティグループへのアクセスを許可できます。
セキュリティグループのルールの基本要素を次に示します。
• （インバウンドルールのみ）トラフィックの送信元（CIDR 範囲またはセキュリティグループ）と、
送信先ポートまたはポート範囲
• （アウトバウンドルールのみ）トラフィックの送信先（CIDR 範囲またはセキュリティグループ）
と、送信先ポートまたはポート範囲
• 標準のプロトコル番号を持つ任意のプロトコル（リストについては、「Protocol Numbers」を参照）。
ICMP をプロトコルとして指定すると、ICMP の種類とコードの一部またはすべてを指定できます。
ルールの送信元としてセキュリティグループを指定すると、送信元セキュリティグループに関連付けら
れたインスタンスは、そのセキュリティグループ内のインスタンスにアクセスできるようになります。
API Version 2014-02-01
71
Amazon Virtual Private Cloud ユーザーガイド
EC2-Classic と EC2-VPC のセキュリティグループの違い
（その際、送信元セキュリティグループからこのセキュリティグループにルールが追加されることはあ
りません。）
ルールを追加または削除すると、セキュリティグループに関連付けられたすべてのインスタンスにこの
操作が自動的に適用されます。
ファイアウォールを設定するためのシステムの一部を使用すると、送信元ポートでフィルタを適用でき
ます。セキュリティグループを使用すると、送信先ポートでのみフィルタを適用できます。
次の表では、ウェブサーバーのセキュリティグループに対するルールの例を説明します。ウェブサー
バーは HTTP および HTTPS トラフィックを受信し、SQL または MySQL トラフィックをデータベース
サーバーに送信することができます。
インバウンド
送信元
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
すべての場所からのインバウンド
HTTP アクセスを許可する
0.0.0.0/0
TCP
443
すべての場所からのインバウンド
HTTPS アクセスを許可する
ネットワークのパブリック IP ア TCP
ドレス範囲
22
ネットワークから Linux インスタンス
へのインバウンド SSH アクセス（イ
ンターネットゲートウェイ経由）を
許可する
ネットワークのパブリック IP ア TCP
ドレス範囲
3389
ネットワークから Windows インスタ
ンスへのインバウンド RDP アクセス
（インターネットゲートウェイ経由）
を許可する
アウトバウンド
送信先
プロトコル
ポート範囲
コメント
データベースサーバーのセキュ
リティグループの ID
TCP
1433
アウトバウンド Microsoft SQL Server
が指定されたセキュリティグループ
内のインスタンスにアクセスするの
を許可する
MySQL データベースサーバーの TCP
セキュリティグループの ID
3306
アウトバウンド MySQL が指定された
セキュリティグループ内のインスタ
ンスにアクセスするのを許可する
ウェブサーバーとデータベースサーバー用にセキュリティグループを作成するための段階的な手順につ
いては、「推奨セキュリティグループ (p. 38)」を参照してください。パス MTU 検出が正常に機能する
ためのセキュリティグループルールの作成の詳細については、『Amazon EC2 ユーザーガイド』の「パ
ス MTU 検出」を参照してください。
EC2-Classic と EC2-VPC のセキュリティグループの
違い
既に Amazon EC2 を使用しているのであれば、セキュリティグループについてはご存知でしょう。た
だし、EC2-Classic で使用するために作成したセキュリティグループは、VPC のインスタンスで使用す
API Version 2014-02-01
72
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループを操作する
ることはできません。VPC のインスタンスで使用するためのセキュリティグループを特別に作成する
必要があります。VPC のセキュリティグループで使用するために作成したルールは、EC2-Classic のセ
キュリティグループを参照できません。その逆も同様です。
次の表は、EC2-Classic で使用するセキュリティグループと EC2-VPC で使用するセキュリティグルー
プの違いをまとめたものです。
EC2-Classic
EC2-VPC
リージョンごとに最大 500 のセキュリティグルー VPC ごとに最大 100 のセキュリティグループを
プを作成できます。
作成できます。
最大 100 のルールをセキュリティグループに追加 最大 50 のルールをセキュリティグループに追加
できます。
できます。
インバウンドトラフィックのみにルールを追加で インバウンドトラフィックとアウトバウンドトラ
きます。
フィックのルールを追加できます。
最大 500 つのセキュリティグループを 1 つのイン 最大 5 つのセキュリティグループを 1 つのネット
スタンスに割り当てることができます。
ワークインターフェイスに割り当てることができ
ます。
他の AWS アカウントからセキュリティグループ VPC のセキュリティグループのみ参照できます。
を参照できます。
インスタンスを起動すると、インスタンスに関連 インスタンスの起動後でも、インスタンスに関連
付けられているセキュリティグループは変更でき 付けられているセキュリティグループは変更でき
ません。
ます。
ルールをセキュリティグループに追加するとき、 ルールをセキュリティグループに追加するとき
プロトコルを指定する必要はありません。TCP、 は、プロトコルを指定する必要があります。標準
UDP、または ICMP のみを使用できます。
のプロトコル番号を持つ任意のプロトコル、また
はすべてのプロトコル（Protocol Numbers を参
照）を使用できます。
ルールをセキュリティグループに追加するとき
ルールをセキュリティグループに追加するとき
は、ポート番号を指定する必要があります（TCP は、そのルールが TCP または UDP 用の場合にの
または UDP 用）。
みポート番号を指定できます。すべてのポート番
号を指定できます。
セキュリティグループを操作する
このセクションでは、AWS マネジメントコンソールを使用してセキュリティグループを操作する方法
について説明します。
Topics
• デフォルトのセキュリティグループを変更する (p. 74)
• セキュリティグループを作成する (p. 74)
• ルールを追加および削除する (p. 74)
• インスタンスのセキュリティグループを変更する (p. 75)
• セキュリティグループを削除する (p. 75)
• 2009 年 7 月 15 日デフォルトのセキュリティグループを削除する (p. 75)
API Version 2014-02-01
73
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループを操作する
デフォルトのセキュリティグループを変更する
VPC に用意されているデフォルトのセキュリティグループの初期ルールでは、すべてのインバウンド
トラフィックが拒否され、すべてのアウトバウンドトラフィックと、そのグループのインスタンス間の
すべてのトラフィックが許可されます。このグループは削除できませんが、グループのルールは変更で
きます。その手順は、他のセキュリティグループを変更する手順と同じです。詳細については、「ルー
ルを追加および削除する (p. 74)」を参照してください。
セキュリティグループを作成する
インスタンスのデフォルトのセキュリティグループを使用できますが、お客様独自のグループを作成
し、システムにおけるインスタンスの様々な役割を反映させたい場合があります。
セキュリティグループを作成するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] をクリックします。
[Create Security Group] ボタンをクリックします。
セキュリティグループ名（例えば、my-security-group）と説明を入力します。[VPC] メニュー
で VPC の ID を選択し、[Yes, Create] をクリックします。
デフォルトでは、新しいセキュリティグループには、すべてのトラフィックがインスタンスを出ること
を許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可す
るには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。
ルールを追加および削除する
ルールを追加または削除すると、セキュリティグループに既に割り当てられているすべてのインスタン
スが変更される可能性があります。ルールは変更できません。ルールの追加と削除のみを行うことがで
きます。
このガイドで示すシナリオのいくつかは、ルールをセキュリティグループに追加する手順を示していま
す。例については、「推奨セキュリティグループ (p. 38)」を参照してください。
ルールを追加するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] をクリックします。
3.
更新するセキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細と、
インバウンドルールとアウトバンドルールを操作するタブが表示されます。
[Inbound Rules] タブで、[Edit] をクリックします。[Type] リストからインバウンドトラフィックの
ルールに関するオプションを選択し、必要な情報を入力します。たとえば、[HTTP] または [HTTPS]
を選択し、[Source] を [0.0.0.0/0] に指定します。完了したら [Save] をクリックします。
4.
5.
6.
このセキュリティグループに関連付けられたすべてのインスタンス間での通信を許可することもで
きます。[Inbound Rules] タブで、[Type] リストから [All Traffic] を選択します。[Source] フィール
ドにセキュリティグループの ID を入力します。これにより、セキュリティグループのリストが作
成されます。リストからセキュリティグループを選択し、[Save] をクリックします。
必要に応じて、[Outbound Rules] タブを使用し、アウトバウンドトラフィックのルールを追加でき
ます。
ルールを削除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
API Version 2014-02-01
74
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループを操作する
2.
3.
4.
ナビゲーションペインで、[Security Groups] をクリックします。
更新するセキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細と、
インバウンドルールとアウトバンドルールを操作するタブが表示されます。
[Edit] をクリックし、削除するルールの [Remove] ボタンをクリックします。完了したら [Save] を
クリックします。
インスタンスのセキュリティグループを変更する
VPC のインスタンスが割り当てられているセキュリティグループは、そのインスタンスの起動後に変
更できます。変更した場合、インスタンスは実行または停止します。
Note
この手順では、インスタンスのプライマリネットワークインターフェイス（eth0）に関連付け
られているセキュリティグループを変更します。他のネットワークインターフェイスのセキュ
リティグループを変更するには、「ネットワークインターフェイスのセキュリティグループの
変更」を参照してください。
インスタンスのセキュリティグループを変更するには
1.
2.
3.
4.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで [Instances] をクリックします。
インスタンスを右クリックし、[Networking] を選択して、[Change Security Groups] をクリックし
ます。
[Change Security Groups] ダイアログボックスで、1 つ以上のセキュリティグループをリストから
選択し、[Assign Security Groups] をクリックします。
セキュリティグループを削除する
セキュリティグループは、インスタンスが実行されているかどうかにかかわらず、そのグループに割り
当てられていない場合にのみ削除できます。インスタンスは、セキュリティグループを削除する前に他
のセキュリティグループに割り当てることができます（「インスタンスのセキュリティグループを変更
する (p. 75)」を参照）。デフォルトのセキュリティグループを削除することはできません。
セキュリティグループを削除するには
1.
2.
3.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Security Groups] をクリックします。
セキュリティグループを選択し、[Delete] をクリックします。
4.
[Delete Security Group] ダイアログボックスで、[Yes, Delete] をクリックします。
2009 年 7 月 15 日デフォルトのセキュリティグループを削除す
る
2011 年 1 月 1 日より前の API バージョンを使用して作成された VPC には、2009-07-15-default
セキュリティグループが含まれます。すべての VPC に含まれる通常の default セキュリティグルー
プの他に、このセキュリティグループが存在します。インターネットゲートウェイは、
2009-07-15-default セキュリティグループを含む VPC にアタッチすることはできません。したがっ
て、VPC にインターネットゲートウェイをアタッチする前に、このセキュリティグループを削除する
必要があります。
API Version 2014-02-01
75
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
Note
このセキュリティグループを任意のインスタンスに割り当てている場合、そのセキュリティグ
ループは、該当するインスタンスを別のセキュリティグループに割り当ててからでなければ、
削除できません。
2009-07-15-default セキュリティグループを削除するには
1.
このセキュリティグループがどのインスタンスにも割り当てられていないことを確認します。
a.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
b.
c.
ナビゲーションペインの [Network Interfaces] をクリックします。
リストからインスタンスのネットワークインターフェイスを選択し、[Actions] リストで [Change
Security Groups] を選択します。
[Change Security Groups] ダイアログボックスで、リストから新しいセキュリティグループを
選択し、[Save] をクリックします。
d.
Tip
インスタンスのセキュリティグループを変更するときに、複数のグループをリストか
ら選択できます。選択したセキュリティグループによって、インスタンスの現在のセ
キュリティグループが置き換えられます。
e.
各インスタンスごとに前述の手順を繰り返します。
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Security Groups] をクリックします。
2009-07-15-default セキュリティグループを選択し、[Delete] ボタンをクリックします。
5.
[Delete Security Group] ダイアログボックスで、[Yes, Delete] をクリックします。
API と CLI の概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
セキュリティグループを作成する
• create-security-group（AWS CLI）
• ec2-create-group（Amazon EC2 CLI）
• New-EC2SecurityGroup（AWS Tools for Windows PowerShell）
セキュリティグループにルールを追加する
• authorize-security-group-ingress および authorize-security-group-egress（AWS CLI）
• ec2-authorize（Amazon EC2 CLI）
• Grant-EC2SecurityGroupIngress および Grant-EC2SecurityGroupEgress（AWS Tools for Windows
PowerShell）
API Version 2014-02-01
76
Amazon Virtual Private Cloud ユーザーガイド
ネットワーク ACL
1 つまたは複数のセキュリティグループについて説明する
• describe-security-groups（AWS CLI）
• ec2-describe-group（Amazon EC2 CLI）
• Get-EC2SecurityGroup（AWS Tools for Windows PowerShell）
インスタンスのセキュリティグループを変更する
• modify-instance-attribute（AWS CLI）
• ec2-modify-instance-attribute（Amazon EC2 CLI）
• Edit-EC2InstanceAttribute（AWS Tools for Windows PowerShell）
セキュリティグループからルールを削除する
• revoke-security-group-ingress および revoke-security-group-egress（AWS CLI）
• ec2-revoke（Amazon EC2 CLI）
• Revoke-EC2SecurityGroupIngress および Revoke-EC2SecurityGroupEgress（AWS Tools for Windows
PowerShell）
セキュリティグループを削除する
• delete-security-group（AWS CLI）
• ec2-delete-group（Amazon EC2 CLI）
• Remove-EC2SecurityGroup（AWS Tools for Windows PowerShell）
ネットワーク ACL
Abstract
ネットワークアクセスコントロールリストを使用して、サブネットのインバウンドトラフィックとアウトバウンド
トラフィックを制御します。
ネットワークアクセスコントロールリスト（ACL）は、サブネットのインバウンドトラフィックとアウ
トバウンドトラフィックを制御するファイアウォールとして動作するセキュリティのオプションレイ
ヤーです。セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルー
ルを指定したネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACL
の違いの詳細については、「セキュリティグループとネットワーク ACL の比較 (p. 69)」を参照してく
ださい。
Topics
• ネットワーク ACL の基本 (p. 78)
• ネットワーク ACL ルール (p. 78)
• デフォルトのネットワーク ACL (p. 78)
• カスタムネットワーク ACL の例 (p. 79)
• 一時ポート (p. 81)
• ネットワーク ACL の操作 (p. 82)
• API とコマンドの概要 (p. 143)
API Version 2014-02-01
77
Amazon Virtual Private Cloud ユーザーガイド
ネットワーク ACL の基本
ネットワーク ACL の基本
ネットワーク ACL について知っておく必要がある基本的な情報を以下に示します。
• ネットワーク ACL は、低い番号から順に評価される番号付きのルールリストであり、ネットワーク
ACL に関連付けられたサブネットのインバウンドトラフィックまたはアウトバウンドトラフィック
が許可されるかどうかを指定します。ルールに使用できる最も高い番号は 32766 です。まずは 100
の倍数のルール番号を付けたルールを作成することをお勧めします。こうすると、後で必要になった
ときに新しいルールを挿入できます。
• ネットワーク ACL には個別のインバウンドルールとアウトバウンドルールがあり、各ルールでトラ
フィックを許可または拒否できます。
• VPC には、変更可能なデフォルトのネットワーク ACL が自動的に設定されます。デフォルトでは、
この ACL はすべてのインバウンドトラフィックとアウトバウンドトラフィックを許可します。
• カスタムネットワーク ACL を作成できます。各カスタムネットワーク ACL の初期状態は、ルールを
追加するまで閉じられています（一切のトラフィックを許可していません）。
• 各サブネットはネットワーク ACL に関連付ける必要があります。サブネットをネットワーク ACL に
明示的に関連付けない場合、サブネットはデフォルトのネットワーク ACL に自動的に関連付けられ
ます。
• ネットワーク ACL はステートレスです。許可されているインバウンドトラフィックに対する応答は、
アウトバウンドトラフィックのルールに従います（その逆の場合も同様です）。
作成できるネットワーク ACL の数の詳細については、「Amazon VPC 制限 (p. 210)」を参照してくださ
い。
ネットワーク ACL ルール
デフォルトのネットワーク ACL に対してルールの追加または削除を行うことができます。また、VPC
に合わせて追加のネットワーク ACL を作成することができます。ネットワーク ACL に対してルールの
追加または削除を行うと、変更内容は、その ACL に関連付けられているサブネットに自動的に適用さ
れます。
次に、ネットワーク ACL ルールの一部を示します。
• ルール番号。ルールは、最も低い番号のルールから評価されます。
• プロトコル。標準のプロトコル番号を持つ任意のプロトコルを指定できます。詳細については、「プ
ロトコル番号」を参照してください。プロトコルとして ICMP を指定する場合、任意またはすべての
ICMP タイプとコードを指定できます。
• [インバウンドルールのみ] トラフィックの送信元（CIDR の範囲）と送信先（リッスン）ポートまた
はポートの範囲。
• [アウトバウンドルールのみ] トラフィックの送信先（CIDR の範囲）と送信先ポートまたはポートの
範囲。
• 許可または拒否の選択。
デフォルトのネットワーク ACL
ACL ルールの概要を理解できるように、ここでは、デフォルトのネットワーク ACL は次のような初期
状態です。デフォルトのネットワーク ACL は、各サブネットを出入りするすべてのトラフィックを許
可するように設定されています。各ネットワーク ACL には、ルール番号がアスタリスクのルールが含
まれます。このルールによって、パケットが他のいずれのルールとも一致しない場合は、確実に拒否さ
れます。このルールを変更または削除することはできません。
インバウンド
API Version 2014-02-01
78
Amazon Virtual Private Cloud ユーザーガイド
カスタムネットワーク ACL の例
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
100
0.0.0.0/0
すべて
すべて
許可
*
0.0.0.0/0
すべて
すべて
拒否
ルール番号
送信先 IP
プロトコル
ポート
許可/拒否
100
0.0.0.0/0
すべて
すべて
許可
*
0.0.0.0/0
すべて
すべて
拒否
アウトバウンド
カスタムネットワーク ACL の例
次の表に、カスタムネットワーク ACL の例を示します。この ACL には、HTTP および HTTPS のイン
バウンドトラフィック（インバウンドルール 100 および 110）を許可するルールが含まれます。その
インバウンドトラフィックに対する応答を可能にする、対応するアウトバウンドルールがあります（一
時ポート 49152～65535 を対象とするアウトバウンドルール 120）。適切な一時ポートの範囲を選択す
る方法の詳細については、「一時ポート (p. 81)」を参照してください。
ネットワーク ACL には、SSH および RDP からサブネットに対するトラフィックを許可するインバウ
ンドルールも含まれます。アウトバウンドルール 120 は、サブネットに送信される応答を可能にしま
す。
ネットワーク ACL には、サブネットからの HTTP および HTTPS のアウトバウンドトラフィックを許
可するアウトバウンドルール（100 および 110）があります。そのアウトバウンドトラフィックに対す
る応答を可能にする、対応するインバウンドルールがあります（一時ポート 49152～65535 を対象とす
るインバウンドルール 140）。
Note
各ネットワーク ACL には、ルール番号がアスタリスクのデフォルトルールが含まれます。こ
のルールによって、パケットが他のいずれのルールとも一致しない場合は、確実に拒否されま
す。このルールを変更または削除することはできません。
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
すべての場所からのインバ
ウンド HTTP トラフィック
を許可します。
110
0.0.0.0/0
TCP
443
許可
すべての場所からのインバ
ウンド HTTPS トラフィック
を許可します。
120
192.0.2.0/24 TCP
22
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークのパブリック
IP アドレスの範囲からのイ
ンバウンド SSH トラフィッ
クを許可します。
API Version 2014-02-01
79
Amazon Virtual Private Cloud ユーザーガイド
カスタムネットワーク ACL の例
130
192.0.2.0/24 TCP
3389
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークのパブリック
IP アドレスの範囲からウェ
ブサーバーに対するインバ
ウンド RDP トラフィックを
許可します。
140
0.0.0.0/0
TCP
49152～
65535
許可
（送信元がサブネットであ
るリクエストに対する）イ
ンターネットからのインバ
ウンドリターントラフィッ
クを許可します。
適切な一時ポートの範囲を
選択する方法の詳細につい
ては、「一時ポー
ト (p. 81)」を参照してくだ
さい。
150
0.0.0.0/0
UDP
3276861000
許可
インバウンドリターン UDP
トラフィックを許可しま
す。
適切な一時ポートの範囲を
選択する方法の詳細につい
ては、「一時ポー
ト (p. 81)」を参照してくだ
さい。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）。
アウトバウンド
ルール番号
送信先 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
サブネットからインター
ネットへのアウトバウンド
HTTP トラフィックを許可
します。
110
0.0.0.0/0
TCP
443
許可
サブネットからインター
ネットへのアウトバウンド
HTTPS トラフィックを許可
します。
API Version 2014-02-01
80
Amazon Virtual Private Cloud ユーザーガイド
一時ポート
120
0.0.0.0/0
TCP
49152～
65535
許可
インターネット上のクライ
アントに対するアウトバウ
ンド応答を許可します（例
えば、サブネット内のウェ
ブサーバーを訪問するユー
ザーに対するウェブページ
の提供など）。
適切な一時ポートの範囲を
選択する方法の詳細につい
ては、「一時ポー
ト (p. 81)」を参照してくだ
さい。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）。
パケットがサブネットに送信されると、サブネットが関連付けられている ACL の進入ルールと照合し
て評価されます（ルールリストの一番上から順に一番下まで評価されます）。例えば、パケットが SSL
ポート（443）あてだとします。パケットは最初に評価されるルール（ルール 100）と一致しません。
また、2 番目のルール（110）とは一致します。このルールでは、サブネットに送信されるパケットを
許可します。パケットがポート 139（NetBIOS）あての場合、先頭の 2 つのルールは一致しませんが、
最終的に * ルールによってパケットが拒否されます。
正当に幅広い範囲のポートを開く必要があり、その範囲内の特定のポートは拒否したい場合は、拒否
ルールを追加します。このとき、テーブル内で、幅広い範囲のポートトラフィックを許可するルールよ
りも先に拒否ルールを配置します。
Important
Elastic Load Balancing では、バックエンドインスタンスのサブネットに、ソースが 0.0.0.0/0
であるすべてのトラフィックにインバウンド拒否ルールを適用するネットワーク ACL がある
場合、ロードバランサーはインスタンスのヘルスチェックを実行できません。ヘルスチェック
を確実に実行できるようにするには、まず拒否ルールを削除します。次に、ロードバランサー
にアタッチされているサブネットごとに 2 つのインバウンド許可ルールを追加します。1 つは
リスナーポートのすべてのトラフィックに適用され、もう 1 つはヘルスチェックポートのすべ
てのトラフィックに適用されます。最後に、ロードバランサーにアタッチされているサブネッ
トごとに、一時ポート 1024～65535 に適用されるアウトバウンド許可ルールを追加します。
一時ポート
前のセクションでは、ネットワーク ACL の例に 49152～65535 という一時ポートの範囲を使用してい
ます。ただし、ネットワーク ACL には別の範囲を使用することができます。ここではその理由につい
て説明します。
リクエストを開始するクライアントは、一時ポートの範囲を選択します。範囲は、クライアントのオペ
レーティングシステムによって変わります。多くの Linux カーネル（Amazon Linux カーネルを含む）
は、ポート 32768～61000 を使用します。Elastic Load Balancing が送信元のリクエストは、ポート
1024～65535 を使用します。Windows Server 2003 を介する Windows オペレーティングシステムは、
ポート 1025～5000 を使用します。Windows Server 2008 は、ポート 49152～65535 を使用します。
そのため、インターネット上の Windows XP クライアントから、お使いの VPC のウェブサーバーにリ
クエストが送信される場合、ネットワーク ACL には、ポート 1025～5000 あてのトラフィックを可能
にするアウトバウンドルールを用意する必要があります。
API Version 2014-02-01
81
Amazon Virtual Private Cloud ユーザーガイド
ネットワーク ACL の操作
VPC 内の EC2 インスタンスが、リクエストを開始するクライアントの場合、ネットワーク ACL には、
インスタンス（Amazon Linux, Windows Server 2008 など）の種類に固有の一時ポートあてのトラフィッ
クを可能にするインバウンドルールを用意する必要があります。
実際に、VPC 内のパブリックに面したインスタンスに対して、トラフィックを開始することができる
多様なクライアントを対象にするには、一時ポート 1024～65535 を開く必要があります。ただし、そ
の範囲内で悪意のあるポートのトラフィックを拒否するルールを ACL を追加することもできます。こ
のとき、テーブル内で、幅広い範囲の一時ポートを開くルールよりも先に拒否ルールを配置します。
ネットワーク ACL の操作
ここでは、Amazon VPC コンソールを使用してネットワーク ACL を操作する方法について説明しま
す。
Topics
• サブネットを関連付けるネットワーク ACL の決定 (p. 82)
• ネットワーク ACL に関連付けられたサブネットの決定 (p. 82)
•
•
•
•
•
•
ネットワーク ACL を作成する (p. 83)
ルールの追加と削除 (p. 83)
サブネットをネットワーク ACL と関連付ける (p. 84)
ネットワーク ACL とサブネットの関連付けの解除 (p. 84)
サブネットのネットワーク ACL の変更 (p. 84)
ネットワーク ACL の削除 (p. 85)
サブネットを関連付けるネットワーク ACL の決定
サブネットを関連付けるネットワーク ACL を決定するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] をクリックし、サブネットを選択します。
サブネットに関連付けられているネットワーク ACL は、ネットワーク ACL のルールと共に [Network
ACL] タブに表示されます。
ネットワーク ACL に関連付けられたサブネットの決定
ネットワーク ACL に関連付けられたサブネットを決定するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックします。
コンソールにネットワーク ACL が表示されます。[Associated With] 列には、関連付けられている
サブネットの数が表示されます。
ネットワーク ACL を選択します。
詳細ペインで [Subnet Associations] タブをクリックして、ネットワーク ACL に関連付けられてい
るサブネットを表示します。
API Version 2014-02-01
82
Amazon Virtual Private Cloud ユーザーガイド
ネットワーク ACL の操作
ネットワーク ACL を作成する
ネットワーク ACL を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインの [Network ACLs] をクリックします。
[Create Network ACL] ボタンをクリックします。
[Create Network ACL ] ダイアログボックスで、オプションでネットワーク ACL に名前を付けて、
[VPC] リストから VPC を選択して、[Yes, Create] をクリックします。
ネットワーク ACL の初期設定では、すべてのインバウンドトラフィックとアウトバウンドトラフィッ
クをブロックします。このネットワーク ACL には、すべての ACL にある * ルール以外にルールがあり
ません。
新しい ACL に関連付けられたサブネットはありません。
ルールの追加と削除
ACL のルールの追加または削除を行うと、その ACL に関連付けられたすべてのサブネットに変更が反
映されます。サブネット内のインスタンスを削除して再作成する必要はありません。短時間で変更が反
映されます。
ルールは変更できません。ルールの追加と削除のみを行うことができます。ACL のルールの順序を変
更する必要がある場合は、新しいルール番号を指定した新しいルールを追加してから、元のルールを削
除します。
ルールをネットワーク ACL に追加するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックします。
詳細ペインで、追加する必要があるルールの種類に応じて、[Inbound Rules] タブまたは [Outbound
Rules] タブを選択し、[Edit] をクリックします。
[Rule #] にルール番号（100 など）を入力します。ネットワーク ACL にすでに使用されているルー
ル番号は使用できません。ルールは、最も低い番号から順に処理されます。
Tip
ルール番号は、連続番号（101、102、103 など）を使用せずに、間を空けておくことをお
勧めします（100、200、300 など）。こうすることで、既存のルールに番号を振り直さな
くても、所属する新しいルールを簡単に追加できるようになります。
5.
[Type] リストからルールを選択します。例えば、HTTP のルールを追加するには、[HTTP] オプショ
ンを選択します。すべての TCP トラフィックを許可するルールを追加するには、[All TCP] を選択
します。これらのオプションの一部（HTTP など）については、ポートが自動入力されます。表示
されていないプロトコルを使用するには、[Custom protocol rule] を選択します。
6.
（オプション）カスタムプロトコルルールを作成する場合は、[Protocol] リストからプロトコルの
番号または名前を選択します。詳細については、「プロトコル番号の IANA リスト」を参照してく
ださい。
（オプション）選択したプロトコルにポート番号が必要な場合、ポート番号またはハイフンで区
切ったポート番号の範囲（49152-65535 など）を入力します。
インバウンドルールかアウトバウンドルールかに応じて、[Source] または [Destination] ボックス
に、ルールを適用する CIDR の範囲を入力します。
7.
8.
API Version 2014-02-01
83
Amazon Virtual Private Cloud ユーザーガイド
ネットワーク ACL の操作
9.
[Allow/Deny] リストから、指定したトラフィックを許可するには [ALLOW]、指定したトラフィッ
クを拒否するには [DENY] を選択します。
10. （オプション）別のルールを追加するには、[Add another rule] をクリックし、必要に応じてステッ
プ 4 ～ 9 を繰り返します。
11. 完了したら [Save] をクリックします。
ネットワーク ACL からルールを削除するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックしてから、ネットワーク ACL を選択します。
3.
詳細ペインで、[Inbound Rules] タブまたは [Outbound Rules] タブを選択してから、[Edit] をクリッ
クします。削除するルールの [Remove] ボタンをクリックして、[Save] をクリックします。
サブネットをネットワーク ACL と関連付ける
ネットワーク ACL のルールを特定のサブネットに適用するには、サブネットをネットワーク ACL と関
連付ける必要があります。1 つのネットワーク ACL を複数のサブネットに関連付けることができます。
ただし、1 つのサブネットは 1 つのネットワーク ACL にのみ関連付けることができます。特定の ACL
に関連付けられていないサブネットは、デフォルトでデフォルトのネットワーク ACL と関連付けられ
ます。
サブネットをネットワーク ACL と関連付けるには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックしてから、ネットワーク ACL を選択します。
詳細ペインの [Subnet Associations] タブで、[Edit] をクリックします。テーブルに関連付けるサブ
ネットの [Associate] チェックボックスをオンにして、[Save] をクリックします。
ネットワーク ACL とサブネットの関連付けの解除
サブネットとネットワーク ACL の関連付けを解除することができます。例えば、カスタムネットワー
ク ACL と関連付けられているサブネットがあり、そのサブネットをデフォルトのネットワーク ACL と
関連付ける場合があります。サブネットとカスタムネットワーク ACL の関連付けを解除すると、その
サブネットはデフォルトのネットワーク ACL と関連付けられます。
サブネットとネットワーク ACL の関連付けを解除するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックしてから、ネットワーク ACL を選択します。
3.
4.
詳細ペインで [Subnet Associations] タブをクリックします。
[Edit] をクリックして、サブネットの [Associate] チェックボックスをオフにします。[Save] をク
リックします。
サブネットのネットワーク ACL の変更
サブネットが関連付けられているネットワーク ACL を変更できます。例えば、サブネットを作成する
と、初期状態で、そのサブネットにはデフォルトのネットワーク ACL が関連付けられます。このサブ
ネットには、作成したカスタムネットワーク ACL を関連付けることができます。
サブネットのネットワーク ACL を変更した後は、サブネット内のインスタンスを削除して再作成する
必要はありません。短時間で変更が反映されます。
API Version 2014-02-01
84
Amazon Virtual Private Cloud ユーザーガイド
API とコマンドの概要
サブネットのネットワーク ACL の関連付けを変更するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Subnets] をクリックし、サブネットを選択します。
[Network ACL] タブをクリックしてから、[Edit] をクリック します。
[Network ACL] リストからサブネットを関連付けるネットワーク ACL を選択して、[Save] をクリッ
クします。
ネットワーク ACL の削除
ネットワーク ACL に関連付けられているサブネットがない場合にのみ、そのネットワーク ACL を削除
できます。デフォルトのネットワーク ACL は削除できません。
ネットワーク ACL を削除するには
1.
2.
3.
4.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Network ACLs] をクリックします。
ネットワーク ACL を選択してから、[Delete] ボタンをクリックします。
[Delete Network ACL] ダイアログボックスで [Yes, Delete] をクリックします。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
VPC のネットワーク ACL を作成する
• create-network-acl（AWS CLI）
• ec2-create-network-acl（Amazon EC2 CLI）
• New-EC2NetworkAcl（AWS Tools for Windows PowerShell）
1 つまたは複数のネットワーク ACL について説明する
• describe-network-acls（AWS CLI）
• ec2-describe-network-acls（Amazon EC2 CLI）
• Get-EC2NetworkAcl（AWS Tools for Windows PowerShell）
API Version 2014-02-01
85
Amazon Virtual Private Cloud ユーザーガイド
VPC に推奨されるネットワーク ACL ルール
ルールをネットワーク ACL に追加する
• create-network-acl-entry（AWS CLI）
• ec2-create-network-acl-entry（Amazon EC2 CLI）
• New-EC2NetworkAclEntry（AWS Tools for Windows PowerShell）
ネットワーク ACL からルールを削除する
• delete-network-acl-entry（AWS CLI）
• ec2-delete-network-acl-entry（Amazon EC2 CLI）
• Remove-EC2NetworkAclEntry（AWS Tools for Windows PowerShell）
ネットワーク ACL の既存のルールを置換する
• replace-network-acl-entry（AWS CLI）
• ec2-replace-network-acl-entry（Amazon EC2 CLI）
• Set-EC2NetworkAclEntry（AWS Tools for Windows PowerShell）
ネットワーク ACL の関連付けを置換する
• replace-network-acl-association（AWS CLI）
• ec2-replace-network-acl-association（Amazon EC2 CLI）
• Set-EC2NetworkAclAssociation（AWS Tools for Windows PowerShell）
ネットワーク ACL を削除する
• delete-network-acl（AWS CLI）
• ec2-delete-network-acl（Amazon EC2 CLI）
• Remove-EC2NetworkAcl（AWS Tools for Windows PowerShell）
VPC に推奨されるネットワーク ACL ルール
Abstract
推奨のネットワーク ACL ルールを使用して、サブネットのセキュリティを強化します。
VPC ウィザードを利用すると、Amazon VPC.の一般的なシナリオを簡単に実装できます。ドキュメン
トの説明どおりにこのシナリオを実装した場合、デフォルトのネットワークアクセスコントロールリス
ト（ACL）を使用することになります。この場合、すべてのインバウンドトラフィックとアウトバウン
ドトラフィックが許可されます。セキュリティを強化する必要がある場合は、ネットワーク ACL を作
成し、ルールを追加できます。各シナリオに対して以下のルールをお勧めします。
Topics
• シナリオ 1 に推奨されるルール (p. 87)
• シナリオ 2 に推奨されるルール (p. 88)
• シナリオ 3 に推奨されるルール (p. 91)
• シナリオ 4 に推奨されるルール (p. 95)
ネットワーク ACL とその使用方法の詳細については、「ネットワーク ACL (p. 77)」を参照してくださ
い。
API Version 2014-02-01
86
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 1 に推奨されるルール
Important
ここでは、一時ポートの範囲 49152～65535 を使用します。異なる範囲を選択できます。詳細
については、「一時ポート (p. 81)」を参照してください。
シナリオ 1 に推奨されるルール
シナリオ 1 は、インターネットトラフィックを送受信できるインスタンスを含む単一のサブネットで
す。詳細については、「シナリオ 1: 単一のパブリックサブネットを持つ VPC (p. 18)」を参照してくだ
さい。
次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、
すべてのトラフィックをブロックします。
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
すべての場所からのインバ
ウンド HTTP トラフィック
を許可します
110
0.0.0.0/0
TCP
443
許可
すべての場所からのインバ
ウンド HTTPS トラフィック
を許可します
120
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
22
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド SSH トラフィックを
許可します
130
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
3389
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド RDP トラフィックを
許可します
140
0.0.0.0/0
TCP
49152～
65535
許可
送信元がサブネットである
リクエストからのインバウ
ンドリターントラフィック
を許可します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
プロトコル
ポート
許可/拒否
コメント
アウトバウンド
ルール番号
送信先 IP
API Version 2014-02-01
87
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 に推奨されるルール
100
0.0.0.0/0
TCP
80
許可
サブネットからインター
ネットへのアウトバウンド
HTTP トラフィックを許可
します
110
0.0.0.0/0
TCP
443
許可
サブネットからインター
ネットへのアウトバウンド
HTTPS トラフィックを許可
します
120
0.0.0.0/0
TCP
49152～
65535
許可
インターネットのクライア
ントに対するアウトバウン
ド応答を許可します（サブ
ネットのウェブサーバーに
訪問するユーザーにウェブ
ページを提供するなどの処
理）
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
シナリオ 2 に推奨されるルール
シナリオ 2 は、インターネットトラフィックを送受信できるインスタンスを含むパブリックサブネット
と、インターネットからのトラフィックを直接受信できないプライベートサブネットです。ただし、プ
ライベートサブネットは、パブリックサブネットの NAT インスタンスを介して、インターネットに対
するアウトバウンドトラフィックを開始すること（および応答を受信すること）はできます。詳細につ
いては、「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC（NAT） (p. 23)」
を参照してください。
このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、プライベートサブネッ
ト用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらの
ルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。これらの
ルールは、このシナリオのセキュリティグループルールとほとんど同じです。
パブリックサブネット用の ACL ルール
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
すべての場所からのインバ
ウンド HTTP トラフィック
を許可します
110
0.0.0.0/0
TCP
443
許可
すべての場所からのインバ
ウンド HTTPS トラフィック
を許可します
API Version 2014-02-01
88
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 に推奨されるルール
120
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
22
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド SSH トラフィックを
許可します
130
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
3389
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド RDP トラフィックを
許可します
140
0.0.0.0/0
TCP
49152～
65535
許可
送信元がサブネットである
リクエストからのインバウ
ンドリターントラフィック
を許可します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
アウトバウンド
ルール番号
送信先 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
サブネットからインター
ネットへのアウトバウンド
HTTP トラフィックを許可
します
110
0.0.0.0/0
TCP
443
許可
サブネットからインター
ネットへのアウトバウンド
HTTPS トラフィックを許可
します
120
10.0.1.0/24
TCP
1433
許可
プライベートサブネット内
のデータベースサーバーに
対するアウトバウンド MS
SQL アクセスを許可します
130
10.0.1.0/24
TCP
3306
許可
プライベートサブネット内
のデータベースサーバーに
対するアウトバウンド
MySQL アクセスを許可しま
す
API Version 2014-02-01
89
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 2 に推奨されるルール
140
0.0.0.0/0
TCP
49152～
65535
許可
インターネットのクライア
ントに対するアウトバウン
ド応答を許可します（サブ
ネットのウェブサーバーに
訪問するユーザーにウェブ
ページを提供するなどの処
理）
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
150
10.0.1.0/24
TCP
22
許可
プライベートサブネットの
インスタンスへのアウトバ
ウンド SSH アクセスを
（SSH 拠点から）許可しま
す
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
プライベートサブネット用の ACL ルール
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
10.0.0.0/24
TCP
1433
許可
パブリックサブネット内の
ウェブサーバーから、プラ
イベートサブネット内の MS
SQL サーバーに対する読み
取りと書き込みを許可しま
す
110
10.0.0.0/24
TCP
3306
許可
パブリックサブネット内の
ウェブサーバーから、プラ
イベートサブネット内の
MySQL サーバーに対する読
み取りと書き込みを許可し
ます
120
10.0.0.0/24
TCP
22
許可
パブリックサブネット内の
SSH 拠点からのインバウン
ド SSH トラフィックを許可
します
130
10.0.0.0/24
TCP
3389
許可
パブリックサブネット内の
Microsoft Terminal Services
ゲートウェイからのインバ
ウンド TDP トラフィックを
許可します
API Version 2014-02-01
90
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 に推奨されるルール
140
0.0.0.0/0
TCP
49152～
65535
許可
送信元がプライベートサブ
ネットであるリクエストに
ついて、パブリックサブ
ネットの NAT インスタンス
からのインバウンドリター
ントラフィックを許可しま
す
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
アウトバウンド
ルール番号
送信先 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
サブネットからインター
ネットへのアウトバウンド
HTTP トラフィックを許可
します
110
0.0.0.0/0
TCP
443
許可
サブネットからインター
ネットへのアウトバウンド
HTTPS トラフィックを許可
します
120
10.0.0.0/24
TCP
49152～
65535
許可
パブリックサブネットに対
するアウトバウンド応答を
許可します（例えば、プラ
イベートサブネット内の DB
サーバーと通信している、
パブリックサブネット内の
ウェブサーバーに対する応
答）
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
シナリオ 3 に推奨されるルール
シナリオ 3 は、インターネットトラフィックを送受信できるインスタンスを含むパブリックサブネット
と、VPN 接続でホームネットワークとのみ通信できるインスタンスを含む VPN のみのサブネットで
す。詳細については、「シナリオ 3: パブリックサブネットとプライベートサブネット、およびハード
ウェア VPN アクセスを持つ VPC (p. 34)」を参照してください。
API Version 2014-02-01
91
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 に推奨されるルール
このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、VPN のみのサブネット
用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらのルー
ルでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。
パブリックサブネット用の ACL ルール
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
任意の場所からウェブサー
バーへのインバウンド HTTP
トラフィックを許可します
110
0.0.0.0/0
TCP
443
許可
任意の場所からウェブサー
バーへのインバウンド HTTPS トラフィックを許可し
ます
120
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
22
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからウェブ
サーバーへのインバウンド
SSH トラフィックを許可し
ます
130
ホームネッ
トワークの
パブリック
IP アドレス
の範囲
TCP
3389
許可
（インターネットゲート
ウェイを介した）ホーム
ネットワークからウェブ
サーバーへのインバウンド
RDP トラフィックを許可し
ます
140
0.0.0.0/0
TCP
49152～
65535
許可
送信元がサブネットである
リクエストからのインバウ
ンドリターントラフィック
を許可します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
アウトバウンド
ルール番号
送信先 IP
プロトコル
ポート
許可/拒否
コメント
100
0.0.0.0/0
TCP
80
許可
サブネットからインター
ネットへのアウトバウンド
HTTP トラフィックを許可
します
API Version 2014-02-01
92
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 に推奨されるルール
110
0.0.0.0/0
TCP
443
許可
サブネットからインター
ネットへのアウトバウンド
HTTPS トラフィックを許可
します
120
10.0.1.0/24
TCP
1433
許可
VPN のみのサブネット内の
データベースサーバーに対
するアウトバウンド MS
SQL アクセスを許可します
130
10.0.1.0/24
TCP
3306
許可
VPN のみのサブネット内の
データベースサーバーに対
するアウトバウンド MySQL
アクセスを許可します
140
0.0.0.0/0
TCP
49152～
65535
許可
インターネットのクライア
ントに対するアウトバウン
ド応答を許可します（サブ
ネットのウェブサーバーに
訪問するユーザーにウェブ
ページを提供するなどの処
理）
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
VPN のみのサブネットの ACL 設定
インバウンド
ルール番号
送信元 IP
プロトコル
ポート
許可/拒否
コメント
100
10.0.0.0/24
TCP
1433
許可
パブリックサブネット内の
ウェブサーバーから、VPN
のみのサブネット内の MS
SQL サーバーに対する読み
取りと書き込みを許可しま
す
110
10.0.0.0/24
TCP
3306
許可
パブリックサブネット内の
ウェブサーバーから、VPN
のみのサブネット内の
MySQL サーバーに対する読
み取りと書き込みを許可し
ます
API Version 2014-02-01
93
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 3 に推奨されるルール
120
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
22
許可
（仮想プライベートゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド SSH トラフィックを
許可します
130
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
3389
許可
（仮想プライベートゲート
ウェイを介した）ホーム
ネットワークからのインバ
ウンド RDP トラフィックを
許可します
140
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
49152～
65535
許可
（仮想プライベートゲート
ウェイを介した）ホーム
ネットワークのクライアン
トからのインバウンドリ
ターントラフィックを拒否
します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
プロトコル
ポート
許可/拒否
コメント
アウトバウンド
ルール番号
送信先 IP
100
ホームネッ すべて
トワークの
プライベー
ト IP アドレ
スの範囲
すべて
許可
（仮想プライベートゲート
ウェイを介した）サブネッ
トからホームネットワーク
に対するすべてのアウトバ
ウンドトラフィックを許可
します
110
10.0.0.0/24
TCP
49152～
65535
許可
パブリックサブネット内の
ウェブサーバーに対するア
ウトバウンド応答を許可し
ます
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
120
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
49152～
65535
許可
（仮想プライベートゲート
ウェイを介した）ホーム
ネットワークのクライアン
トに対するアウトバウンド
応答を拒否します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
API Version 2014-02-01
94
Amazon Virtual Private Cloud ユーザーガイド
シナリオ 4 に推奨されるルール
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
シナリオ 4 に推奨されるルール
シナリオ 4 は、VPN 接続でホームネットワークとのみ通信できるインスタンスを含む単一のサブネッ
トです。詳細については、「シナリオ 4: 1 つのプライベートサブネットのみ、およびハードウェア VPN
アクセスを持つ VPC (p. 45)」を参照してください。
次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、
すべてのトラフィックをブロックします。
インバウンド
ルール番号
送信元 IP
100
プロトコル
ポート
許可/拒否
コメント
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
22
許可
ホームネットワークからサ
ブネットに対するインバウ
ンド SSH トラフィックを許
可します
110
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
3389
許可
ホームネットワークからサ
ブネットに対するインバウ
ンド RDP トラフィックを許
可します
120
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
49152～
65535
許可
送信元がサブネットである
リクエストからのインバウ
ンドリターントラフィック
を許可します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
すべて
拒否
前のルールでまだ処理され
ていないすべてのインバウ
ンドトラフィックを拒否し
ます（変更不可能）
プロトコル
ポート
許可/拒否
コメント
すべて
許可
サブネットからホームネッ
トワークに対するすべての
アウトバンドトラフィック
を許可します
アウトバウンド
ルール番号
送信先 IP
100
ホームネッ すべて
トワークの
プライベー
ト IP アドレ
スの範囲
API Version 2014-02-01
95
Amazon Virtual Private Cloud ユーザーガイド
アクセスの制御
120
ホームネッ TCP
トワークの
プライベー
ト IP アドレ
スの範囲
49152～
65535
許可
ホームネットワークのクラ
イアントに対するアウトバ
ウンド応答を拒否します
正しい一時ポートの指定に
ついては、このトピックの
冒頭にある「重要」を参照
してください。
*
0.0.0.0/0
すべて
拒否
前のルールでまだ処理され
ていないすべてのアウトバ
ウンドトラフィックを拒否
します（変更不可能）
すべて
Amazon VPC のリソースに対するアクセスの制御
Abstract
IAM を使用して、VPC のレイアウト、ルーティング、セキュリティを変更できるユーザーを制御します。
セキュリティ認証情報により、AWS のサービスに対してお客様の身分が証明され、Amazon VPC リ
ソースなどの AWS リソースを無制限に使用できる許可が与えられます。AWS Identity and Access
Management（IAM）を使用して、その他のユーザー、サービス、およびアプリケーションがお客様の
Amazon VPC のリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有
されません。特定の Amazon EC2 API アクションを使用するアクセス許可をユーザーに付与すること
で、リソースの完全な使用または制限された使用を許可する選択ができます。一部の API アクション
は、ユーザーが作成または変更できる特定のリソースを制御できるようにする、リソースレベルのアク
セス許可をサポートしています。
Important
現在、すべての Amazon EC2 API アクションがリソースレベルのアクセス許可をサポートして
いるわけではありません。Amazon EC2 API アクションでリソースレベルのアクセス許可がサ
ポートされない場合、アクションを使用するアクセス許可をユーザーに付与できますが、ポリ
シーステートメントのリソース要素として * を指定する必要があります。これを行う例につい
ては、「1. VPC を管理する (p. 98)」のサンプルポリシーを参照してください。今後、Amazon
EC2 リソースに対する API アクションおよび ARN のサポートを追加していきます。Amazon
EC2 API アクションで使用できる ARN の詳細、および各 ARN でサポートされる条件キーにつ
いては、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 API アク
ションでサポートされるリソースと条件」を参照してください。
Amazon EC2 用の IAM ポリシーの作成、および Amazon EC2 用のポリシー例については、「Linux イ
ンスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 の IAM ポリシー」を参照してくださ
い。
Topics
• CLI または SDK のサンプルポリシー (p. 97)
• コンソールのサンプルポリシー (p. 107)
API Version 2014-02-01
96
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
CLI または SDK のサンプルポリシー
以下の例では、Amazon VPC に対して IAM ユーザーが所有するアクセス許可を制御するために使用で
きるポリシーステートメントを示しています。これらの例は、AWS CLI、Amazon EC2 CLI、または
AWS SDK を使用するユーザーを対象としています。
• 1. VPC を管理する (p. 98)
• 2. Amazon VPC 用の読み取り専用ポリシー (p. 99)
• 3. Amazon VPC 用のカスタムポリシー (p. 100)
• 4. 特定のサブネット内にインスタンスを起動する (p. 101)
• 5. 特定の VPC 内にインスタンスを起動する (p. 102)
• 6. VPC でセキュリティグループを管理する (p. 103)
• 7. VPC ピア接続の作成と管理 (p. 104)
• 8. VPC エンドポイントの作成と管理 (p. 107)
ClassicLink に使用するポリシーの例については、『Linux インスタンス用 Amazon EC2 ユーザーガイ
ド』の「CLI または SDK のサンプルポリシー」を参照してください。
API Version 2014-02-01
97
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 1. VPC を管理する
以下のポリシーは、VPC を作成および管理する許可をユーザーに与えます。このポリシーはネットワー
ク管理者のグループに割り当てることができます。[Action] エレメントは、VPC、サブネット、イン
ターネットゲートウェイ、カスタマーゲートウェイ、仮想プライベートゲートウェイ、VPN 接続、ルー
トテーブル、Elastic IP アドレス、セキュリティグループ、ネットワーク ACL、および DHCP オプショ
ンセットに関連した API アクションを指定します。また、このポリシーにより、グループはインスタ
ンスを実行、停止、開始、および終了することを許可されます。さらに、グループは Amazon EC2 の
リソースを一覧表示することもできます。
ポリシーでは、ワイルドカードを使用して、各オブジェクトタイプに許可されるアクションをすべて指
定します（例: *SecurityGroup*）。または、各アクションを明示的にリストすることもできます。
ワイルドカードを使用する場合は、名前にワイルドカード文字列を含む新しいアクションをポリシーに
追加すると、そのポリシーによってグループには自動的に新しいアクションへのアクセスが許可される
ことにご留意ください。
Resource エレメントにワイルドカードを使用します。これは、ユーザーが API アクションですべての
リソースを指定できることを示します。また、API アクションがリソースレベルのアクセス許可をサ
ポートしていない場合も、* ワイルドカードが必要です。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":["ec2:*Vpc*",
"ec2:*Subnet*",
"ec2:*Gateway*",
"ec2:*Vpn*",
"ec2:*Route*",
"ec2:*Address*",
"ec2:*SecurityGroup*",
"ec2:*NetworkAcl*",
"ec2:*DhcpOptions*",
"ec2:RunInstances",
"ec2:StopInstances",
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:Describe*"],
"Resource":"*"
}
]
}
API Version 2014-02-01
98
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 2. Amazon VPC 用の読み取り専用ポリシー
次のポリシーは、VPC とそのコンポーネントをリストする許可をユーザーに与えます。ユーザーは、
VPC を作成、更新、または削除することはできません。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":["ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeInternetGateways",
"ec2:DescribeCustomerGateways",
"ec2:DescribeVpnGateways",
"ec2:DescribeVpnConnections",
"ec2:DescribeRouteTables",
"ec2:DescribeAddresses",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkAcls",
"ec2:DescribeDhcpOptions",
"ec2:DescribeTags",
"ec2:DescribeInstances"],
"Resource":"*"
}
]
}
API Version 2014-02-01
99
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 3. Amazon VPC 用のカスタムポリシー
次のポリシーは、インスタンスの起動、インスタンスの停止、インスタンスの開始、インスタンスの終
了の許可をユーザーに与え、Amazon EC2 および Amazon VPC で利用できるリソースについて説明し
ます。
ポリシーの 2 番目の定義文は、明示的に許可を否定することにより、他のポリシーでユーザーに許可し
てしまうことがある、より広い API アクションへのアクセスを否定しています。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":["ec2:RunInstances",
"ec2:StopInstances",
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:Describe*"],
"Resource":"*"
},
{
"Effect":"Deny",
"NotAction":["ec2:RunInstances",
"ec2:StopInstances",
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:Describe*"],
"Resource":"*"
}
]
}
API Version 2014-02-01
100
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 4. 特定のサブネット内にインスタンスを起動する
以下のポリシーは、特定のサブネット内にインスタンスを起動し、リクエストで特定のセキュリティグ
ループを使用する許可をユーザーに与えます。このポリシーは、subnet-1a2b3c4d の ARN および
sg-123abc123 の ARN を指定することで許可を与えます。ユーザーが別のサブネット内でまたは別の
セキュリティグループを使用してインスタンスを起動しようとすると、リクエストは失敗します（ただ
し、別のポリシーまたは別の定義文で、ユーザーにその許可が与えられている場合を除きます）。
このポリシーは、ネットワークインターフェイスリソースを使用する許可も与えます。サブネット内に
起動すると、RunInstances リクエストは、デフォルトでプライマリネットワークインターフェイス
を作成するので、ユーザーには、インスタンスを起動するときにこのリソースを作成する許可が必要で
す。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region::image/ami-*",
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:subnet/subnet-1a2b3c4d",
"arn:aws:ec2:region:account:network-interface/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:key-pair/*",
"arn:aws:ec2:region:account:security-group/sg-123abc123"
]
}
]
}
API Version 2014-02-01
101
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 5. 特定の VPC 内にインスタンスを起動する
以下のポリシーは、特定の VPC 内の任意のサブネットにインスタンスを起動する許可をユーザーに与
えます。このポリシーは、条件キー（ec2:Vpc）をサブネットリソースに適用することで許可を与えま
す。
また、このポリシーは、タグ「department=dev」のある AMI のみを使用してインスタンスを起動す
る許可をユーザーに与えます。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:region:account:subnet/*",
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:region::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:network-interface/*",
"arn:aws:ec2:region:account:key-pair/*",
"arn:aws:ec2:region:account:security-group/*"
]
}
]
}
API Version 2014-02-01
102
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 6. VPC でセキュリティグループを管理する
以下のポリシーは、特定の VPC 内の任意のセキュリティグループに対するインバウンドルールとアウ
トバウンドルールを作成および削除する許可をユーザーに与えます。このポリシーは、Authorize ア
クションと Revoke アクションのセキュリティグループリソースに条件キー（ec2:Vpc）を適用する
ことで、許可を与えます。
2 番目のステートメントは、すべてのセキュリティグループについて説明する許可をユーザーに与えま
す。これは、ユーザーが CLI を使用してセキュリティグループルールを変更できるようにするために必
要です。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress"],
"Resource": "arn:aws:ec2:region:account:security-group/*",
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DescribeSecurityGroups",
"Resource": "*"
}
]
}
API Version 2014-02-01
103
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
Example 7. VPC ピア接続の作成と管理
VPC ピア接続の作成と変更を管理する際に使用できるポリシーの例を次に示します。
a. VPC ピア接続を作成する
次のポリシーにより、ユーザーは、Purpose=Peering というタグが付いている VPC のみを使用して
VPC ピア接続リクエストを作成できます。最初のステートメントでは、条件キー（ec2:ResourceTag）
が VPC リソースに適用されます。CreateVpcPeeringConnection アクションの VPC リソースは、
常にリクエスタ VPC であることに注意してください。
2 番目のステートメントでは、VPC ピア接続リソースを作成するためのアクセス許可をユーザーに与
えます。このため、特定のリソース ID の代わりにワイルドカード * が使用されます。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*"
}
]
}
次のポリシーにより、AWS アカウント 333333333333 のユーザーは、us-east-1 リージョン内の任意
の VPC を使用して VPC ピア接続を作成できます。ただし、ピア接続を受け入れる VPC が特定のアカ
ウント（777788889999）の特定の VPC（vpc-aaa111bb）である場合に限ります。
{
"Version": "2012-10-17",
"Statement": [{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:333333333333:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:333333333333:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:region:777788889999:vpc/vpc-aaa111bb"
}
}
}
]
}
API Version 2014-02-01
104
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
b. VPC ピア接続を受け入れる
次のポリシーにより、ユーザーは、AWS アカウント 444455556666 からの VPC ピア接続リクエスト
を受け入れることができます。これにより、不明なアカウントから VPC ピア接続リクエストを受け入
れることを防ぐことができます。最初のステートメントでは、これを適用するために ec2:RequesterVpc
条件キーが使用されます。
また、このポリシーでは、VPC に Purpose=Peering というタグが付いている場合にのみ VPC ピア
リクエストを受け入れるアクセス許可をユーザーに与えます。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/*"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
}
]
}
c. VPC ピア接続を削除する
次のポリシーにより、アカウント 444455556666 のユーザーは、同じアカウント内の指定された VPC
vpc-1a2b3c4d を使用する VPC ピア接続を除くすべての VPC ピア接続を削除できます。このポリシー
では、ec2:AccepterVpc 条件キーと ec2:RequesterVpc 条件キーの両方を指定しています。これ
は、VPC がリクエスタ VPC であるか、または元の VPC ピア接続リクエスト内のピア VPC である可
能性があるためです。
API Version 2014-02-01
105
Amazon Virtual Private Cloud ユーザーガイド
CLI または SDK のサンプルポリシー
{
"Version": "2012-10-17",
"Statement": [{
"Effect":"Allow",
"Action": "ec2:DeleteVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:444455556666:vpc-peering-connection/*",
"Condition": {
"ArnNotEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d",
"ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d"
}
}
}
]
}
d. 特定のアカウントでの操作
次のポリシーにより、ユーザーは特定のアカウント内で VPC ピア接続を完全に操作できます。ユーザー
は、VPC ピア接続の表示、作成、受け入れ、拒否、および削除を実行できます（それらの接続がすべ
て AWS アカウント 333333333333 内の接続である場合）。
最初のステートメントでは、ユーザーはすべての VPC ピア接続を表示できます。この場合、Resource
エレメントではワイルドカード * が必要になります。現時点では、この API アクション
（DescribeVpcPeeringConnections）が、リソースレベルのアクセス許可をサポートしていないた
めです。
2 番目のステートメントでは、ユーザーは VPC ピア接続を作成でき、必要であれば、アカウント
333333333333 内のすべての VPC へアクセスできます。
3 番目のステートメントでは、すべての VPC ピア接続アクションを許可するために、Action エレメ
ントの一部としてワイルドカード * が使用されています。条件キーによって、アクションは、アカウン
ト 333333333333 の一部である VPC を使用した VPC ピア接続に対してのみ実行することができます。
たとえば、アクセプタ VPC またはリクエスタ VPC のどちらかが別のアカウントに属する場合、ユー
ザーは VPC ピア接続を削除できません。ユーザーは、別のアカウントに属する VPC を使用して VPC
ピア接続を作成することはできません。
API Version 2014-02-01
106
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:DescribeVpcPeeringConnections",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"],
"Resource": "arn:aws:ec2:*:333333333333:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:*VpcPeeringConnection",
"Resource": "arn:aws:ec2:*:333333333333:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:*:333333333333:vpc/*",
"ec2:RequesterVpc": "arn:aws:ec2:*:333333333333:vpc/*"
}
}
}
]
}
Example 8. VPC エンドポイントの作成と管理
次のポリシーは、VPC エンドポイントを作成、変更、表示、削除するアクセス権限をユーザーに付与
します。ec2:*VpcEndpoint* アクションはいずれもリソースレベルのアクセス権限をサポートして
いないため、ユーザーがすべてのリソースを操作できるようにするには、Resource 要素に * ワイルド
カードを使用する必要があります。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
コンソールのサンプルポリシー
IAM ポリシーを使用して、Amazon VPC コンソールで特定のリソースを表示、および操作するアクセ
ス許可をユーザーに付与することができます。上記のセクションのサンプルポリシーを使用することは
できますが、これらは AWS CLI、Amazon EC2 CLI、または AWS SDK で作成されたリクエスト向け
に設計されています。コンソールではこの機能を実行するために追加の API アクションを使用するの
で、これらのポリシーは正常に動作しない可能性があります。
このセクションでは、VPC コンソールの特定の部分をユーザーが操作できるようになるポリシーを説
明します。
• 1. VPC 起動ウィザードの使用 (p. 109)
API Version 2014-02-01
107
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
• 2. VPC を管理する (p. 113)
• 3. セキュリティグループの管理 (p. 115)
• 4. VPC ピア接続の作成 (p. 116)
API Version 2014-02-01
108
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
Example 1. VPC 起動ウィザードの使用
Amazon VPC コンソールで VPC ウィザードを使用して、VPC を作成、セットアップ、設定できるの
で、VPC の使用を開始できます。ウィザードは、ユーザーの要件に応じてさまざまな設定オプション
を提供します。VPC ウィザードを使用して VPC を作成する方法の詳細については、「Amazon VPC
の VPC ウィザードのシナリオ (p. 17)」を参照してください。
ユーザーが VPC ウィザードを使用できるようにするには、選択した設定の一部となるリソースを作成
および変更するアクセス許可をユーザーに付与する必要があります。次のポリシーの例では、それぞれ
のウィザード設定オプションに必要なアクションを示します
Note
ある時点で VPC ウィザードが失敗した場合、作成されたリソースのデタッチと削除が試みら
れます。これらのアクションを使用するアクセス許可をユーザーに付与していない場合、これ
らのリソースはアカウントに残ります。
オプション 1: 1 つのパブリックサブネットを持つ VPC
最初の VPC ウィザード設定オプションでは、1 つのサブネットを持つ VPC を作成します。IAM ポリ
シーでは、ユーザーがこのウィザードオプションを正しく使用できるようにするため、次のアクション
を使用するアクセス許可をユーザーに付与する必要があります。
• ec2:CreateVpc、ec2:CreateSubnet、ec2:CreateRouteTable、および
ec2:CreateInternetGateway: VPC、サブネット、カスタムルートテーブル、およびインターネッ
トゲートウェイを作成する場合。
• ec2:DescribeAvailabilityZones: ウィザードのアベイラビリティーゾーンのリストおよびサブ
ネットの CIDR ブロックフィールドのセクションを表示する場合。ユーザーがデフォルト設定をその
ままにする場合でも、これらのオプションを表示しないと、VPC を作成することはできません。
• ec2:AttachInternetGateway: インターネットゲートウェイを VPC にアタッチする場合。
• ec2:CreateRoute: カスタムルートテーブルでルートを作成する場合。ルートは、インターネット
ゲートウェイへのトラフィックを示します。
• ec2:AssociateRouteTable: カスタムルートテーブルをサブネットに関連付ける場合。
• ec2:ModifyVpcAttribute: VPC の属性を変更して DNS ホスト名を有効にし、この VPC に起動さ
れた各インスタンスが DNS ホスト名を受信できるようにする場合。
このポリシーのいずれの API アクションもリソースレベルのアクセス許可をサポートしないため、ユー
ザーが使用できる特定のリソースを制御することはできません。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway",
"ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVp
cAttribute"
],
"Resource": "*"
}
]
}
API Version 2014-02-01
109
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
オプション 2: パブリックサブネットとプライベートサブネットを持つ VPC
2 番目の VPC ウィザード設定オプションでは、パブリックサブネットとプライベートサブネットを持
つ VPC を作成し、NAT インスタンスを起動します。次のポリシーには、前の例（オプション 1）と同
じアクションに加えて、ユーザーが NAT インスタンスを実行し、設定できるようにするアクションが
含まれています。
• ec2:DescribeKeyPairs: VPC ウィザードのステップ 2 の既存のキーペアのリストを表示する場
合。このアクションがない場合、ウィザードページを読み込むことはできません。
• ec2:DescribeImages: NAT インスタンスとして実行するよう設定された AMI を見つける場合。
• ec2:RunInstances: NAT インスタンスを起動する場合。
• ec2:AllocateAddress および ec2:AssociateAddress: アカウントに Elastic IP アドレスを割り
当て、それを NAT インスタンスに関連付ける場合。
• ec2:ModifyInstanceAttributeNAT インスタンスの送信元/送信先チェックを無効にする場合。
• ec2:DescribeInstances: 実行中の状態になるまでインスタンスのステータスを確認する場合。
• ec2:DescribeRouteTables、ec2:DescribeVpnGateways、および ec2:DescribeVpcs: メイ
ンルートテーブルに追加する必要があるルートに関する情報を収集する場合。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway",
"ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVp
cAttribute",
"ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:RunInstances",
"ec2:AllocateAddress", "ec2:AssociateAddress",
"ec2:DescribeInstances", "ec2:ModifyInstanceAttribute", "ec2:De
scribeRouteTables",
"ec2:DescribeVpnGateways", "ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
ec2:RunInstances アクションでリソースレベルのアクセス許可を使用して、ユーザーによるインス
タンスの起動を管理できます。たとえば、NAT が有効な AMI の ID を指定して、ユーザーがこの AMI
でインスタンスの起動のみを行えるようにできます。NAT インスタンスを起動するためにウィザード
が使用する AMI を見つけるには、完全なアクセス許可を持つユーザーとして Amazon VPC コンソール
にログインし、VPC ウィザードの 2 番目のオプションを実行します。Amazon EC2 コンソールに切り
替え、[Instances] ページを選択し、NAT インスタンスを選択して、その起動に使用された AMI ID を書
き留めます。
次のポリシーにより、ユーザーは ami-1a2b3c4d のみを使用してインスタンスを起動できます。ユー
ザーがその他の AMI を使用してインスタンスを起動しようとすると、起動は失敗します。
API Version 2014-02-01
110
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway",
"ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVp
cAttribute",
"ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:DescribeInstances", "ec2:ModifyInstanceAttribute", "ec2:De
scribeRouteTables",
"ec2:DescribeVpnGateways", "ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region::image/ami-1a2b3c4d",
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:subnet/*",
"arn:aws:ec2:region:account:network-interface/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:key-pair/*",
"arn:aws:ec2:region:account:security-group/*"
]
}
]
}
オプション 3: パブリックサブネットとプライベートサブネット、およびハードウェア VPN アクセスを
持つ VPC
3 番目の VPC ウィザード設定オプションでは、パブリックサブネットとプライベートサブネットを持
つ VPC を作成し、VPC と自ネットワークとの間に VPN 接続を作成します。IAM ポリシーで、オプショ
ン 1 と同じアクションを使用するためのアクセス権限をユーザーに付与する必要があります。これによ
り、ユーザーは VPC と 2 つのサブネットを作成し、パブリックサブネットのルーティングを設定でき
るようになります。VPN 接続を作成するには、ユーザーは以下のアクションを使用するためのアクセ
ス権限が必要です。
• ec2:CreateCustomerGateway: カスタマーゲートウェイを作成するには.
• ec2:CreateVpnGateway と ec2:AttachVpnGateway: 仮想プライベートゲートウェイを作成して、
VPC にアタッチする
• ec2:EnableVgwRoutePropagation: ルート伝達を有効にして、ルートが自動的にルートテーブル
に伝達されるようにする
• ec2:CreateVpnConnection: VPN 接続を作成するには.
• ec2:DescribeVpnConnections、ec2:DescribeVpnGateways、
ec2:DescribeCustomerGateways: ウィザードの 2 番目の設定ページのオプションを表示する
• ec2:DescribeVpcs と ec2:DescribeRouteTables: メインルートテーブルに追加する必要がある
ルートに関する情報を収集する
API Version 2014-02-01
111
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
このポリシーのいずれの API アクションもリソースレベルのアクセス許可をサポートしないため、ユー
ザーが使用できる特定のリソースを制御することはできません。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway",
"ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAt
tribute",
"ec2:CreateCustomerGateway", "ec2:CreateVpnGateway", "ec2:AttachVpnGate
way",
"ec2:EnableVgwRoutePropagation", "ec2:CreateVpnConnection", "ec2:De
scribeVpnGateways",
"ec2:DescribeCustomerGateways", "ec2:DescribeVpnConnections", "ec2:De
scribeRouteTables",
"ec2:DescribeNetworkAcls", "ec2:DescribeInternetGateways", "ec2:De
scribeVpcs"
],
"Resource": "*"
}
]
}
オプション 4: プライベートサブネットのみ、およびハードウェア VPN アクセスを持つ VPC
4 番目の VPC ウィザード設定オプションでは、プライベートサブネットのみを持つ VPC を作成し、
VPC と自ネットワークとの間に VPN 接続を作成します。他の 3 つのオプションとは異なり、ユーザー
には、VPC に対してインターネットゲートウェイを作成またはアタッチするためのアクセス権限も、
ルートテーブルを作成してサブネットに関連付けるためのアクセス権限も不要です。VPN 接続を確立
するには、前の例（オプション 3）に挙げた同じアクセス権限が必要になります。
このポリシーのいずれの API アクションもリソースレベルのアクセス許可をサポートしないため、ユー
ザーが使用できる特定のリソースを制御することはできません。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones",
"ec2:ModifyVpcAttribute", "ec2:CreateCustomerGateway", "ec2:CreateVpnGate
way",
"ec2:AttachVpnGateway", "ec2:EnableVgwRoutePropagation", "ec2:CreateVpn
Connection",
"ec2:DescribeVpnGateways", "ec2:DescribeCustomerGateways", "ec2:DescribeVpn
Connections",
"ec2:DescribeRouteTables", "ec2:DescribeNetworkAcls", "ec2:DescribeInter
netGateways", "ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
API Version 2014-02-01
112
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
Example 2. VPC を管理する
VPC コンソールの [Your VPCs] ページで、VPC を作成または削除できます。VPC を表示するには、
ec2:DescribeVPCs アクションを使用するアクセス許可がユーザーに必要です。[Create VPC] ダイア
ログボックスを使用して VPC を作成するには、ec2:CreateVpc アクションを使用するアクセス許可
がユーザーに必要です。
Note
デフォルトでは、Name のキーと、ユーザーが指定する値でタグが作成されます。ユーザーに
ec2:CreateTags アクションを使用するアクセス許可がない場合、VPC を作成しようすると、
[Create VPC] ダイアログボックスにエラーが表示されます。ただし、VPC は正常に作成され
ている可能性があります。
通常、VPC をセットアップするときは、サブネット、インターネットゲートウェイなど、いくつかの
依存オブジェクトを作成します。これらの依存オブジェクトの関連付けを解除し、削除するまでは、
VPC を削除することはできません。コンソールを使用して VPC を削除すると、これらのアクションが
自動的に実行されます（インスタンスを終了する場合を除く。この場合はユーザーが実行する必要があ
ります）。
次の例では、ユーザーが [Your VPCs] ページで VPC を表示および作成し、VPC ウィザードの最初のオ
プション（1 つのパブリックサブネットを持つ VPC）で作成された VPC を削除することができます。
この VPC には、カスタムルートテーブルに関連付けられた 1 つのサブネットと、それにアタッチされ
たインターネットゲートウェイがあります。コンソールを使用して VPC とそのコンポーネントを削除
するには、いくつかの ec2:Describe* アクションを使用するアクセス許可をユーザーに付与し、こ
の VPC に依存している他のリソースがあるかどうかをコンソールで確認できるようにする必要があり
ます。また、サブネットからルートテーブルの関連付けを解除し、VPC からインターネットゲートウェ
イをデタッチして、これらの両方のリソースを削除するアクセス許可をユーザーに付与する必要があり
ます。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeIn
stances", "ec2:DescribeVpcAttribute",
"ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:De
scribeAddresses",
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups",
"ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:DisassociateRouteTable", "ec2:DeleteSubnet", "ec2:DeleteRouteTable"
],
"Resource": "*"
}
]
}
いずれの ec2:Describe* API アクションにもリソースレベルのアクセス許可を適用することはできま
せんが、一部の ec2:Delete* アクションにリソースレベルのアクセス許可を適用して、ユーザーが削
除できるリソースを制御することができます。
API Version 2014-02-01
113
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
たとえば、次のポリシーでは、Purpose=Test タグを持つルートテーブルとインターネットゲートウェ
イのみをユーザーが削除できるようにします。ユーザーは、このタグを持たない個別のルートテーブル
やインターネットゲートウェイを削除することはできません。同様に、VPC コンソールを使用して、
別のルートテーブルまたはインターネットゲートウェイに関連付けられた VPC を削除することもでき
ません。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeIn
stances", "ec2:DescribeVpcAttribute",
"ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:De
scribeAddresses",
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups",
"ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable", "ec2:DeleteSubnet"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:region:account:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DeleteRouteTable",
"Resource": "arn:aws:ec2:region:account:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
API Version 2014-02-01
114
Amazon Virtual Private Cloud ユーザーガイド
コンソールのサンプルポリシー
Example 3. セキュリティグループの管理
Amazon VPC コンソールの [Security Gropus] ページでセキュリティグループを表示するには、
ec2:DescribeSecurityGroups アクションを使用するアクセス許可がユーザーに必要です。[Create
Security Group] ダイアログボックスを使用してセキュリティグループを作成するには、
ec2:CreateSecurityGroup および ec2:DescribeVpcs アクションを使用するアクセス許可がユー
ザーに必要です。ec2:DescribeSecurityGroups アクションを使用するアクセス許可がユーザーに
ない場合でも、ダイアログボックスを使用してセキュリティグループを作成することができますが、グ
ループが作成されなかったことを示すエラーが表示される可能性があります。
ユーザーは、[Create Security Group] ダイアログボックスでセキュリティグループの名前と説明を追加
する必要がありますが、ec2:CreateTags アクションを使用するアクセス許可が付与されていない限
り、[Name tag] フィールドに値を入力することはできません。ただし、正常にセキュリティグループ
を作成するために、このアクションは必要ありません。
次のポリシーでは、ユーザーはセキュリティグループを表示、作成でき、vpc-1a2b3c4d に関連付け
られたセキュリティグループにインバウンドルールとアウトバウンドルールの両方を追加、削除できま
す。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurity
Group"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition":{
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d"
}
}
}
]
}
API Version 2014-02-01
115
Amazon Virtual Private Cloud ユーザーガイド
VPC フローログ
Example 4. VPC ピア接続の作成
Amazon VPC コンソールへの VPC ピア接続を表示するには、ec2:DescribePeeringConnections
アクションを使用するアクセス許可がユーザーに必要です。[Create VPC Peering Connection] ダイア
ログボックスを使用するには、ec2:DescribeVpcs アクションを使用するアクセス許可がユーザーに
必要です。これにより、ユーザーは VPC を表示、選択することができます。この操作なしに、ダイア
ログボックスを読み込むことはできません。ec2:DescribeVpcPeeringConnections を除くすべて
の ec2:*PeeringConnection アクションに、リソースレベルのアクセス許可を適用できます。
次のポリシーでは、ユーザーが VPC ピア接続を表示し、[Create VPC Peering Connection] ダイアログ
ボックスで、特定のリクエスト元の VPC（vpc-1a2b3c4d）のみを使用して VPC ピア接続を作成でき
ます。ユーザーが別のリクエスト元の VPC を使用して VPC ピア接続を作成しようとすると、リクエ
ストは失敗します。
{
"Version": "2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action": [
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": [
"arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d",
"arn:aws:ec2:*:*:vpc-peering-connection/*"
]
}
]
}
VPC ピア接続を操作するための IAM ポリシーの記述に関するその他の例については、「7. VPC ピア接
続の作成と管理 (p. 104)」を参照してください。
VPC フローログ
Abstract
ネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャするため、フロー
ログを作成します。
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関
する情報をキャプチャできるようにする機能です。フローログのデータは、Amazon CloudWatch Logs
を使用して保存されます。フローログを作成すると、そのデータを Amazon CloudWatch Logs で表示
し、取得できます。
フローログは、多くのタスクで役に立ちます。たとえば、特定のトラフィックがインスタンスに到達し
ていない場合のトラブルシューティングで役に立ちます。これにより、制限が過度に厳しいセキュリ
ティグループルールを診断できます。また、セキュリティツールとしてフローツールを使用し、インス
タンスに達しているトラフィックをモニタリングすることができます。
フローログの使用には追加料金はかかりませんが、標準の CloudWatch Logs 料金が適用されます。詳
細については、Amazon CloudWatch 料金表をご覧ください。
API Version 2014-02-01
116
Amazon Virtual Private Cloud ユーザーガイド
フローログの基礎
Topics
• フローログの基礎 (p. 117)
• フローログの制限事項 (p. 118)
• フローログレコード (p. 118)
• フローログの IAM ロール (p. 119)
• フローログを使用する (p. 121)
• トラブルシューティング (p. 123)
• API と CLI の概要 (p. 123)
• 例: フローログレコード (p. 124)
• 例: フローログの CloudWatch メトリックスフィルタとアラームの作成 (p. 125)
フローログの基礎
VPC、サブネット、またはネットワークインターフェイスのフローログを作成できます。サブネットま
たは VPC のフローログを作成する場合、VPC またはサブネットの各ネットワークインターフェイスが
モニタリングされます。現在のログデータは CloudWatch Logs のロググループに発行され、各ネット
ワークインターフェイスには一意のログストリームがあります。ログストリームにはフローログレコー
ドが含まれます。これは、そのネットワークインターフェイスのトラフィックについて説明するフィー
ルドで構成されるログイベントです。詳細については、「フローログレコード (p. 118)」を参照してく
ださい。
フローログを作成するには、フローログを作成するリソース、キャプチャするトラフィックの種類（許
可されたトラフィック、拒否されたトラフィック、またはすべてのトラフィック）、フローログの発行
先となる CloudWatch Logs のロググループの名前、CloudWatch Logs ロググループにフローログを発
行するための十分なアクセス権限を持つ IAM ロールの ARN を指定します。存在しないロググループ名
を指定した場合、ロググループの自動的な作成が試みられます。フローログを作成した後で、データの
収集と CloudWatch Logs への発行が開始するまでに数分かかる場合があります。フローログで、ネッ
トワークインターフェイスのリアルタイムのログストリームはキャプチャされません。
CloudWatch Logs の同じロググループにデータを公開する複数のフローログを作成できます。同じネッ
トワークインターフェイスが同じロググループの 1 つ以上のフローログに存在する場合、1 つの組み合
わされたログストリームがあります。1 つのフローログで、拒否されたトラフィックをキャプチャし、
別のフローログで、許可されたトラフィックをキャプチャするよう指定した場合、組み合わされたログ
ストリームですべてのトラフィックがキャプチャされます。
サブネットまたは VPC のフローログを作成した後で、サブネットにさらに多くのインスタンスを起動
する場合、そのネットワークインターフェイス用にネットワークトラフィックが記録されるとすぐに、
新しいネットワークインターフェイスごとに新しいログストリームが作成されます。
他の AWS サービスによって作成されたネットワークインターフェイス（たとえば、Elastic Load
Balancing、Amazon RDS、Amazon ElastiCache、Amazon Redshift、Amazon WorkSpaces）のフロー
ログを作成できます。ただし、これらのサービスコンソールや API を使用してフローログを作成する
ことはできません。Amazon EC2 コンソールまたは Amazon EC2 API を使用する必要があります。同
様に、CloudWatch Logs コンソールまたは API を使用して、ネットワークインターフェイスのログス
トリームを作成することはできません。
フローログが不要になった場合には、それを削除することができます。フローログを削除すると、リ
ソースのフローログサービスは無効になり、新しいフローログレコードまたはログストリームは作成さ
れません。ネットワークインターフェイスの既存のフローログレコードやログストリームは削除されま
せん。既存のログストリームを削除するには、CloudWatch Logs コンソールを使用できます。フロー
ログを削除した後で、データの収集が中止するまでに数分かかる場合があります。
API Version 2014-02-01
117
Amazon Virtual Private Cloud ユーザーガイド
フローログの制限事項
フローログの制限事項
フローログを使用するには、次の制限事項に注意する必要があります。
• EC2-Classic プラットフォームにあるネットワークインターフェイスのフローログを有効にすること
はできません。これには、ClassicLink を使用して VPC にリンクされた EC2-Classic インスタンスが
含まれます。
• ピア VPC がアカウントにない限り、VPC とピア接続された VPC のフローログを有効にすることは
できません。
• フローログにタグを付けることはできません。
• フローログを作成した後で、その設定を変更することはできません。たとえば、フローログに別の
IAM ロールを関連付けることはできません。代わりにフローログを削除し、必要な設定で新しいログ
を作成できます。
• フローログの API アクション (ec2:*FlowLogs) は、いずれもリソースレベルのアクセス権限をサ
ポートしていません。フローログの API アクションの使用を管理するために IAM ポリシーを作成す
る場合は、ステートメントでリソース要素に対して * ワイルドカードを使用して、アクションにすべ
てのリソースを使用するユーザーアクセス権限を与える必要があります。詳細については、「Amazon
VPC のリソースに対するアクセスの制御 (p. 96)」を参照してください。
フローログですべての種類の IP トラフィックはキャプチャされません。以下のトラフィックの種類は
記録されません。
• Amazon DNS サーバーに接続したときにインスタンスによって生成されるトラフィック。独自の
DNS サーバーを使用する場合は、その DNS サーバーへのすべてのトラフィックが記録されます。
• Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成された
トラフィック。
• インスタンスメタデータ用に 169.254.169.254 との間を行き来するトラフィック。
• DHCP トラフィック。
フローログレコード
フローログレコードは、フローログのネットワークの流れを表します。各レコードでは、特定のキャプ
チャウィンドウで特定の 5 タプルのネットワークフローがキャプチャされます。5 タプルとは、イン
ターネットプロトコル (IP) のフローの送信元、送信先、およびプロトコルを指定する 5 セットの異な
る値のことです。キャプチャウィンドウは、フローログレコードを発行する前にフローログサービスが
データを集計する期間です。キャプチャウィンドウは約 10 分ですが、最長 15 分かかる場合がありま
す。フローログレコードはスペース区切りの文字列で、以下の形式です。
version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action
log-status
フィールド
説明
バージョン
VPC フローログバージョン。
account-id
フローログの AWS アカウント ID。
interface-id
ログストリームが適用されるネットワークインターフェイスの ID。
srcaddr
送信元 IP アドレス。ネットワークインターフェイスの IP アドレスは常にそ
のプライベート IP アドレスです。
dstaddr
送信先 IP アドレス。ネットワークインターフェイスの IP アドレスは常にそ
のプライベート IP アドレスです。
API Version 2014-02-01
118
Amazon Virtual Private Cloud ユーザーガイド
フローログの IAM ロール
フィールド
説明
srcport
トラフィックの送信元ポート。
dstport
トラフィックの送信先ポート。
プロトコル
トラフィックの IANA プロトコル番号。詳細については、「割り当てられた
インターネットプロトコル番号」を参照してください。
packets
キャプチャウィンドウ中に転送されたパケットの数。
バイト
キャプチャウィンドウ中に転送されたバイト数。
start
キャプチャウィンドウの開始時刻（Unix 時間）。
end
キャプチャウィンドウの終了時刻（Unix 時間）。
action
トラフィックに関連付けられたアクション:
• ACCEPT: 記録されたトラフィックは、セキュリティグループまたはネット
ワーク ACL で許可されています。
• REJECT: 記録されたトラフィックは、セキュリティグループまたはネット
ワーク ACL で許可されていません。
log-status
フローログのロギングステータス。
• OK: データは正常に CloudWatch Logs に記録されています。
• NODATA: キャプチャウィンドウ中にネットワークインターフェイスとの間
で行き来するネットワークトラフィックはありませんでした。
• SKIPDATA: 一部のフローログレコードはキャプチャウィンドウ中にスキッ
プされました。これは、内部的なキャパシティー制限、または内部エラー
が原因である可能性があります。
フィールドが特定のレコードに該当しない場合、レコードでそのエントリには「-」記号が表示されま
す。
フローログレコードの例については、「例: フローログレコード (p. 124)」を参照してください。
CloudWatch Logs で収集された他のログイベントのように、フローログレコードを操作できます。ロ
グデータとメトリックスフィルタのモニタリングの詳細については、『Amazon CloudWatch 開発者ガ
イド』の「ログデータのモニタリング」および「フィルタとパターンの構文」を参照してください。フ
ローログのメトリックスフィルタとアラームを設定する例については、「例: フローログの CloudWatch
メトリックスフィルタとアラームの作成 (p. 125)」を参照してください。
フローログの IAM ロール
フローログに関連付けられた IAM ロールには、CloudWatch Logs の指定されたロググループにフロー
ログを発行するために十分なアクセス権限が必要です。IAM ロールにアタッチされた IAM ポリシーに
は、少なくとも以下のアクセス権限が含まれている必要があります。
{
"Version": "2012-10-17",
"Statement": [
API Version 2014-02-01
119
Amazon Virtual Private Cloud ユーザーガイド
フローログの IAM ロール
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
フローログサービスがロールを引き受けるよう許可するための信頼関係がロールにあることを確認する
必要があります（信頼関係を表示するには、IAM コンソールでロールを選択し、[Edit Trust Relationship]
を選択します）。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
または、以下の手順に従って、フローログで使用する新しいロールを作成できます。
アカウントでの CloudWatch Logs ロググループの
フローログの IAM ロールを作成するには
1.
2.
3.
https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。
ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。
ロールの名前（たとえば、Flow-Logs-Role）を入力し、[Next] を選択します。
4.
5.
6.
[Select Role Type] ページで、[Amazon EC2] の隣にある [Select] を選択します。
[Attach Policy] ページで、[Next Step] を選択します。
[Review] ページで、ロールの ARN を書き留めます。フローログを作成するときに、この ARN が
必要になります。準備が完了したら、[Create Role] を選択します。
7.
8.
ロール名を選択し、[Inline Policies] セクションを展開して、[click here] を選択します。
[Custom Policy] を選択し、[Select] を選択します。
9.
上記の「フローログの IAM ロール (p. 119)」セクションで最初のポリシーをコピーし、[Policy
Document] ウィンドウに貼り付けます。ポリシーの名前を [Policy Name] フィールドに入力し、
[Apply Policy] を選択します。
10. 上記のセクション「フローログの IAM ロール (p. 119)」で、2 番目のポリシー（信頼関係）をコピー
し、[Edit Trust Relationship] を選択します。既存のポリシードキュメントを削除し、新しいポリ
シードキュメントを貼り付けます。終了したら、[Update Trust Policy] を選択します。
API Version 2014-02-01
120
Amazon Virtual Private Cloud ユーザーガイド
フローログを使用する
フローログを使用する
Amazon EC2、Amazon VPC、および CloudWatch コンソールを使用して、フローログを操作できま
す。
Topics
• フローログの作成 (p. 121)
• フローログの表示 (p. 122)
• フローログの削除 (p. 122)
フローログの作成
フローログは、Amazon VPC コンソールの VPC ページとサブネットページ、または Amazon EC2 コ
ンソールの [Network Interfaces] ページから作成できます。
ネットワークインターフェイスのフローログを作成するには
1.
2.
3.
4.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで、[Network Interfaces] を選択します。
ネットワークインターフェイスを選択し、[Flow Logs] タブを選択してから、[Create Flow Log] を
選択します。
ダイアログボックスで、以下の情報を入力します。終了したら、[Create Flow Log] を選択します。
• [Filter]: フローログで、拒否されたトラフィック、許可されたトラフィック、またはすべてのト
ラフィックをキャプチャするかどうかを選択します。
• [Role]: ログを CloudWatch Logs に発行できるアクセス権限がある IAM ロールの名前を指定しま
す。
• [Destination Log Group]: フローログを発行する CloudWatch Logs のロググループの名前を入力
します。既存のログのグループを使用するか、自動的に作成される新しいロググループの名前を
入力できます。
VPC またはサブネットのフローログを作成するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Your VPCs] または [Subnets] を選択します。
3.
VPC またはサブネットを選択し、[Flow Logs] タブを選択してから、[Create Flow Log] を選択しま
す。
Note
複数の VPC のフローログを作成するには、VPC を選択し、[Actions] メニューの [Create
Flow Log] を選択します。複数のサブネット用のフローログを作成するには、サブネット
を選択し、[Subnet Actions] メニューの [Create Flow Log] を選択します。
4.
ダイアログボックスで、以下の情報を入力します。終了したら、[Create Flow Log] を選択します。
• [Filter]: フローログで、拒否されたトラフィック、許可されたトラフィック、またはすべてのト
ラフィックをキャプチャするかどうかを選択します。
• [Role]: ログを CloudWatch Logs に発行できるアクセス権限がある IAM ロールの名前を指定しま
す。[
API Version 2014-02-01
121
Amazon Virtual Private Cloud ユーザーガイド
フローログを使用する
• [Destination Log Group]: フローログを発行する CloudWatch Logs のロググループの名前を入力
します。既存のログのグループを使用するか、自動的に作成される新しいロググループの名前を
入力できます。
フローログの表示
Amazon EC2 および Amazon VPC コンソールでフローログに関する情報を表示するには、特定のリ
ソースの [Flow Logs] タブを表示します。リソースを選択すると、そのリソースのすべてのフローログ
が表示されます。表示される情報には、フローログの ID、フローログの設定、およびフローログのス
テータスに関する情報が含まれます。
ネットワークインターフェイスのフローログに関する情報を表示するには
1.
2.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで、[Network Interfaces] を選択します。
3.
ネットワークインターフェイスを選択し、[Flow Logs] タブを選択します。フローログに関する情
報がタブに表示されます。
VPC またはサブネットのフローログに関する情報を表示するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Your VPCs] または [Subnets] を選択します。
VPC またはサブネットを選択し、[Flow Logs] タブを選択します。フローログに関する情報がタブ
に表示されます。
CloudWatch Logs コンソールを使用して、フローログレコードを表示できます。フローログを作成し
てからコンソールに表示されるまでに、数分かかる場合があります。
フローログのフローログレコードを表示するには
1.
2.
3.
4.
https://console.aws.amazon.com/cloudwatch/にある CloudWatch コンソールを開きます。
ナビゲーションペインで [Logs] を選択します。
フローログを含むロググループの名前を選択します。
各ネットワークインターフェイス用のログストリームのリストが表示されます。フローログレコー
ドを表示するネットワークインターフェイスの ID を含むログストリームの名前を選択します。フ
ローログレコードの詳細については、「フローログレコード (p. 118)」を参照してください。
フローログの削除
Amazon EC2 と Amazon VPC コンソールを使用して、フローログを削除できます。
Note
これらの手順では、リソースのフローログサービスが無効になります。ネットワークインター
フェイスのログストリームを削除するには、CloudWatch Logs コンソールを使用します。
ネットワークインターフェイスのフローログを削除するには
1.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
API Version 2014-02-01
122
Amazon Virtual Private Cloud ユーザーガイド
トラブルシューティング
2.
3.
4.
ナビゲーションペインで [Network Interfaces] を選択してから、ネットワークインターフェイスを
選択します。
[Flow Logs] タブを選択し、削除するフローログの削除ボタン (X) を選択します。
確認ダイアログボックスで、[Yes, Delete] を選択します。
VPC またはサブネットのフローログを削除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [Your VPCs] を選択し、[Subnets] を選択してから、リソースを選択しま
す。
3.
4.
[Flow Logs] タブを選択し、削除するフローログの削除ボタン (X) を選択します。
確認ダイアログボックスで、[Yes, Delete] を選択します。
トラブルシューティング
不完全なフローログレコード
フローログレコードが不完全であるか、発行されなくなった場合、フローログの CloudWatch Logs ロ
ググループへの提供に問題がある可能性があります。Amazon EC2 コンソールまたは Amazon VPC コ
ンソールで、関連するリソースの [Flow Logs] タブに移動します。詳細については、「フローログの表
示 (p. 122)」を参照してください。フローログの表で、エラーは [Status] 列に表示されます。または、
describe-flow-logs コマンドを使用し、DeliverLogsErrorMessage フィールドに返された値を確認し
ます。次のいずれかのエラーが表示される場合があります。
• Rate limited: CloudWatch ログの調整が適用されています。これが発生するのは、ネットワーク
インターフェイスのフローログレコードの数が、特定の期間内に発行できるレコードの最大数より多
い場合です。
• Access error: フローログの IAM ロールに、CloudWatch ロググループにフローログレコードを発
行するための十分なアクセス権限がありません。詳細については、「フローログの IAMロール (p.119)」
を参照してください。
• Unknown error: 内部エラーがフローログサービスで発生しました。
フローログが有効でも、フローログレコードまたはロググルー
プがない
フローログを作成し、Amazon VPC または Amazon EC2 コンソールにフローログが Active と表示さ
れます。ただし、CloudWatch Logs でログストリームは表示されず、CloudWatch Logs ロググループ
は作成されていません。原因は、次のいずれかである可能性があります。
• フローログはまだ作成中です。場合によっては、対象のロググループのフローログを作成してから、
データが表示されるまでに数十分かかることがあります。
• ネットワークインターフェイスに対して記録されたトラフィックがまだありません。CloudWatch
Logs のロググループは、トラフィックの記録時にのみ作成されます。
API と CLI の概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC
へのアクセス (p. 6)」を参照してください。
API Version 2014-02-01
123
Amazon Virtual Private Cloud ユーザーガイド
例: フローログレコード
フローログの作成
• create-flow-logs (AWS CLI)
• New-EC2FlowLogs (AWS Tools for Windows PowerShell)
• CreateFlowLogs (Amazon EC2Query API)
フローログの説明
• describe-flow-logs (AWS CLI)
• Get-EC2FlowLogs (AWS Tools for Windows PowerShell)
• DescribeFlowLogs (Amazon EC2 Query API)
フローログレコード（ログイベント）の表示
• get-log-events (AWS CLI)
• Get-CWLLogEvents (AWS Tools for Windows PowerShell)
• GetLogEvents (CloudWatch API)
フローログの削除
• delete-flow-logs (AWS CLI)
• Remove-EC2FlowLogs (AWS Tools for Windows PowerShell)
• DeleteFlowLogs (Amazon EC2Query API)
例: フローログレコード
許可されたトラフィックと拒否されたトラフィックのフローログレコード
以下に、アカウント 123456789010 のネットワークインターフェイス eni-abc123de への SSH トラ
フィック（宛先ポート 22、TCP プロトコル）が許可されたフローログレコードの例を示します。
2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 20641 22 6 20 4249
1418530010 1418530070 ACCEPT OK
以下に、アカウント 123456789010 のネットワークインターフェイス eni-abc123de への RDP トラ
フィック（宛先ポート 3389、TCP プロトコル）が拒否されたフローログレコードの例を示します。
2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
データがない場合やレコードがスキップされた場合のフローログレコード
以下に、キャプチャウィンドウ中にデータが記録されなかったフローログレコードの例を示します。
2 123456789010 eni-1a2b3c4d - - - - - - - 1431280876 1431280934 - NODATA
以下に、キャプチャウィンドウ中にレコードがスキップされたフローログレコードの例を示します。
2 123456789010 eni-4b118871 - - - - - - - 1431280876 1431280934 - SKIPDATA
API Version 2014-02-01
124
Amazon Virtual Private Cloud ユーザーガイド
例: フローログの CloudWatch メトリックスフィルタとア
ラームの作成
セキュリティグループとネットワーク ACL ルール
フローログを使用して過度に制限されているか制限のないセキュリティグループルールまたはネット
ワーク ACL ルールを診断している場合は、これらのリソースのステートフルさに注意してください。
セキュリティグループはステートフルです。つまり、セキュリティグループのルールで許可されていな
い場合でも、許可されたトラフィックへの応答も許可されます。逆に、ネットワーク ACL はステート
レスです。したがって、許可されたトラフィックへの応答は、ネットワーク ACL ルールに従って行わ
れます。
たとえば、ホームコンピュータ（IP アドレスが 55.123.456.78）からインスタンス（ネットワークイ
ンターフェイスのプライベート IP アドレスが 172.11.22.333）へは、ping コマンドを使用します。
セキュリティグループのインバウンドルールで ICMP トラフィックが許可され、アウトバウンドルール
で ICMP トラフィックが許可されません。ただし、セキュリティグループがステートフルであるため、
インスタンスからの ping 応答は許可されます。ネットワーク ACL でインバウンド ICMP トラフィック
が許可されますが、アウトバウンド ICMP トラフィックは許可されません。ネットワーク ACL はステー
トレスであるため、ping 応答は削除され、ホームコンピュータに達しません。フローログで、これは
3 つのフローログエントリとして表示されます。セキュリティグループで許可された発信元の ping と
応答 ping には 2 つの ACCEPT エントリがあり、ネットワーク ACL で拒否された ping 応答には 1 つの
REJECT エントリがあります。
2 123456789010 eni-1235b8ca 55.123.456.78 172.11.22.333 0 0 1 8 672 1432917027
1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca 172.11.22.333 55.123.456.78 0 0 1 4 336 1432917027
1432917082 ACCEPT OK
2 123456789010 eni-1235b8ca 172.11.22.333 55.123.456.78 0 0 1 4 336 1432917094
1432917142 REJECT OK
例: フローログの CloudWatch メトリックスフィルタ
とアラームの作成
この例では、eni-1a2b3c4d のフローログがあります。1 時間以内の期間に TCP ポート 22 (SSH) 経
由でインスタンスに接続しようとする試みが 10 個以上拒否された場合に、アラームを作成するとしま
す。最初に、アラームを作成するトラフィックのパターンと一致するメトリックスフィルタを作成する
必要があります。次に、メトリックスフィルタのアラームを作成できます。
拒否された SSH トラフィックのメトリックスフィルタを作成し、フィルタのアラームを作成
するには
1.
https://console.aws.amazon.com/cloudwatch/にある CloudWatch コンソールを開きます。
2.
ナビゲーションペインで、[Logs] を選択し、フローログのフローロググループを選択して、[Create
Metric Filter] を選択します。
3.
[Filter Pattern] フィールドで、次のように入力します。
[version, account, eni, source, destination, srcip, destip="22", protocol="6",
packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
4.
[Select Log Data to Test] リストで、ネットワークインターフェイスのログストリームを選択しま
す。オプションで、[Test Pattern] を選択して、フィルタパターンと一致するログデータの行を表
示できます。準備ができたら、[Assign Metric] を選択します。
API Version 2014-02-01
125
Amazon Virtual Private Cloud ユーザーガイド
例: フローログの CloudWatch メトリックスフィルタとア
ラームの作成
5.
6.
7.
メトリックスの名前空間、メトリックスの名前を指定し、メトリックスの値が 1 に設定されたこと
を確認します。終了したら、[Create Filter] を選択します。
ナビゲーションペインで、[Alarms] を選択し、[Create Alarm] を選択します。
[Custom Metrics] セクションで、作成したメトリックスフィルタの名前空間を選択します。
Note
新しいメトリックスがコンソールに表示されるまでに数分かかる場合があります。
8.
9.
作成したメトリックス名を選択し、[Next] を選択します。
アラームの名前と説明を入力します。[is] フィールドで、[>=] を選択し、「10」と入力します。[for]
フィールドで、連続した期間としてデフォルトの 1 をそのままにしておきます。
10. [Period] リストから [1 Hour] を選択し、[Statistic] リストから [Sum] を選択します。Sum 統計では、
指定された期間のデータポイントの総数をキャプチャしていることを確認できます。
11. [Actions] セクションで、既存のリストに通知を送信するか、新しいリストを作成し、アラームがト
リガーされたときに通知を受け取る E メールアドレスを入力できます。終了したら、[Create Alarm]
を選択します。
API Version 2014-02-01
126
Amazon Virtual Private Cloud ユーザーガイド
IP アドレス指定
VPC でのネットワーキング
次のコンポーネントを使用して VPC にネットワーキングを設定できます。
•
•
•
•
•
•
•
•
•
[IP Addresses (p. 127)]
ネットワークインターフェイス (p. 134)
ルートテーブル (p. 134)
インターネットゲートウェイ (p. 145)
NAT インスタンス (p. 151)
DHCP オプションセット (p. 159)
DNS (p. 163)
VPC ピア接続 (p. 167)
VPC エンドポイント (p. 175)
VPC の IP アドレス指定
Abstract
パブリック、プライベート、および Elastic IP アドレスを VPC 内の Amazon EC2 インスタンスに割り当てます。
ここでは、VPC の Amazon EC2 インスタンスに使用できる IP アドレスについて説明します。
Topics
• パブリック IP アドレスとプライベート IP アドレス (p. 127)
• サブネットのパブリック IP アドレス動作の変更 (p. 129)
• 起動中のパブリック IP アドレスの割り当て (p. 129)
• Elastic IP アドレス (p. 130)
パブリック IP アドレスとプライベート IP アドレス
VPC 内のインスタンスには IP アドレスが提供されます。プライベート IP アドレスはインターネット
経由では到達不可であるため、VPC 内のインスタンス間の通信に使用できます。パブリック IP アドレ
スはインターネット経由で到達可能であるため、インスタンスとインターネットとの間の通信に使用し
たり、パブリックエンドポイントが割り当てられた他の AWS サービスとの通信に使用したりできま
す。
API Version 2014-02-01
127
Amazon Virtual Private Cloud ユーザーガイド
パブリック IP アドレスとプライベート IP アドレス
Note
インスタンスがインターネットと確実に通信できるようにするには、VPC にインターネット
ゲートウェイをアタッチする必要があります。詳細については、「インターネットゲートウェ
イ (p. 145)」を参照してください。
プライベート IP アドレス
VPC でインスタンスを起動すると、サブネットのアドレス範囲内のプライマリプライベート IP アドレ
スがインスタンスのデフォルトのネットワークインターフェイス（eth0）に割り当てられます。プライ
マリプライベート IP アドレスを指定しない場合、サブネットの範囲内で使用可能な IP アドレスが選択
されます。ネットワークインターフェイスの詳細については、『Amazon EC2 ユーザーガイド』の
「Elastic Network Interfaces」を参照してください。
VPC で実行されているインスタンスに追加のプライベート IP アドレス（セカンダリプライベート IP
アドレスと呼ばれる）を割り当てることができます。プライマリプライベート IP アドレスとは異なり、
セカンダリプライベート IP アドレスはあるネットワークインターフェイスから別のネットワークイン
ターフェイスへ割り当て直すことができます。プライマリ IP アドレスとセカンダリ IP アドレスの詳細
については、『Amazon EC2 ユーザーガイド』の「複数の IP アドレス」を参照してください。
Note
プライベート IP アドレスは VPC の CIDR 範囲内にある IP アドレスです。VPC のほとんどの
IP アドレス範囲は、RFC 1918 で規定されているプライベート（パブリックにルーティングで
きない）IP アドレス範囲に入りますが、パブリックにルーティングできる CIDR ブロックを
VPC に使用することはできます。現在、パブリックにルーティングできる VPC CIDR ブロッ
クからインターネットへの直接アクセスはサポートされていません。VPC でパブリックにルー
ティングできる IP アドレス範囲を使用する場合は、仮想プライベートゲートウェイ、VPN 接
続、または AWS Direct Connect を介したインターネット接続を作成する必要があります。
パブリック IP アドレス
すべてのサブネットに、そのサブネット内で起動されるインスタンスがパブリック IP アドレスを受け
取るかどうかを決定する属性があります。パブリック IP アドレスはデフォルトのネットワークインター
フェイス（eth0）に割り当てられます。デフォルトでは、デフォルトのサブネットで起動されたインス
タンスにパブリック IP アドレスが割り当てられます。パブリック IP アドレスは、ネットワークアドレ
ス変換 (NAT) によって、プライマリプライベート IP アドレスにマッピングされます。
VPC のインスタンスがパブリック IP アドレスを割り当てられるかどうかを制御するには、以下の方法
を使用します。
• サブネットのパブリック IP アドレス属性を変更する。詳細については、「サブネットのパブリック
IP アドレス動作の変更 (p. 129)」を参照してください。
• インスタンスの起動時のパブリック IP アドレス割り当てを有効または無効にする。この設定によっ
てサブネットのパブリック IP アドレス割り当て属性は上書きされます。詳細については、「起動中
のパブリック IP アドレスの割り当て (p. 129)」を参照してください。
インスタンスに割り当てられるパブリック IP アドレスは、Amazon のパブリック IP アドレスプールに
あるアドレスです。そのアドレスはお客様のアカウントとは関連付けられません。パブリック IP アド
レスとインスタンスとの関連付けを解除すると、そのアドレスは解放されてプールに戻り、それ以降お
客様はそのアドレスを使用できなくなります。パブリック IP アドレスの関連付けと関連付け解除は手
動で実行できません。ただし、特定の場合に、こちらでパブリック IP アドレスをお客様のインスタン
スから解放したり、新しいアドレスをそのインスタンスに割り当てます。詳細については、「Linux イ
ンスタンス用 Amazon EC2 ユーザーガイド」の「パブリック IP アドレス」を参照してください。
API Version 2014-02-01
128
Amazon Virtual Private Cloud ユーザーガイド
サブネットのパブリック IP アドレス動作の変更
状況に応じてインスタンスに割り当てたりインスタンスから削除したりできる固定パブリック IP アド
レスが必要な場合は、Elastic IP アドレスを使用します。この場合、VPC に使用する Elastic IP アドレ
スを割り当て、その Elastic IP アドレスを、インスタンスにアタッチされたネットワークインターフェ
イスによって指定されたプライベート IP アドレスに関連付ける必要があります。詳細については、
「Elastic IP アドレス (p. 130)」を参照してください。
サブネットのパブリック IP アドレス動作の変更
すべてのサブネットに、そのサブネット内で起動されるインスタンスにパブリック IP アドレスが割り
当てられるかどうかを決定する属性があります。デフォルトでは、デフォルト以外のサブネットではこ
の属性が false に設定されており、デフォルトのサブネットではこの属性が true に設定されていま
す。
サブネットのパブリック IP アドレス割り当て属性を変更できます。この属性は変更した場合でも、特
定のインスタンスの起動時の設定によって上書きすることが可能です。詳細については、「起動中のパ
ブリック IP アドレスの割り当て (p. 129)」を参照してください。
Note
Amazon EC2 を使用する場合、ウィザードを起動して EC2-Classic アカウントで T2 インスタ
ンスタイプを起動し、VPC がないときは、起動ウィザードでデフォルト以外の VPC が、各ア
ベイラビリティゾーンのサブネットと共に作成されます。ウィザードはインスタンスのパブ
リック IP アドレスを自動的にリクエストするようにサブネットの属性を変更します。T2 イン
スタンスタイプの詳細については、「T2 インスタンス」を参照してください。
サブネットのパブリック IP のアドレス動作を変更するには
1.
2.
3.
4.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] をクリックします。
サブネットを選択し、[Subnet Actions] をクリックして、次に [Modify Auto-Assign Public IP] を選
択します。
[Enable Auto-assign Public IP] チェックボックスをオンにした場合、選択されたサブネット内で起
動されるすべてのインスタンスに対してパブリック IP アドレスがリクエストされます。必要に応
じてチェックボックスをオンまたはオフにして、[Save] をクリックします。
起動中のパブリック IP アドレスの割り当て
ただし、デフォルトのサブネットまたはデフォルト以外のサブネット内のインスタンスが起動中にパブ
リック IP アドレスを割り当てられるかどうかを制御できます。この機能を使用できるのは、デバイス
インデックスが 0 の新しい 1 つのネットワークインターフェイスを備えたインスタンスを起動する場
合のみです。
Important
起動後、パブリック IP アドレスをインスタンスから手動で割り当て解除することはできませ
ん。ただし、特定の場合に、アドレスが自動的に解放され、その後再利用できなくなります。
自由に関連付けと関連付け解除を実行できる固定パブリック IP アドレスが必要な場合は、起
動後に Elastic IP アドレスをインスタンスに関連付けます。詳細については、「Elastic IP アド
レス (p. 130)」を参照してください。
インスタンス起動時にパブリック IP アドレス機能にアクセスするには
1.
2.
Amazon EC2 コンソールを開きます。
[Launch Instance] をクリックします。
API Version 2014-02-01
129
Amazon Virtual Private Cloud ユーザーガイド
Elastic IP アドレス
3.
4.
AMI を選択してその [Select] ボタンをクリックし、インスタンスタイプを選択して [Next: Configure
Instance Details] をクリックします。
[Configure Instance Details] ページで、[Network] リストで VPC が選択されている場合は [Auto-assign
Public IP] リストが表示されます。[Enable] または [Disable] を選択して、サブネットのデフォルト
の設定をオーバーライドします。
Important
パブリック IP アドレスのみ、インデックス eth0 を持つデバイスの単一の新しいネット
ワークインターフェイスに割り当てることができます。[Auto-assign Public IP] リストは、
複数のネットワークインターフェイスを使用して起動する場合、または eth0 に既存のネッ
トワークインターフェイスを選択した場合、使用できません。
5.
6.
ウィザードの残りの手順に従ってインスタンスを起動します。
[Instances] 画面で、インスタンスを選択します。[Description] タブの [Public IP] フィールドで、イ
ンスタンスのパブリック IP アドレスを表示できます。または、ナビゲーションペインで、[Network
Interfaces] をクリックし、インスタンスの eth0 ネットワークインターフェイスを選択します。
[Public IPs] フィールドで、パブリック IP アドレスを表示できます。
Note
パブリック IP アドレスは、コンソールのネットワークインターフェイスのプロパティと
して表示されますが、NAT によってプライマリプライベート IP アドレスにマッピングさ
れます。したがって、インスタンスのネットワークインターフェイスのプロパティを調べ
る場合、たとえば Windows インスタンスに対して ipconfig を使用しても、Linux イン
スタンスに対して ifconfig を使用しても、パブリック IP アドレスは表示されません。
インスタンス内からインスタンスのパブリック IP アドレスを決定するには、インスタン
スのメタデータを使用できます。詳細については、「インスタンスメタデータとユーザー
データ」を参照してください。
この機能は、起動時にのみ使用できます。ただし、起動時にパブリック IP アドレスをインスタンスに
割り当てるかどうかにかかわらず、起動後に Elastic IP アドレスをインスタンスに関連付けることがで
きます。詳細については、「Elastic IP アドレス (p. 130)」を参照してください。
Elastic IP アドレス
Elastic IP アドレスは、動的なクラウドコンピューティングのために設計された静的なパブリック IP ア
ドレスです。Elastic IP アドレスは、VPC の任意のインスタンスまたはネットワークインターフェイス
に関連付けることができます。Elastic IP アドレス を使用すると、インスタンスに障害が発生しても、
そのアドレスを VPC 内の別のインスタンスにすばやく再マッピングすることで、インスタンスの障害
を隠すことができます。Elastic IP アドレスを直接インスタンスに関連付けずにネットワークインター
フェイスに関連付ける利点は、1 つのステップでネットワークインターフェイスの全属性を 1 つのイン
スタンスから別のインスタンスに移動できることです。
Topics
• Elastic IP アドレスの基本 (p. 130)
• Elastic IP アドレスの操作 (p. 131)
• API とコマンドの概要 (p. 133)
Elastic IP アドレスの基本
Elastic IP アドレスについて知っておく必要がある基本的な情報を以下に示します。
API Version 2014-02-01
130
Amazon Virtual Private Cloud ユーザーガイド
Elastic IP アドレス
• まず VPC で使用するために Elastic IP アドレスを割り当ててから、そのアドレスを VPC 内のインス
タンスに関連付けます（同時に割り当てることができるのは 1 つのインスタンスのみです）。
• Elastic IP アドレスはネットワークインターフェイスのプロパティの 1 つです。Elastic IP アドレス
をインスタンスに割り当てるには、そのインスタンスにアタッチされているネットワークインター
フェイスを更新します。
• Elastic IP アドレス をインスタンスの eth0 ネットワークインターフェイスに関連付ける場合、現在
のパブリック IP アドレス（割り当てられている場合）が EC2-VPC パブリック IP アドレスプールに
解放されます。Elastic IP アドレスの関連付けを解除すると、数分以内に新しいパブリック IP アドレ
スが eth0 ネットワークインターフェイスに自動的に割り当てられます。2 番目のネットワークイン
ターフェイスをインスタンスにアタッチした場合、これは適用されません。
• VPC で使用する Elastic IP アドレスと、EC2-Classic で使用する Elastic IP アドレスには違いがあり
ます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の EC2-Classic と
Amazon EC2-VPC の違い を参照してください。
• Elastic IP アドレスはあるインスタンスから別のインスタンスに移動できます。同じ VPC 内または別
の VPC 内のインスタンスに移動することはできますが、EC2-Classic 内のインスタンスに移動する
ことはできません。
• Elastic IP アドレスと AWS アカウントの関連付けは明示的に解除するまで維持されます。
• Elastic IP アドレスを効率的に使用するため、Elastic IP アドレスが実行中のインスタンスに関連付け
られていない場合や、停止しているインスタンスやアタッチされていないネットワークインターフェ
イスに関連付けられている場合は、時間単位で小額の料金が請求されます。インスタンスを実行して
いるときは、インスタンスに関連付けられた 1 つの Elastic IP アドレスに対して料金は発生しません
が、インスタンスに関連付けられた追加の Elastic IP アドレスがある場合、その追加分に対しては料
金が発生します。詳細については、Amazon EC2 料金表を参照してください。
• Elastic IP アドレスは、枯渇しないようにユーザー 1 人に対して最大 5 個に制限されています。ま
た、NAT インスタンスを使用することができます（「NAT インスタンス (p. 151)」を参照してくださ
い）。
• Elastic IP アドレスは VPC のインターネットゲートウェイ経由でアクセスされます。VPC と自ネッ
トワークとの間に VPN 接続を作成した場合、VPN トラフィックはインターネットゲートウェイでは
なく仮想プライベートゲートウェイを通過するため、Elastic IP アドレスにアクセスすることはでき
ません。
• EC2-Classic プラットフォームで使用するために割り当てた Elastic IP アドレスを VPC プラットフォー
ムに移行できます。詳細については、『Amazon EC2 ユーザーガイド』の「EC2-Classic から EC2-VPC
への Elastic IP アドレスの移行」を参照してください。
Elastic IP アドレスの操作
Elastic IP アドレスを割り当ててから、VPC 内のインスタンスと関連付けることができます。
VPC で使用するための Elastic IP アドレスを割り当てるには
1.
Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで、[Elastic IPs] をクリックします。
[Allocate New Address] ボタンをクリックします。
[Yes, Allocate] をクリックします。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] リストから選択します。
API Version 2014-02-01
131
Amazon Virtual Private Cloud ユーザーガイド
Elastic IP アドレス
Elastic IP アドレスを表示するには
1.
Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [Elastic IPs] をクリックします。
表示されているリストをフィルタするには、割り当て先のインスタンスの Elastic IP アドレスまた
は ID の一部を検索ボックスに入力します。
Elastic IP アドレスを VPC 内で実行されているインスタンスと関連付けるには
1.
2.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] をクリックします。
3.
VPC で使用するために割り当てられた Elastic IP アドレス（[Scope] 列に値 vpc が含まれていま
す）を選択し、[Associate Address] ボタンをクリックします。
4.
[Associate Address] ダイアログボックスで、[Associate with] リストから [Instance] または [Network
Interface] を選択し、インスタンスまたはネットワークインタフェース ID を選択します。[Private
IP address] リストから Elastic IP アドレスを関連付けるプライベート IP アドレスを選択して、
[Yes, Associate] をクリックします。
Note
ネットワークインターフェイスには Elastic IP アドレスを含む複数の属性があります。ネッ
トワークインターフェイスを作成し、VPC 内のインスタンスにアタッチしたり、インスタ
ンスからデタッチすることができます。Elastic IP アドレスを直接インスタンスに関連付け
ずにネットワークインターフェイスの属性として作成する利点は、1 つのステップでネッ
トワークインターフェイスの全属性を 1 つのインスタンスから別のインスタンスに移動で
きることです。詳細については、「Elastic Network Interface」を参照してください。
5.
（オプション）Elastic IP アドレスをインスタンスに関連付けると、DNS ホスト名が有効な場合は
DNS ホスト名を受け取ります。詳細については、「VPC での DNS の使用 (p. 163)」を参照してく
ださい。
Elastic IP アドレスと関連付けるインスタンスを変更するには、現在関連付けられているインスタンス
から関連付けを解除してから、VPC 内の新しいインスタンスと関連付けます。
Elastic IP アドレスの関連付けを解除するには
1.
Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Elastic IPs] をクリックします。
Elastic IP アドレスを選択してから、[Disassociate Address] ボタンをクリックします。
プロンプトが表示されたら、[Yes, Disassociate] をクリックします。
Elastic IP アドレスが不要になった場合は、解放することをお勧めします（この Elastic IP アドレスを
インスタンスに関連付けることはできません）。VPC で使用するために割り当てられているがインス
タンスに関連付けられていない Elastic IP アドレス に対しては料金が発生します。
Elastic IP アドレスを解放するには
1.
2.
3.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] をクリックします。
Elastic IP アドレスを選択してから、[Release Address] をクリックします。
4.
プロンプトが表示されたら、[Yes, Release] をクリックします。
API Version 2014-02-01
132
Amazon Virtual Private Cloud ユーザーガイド
Elastic IP アドレス
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
Elastic IP アドレスを取得する
• allocate-address（AWS CLI）
• ec2-allocate-address（Amazon EC2 CLI）
• New-EC2Address（AWS Tools for Windows PowerShell）
Elastic IP アドレスをインスタンスまたはネットワークインターフェイスに関連付ける
• associate-address（AWS CLI）
• ec2-associate-address（Amazon EC2 CLI）
• Register-EC2Address（AWS Tools for Windows PowerShell）
1 つ以上の Elastic IP アドレスについて説明する
• describe-addresses（AWS CLI）
• ec2-describe-addresses（Amazon EC2 CLI）
• Get-EC2Address（AWS Tools for Windows PowerShell）
Elastic IP アドレスの関連付けを解除する
• disassociate-address（AWS CLI）
• ec2-disassociate-address（Amazon EC2 CLI）
• Unregister-EC2Address（AWS Tools for Windows PowerShell）
Elastic IP アドレスを解放する
• release-address（AWS CLI）
• ec2-release-address（Amazon EC2 CLI）
• Remove-EC2Address（AWS Tools for Windows PowerShell）
起動中のパブリック IP アドレスの割り当て
• run-instances コマンドで --associate-public-ip-address または
--no-associate-public-ip-address オプションを使用します。(AWS CLI)
• ec2-run-instances コマンドで --associate-public-ip-address オプションを使用します。
(Amazon EC2 CLI)
• New-EC2Instance コマンドで -AssociatePublicIp パラメータを使用します。(AWS Tools for
Windows PowerShell)
サブネットのパブリック IP アドレス動作の変更
• modify-subnet-attribute（AWS CLI）
• ec2-modify-subnet-attribute（Amazon EC2 CLI）
• Edit-EC2SubnetAttribute（AWS Tools for Windows PowerShell）
API Version 2014-02-01
133
Amazon Virtual Private Cloud ユーザーガイド
ネットワークインターフェイス
VPC で Elastic Network Interface を使用する
Abstract
Elastic Network Interface と呼ばれる追加のネットワークインターフェイスを作成し、VPC 内の任意のインスタン
スにアタッチします。
elastic ネットワーク インターフェース（ENI）とは、次の属性がある仮想ネットワークインターフェイ
スです。
• プライマリプライベート IP アドレス
• 1 つ以上のセカンダリプライベート IP アドレス
• プライベート IP アドレスごとに 1 つの Elastic IP アドレス
• パブリック IP アドレス。eth0 のネットワークインターフェイスについては、インスタンスを起動し
たときに自動的に割り当てることができます。ただし既存のネットワークインターフェイスを使用す
るのでなく、eth0 のネットワークインターフェイスを作成する場合のみです。
• 1 つまたは複数のセキュリティグループ
• MAC アドレス
• 送信元/送信先チェックフラグ
• 説明
ENI を作成して、インスタンスへのアタッチ、インスタンスからのデタッチ、および別のインスタンス
へのアタッチを行うことができます。ENI の属性は、ENI がインスタンスにアタッチまたはデタッチさ
れたときや、別のインスタンスに再アタッチされたときに、ENI に付随します。インスタンス間で ENI
を移動すると、ネットワークトラフィックは、新しいインスタンスにリダイレクトされます。
ユーザーの VPC の各インスタンスには、VPC の IP アドレス範囲からプライベート IP アドレスが割り
当てられた、デフォルトの Elastic ネットワークインターフェイス（プライマリネットワークインター
フェイス）があります。 プライマリネットワークインターフェイスをインスタンスからデタッチする
ことはできません。追加の elastic ネットワークインスタンスを作成して、ユーザーの VPC 内の任意の
インスタンスにアタッチできます。 アタッチできる ENI の数はインスタンスタイプによって異なりま
す。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Private IP Addresses
Per ENI Per Instance Type」を参照してください。
次の作業を行う場合、複数の ENI をインスタンスにアタッチすると便利です。
• 管理用ネットワークを作成する。
• VPC 内でネットワークアプライアンスやセキュリティアプライアンスを使用する。
• 別個のサブネット上のワークロード/ロールを使用するデュアルホーム接続インスタンスを作成する。
• 低予算で可用性の高いソリューションを作成する。
ENI の詳細、および Amazon EC2 コンソールを使用して ENI を操作する手順については、「Linux イ
ンスタンス用 Amazon EC2 ユーザーガイド」の「Elastic Network Interfaces」を参照してください。
ルートテーブル
Abstract
ルートテーブルを使用して、インバウンドとアウトバウンドのネットワークトラフィックの経路をコントロールし
ます。
API Version 2014-02-01
134
Amazon Virtual Private Cloud ユーザーガイド
ルートテーブルの基本
ルートテーブルには、ネットワークトラフィックの経路を判断する際に使用される、ルートと呼ばれる
一連のルールが含まれます。
VPC の各サブネットをルートテーブルに関連付ける必要があります。サブネットのルーティングは、
このテーブルによってコントロールされます。1 つのサブネットは同時に 1 つのルートテーブルにしか
関連付けることはできませんが、異なる複数のサブネットを 1 つのルートテーブルに関連付けることは
できます。
Topics
• ルートテーブルの基本 (p. 135)
• メインルートテーブル (p. 135)
• カスタムルートテーブル (p. 136)
• ルートテーブルの関連付け (p. 137)
• VPC ピア接続のルートテーブル (p. 138)
•
•
•
•
ClassicLink のルートテーブル (p. 139)
VPC エンドポイントのルートテーブル (p. 139)
ルートテーブルを操作する (p. 139)
API とコマンドの概要 (p. 143)
ルートテーブルの基本
ルートテーブルに関して覚えておく必要がある基本事項を次に示します。
•
•
•
•
VPC には暗示的なルーターがあります。
VPC には、変更できるメインルートテーブルが自動的に割り当てられます。
VPC に対して追加のカスタムルートテーブルを作成できます。
各サブネットをルートテーブルに関連付ける必要があります。サブネットのルーティングは、この
テーブルによってコントロールされます。サブネットを特定のルートテーブルに明示的に関連付けな
いと、そのサブネットでは、メインルートテーブルが使用されます。
• メインルートテーブルは、作成したカスタムテーブルに置き換えることができます（この場合、カス
タムテーブルは、新しい各サブネットが関連付けられるデフォルトのテーブルになります）。
• テーブルの各ルートが送信先 CIDR とターゲットを指定します（例えば、送信先が 172.16.0.0/12 の
トラフィックのターゲットは仮想プライベートゲートウェイです）。トラフィックに最も合ったルー
トを使用し、トラフィックのルーティング方法を決定します。
メインルートテーブル
VPC を作成するときに、メインルートテーブルが自動的に割り当てられます。VPC コンソールの [Route
Tables] ページで、[Main] 列の [Yes] を探すことによって VPC のメインルートテーブルを表示できま
す。
最初、メインルートテーブル（および VPC 内のすべてのルートテーブル）には、1 つのルート（VPC
内の通信を有効にするローカルルート）しか含まれません。
ルートテーブルでは、ローカルルートを変更できません。VPC のインスタンスを起動すると必ず、そ
のインスタンスは、ローカルルートに自動的に含められます。新しいインスタンスをルートテーブルに
追加する必要はありません。
サブネットを特定のルートテーブルに明示的に関連付けないと、そのサブネットは、メインルートテー
ブルに暗示的に関連付けられます。ただし、そのメインルートテーブルには、引き続きサブネットを明
示的に関連付けることができます。この作業は、メインルートテーブルにするテーブルを変更するとき
に行います（「メインルートテーブルを置き換える (p. 143)」を参照）。
API Version 2014-02-01
135
Amazon Virtual Private Cloud ユーザーガイド
カスタムルートテーブル
コンソールには、各テーブルに関連付けられているサブネットの数が表示されます。この数には、明示
的な関連付けのみが含まれます（「テーブルに明示的に関連付けられているサブネットを特定す
る (p. 140)」を参照）。
ゲートウェイ（インターネットゲートウェイまたは仮想プライベートゲートウェイのいずれか）を VPC
に追加するときに、そのゲートウェイを使用する任意のサブネットのルートテーブルを更新する必要が
あります。
仮想プライベートゲートウェイを VPC にアタッチし、ルートテーブルでルート伝達を有効にした場合
は、VPN 接続を表すルートが、伝達されたルートとして、ルートテーブルのルートのリストに自動的
に表示されます。
カスタムルートテーブル
VPC は、デフォルトテーブル以外のルートテーブルを持つことができます。VPC を保護するには、メ
インルートテーブルをローカルルートが 1 つしか含まれない元のデフォルトの状態のままにして、新し
いサブネットを作成し、その各サブネットを作成したカスタムルートテーブルの 1 つに明示的に関連付
ける方法があります。これにより、各サブネットのアウトバウンドトラフィックのルーティング方法
を、明示的にコントロールしなければなりません。
作成できるルートテーブルの数の制限については、「Amazon VPC 制限 (p. 210)」を参照してください。
次の図は、インターネットゲートウェイと仮想プライベートゲートウェイ、およびパブリックサブネッ
トと VPN のみのサブネットを持つ VPC のルーティングを示しています。メインルートテーブルには
VPC が割り当てられます。また、VPN のみのサブネットのルートも含まれます。カスタムルートテー
ブルもあり、これはパブリックサブネットに関連付けられています。カスタムルートテーブルには、イ
ンターネットゲートウェイ経由のパブリックサブネットのルートが含まれます（送信先は 0.0.0.0/0 で、
ターゲットはインターネットゲートウェイです）。
この VPC で新しいサブネットを作成すると、そのサブネットはメインルートテーブルに自動的に関連
付けられ、メインルートテーブルは、そのトラフィックを仮想プライベートゲートウェイにルーティン
グします。逆の設定（インターネットゲートウェイへのルートが含まれるメインルートテーブルと、仮
想プライベートゲートウェイへのルートが含まれるカスタムルートテーブル）を行い、新しいサブネッ
トを作成すると、そのサブネットには自動的に、インターネットゲートウェイへのルートが含まれるよ
うになります。
API Version 2014-02-01
136
Amazon Virtual Private Cloud ユーザーガイド
ルートテーブルの関連付け
ルートテーブルの関連付け
メインルートテーブルは、サブネットが他のテーブルに明示的に関連付けられていない場合に、サブ
ネットが使用するデフォルトのテーブルです。新しいサブネットを追加すると、そのサブネットでは、
メインルートテーブルで指定されているルートが自動的に使用されます。メインルートテーブルにする
テーブルは変更できるので、新しい追加サブネットのデフォルトも変更できます。
メインルートテーブルには、暗示的または明示的にサブネットを関連付けることができます。サブネッ
トとメインルートテーブルとの間には、通常、明示的な関連付けはありません。ただし、この明示的な
関連付けは、メインルートテーブルを置き換えるときに一時的に発生する可能性があります。
トラフィックを中断せずに、メインルートテーブルを変更する必要がある場合は、まず、カスタムルー
トテーブルを使用して、ルートの変更をテストします。テストの結果に満足したら、メインルートテー
ブルを新しいカスタムテーブルに置き換えます。
次の図は、メインルートテーブル（ルートテーブル A）に暗示的に関連付けられている 2 つのサブネッ
トを持つ VPC を示しています。カスタムルートテーブル（ルートテーブル B）は、どのサブネットに
も関連付けられていません。
サブネット 2 とルートテーブル B の間には明示的な関連付けを作成できます。
ルートテーブル B をテストしたら、そのテーブルをメインルートテーブルにできます。サブネット 2
とルートテーブル B との間に、まだ明示的な関連付けがあることに注意してください。また、ルート
テーブル B は新しいメインルートテーブルなので、サブネット 1 とルートテーブル B の間には暗示的
な関連付けがあります。ルートテーブル A はもう使用されていません。
API Version 2014-02-01
137
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続のルートテーブル
サブネット 2 とルートテーブル B の関連付けを解除しても、サブネット 2 とルートテーブル B との間
の暗示的な関連付けは残ります。不要になったルートテーブル A は削除できます。
VPC ピア接続のルートテーブル
VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティング
することを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内
に存在しているかのように、相互に通信できます。
VPC ピア接続に含まれる VPC 間のトラフィックのルーティングを有効にするには、VPC ピア接続を
指す、1 つ以上の VPC のルートテーブルにルートを追加し、VPC ピア接続内にある他の VPC の CIDR
ブロックのすべてまたは一部にアクセスする必要があります。同様に、他の VPC の所有者は、自分の
VPC のルートテーブルにルートを追加して、ルーティング対象の VPC にトラフィックを送り返す必要
があります。
たとえば、次の情報を持つ 2 つの VPC 間に VPC ピア接続（pcx-1a2b1a2b）があるとします。
• VPC A: vpc-1111aaaa、CIDR ブロックは 10.0.0.0/16 です。
• VPC B: vpc-2222bbbb、CIDR ブロックは 172.31.0.0/16 です。
VPC 間のトラフィックを有効にし、両方の VPC の CIDR ブロック全体にアクセスできるようにするに
は、VPC A のルートテーブルを次のように設定します。
送信先
ターゲット
10.0.0.0/16
ローカル
172.31.0.0/16
pcx-1a2b1a2b
API Version 2014-02-01
138
Amazon Virtual Private Cloud ユーザーガイド
ClassicLink のルートテーブル
VPC B のルートテーブルは次のように設定します。
送信先
ターゲット
172.31.0.0/16
ローカル
10.0.0.0/16
pcx-1a2b1a2b
VPC ピア接続の詳細については、次のトピックを参照してください。
• VPC コンソールでの VPC ピア接続の操作: VPC ピア接続 (p. 167)
• VPC ピア接続用のルートの追加: VPC ピア接続のルートテーブルを更新する (p. 172)
• サポートされる VPC ピア接続のシナリオとルーティング設定: Amazon VPC Peering Guide
ClassicLink のルートテーブル
ClassicLink は、VPC に EC2 Classic インスタンスをリンクし、プライベート IP アドレスを使用して
EC2-Classic インスタンスと VPC のインスタンス間の通信を可能にする機能です。ClassicLink の詳細
については、「ClassicLink (p. 209)」を参照してください。
ClassicLink 用に VPC を有効にすると、VPC のすべてのルートテーブルに、送信先が 10.0.0.0/8
で、ターゲットが local であるルートが追加されます。これによって、VPC 内のインスタンスと、
VPC にリンクされている EC2-Classic インスタンスとの間で通信が可能になります。ClassicLink が有
効な VPC に別のルートテーブルを追加する場合、送信先が 10.0.0.0/8 で、ターゲットが local で
あるルートが自動的に追加されます。VPC の ClassicLink を無効にすると、このルートは VPC のすべ
てのルートテーブルから自動的に削除されます。
VPC のいずれかのルートテーブルに、10.0.0.0/8 CIDR 内のアドレス範囲で既存のルートが存在す
る場合、ClassicLink 用に VPC を有効にすることができません。これには、10.0.0.0/16 および
10.1.0.0/16 の IP アドレス範囲を持つ、VPC のローカルルートは含まれません。
既に ClassicLink 用に VPC を有効にしている場合、10.0.0.0/8 IP アドレス範囲のルートテーブルに、
より詳細なルートを追加できない場合があります。
VPC エンドポイントのルートテーブル
VPC エンドポイントにより、VPC と別の AWS サービスとの間にプライベート接続を作成できます。
エンドポイントを作成するときは、VPC でエンドポイント用のルートテーブルを指定します。ルート
は自動的に各ルートテーブル追加されて、送信先としてサービス (pl-xxxxxxxx) のプレフィックスリ
スト ID、ターゲットとしてエンドポイント ID (vpce-xxxxxxxx) が登録されます。エンドポイントルー
トを明示的に削除または変更することはできませんが、エンドポイントで使用されるルートテーブルは
変更できます。
エンドポイントのルーティングの詳細について、また AWS サービスへのルートに対する影響について
は、「エンドポイントのルーティング (p. 176)」を参照してください。
ルートテーブルを操作する
このセクションでは、ルートテーブルを操作する方法について説明します。
Note
コンソールでウィザードを使用して、ゲートウェイが含まれる VPC を作成すると、そのゲー
トウェイを使用するようにルートテーブルが自動的に更新されます。コマンドラインツールま
API Version 2014-02-01
139
Amazon Virtual Private Cloud ユーザーガイド
ルートテーブルを操作する
たは API を使用して VPC をセットアップする場合、ルートテーブルはご自身で更新する必要
があります。
Topics
• サブネットが関連付けられているルートテーブルを特定する (p. 140)
• テーブルに明示的に関連付けられているサブネットを特定する (p. 140)
• カスタムルートテーブルを作成する (p. 141)
• ルートテーブルでルートを追加および削除する (p. 141)
• ルート伝達を有効および無効にする (p. 141)
• サブネットをルートテーブルに関連付ける (p. 142)
• サブネットのルートテーブルを変更する (p. 142)
• サブネットとルートテーブルの関連付けを解除する (p. 142)
• メインルートテーブルを置き換える (p. 143)
• ルートテーブルを削除する (p. 143)
サブネットが関連付けられているルートテーブルを特定する
サブネットが関連付けられているルートテーブルを特定するには、Amazon VPC コンソールでサブネッ
トの詳細を確認します。
サブネットが関連付けられているルートテーブルを特定するには
1.
2.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] をクリックし、サブネットを選択します。
サブネットの詳細は、[Summary] タブに表示されます。[Route Table] タブをクリックすると、ルー
トテーブルの ID とそのルートが表示されます。メインルートテーブルの場合、関連付けが暗示的
か明示的かはコンソールに表示されません。メインルートテーブルとの関連付けが明示的かどうか
を特定する方法については、「テーブルに明示的に関連付けられているサブネットを特定す
る (p. 140)」を参照してください。
テーブルに明示的に関連付けられているサブネットを特定する
ルートテーブルに明示的に関連付けられているサブネットと、そのサブネットの数を特定できます。
メインルートテーブルは、明示的な関連付けと暗示的な関連付けを持つことができます。カスタムルー
トテーブルは、明示的な関連付けしか持つことができません。
どのルートテーブルにも明示的に関連付けられていないサブネットは、メインルートテーブルに暗示的
に関連付けられています。サブネットをメインルートテーブルに明示的に関連付けることもできます
（これを行う理由を示す例については、「メインルートテーブルを置き換える (p. 143)」を参照してく
ださい）。
明示的に関連付けられているサブネットの数を特定するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [Route Tables] をクリックします。
[Explicitly Associated With] 列で、明示的に関連付けられたサブネットの数を確認します。
API Version 2014-02-01
140
Amazon Virtual Private Cloud ユーザーガイド
ルートテーブルを操作する
明示的に関連付けられているサブネットを特定するには
1.
該当するルートテーブルを選択します。
2.
詳細ペインの [Subnet Associations] タブをクリックします。このタブには、テーブルに明示的に
関連付けられているサブネットが表示されています。また、どのルートテーブルにも関連付けられ
ていない（つまり、メインルートテーブルに暗示的に関連付けられている）サブネットも表示され
ます。
カスタムルートテーブルを作成する
状況によっては、独自のルートテーブルを作成しなければならないことがあります。
カスタムルートテーブルを作成するには
1.
2.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックします。
3.
4.
[Create Route Table] をクリックします。
[Create Route Table] ダイアログボックスの [Name tag] フィールドで、必要に応じてルートテーブ
ルに名前を指定できます。これにより、Name というキーと指定した値を含むタグが作成されます。
[VPC] リストで VPC を選択し、[Yes, Create] をクリックします。
ルートテーブルでルートを追加および削除する
ルートテーブルのルートは追加、削除、変更できます。変更できるのは、追加したルートのみです。
ルートを変更またはルートテーブルに追加するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
[Routes] タブで、[Edit] をクリックします。
既存のルートを変更するには、[Destination] フィールドの送信先 CIDR ブロックまたは 1 つの IP
アドレスを置き換え、[Target] リストからターゲットを選択します。[Add another route] をクリッ
クしてルートを追加し、完了したら [Save] をクリックします。
ルートをルートテーブルから削除するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
[Routes] タブで [Edit] をクリックし、削除するルートの [Remove] ボタンをクリックします。
4.
完了したら [Save] をクリックします。
ルート伝達を有効および無効にする
ルート伝達を使用すると、仮想プライベートゲートウェイが、ルートをルートテーブルに自動的に伝達
できます。したがって、ルートテーブルへの VPN ルートを手動で入力する必要はありません。ルート
の伝播は有効または無効にできます。
VPN ルートオプションの詳細については、「VPN のルーティングオプション (p. 190)」を参照してくだ
さい。
API Version 2014-02-01
141
Amazon Virtual Private Cloud ユーザーガイド
ルートテーブルを操作する
ルート伝達を有効にするには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
詳細ペインで、[Route Propagation] タブをクリックします。
[Edit] をクリックし、仮想プライベートゲートウェイを選択します。[Save] をクリックします。
ルート伝達を無効にするには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
[Route Propagation] タブで [Edit] をクリックし、仮想プライベートゲートウェイの ID の横にある
[Propagate] チェックボックスをオフにします。[Save] をクリックします。
サブネットをルートテーブルに関連付ける
ルートテーブルのルートを特定のサブネットに適用するには、ルートテーブルをサブネットに関連付け
る必要があります。ルートテーブルは複数のサブネットに関連付けることができますが、サブネットに
は一度に 1 つのルートテーブルしか関連付けることができません。どのテーブルにも明示的に関連付け
られていないサブネットは、デフォルトでメインルートテーブルに暗示的に関連付けられています。
テーブルをサブネットに関連付けるには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
詳細ペインの [Subnet Associations] タブで、[Edit] をクリックします。
ルートテーブルに関連付けるサブネットの [Associate] チェックボックスをオンにしてから、[Save]
をクリックします。
サブネットのルートテーブルを変更する
サブネットに関連付けるルートテーブルは変更できます。例えば、サブネットを作成すると、そのサブ
ネットはメインルートテーブルに暗示的に関連付けられます。このサブネットを、メインルートテーブ
ルではなく、作成したカスタムルートテーブルに関連付けることができます。
サブネットとルートテーブルの関連付けを変更するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] をクリックし、サブネットを選択します。
[Route Table] タブで [Edit] をクリックします。
4.
[Change to] リストからサブネットを関連付ける新しいルートテーブルを選択し、[Save] をクリッ
クします。
サブネットとルートテーブルの関連付けを解除する
サブネットとルートテーブルの関連付けを解除したい場合。例えば、カスタムルートテーブルに関連付
けられたサブネットを、メインルートテーブルに関連付けるとします。サブネットとカスタムルート
テーブルの関連付けを解除すると、そのサブネットは、暗示的にメインルートテーブルに関連付けられ
ます。
API Version 2014-02-01
142
Amazon Virtual Private Cloud ユーザーガイド
API とコマンドの概要
サブネットとルートテーブルの関連付けを解除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
[Subnet Associations] タブで [Edit] をクリックします。
サブネットの [Associate] チェックボックスをオフにして、[Save] をクリックします。
メインルートテーブルを置き換える
次の手順では、VPC でメインルートテーブルとして使用するルートテーブルを変更する方法について
説明します。
メインルートテーブルを置き換えるには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックします。
3.
新しいメインルートテーブルにするルートテーブルを特定し、そのテーブルを右クリックして、
[Set as Main Table] を選択します。
[Set Main Route Table] ダイアログボックスで、[Yes, Set] をクリックします。
4.
次の手順では、サブネットとメインルートテーブルの間の明示的な関連付けを解除する方法について説
明します。これにより、サブネットとメインルートテーブルが暗示的に関連付けられます。そのプロセ
スは、サブネットと任意のルートテーブルの関連付け解除と同じです。
メインルートテーブルとの明示的な関連付けを解除するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックして、ルートテーブルを選択します。
[Subnet Associations] タブで [Edit] をクリックします。
サブネットの [Associate] チェックボックスをオフにして、[Save] をクリックします。
ルートテーブルを削除する
ルートテーブルは、サブネットが関連付けられていない場合にのみ削除できます。メインルートテーブ
ルを削除することはできません。
ルートテーブルを削除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Route Tables] をクリックします。
ルートテーブルを選択し、[Delete] ボタンをクリックします。
[Delete Route Table] ダイアログボックスで、[Yes, Delete] をクリックします。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
API Version 2014-02-01
143
Amazon Virtual Private Cloud ユーザーガイド
API とコマンドの概要
カスタムルートテーブルを作成する
• create-route-table（AWS CLI）
• ec2-create-route-table（Amazon EC2 CLI）
• New-EC2RouteTable（AWS Tools for Windows PowerShell）
ルートをルートテーブルに追加する
• create-route（AWS CLI）
• ec2-create-route（Amazon EC2 CLI）
• New-EC2Route（AWS Tools for Windows PowerShell）
サブネットをルートテーブルに関連付ける
• associate-route-table（AWS CLI）
• ec2-associate-route-table（Amazon EC2 CLI）
• Register-EC2RouteTable（AWS Tools for Windows PowerShell）
1 つ以上のルートテーブルについて説明する
• describe-route-tables（AWS CLI）
• ec2-describe-route-tables（Amazon EC2 CLI）
• Get-EC2RouteTable（AWS Tools for Windows PowerShell）
ルートをルートテーブルから削除する
• delete-route（AWS CLI）
• ec2-delete-route（Amazon EC2 CLI）
• Remove-EC2Route（AWS Tools for Windows PowerShell）
ルートテーブルの既存のルートを置き換える
• replace-route（AWS CLI）
• ec2-replace-route（Amazon EC2 CLI）
• Set-EC2Route（AWS Tools for Windows PowerShell）
サブネットとルートテーブルの関連付けを解除する
• disassociate-route-table（AWS CLI）
• ec2-disassociate-route-table（Amazon EC2 CLI）
• Unregister-EC2RouteTable（AWS Tools for Windows PowerShell）
サブネットに関連付けられているルートテーブルを変更する
• replace-route-table-association（AWS CLI）
• ec2-replace-route-table-association（Amazon EC2 CLI）
• Set-EC2RouteTableAssociation（AWS Tools for Windows PowerShell）
API Version 2014-02-01
144
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイ
VPN 接続に関連付けられた静的ルートを作成する
• create-vpn-connection-route（AWS CLI）
• ec2-create-vpn-connection-route（Amazon EC2 CLI）
• New-EC2VpnConnectionRoute（AWS Tools for Windows PowerShell）
VPN 接続に関連付けられた静的ルートを削除する
• delete-vpn-connection-route（AWS CLI）
• ec2-delete-vpn-connection-route（Amazon EC2 CLI）
• Remove-EC2VpnConnectionRoute（AWS Tools for Windows PowerShell）
仮想プライベートゲートウェイ（VGW）による VPC のルーティングテーブルへのルートの伝
達を有効にする
• enable-vgw-route-propagation（AWS CLI）
• ec2-enable-vgw-route-propagation（Amazon EC2 CLI）
• Enable-EC2VgwRoutePropagation（AWS Tools for Windows PowerShell）
VGW による VPC のルーティングテーブルへのルートの伝達を無効にする
• disable-vgw-route-propagation（AWS CLI）
• ec2-disable-vgw-route-propagation（Amazon EC2 CLI）
• Disable-EC2VgwRoutePropagation（AWS Tools for Windows PowerShell）
ルートテーブルを削除する
• delete-route-table（AWS CLI）
• ec2-delete-route-table（Amazon EC2 CLI）
• Remove-EC2RouteTable（AWS Tools for Windows PowerShell）
インターネットゲートウェイ
Abstract
インターネットゲートウェイをアタッチすることで、VPC からインターネットにアクセスできるようになります。
インターネットゲートウェイは、VPC のインスタンスとインターネットとの間の通信を可能にする VPC
コンポーネントであり、冗長性と高い可用性を備えており、水平スケーリングが可能です。そのため、
ネットワークトラフィックに課される可用性のリスクや帯域幅の制約はありません。インターネット
ゲートウェイは 2 つの目的を果たします。1 つは、インターネットにルーティングできるトラフィック
の送信先を VPC のルートテーブルに追加ことです。もう 1 つは、パブリック IP アドレスが割り当て
られているインスタンスに対してネットワークアドレス変換 (NAT) を行うことです。
インターネットアクセスを有効にする
VPC のサブネットのインスタンスでインターネットのアクセスを有効にするには、以下を実行する必
要があります。
• VPC にインターネットゲートウェイをアタッチする。
• サブネットのルートテーブルがインターネットゲートウェイに繋がっていることを確認します。
API Version 2014-02-01
145
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイを関連付けた VPC の作成
• サブネットのインスタンスにはパブリック IP アドレスまたは Elastic IP アドレスがあることを確認
します。
• ネットワークアクセスコントロールとセキュリティグループルールがインスタンス間で関連するトラ
フィックを許可していることを確認します。
インターネットゲートウェイを使用するには、インターネットゲートウェイにインターネット経由のト
ラフィックが流れるルートをサブネットのルートテーブルに追加する必要があります。そのルートに流
れるトラフィックの送信先としては、明示的に既知でない送信先（0.0.0.0/0）を指定することも、
特定の IP アドレス範囲の送信先（AWS の外側にある会社のパブリックエンドポイントのパブリック
IP アドレスや、VPC の外側にある他の Amazon EC2 インスタンスの Elastic IP アドレスなど）を指定
することもできます。サブネットに関連付けられているルートテーブルにインターネットゲートウェイ
へのルートがある場合、そのサブネットはパブリックサブネットと呼ばれます。ただし、インターネッ
トゲートウェイへのルートを指定するだけでは、サブネット内のインスタンスからのインターネットア
クセスは可能になりません。パブリックサブネットとプライベートサブネットの詳細については、「サ
ブネットを持つ VPC (p. 56)」を参照してください。
パブリックサブネット内のインスタンスがインターネットと通信できるようにするには、パブリック
IP アドレス、またはインスタンスのプライベート IP アドレスに関連付けられる Elastic IP アドレスが
必要です。インスタンスは、VPC とサブネット内で定義されたプライベート（内部）IP アドレス空間
のみを認識します。インターネットゲートウェイはインスタンスに代わって 1 対 1 の NAT を論理的に
行います。そのため、トラフィックが VPC サブネットから出てインターネットへ向かうとき、返信ア
ドレスフィールドは、インスタンスのプライベート IP アドレスではなくパブリック IP アドレスまたは
Elastic IP アドレスに設定されます。逆に、インスタンスのパブリック IP アドレスまたは Elastic IP ア
ドレス宛てのトラフィックは、その送信先アドレスがインスタンスのプライベート IP アドレスに変換
されてから、VPC に配信されます。
デフォルトとデフォルト以外の VPCs へのインターネットアクセス
デフォルトの VPC にはインターネットゲートウェイがあり、デフォルトのサブネットで起動されたイ
ンスタンスは、起動中に指定しないか、サブネットのパブリック IP アドレス属性を変更しない限り、
デフォルトでパブリック IP アドレスを受け取ります。そのため、デフォルトのサブネットで起動した
インスタンスは、インターネットと自動的に通信できるようになります。詳細については、「デフォル
トの VPC とサブネット (p. 62)」を参照してください。
デフォルト以外のサブネットで起動するインスタンスがインターネットと通信できるかどうかは、VPC
の作成および設定方法によって決まります。たとえば、VPC ウィザードを使用して VPC を作成した場
合は、選択したオプションに応じて、インターネットゲートウェイが VPC に追加され、ルートテーブ
ルが更新されて、インスタンスがインターネットと通信できるようになります。VPC ウィザードを使
用して、インターネットゲートウェイを使うサブネットを作成する方法について詳しくは、「シナリオ
1: 単一のパブリックサブネットを持つ VPC (p. 18)」または「シナリオ 2: パブリックサブネットとプラ
イベートサブネットを持つ VPC（NAT） (p. 23)」を参照してください。デフォルトでは、デフォルト
以外のサブネットで起動するインスタンスはパブリック IP アドレスを受け取らないため、起動時に IP
アドレスを割り当てるか、サブネットのパブリック IP アドレス属性を変更しない限り、インターネッ
トと通信することはできません。起動時のパブリック IP アドレスの割り当ての詳細については、「起
動中のパブリック IP アドレスの割り当て (p. 129)」を参照してください。サブネットのパブリック IP
アドレス属性の変更の詳細については、「サブネットのパブリック IP アドレス動作の変更 (p. 129)」を
参照してください。
新しいサブネットを VPC に追加するとき、サブネットに必要なルーティングとセキュリティを設定す
る必要があります。
インターネットゲートウェイを関連付けた VPC の作
成
次のセクションでは、インターネットアクセスをサポートするパブリックサブネットを手動で作成する
方法について説明します。
API Version 2014-02-01
146
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイを関連付けた VPC の作成
Topics
• サブネットを作成する (p. 147)
• インターネットゲートウェイをアタッチする (p. 148)
• カスタムルートテーブルを作成する (p. 148)
• セキュリティグループルールを更新する (p. 148)
• Elastic IP アドレスを追加する (p. 149)
• VPC からのインターネットゲートウェイのアタッチ解除 (p. 149)
• インターネットゲートウェイを削除する (p. 150)
• API とコマンドの概要 (p. 150)
サブネットのセットアップを完了すると、VPC は次の図のように設定されます。
サブネットを作成する
サブネットを VPC に追加するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] を選択し、続いて [Create Subnet] を選択します。
3.
[Create Subnet] ダイアログボックスで VPC を選択し、次にアベイラビリティーゾーンを選び、サ
ブネットの CIDR 範囲を指定してから、[Yes, Create] を選択します。
サブネットの詳細については、「VPC とサブネット (p. 52)」を参照してください。
API Version 2014-02-01
147
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイを関連付けた VPC の作成
インターネットゲートウェイをアタッチする
インターネットゲートウェイを作成して VPC にアタッチするには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [Internet Gateways] を選択してから、[Create Internet Gateway] を選択し
ます。
[Create Internet Gateway] ダイアログボックスで、必要に応じてインターネットゲートウェイに名
前を指定し、[Yes, Create] を選択します。
作成したインターネットゲートウェイを選択して、[Attach to VPC] を選択します。
3.
4.
5.
[Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] を選択しま
す。
カスタムルートテーブルを作成する
サブネットを作成すると、VPC のメインルートテーブルと自動的に関連付けられます。デフォルトで
は、メインルートテーブルにインターネットゲートウェイへのルートは含まれません。次の手順では、
VPC の外部あてのトラフィックをインターネットゲートウェイに送信するルートを含むカスタムルー
トテーブルを作成してから、それをサブネットに関連付けます。
カスタムルートテーブルを作成するには
1.
2.
3.
4.
5.
6.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] を選択して、[Create Route Table] を選択します。
[Create Route Table] ダイアログボックスで、必要に応じてルートテーブルに名前を指定し、VPC
を選んでから、[Yes, Create] を選択します。
作成したカスタムルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートのプ
ロパゲーションを操作するタブが表示されます。
[Routes] タブで [Edit] を選択し、[0.0.0.0/0Destination] ボックスに [] を指定します。次に、
[Target] リストでインターネットゲートウェイ ID を選択し、[Save] を選択します。
[Subnet Associations] タブで [Edit] を選択し、サブネットの [Associate] チェックボックスをオン
にして、[Save] を選択します。
ルートテーブルの詳細については、「ルートテーブル (p. 134)」を参照してください。
セキュリティグループルールを更新する
VPC にはデフォルトのセキュリティグループが用意されています。VPC で起動する各インスタンス
は、自動的にそのデフォルトのセキュリティグループに関連付けられます。デフォルトのセキュリティ
グループのデフォルトの設定では、インターネットからのインバウンドトラフィックを許可せず、イン
ターネットに対するすべてのアウトバンドトラフィックを許可します。そのため、インスタンスがイン
ターネットと通信できるようにするには、パブリックインスタンスがインターネットにアクセスするこ
とを許可する新しいセキュリティグループを作成する必要があります。
新しいセキュリティグループを作成し、インスタンスに関連付けるには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Security Groups] を選択して、[Create Security Group] を選択します。
[Create Security Group] ダイアログボックスに、セキュリティグループの名前と説明を入力しま
す。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。
セキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細と、インバウ
ンドルールとアウトバンドルールを操作するタブが表示されます。
API Version 2014-02-01
148
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイを関連付けた VPC の作成
5.
[Inbound Rules] タブで、[Edit] を選択します。 [Add Rule] を選択し、必要な情報を入力します。た
とえば、[Type] リストから [HTTP] または [HTTPS] を選択し、[Source] に [0.0.0.0/0] と入力し
ます。以上が完了したら、[Save] を選択します。
6.
7.
8.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで、[Instances] を選択します。
インスタンスを選択し、[Actions] を選択して、続いて [Networking] を選択し、次に [Change Security
Groups] を選択します。
9.
[Change Security Groups] ダイアログボックスで、現在選択しているセキュリティグループのチェッ
クボックスをオフにし、新しいセキュリティグループを選択します。[Assign Security Groups] を
選択します。
セキュリティグループの詳細については、「VPC のセキュリティグループ (p. 70)」を参照してくださ
い。
Elastic IP アドレスを追加する
インターネットからインスタンスに到達できるようにするには、サブネットでインスタンスを起動した
後に、そのインスタンスに Elastic IP アドレスを割り当てる必要があります。 インターネット.
Note
起動中にパブリック IP アドレスをインスタンスに割り当てた場合、インスタンスはインター
ネットから到達可能であり、Elastic IP アドレスを割り当てる必要はありません。インスタンス
の IP アドレスの割り当ての詳細については、「VPC の IP アドレス指定 (p. 127)」を参照して
ください。
コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには
1.
2.
3.
4.
5.
6.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] を選択します。
[Allocate New Address] を選択します。
[Allocate New Address] ダイアログボックスの [Network platform] リストで [EC2-VPC] を選択し、
[Yes, Allocate] を選択します。
リストで Elastic IP アドレスを選択し、[Associate Address] ボタンを選択します。
[Associate Address] ダイアログボックスで、[Associate with] リストから [Instance] または [Network
Interface] を選択し、インスタンスまたはネットワークインタフェース ID を選択します。[Private
IP address] リストから Elastic IP アドレスを関連付けるプライベート IP アドレスを選択して、
[Yes, Associate] を選択します。
Elastic IP アドレスについては、「Elastic IP アドレス (p. 130)」を参照してください。
VPC からのインターネットゲートウェイのアタッチ解除
デフォルトではない VPC 内に起動するインスタンスでインターネットアクセスが不要になった場合に
は、VPC からインターネットゲートウェイをアタッチ解除できます。VPC に関連付けられた Elastic IP
アドレスを持つインスタンスがある場合、インターネットゲートウェイをアタッチ解除することはでき
ません。
インターネットゲートウェイをアタッチ解除するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] を選択します。
API Version 2014-02-01
149
Amazon Virtual Private Cloud ユーザーガイド
インターネットゲートウェイを関連付けた VPC の作成
3.
4.
5.
IP アドレスを選択し、[Disassociate Address] ボタンを選択して、[Yes, Disassociate] を選択しま
す。
ナビゲーションペインで、[Internet Gateways] を選択します。
インターネットゲートウェイを選択し、[Detach from VPC] を選択します。
6.
[Detach from VPC] ダイアログボックスで、[Yes, Detach] を選択します。
インターネットゲートウェイを削除する
インターネットゲートウェイが不要になった場合には、それを削除することができます。VPC にアタッ
チされているインターネットゲートウェイを削除することはできません。
インターネットゲートウェイを削除するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Internet Gateways] を選択します。
3.
4.
インターネットゲートウェイを選択し、[Delete] を選択します。
[Delete Internet Gateway] ダイアログボックスで、[Yes, Delete] を選択します。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC
へのアクセス (p. 6)」を参照してください。
インターネットゲートウェイを作成する
• create-internet-gateway（AWS CLI）
• ec2-create-internet-gateway（Amazon EC2 CLI）
• New-EC2InternetGateway（AWS Tools for Windows PowerShell）
インターネットゲートウェイを VPC にアタッチする
• attach-internet-gateway（AWS CLI）
• ec2-attach-internet-gateway（Amazon EC2 CLI）
• Add-EC2InternetGateway（AWS Tools for Windows PowerShell）
インターネットゲートウェイについて説明する
• describe-internet-gateways（AWS CLI）
• ec2-describe-internet-gateways（Amazon EC2 CLI）
• Get-EC2InternetGateway（AWS Tools for Windows PowerShell）
VPC からインターネットゲートウェイをアタッチ解除する
• detach-internet-gateway（AWS CLI）
• ec2-detach-internet-gateway（Amazon EC2 CLI）
• Dismount-EC2InternetGateway（AWS Tools for Windows PowerShell）
API Version 2014-02-01
150
Amazon Virtual Private Cloud ユーザーガイド
NAT インスタンス
インターネットゲートウェイを削除する
• delete-internet-gateway（AWS CLI）
• ec2-delete-internet-gateway（Amazon EC2 CLI）
• Remove-EC2InternetGateway（AWS Tools for Windows PowerShell）
NAT インスタンス
Abstract
パブリック VPC で NAT インスタンスを使用して、プライベートサブネットのインスタンスからのアウトバウンド
インターネットトラフィックを有効にします。
Virtual Private Cloud（VPC）のプライベートサブネット内に起動するインスタンスは、インターネッ
トとは通信できません。オプションとして、VPC のパブリックサブネットでネットワークアドレス変
換（NAT）インスタンスを使用し、プライベートサブネットのインスタンスを有効にすれば、インター
ネットへのアウトバウンドトラフィックを開始することができます。ただし、インターネット上で他の
人が開始したインバウンドトラフィックは受信できません。
VPC とサブネットの概要については、「Amazon VPC とは (p. 1)」を参照してください。パブリック
サブネットとプライベートサブネットの詳細については、「サブネットのルーティング (p. 58)」を参
照してください。
Note
NAT インスタンスという用語を使っていますが、実際のところ、NAT インスタンスは主にポー
トアドレス変換（PAT）の役割を果たします。ここでは、よく知られている NAT という用語
を選びました。NAT および PAT の詳細については、ネットワークアドレス変換に関する
Wikipedia の記事を参照してください。
Topics
• NAT インスタンスの基本 (p. 151)
• NAT インスタンスを設定する (p. 152)
• NATSG セキュリティグループを作成する (p. 154)
• 送信元/送信先チェックを無効にする (p. 155)
• メインルートテーブルを更新する (p. 156)
• NAT インスタンスの設定のテスト (p. 156)
NAT インスタンスの基本
次の図は、NAT インスタンスの基本を示しています。メインルートテーブルは、プライベートサブネッ
ト内のインスタンスからパブリックサブネット内の NAT インスタンスにトラフィックを送信します。
NAT インスタンスは、そのトラフィックを VPC のインターネットゲートウェイに送信します。トラ
フィックは NAT インスタンスの Elastic IP アドレスによってもたらされます。NAT インスタンスは応
答用に大きなポート番号を指定します。応答が戻ってきた場合、NAT インスタンスはそれをプライベー
トサブネット内のインスタンスに、応答用のポート番号に基づいて送信します。
API Version 2014-02-01
151
Amazon Virtual Private Cloud ユーザーガイド
NAT インスタンスを設定する
NAT インスタンスを設定する
VPC ウィザードを使用すると、NAT インスタンスで VPC を設定できます。詳細については、「シナ
リオ 2: パブリックサブネットとプライベートサブネットを持つ VPC（NAT） (p. 23)」を参照してくだ
さい。ウィザードは、NAT インスタンスの起動やルーティングのセットアップなどの多くの設定ステッ
プを実行します。 ただし、必要に応じて、次のステップを使用して VPC と NAT インスタンスを手動
で作成および設定することができます。
1.
2 つのサブネットを持つ VPC を作成します。
Note
次のステップは、手動で VPC を作成および設定するためです。VPC ウィザードを使用す
る VPC の作成ではありません。
a.
b.
VPC を作成する（「VPC を作成する (p. 54)」を参照）
2 つのサブネットを作成する（「サブネットを作成する (p. 147)」を参照）
c.
インターネットゲートウェイを VPC にアタッチする（「インターネットゲートウェイをアタッ
チする (p. 148)」を参照）
VPC の外部あてのトラフィックをインターネットゲートウェイに送信するカスタムルートテー
ブルを作成し、1 つのサブネットに関連付けて、パブリックサブネットにする（「カスタム
ルートテーブルを作成する (p. 148)」を参照）
d.
2.
NATSG セキュリティグループを作成します（「NATSG セキュリティグループを作成する (p. 154)」
を参照）。このセキュリティグループは、NAT インスタンスの起動時に指定します。
3.
NAT インスタンスとして実行されるように設定された AMI からパブリックサブネット内にインス
タンスを起動します。Amazon では、NAT インスタンスとして実行されるように設定された Amazon
Linux AMI を提供しています。これらの AMI の名前には文字列 amzn-ami-vpc-nat が含まれてい
るので、Amazon EC2 コンソールで検索できます。
a.
Amazon EC2 コンソールを開きます。
API Version 2014-02-01
152
Amazon Virtual Private Cloud ユーザーガイド
NAT インスタンスを設定する
b.
ダッシュボードで、[Launch Instance] ボタンをクリックし、次のようにウィザードを実行し
ます。
i.
[Choose an Amazon Machine Image (AMI)] ページで、[Community AMIs] カテゴリを選択
し、amzn-ami-vpc-nat を検索します。結果のリストでは、各 AMI の名前には、最新の
AMI を選択することができるバージョンが含まれています（2013.09 など）。[Select] を
クリックします。
ii.
[Choose an Instance Type] ページで、インスタンスタイプを選択し、[Next: Configure
Instance Details] をクリックします。
iii. [Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、
[Subnet] リストからパブリックサブネットを選択します。
iv. （オプション）[Public IP] チェックボックスをオンにして、NAT インスタンスがパブリッ
ク IP アドレスを受け取るように指定します。ここでパブリック IP アドレスを割り当てな
い場合、Elastic IP アドレスを割り当てて、インスタンスの起動後にそのアドレスをイン
スタンスに割り当てることができます。起動時のパブリック IP の割り当ての詳細につい
ては、「起動中のパブリック IP アドレスの割り当て (p. 129)」を参照してください。[Next:
Add Storage] をクリックします。
v. インスタンスにストレージを追加することができます。次のページでは、タグを追加でき
ます。完了したら、[Next: Configure Security Group] をクリックします。
vi. [Configure Security Group] ページで、[Select an existing security group] オプションを選
択し、作成した NATSG セキュリティグループを選択します。[Review and Launch] をク
リックします。
vii. 選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択
してインスタンスを起動します。
4.
5.
6.
（オプション）NAT インスタンスに接続し、必要に応じて修正を加え、NAT インスタンスとして
実行されるように設定された独自の AMI を作成します。この AMI は、次回 NAT インスタンスを
起動する必要があるときに使用できます。AMI の作成の詳細については、「Linux インスタンス用
Amazon EC2 ユーザーガイド」の「Amazon EBS-Backed AMI の作成」を参照してください。
NAT インスタンスの SrcDestCheck 属性を無効にします（「送信元/送信先チェックを無効にす
る (p. 155)」を参照）。
起動時に NAT インスタンスにパブリック IP アドレスを割り当てていない場合（手順 3）、Elastic
IP アドレスをそのインスタンスに関連付ける必要があります。
a.
b.
c.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Elastic IPs] をクリックします。
[Allocate New Address] ボタンをクリックします。
d.
[Allocate New Address] ダイアログボックスの [Network platform] リストで [EC2-VPC] を選択
し、[Yes, Allocate] をクリックします。
リストで Elastic IP アドレスを選択し、[Associate Address] ボタンをクリックします。
e.
f.
7.
[Associate Address] ダイアログボックスで、NAT インスタンスのネットワークインターフェ
イスを選択します。[Private IP Address] リストから、EIP を関連付けるアドレスを選択し、
[Yes, Associate] をクリックします。
メインルートテーブルを更新して、NAT インスタンスにトラフィックを送信します。詳細につい
ては、「メインルートテーブルを更新する (p. 156)」を参照してください。
API Version 2014-02-01
153
Amazon Virtual Private Cloud ユーザーガイド
NATSG セキュリティグループを作成する
コマンドラインを使用した NAT インスタンスの起動
サブネット内に NAT インスタンスを起動するには、次のいずれかのコマンドを使用します。これらの
コマンドラインインターフェイスについての詳細は、Amazon VPC へのアクセス (p. 6) を参照してく
ださい。
• run-instances（AWS CLI）
• ec2-run-instances（Amazon EC2 CLI）
• New-EC2Instance（AWS Tools for Windows PowerShell）
NAT インスタンスとして実行するように設定された AMI の ID を取得するには、イメージの詳細を確
認するためのコマンドを使用し、Amazon が所有する AMI に関連した結果（名前に文字列
amzn-ami-vpc-nat が含まれています）のみを返すフィルタを使用します。次の例では、AWS CLI を
使用します。
PROMPT> aws ec2 describe-images --filter Name="owner-alias",Values="amazon" -filter Name="name",Values="amzn-ami-vpc-nat*"
NATSG セキュリティグループを作成する
次の表に示すように NATSG セキュリティグループを定義し、NAT インスタンスを有効にして、イン
ターネットに接続されたトラフィックを、プライベートサブネットのインスタンスから受け取ります。
また、SSH トラフィックをネットワークから受け取ります。また、NAT インスタンスは、ネットワー
クにトラフィックを送信することもできます。これにより、プライベートサブネットのインスタンスが
ソフトウェア更新を取得できます。
NATSG: 推奨ルール
インバウンド
送信元
プロトコル
ポート範囲
コメント
10.0.1.0/24
TCP
80
プライベートサブネットのサーバー
からのインバウンド HTTP トラフィッ
クを許可する
10.0.1.0/24
TCP
443
プライベートサブネットのサーバー
からのインバウンド HTTPS トラ
フィックを許可する
ホームネットワークのパブリッ
ク IP アドレスの範囲
TCP
22
ホームネットワークから NAT インス
タンスへのインバウンド SSH アクセ
ス（インターネットゲートウェイ経
由）を許可する
送信先
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
インターネットへのアウトバウンド
HTTP アクセスを許可する
0.0.0.0/0
TCP
443
インターネットへのアウトバウンド
HTTPS アクセスを許可する
アウトバウンド
API Version 2014-02-01
154
Amazon Virtual Private Cloud ユーザーガイド
送信元/送信先チェックを無効にする
NATSG セキュリティグループを作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Security Groups] をクリックします。
[Create Security Group] ボタンをクリックします。
[Create Security Group] ダイアログボックスで、セキュリティグループ名として NATSG を指定し、
説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] をクリックします。
5.
先ほど作成した NATSG セキュリティグループを選択します。詳細ペインに、セキュリティグルー
プの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されま
す。
6.
次に示すように、[Inbound Rules] タブを使用して、インバウンドトラフィックのルールを追加し
ます。
a.
[Edit] をクリックします。
b.
[Add another rule] をクリックし、[Type] リストから [HTTP] を選択します。[Source] フィール
ドで、プライベートサブネットの IP アドレス範囲を指定します。
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択します。[Source] フィー
ルドで、プライベートサブネットの IP アドレス範囲を指定します。
[Add another rule] をクリックし、[Type] リストから [SSH] を選択します。[Source] フィール
ドで、ネットワークのパブリック IP アドレス範囲を指定します。
[Save] をクリックします。
c.
d.
e.
7.
次に示すように、[Outbound Rules] タブを使用して、アウトバウンドトラフィックのルールを追加
します。
a.
b.
[Edit] をクリックします。
[Add another rule] をクリックし、[Type] リストから [HTTP] を選択します。[Destination] フィー
ルドで、[0.0.0.0/0] と指定します。
c.
[Add another rule] をクリックし、[Type] リストから [HTTPS] を選択します。[Destination]
フィールドで、[0.0.0.0/0] と指定します。
d.
[Save] をクリックします。
セキュリティグループの詳細については、「VPC のセキュリティグループ (p. 70)」を参照してくださ
い。
送信元/送信先チェックを無効にする
EC2 インスタンスは、送信元/送信先チェックをデフォルトで実行します。つまり、そのインスタンス
は、そのインスタンスが送受信する任意のトラフィックの送信元または送信先である必要があります。
しかし、NAT インスタンスは、送信元または送信先がそのインスタンスでないときにも、トラフィッ
クを送受信できなければなりません。したがって、NAT インスタンスでは送信元/送信先チェックを無
効にする必要があります。
実行中または停止している NAT インスタンスの SrcDestCheck 属性は、コンソールまたはコマンドラ
インを使用して無効にできます。
コンソールを使用して、送信元/送信先チェックを無効にするには
1.
2.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
[Navigation] ペインの [Instances] をクリックします。
API Version 2014-02-01
155
Amazon Virtual Private Cloud ユーザーガイド
メインルートテーブルを更新する
3.
4.
NAT インスタンスを選択して、[Actions] をクリックし、次に [Networking] を選択して、[Change
Source/Dest.Check] を選択します。
NAT インスタンスの場合は、この属性が無効になっていることを確認します。無効になっていな
い場合は、[Yes, Disable] をクリックします。
コマンドラインを使用して送信元/送信先チェックを無効にするには
以下のいずれかのコマンドを使用できます。これらのコマンドラインインターフェイスについての詳細
は、Amazon VPC へのアクセス (p. 6) を参照してください。
• modify-instance-attribute（AWS CLI）
• ec2-modify-instance-attribute（Amazon EC2 CLI）
• Edit-EC2InstanceAttribute（AWS Tools for Windows PowerShell）
メインルートテーブルを更新する
メインルートテーブルを以下の手順にしたがって更新します。デフォルトでは、メインルートテーブル
によって、VPC 内のインスタンスはお互いに通信することができます。その他のすべてのサブネット
トラフィックを NAT インスタンスに送信するルートが追加されます。
メインルートテーブルを更新するには
1.
2.
3.
4.
5.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックします。
VPC 用のメインルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートの伝
播を操作するタブが表示されます。
[Routes] タブで [Edit] をクリックし、[Destination] ボックスに [0.0.0.0/0] と指定します。次に、
[Target] リストから NAT インスタンスのインスタンス ID を選択して、[Save] をクリックします。
[Subnet Associations] タブで [Edit] をクリックし、サブネットの [Associate] チェックボックスを
オンにします。[Save] をクリックします。
ルートテーブルの詳細については、「ルートテーブル (p. 134)」を参照してください。
NAT インスタンスの設定のテスト
NAT インスタンスを起動し、上記の設定手順が完了した後で、テストを実行し、プライベートサブネッ
トのインスタンスが NAT インスタンス経由でインターネットにアクセスできるかどうかを確認するこ
とができます。これを行うには、インバウンドおよびアウトバウンドの ICMP トラフィックとアウトバ
ウンドの SSH トラフィックを許可するように NAT インスタンスのセキュリティグループルールを更
新し、プライベートサブネットでインスタンスを起動します。次に、プライベートサブネットのインス
タンスにアクセスするように SSH エージェント転送を設定し、インスタンスに接続して、インターネッ
ト接続をテストします。
NAT インスタンスのセキュリティグループを更新するには
1.
2.
3.
4.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
[Navigation] ペインの [Security Groups] をクリックします。
NAT インスタンスに関連付けられたセキュリティグループを探し、[Inbound] タブで [Edit] をクリッ
クします。
[Add Rule] をクリックし、[Type] リストから [All ICMP] を、[Source] リストから [Custom IP] を選
択します。プライベートサブネットの IP アドレス範囲（例: 10.0.1.0/24）を入力します。[Save]
をクリックします。
API Version 2014-02-01
156
Amazon Virtual Private Cloud ユーザーガイド
NAT インスタンスの設定のテスト
5.
6.
7.
[Outbound] タブで、[Edit] をクリックします。
[Add Rule] をクリックし、[Type] リストから [SSH] を、[Source] リストから [Custom IP] を選択し
ます。プライベートサブネットの IP アドレス範囲（例: 10.0.1.0/24）を入力します。[Save] を
クリックします。
[Add Rule] をクリックし、[Type] リストから [All ICMP] を、[Source] リストから [Custom IP] を選
択します。「0.0.0.0/0」と入力し、[Save] をクリックします。
プライベートサブネット内にインスタンスを起動するには
1.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
2.
3.
[Navigation] ペインの [Instances] をクリックします。
プライベートサブネット内にインスタンスを起動します。詳細については、「サブネット内にイン
スタンスを起動する (p. 59)」を参照してください。起動ウィザードの次のオプションを必ず設定
し、[Launch] をクリックします。
• [Choose an Amazon Machine Image (AMI)] ページで、[Quick Start] カテゴリから [Amazon Linux
AMI] を選択します。
• [Configure Instance Details] ページで、[Subnet] リストからプライベートサブネットを選択しま
す。このときに、インスタンスにパブリック IP アドレスを割り当てないでください。
• [Configure Security Group] ページで、NAT インスタンスのプライベート IP アドレスからの SSH
アクセス、またはパブリックサブネットの IP アドレス範囲からの SSH アクセスを許可するイン
バウンドルールがセキュリティグループに含まれていて、アウトバウンド ICMP トラフィックを
許可するアウトバウンドルールがあることを確認します。
• [Select an existing key pair or create a new key pair] ダイアログボックスで、NAT インスタンス
の起動に使用したのと同じキーペアを選択します。
Linux または OS X の SSH エージェント転送を設定するには
1.
ローカルマシンから、認証エージェントにプライベートキーを追加します。
Linux の場合、次のコマンドを使用します。
PROMPT> ssh-add -c mykeypair.pem
OS X の場合、次のコマンドを使用します。
PROMPT> ssh-add -K mykeypair.pem
2.
-A オプションを使用して NAT インスタンスに接続し、SSH エージェント転送を有効にします。
その例を次に示します。
ssh -A [email protected]
Windows（PuTTY）用に SSH エージェント転送を設定するには
1.
既にインストールされていない場合は、PuTTY のダウンロードページから Pageant をダウンロー
ドしてインストールします。
2.
プライベートキーを .ppk 形式に変換します。詳細については、「PuTTYgen を使用したプライベー
トキーの変換」を参照してください。
API Version 2014-02-01
157
Amazon Virtual Private Cloud ユーザーガイド
NAT インスタンスの設定のテスト
3.
4.
Pageant を起動し、[Add Key] をクリックします。作成した .ppk ファイルを選択し、必要に応じて
パスフレーズを入力します。次に [OK] をクリックし、[Pageant Key List] ウィンドウを閉じます。
PuTTY セッションを開始して NAT インスタンスに接続します。[Auth] カテゴリで、必ず [Allow
agent forwarding] オプションを選択し、[Private key file for authentication] フィールドは空のまま
にします。
インターネット接続をテストするには
1.
ICMP が有効なウェブサイトに対して ping コマンドを実行して、NAT インスタンスがインター
ネットと通信できることをテストします。例:
PROMPT> ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=48 time=74.9 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=48 time=75.1 ms
...
ping コマンドをキャンセルするには、Ctrl + C を押します。
2.
NAT インスタンスから、プライベート IP アドレスを使用してプライベートサブネットのインスタ
ンスに接続します。例:
PROMPT> ssh [email protected]
3.
プライベートインスタンスから ping コマンドを実行して、インターネットに接続できることをテ
ストします。
PROMPT> ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
...
ping コマンドをキャンセルするには、Ctrl + C を押します。
ping コマンドが失敗した場合、次の情報を確認します。
• NAT インスタンスのセキュリティグループルールで、プライベートサブネットからのインバウ
ンド ICMP トラフィックを許可していることを確認します。許可していない場合、NAT インス
タンスはプライベートインスタンスから ping コマンドを受け取ることができません。
• ルートテーブルが正しく設定されているかどうかを確認します。詳細については、「メインルー
トテーブルを更新する (p. 156)」を参照してください。
• NAT インスタンスの送信元/送信先チェックを無効にしたことを確認します。詳細については、
「送信元/送信先チェックを無効にする (p. 155)」を参照してください。
• ICMP を有効にしたウェブサイトに対して ping を実行していることを確認します。そうでない
場合、応答パケットを受け取ることはできません。これをテストするには、自分のコンピュータ
のコマンドラインターミナルから同じ ping コマンドを実行します。
4.
（オプション）必要がなくなった場合は、プライベートインスタンスを終了します。詳細について
は、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスの終了」を参照して
ください。
API Version 2014-02-01
158
Amazon Virtual Private Cloud ユーザーガイド
DHCP オプションセット
DHCP オプションセット
Abstract
VPC の DHCP オプションを指定します。
このトピックでは、DHCP オプションセットと、VPC の DHCP オプションを指定する方法について説
明します。
Topics
• DHCP オプションセットの概要 (p. 159)
• Amazon DNS サーバー (p. 160)
• DHCP オプションを変更する (p. 161)
• DHCP オプションセットを使用する (p. 161)
• API とコマンドの概要 (p. 163)
DHCP オプションセットの概要
DHCP（Dynamic Host Configuration Protocol）は、TCP/IP ネットワークのホストに設定情報を渡すた
めの規格です。DHCP メッセージの options フィールドの内容は設定パラメータです。パラメータに
は、ドメイン名、ドメインネームサーバー、netbios-node-type などがあります。
DHCP オプションセットは AWS アカウントに関連付けられ、すべての Virtual Private Cloud（VPC）
で使用できます。
デフォルトではない VPC 内に起動する Amazon EC2 インスタンスは、デフォルトでプライベートにな
り、起動時に特別に割り当てるか、サブネットのパブリック IP アドレス属性を変更する場合を除き、
パブリック IP アドレスは割り当てられません。デフォルトでは、デフォルトではない VPC 内のすべて
のインスタンスが、AWS によって割り当てられた解決できないホスト名を受け取ります（ip-10-0-0-202
など）。インスタンスに独自のドメイン名を割り当て、独自の DNS サーバーのうち 4 台までを使用で
きます。そのためには、特別な DHCP オプションセットを指定する必要があります。
次の表に、DHCP オプションセットのサポートされるすべてのオプションを示します。DHCP オプショ
ンで必要なオプションのみ指定できます。オプションの詳細については、RFC 2132 を参照してくださ
い。
DHCP オプション名
説明
domain-name-servers
最大 4 つまでのドメインネームサーバー、または
AmazonProvidedDNS の IP アドレス。デフォル
トの DHCP オプションセットで AmazonProvidedDNS が指定されます。複数のドメイン
ネームサーバーを指定する場合は、カンマで区切
ります。
API Version 2014-02-01
159
Amazon Virtual Private Cloud ユーザーガイド
Amazon DNS サーバー
DHCP オプション名
説明
domain-name
us-east-1 で AmazonProvidedDNS を使用して
いる場合は、ec2.internal を指定します。別の
リージョンで AmazonProvidedDNS を使用してい
る場合は、region.compute.internal を指定します
（例: ap-northeast-1.compute.internal）。
それ以外の場合は、ドメイン名を指定します（例:
MyCompany.com）。
Important
一部の Linux オペレーティングシステム
では、複数のドメイン名をスペースで区
切って指定できます。ただし、他の Linux
オペレーティングシステムや Windows で
は、この値は単一のドメインとして処理
されるため、予期しない動作の原因とな
ります。DHCP オプションセットが、複
数のオペレーティングシステムで使用さ
れるインスタンスを持つ VPC に関連付け
られている場合は、ドメイン名を 1 つだ
け指定してください。
ntp-servers
最大 4 つまでの Network Time Protocol（NTP）
サーバーの IP アドレス。詳細については、RFC
2132 のセクション 8.3 を参照してください。
netbios-name-servers
最大 4 つまでの NetBIOS ネームサーバーの IP ア
ドレス。
netbios-node-type
NetBIOS ノードタイプ（1、2、4、8）。2 と指定
することをお勧めします（ブロードキャストとマ
ルチキャストは現在サポートされません）。これ
らのノードタイプの詳細については、RFC 2132
を参照してください。
Amazon DNS サーバー
VPC を作成する際、DHCP オプションのセットを自動的に作成し、VPC に関連付けます。このセット
には 2 つのオプションが含まれています。domain-name-servers=AmazonProvidedDNS と
domain-name=domain-name-for-your-region です。AmazonProvidedDNS は Amazon DNS サー
バーです。このオプションは、VPC のインターネットゲートウェイを介して通信する必要があるイン
スタンスに対して DNS を有効にします。文字列 AmazonProvidedDNS は、リザーブド IP アドレスで
実行中の DNS サーバーにマップされ、VPC ネットワークの範囲に "2" をプラスした値です。例えば、
10.0.0.0/16 ネットワークの DNS サーバーの位置は 10.0.0.2 となります。
VPC の Amazon DNS サーバーは、Amazon Route 53 のプライベートホストゾーンで指定する DNS ド
メイン名を解決するために使用されます。プライベートホストゾーンの詳細については、『Amazon
Route 53 開発者ガイド』の「プライベートホストゾーンの使用」を参照してください。
Amazon EMR のような、Hadoop フレームワークを使用するサービスは、インスタンスが自己の完全
修飾ドメイン名（FQDN）を解決する必要があります。このような場合、domain-name-servers オ
プションがカスタム値に設定されていると DNS 解決が失敗する場合があります。DNS 解決が適切に行
API Version 2014-02-01
160
Amazon Virtual Private Cloud ユーザーガイド
DHCP オプションを変更する
われるようにするには、DNS サーバーに条件付きフォワーダーを追加して、
region-name.compute.internal ドメインのクエリがAmazon DNS サーバーに転送されるようにす
る方法を検討します。VPC への Amazon EMR クラスターの起動に関する詳細については、『Amazon
Elastic MapReduce 開発者ガイド』の「ホストクラスターへの VPC のセットアップ」を参照してくだ
さい。
Note
Amazon DNS サーバーの IP アドレス 169.254.169.253 を使用することも可能ですが、このア
ドレスを使用できないサーバーもあります。例えば、Windows Server 2008 では、ネットワー
ク範囲 169.254.x.x にある DNS サーバーは使用できません。
DHCP オプションを変更する
DHCP オプションセットを作成後に変更することはできません。VPC で異なる DHCP オプションセッ
トを使用するには、新しいセットを作成して VPC に関連付ける必要があります。DHCP オプションを
使用しないように VPC を設定することもできます。
複数セットの DHCP オプションを使用できますが、一度に VPC に関連付ることができる DHCP オプ
ションセットは 1 つだけです。VPC を削除すると、その VPC に関連付けられている DHCP オプショ
ンセットも削除されます。
新しい DHCP オプションセットを VPC に関連付けた後に VPC 内で起動する既存のインスタンスとす
べての新しいインスタンスに、それらのオプションが使用されます。インスタンスを再作成や再作成す
る必要はありません。インスタンスで DHCP リースが更新される頻度に応じて、数時間以内に自動的
に変更が反映されます。インスタンスのオペレーティングシステムを使用してリースを明示的に更新す
ることもできます。
DHCP オプションセットを使用する
このセクションでは、DHCP オプションセットの使用方法を示します。
Topics
• DHCP オプションセットを作成する (p. 161)
• VPC で使用する DHCP オプションセットを変更する (p. 162)
• DHCP オプションを使用しないように VPC を変更する (p. 162)
• DHCP オプションセットを削除する (p. 163)
DHCP オプションセットを作成する
必要な数だけ追加の DHCP オプションセットを作成できます。ただし、一度に VPC に関連付けること
ができる DHCP オプションセットは 1 つだけです。DHCP オプションセットを作成した後、そのセッ
トを使用するように VPC を設定する必要があります。詳細については、「VPC で使用する DHCP オ
プションセットを変更する (p. 162)」を参照してください。
DHCP オプションセットを作成するには
1.
2.
3.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [DHCP Options Sets] をクリックし、[Create DHCP Options Set] ボタン
をクリックします。
[Create DHCP Options Set] ダイアログボックスで、使用するオプションの値を入力し、[Yes, Create]
をクリックします。
API Version 2014-02-01
161
Amazon Virtual Private Cloud ユーザーガイド
DHCP オプションセットを使用する
Important
VPC にインターネットゲートウェイがある場合は、[Domain name servers] の値に必ず独
自の DNS サーバーまたは Amazon の DNS サーバー (AmazonProvidedDNS) を指定して
ください。そうしないと、インターネットと通信する必要があるインスタンスが DNS に
アクセスできません。
4.
新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。
新しい DHCP オプションセットの ID を書き留めておいてください（dopt-xxxxxxxx）。新しいオ
プションセットを VPC に関連付けるときに必要です。
DHCP オプションセットを作成しても、オプションを有効に機能させるには、オプションを VPC に関
連付ける必要があります。複数の DHCP オプションセットを作成できますが、一度に VPC に関連付る
ことができる DHCP オプションセットは 1 つだけです。
VPC で使用する DHCP オプションセットを変更する
VPC でどの DHCP オプションセットを使用するかを変更できます。VPC で DHCP オプションを使用
しない場合は、DHCP オプションを使用しないように VPC を変更する (p. 162) を参照してください。
Note
次の手順では、変更したい DHCP オプションセットはすでに作成済みであることを想定してい
ます。まだ作成していない場合は、この時点でオプションセットを作成してください。詳細に
ついては、「DHCP オプションセットを作成する (p. 161)」を参照してください。
VPC に関連付けられた DHCP オプションセットを変更するには
1.
2.
3.
4.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Your VPCs] をクリックします。
VPC を選択し、[Actions] 一覧から [Edit DHCP Options Set] を選択します。
[DHCP options set] リストで、一連のオプションを選択し、[Save] をクリックします。
新しい DHCP オプションセットを VPC に関連付けた後、VPC 内で起動する既存のインスタンスおよ
び新しいインスタンスのすべてで、それらのオプションが使用されます。インスタンスを再作成や再作
成する必要はありません。インスタンスで DHCP リースが更新される頻度に応じて、数時間以内に自
動的に変更が反映されます。インスタンスのオペレーティングシステムを使用してリースを明示的に更
新することもできます。
DHCP オプションを使用しないように VPC を変更する
DHCP オプションを使用しないように VPC を設定できます。
1.
2.
3.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [Your VPCs] をクリックします。
VPC を選択し、[Actions] 一覧から [default] を選択します。
4.
[DHCP options set] リストで、[default] を選択し、[Save] をクリックします。
インスタンスを再作成や再作成する必要はありません。インスタンスで DHCP リースが更新される頻
度に応じて、数時間以内に自動的に変更が反映されます。インスタンスのオペレーティングシステムを
使用してリースを明示的に更新することもできます。
API Version 2014-02-01
162
Amazon Virtual Private Cloud ユーザーガイド
API とコマンドの概要
DHCP オプションセットを削除する
DHCP オプションセットが不要になった場合は、次の手順にしたがって削除します。VPC でオプショ
ンセットを使用していないことが必要です。
DHCP オプションセットを削除するには
1.
2.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [DHCP Options Sets] をクリックします。
3.
4.
削除する DHCP オプションセットを選択し、[Delete] をクリックします。
[Delete DHCP Options Set] ダイアログボックスで、[Yes, Delete] をクリックします。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
VPC 用の DHCP オプションセットを作成する
• create-dhcp-options（AWS CLI）
• ec2-create-dhcp-options（Amazon EC2 CLI）
• New-EC2DhcpOption（AWS Tools for Windows PowerShell）
指定した VPC に DHCP オプションセットを関連付ける、または DHCP オプションを使用しな
いように設定する
• associate-dhcp-options（AWS CLI）
• ec2-associate-dhcp-options（Amazon EC2 CLI）
• Register-EC2DhcpOption（AWS Tools for Windows PowerShell）
1 つ以上の DHCP オプションセットについて説明する
• describe-dhcp-options（AWS CLI）
• ec2-describe-dhcp-options（Amazon EC2 CLI）
• Get-EC2DhcpOption（AWS Tools for Windows PowerShell）
DHCP オプションセットを削除する
• delete-dhcp-options（AWS CLI）
• ec2-delete-dhcp-options（Amazon EC2 CLI）
• Remove-EC2DhcpOption（AWS Tools for Windows PowerShell）
VPC での DNS の使用
Abstract
VPC の DNS サポートを制御します。
API Version 2014-02-01
163
Amazon Virtual Private Cloud ユーザーガイド
EC2 インスタンスの DNS ホスト名を確認する
Amazon EC2 インスタンスの通信には IP アドレスが必要です。パブリック IP アドレスによってイン
ターネットでの通信が可能になり、プライベート IP アドレスによってインスタンス（EC2-Classic ま
たは VPC）のネットワーク内部での通信が可能になります。
インターネットで使用される名前を対応する IP アドレスに解決するには、ドメインネームシステム
（DNS）が標準的です。DNS ホスト名はコンピュータを一意に識別する絶対名で、ホスト名とドメイ
ン名で構成されます。DNS サーバーは DNS ホスト名を対応する IP アドレスに解決します。
Amazon では Amazon DNS サーバーを提供しています。独自の DNS サーバーを使用するには、VPC
の DHCP オプションセットを更新します。詳細については、「DHCP オプションセット (p. 159)」を参
照してください。
EC2 インスタンスをパブリックにアクセス可能にするには、パブリック IP アドレス、DNS ホスト名、
DNS 解決が必要です。
Topics
• EC2 インスタンスの DNS ホスト名を確認する (p. 164)
• VPC の DNS サポートを更新する (p. 165)
• プライベートホストゾーンの使用 (p. 166)
EC2 インスタンスの DNS ホスト名を確認する
EC2-Classic プラットフォームまたはデフォルトの VPC 内にインスタンスを起動すると、パブリック
DNS ホスト名およびプライベート DNS ホスト名がインスタンスに割り当てられます。デフォルト以外
の VPC 内にインスタンスを起動すると、VPC およびインスタンスに対して指定した設定によっては、
パブリック DNS ホスト名およびプライベート DNS ホスト名が割り当てられる場合と、割り当てられ
ない場合があります。
Amazon EC2 コンソールまたはコマンドラインを使用して、実行中のインスタンスまたはネットワー
クインターフェイスの DNS ホスト名を確認できます。
インスタンス
コンソールを使用してインスタンスの DNS ホスト名を確認するには
1.
2.
3.
4.
Amazon EC2 コンソールを開きます。
ナビゲーションペインの [Instances] をクリックします。
リストからインスタンスを選択します。
詳細ペインの [Description] タブで、[Public DNS] および [Private DNS] フィールドの値を確認しま
す。
コマンドラインを使用してインスタンスの DNS ホスト名を確認するには
以下のいずれかのコマンドを使用できます。これらのコマンドラインインターフェイスの詳細について
は、「Amazon VPC へのアクセス (p. 6)」を参照してください。
• describe-instances（AWS CLI）
• ec2-describe-instances（Amazon EC2 CLI）
• Get-EC2Instance（AWS Tools for Windows PowerShell）
API Version 2014-02-01
164
Amazon Virtual Private Cloud ユーザーガイド
VPC の DNS サポートを更新する
ネットワークインターフェイス
コンソールを使用してネットワークインターフェイスの DNS ホスト名を確認するには
1.
Amazon EC2 コンソールを開きます。
2.
3.
4.
ナビゲーションペインの [Network Interfaces] をクリックします。
リストからネットワークインターフェイスを選択します。
ネットワークインターフェイスの [Details] タブで、[Public DNS] および [Private DNS] フィールド
の値を確認します。
コマンドラインを使用してネットワークインターフェイスの DNS ホスト名を確認するには
以下のいずれかのコマンドを使用できます。これらのコマンドラインインターフェイスについての詳細
は、Amazon VPC へのアクセス (p. 6) を参照してください。
• describe-network-interfaces（AWS CLI）
• ec2-describe-network-interfaces（Amazon EC2 CLI）
• Get-EC2NetworkInterface（AWS Tools for Windows PowerShell）
VPC の DNS サポートを更新する
VPC 内にインスタンスを起動したとき、VPC で DNS ホスト名が有効になっている場合にのみ、パブ
リック DNS ホスト名とプライベート DNS ホスト名がインスタンスに割り当てられます。デフォルト
では、DNS ホスト名はデフォルトの VPC と、VPC コンソールで VPC ウィザードを使用して作成した
VPC でのみ有効になります。
DNS サポートを制御する次の VPC 属性がサポートされています。インターネットからアクセス可能な
パブリック DNS ホスト名をインスタンスが取得するようにする場合は、必ず両方の属性を true に設
定してください。
属性
説明
enableDnsHostnames
VPC 内に起動されるインスタンスが DNS ホスト
名を取得するかどうかを示します。この属性が
true の場合、VPC 内のインスタンスは DNS ホ
スト名を取得します。それ以外の場合は取得しま
せん。インスタンスが DNS ホスト名を取得する
ようにする場合は、enableDnsSupport 属性も
true に設定する必要があります。
enableDnsSupport
VPC に対して DNS 解決がサポートされているか
どうかを示します。この属性が false の場合、
Amazon が提供する VPC の DNS サービス（パブ
リック DNS ホスト名を IP アドレスに解決しま
す）が有効になりません。この属性が true の場
合、Amazon が提供する DNS サーバー（IP アド
レス 169.254.169.253）へのクエリ、またはリザー
ブド IP アドレス（VPC ネットワークの範囲に "2"
をプラスしたアドレス）へのクエリは成功しま
す。詳細については、「Amazon DNS サー
バー (p. 160)」を参照してください。
API Version 2014-02-01
165
Amazon Virtual Private Cloud ユーザーガイド
プライベートホストゾーンの使用
IP アドレス範囲が RFC 1918 で指定されたプライベート IP アドレスの範囲外である場合、Amazon
DNS サーバーはプライベート DNS ホスト名を解決することができません。
DNS ホスト名と DNS サポートを、以前はそれらに対応していなかった VPC で有効にすると、その
VPC で既に起動されているインスタンスはパブリック DNS ホスト名を取得します。ただしそのために
は、インスタンスにパブリック IP アドレスまたは Elastic IP アドレスが割り当てられている必要があ
ります。
コンソールを使用して VPC の DNS サポートの詳細を確認し更新するには
1.
Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [Your VPCs] をクリックします。
一覧から VPC を選択します。
4.
[Summary] タブの情報を確認します。この例では、両方の設定が有効になっています。
5.
これらの設定を更新するには、[Actions] の一覧をクリックし、[Edit DNS Resolution] または [Edit
DNS Hostnames] を選択します。表示されたダイアログボックスで、[Yes] または [No] を選択し、
[Save] をクリックします。
コマンドラインを使用して VPC の DNS サポートについて説明するには
以下のいずれかのコマンドを使用できます。これらのコマンドラインインターフェイスの詳細について
は、「Amazon VPC へのアクセス (p. 6)」を参照してください。
• describe-vpc-attribute（AWS CLI）
• ec2-describe-vpc-attribute（Amazon EC2 CLI）
• Get-EC2VpcAttribute（AWS Tools for Windows PowerShell）
コマンドラインを使用して VPC の DNS サポートを更新するには
以下のいずれかのコマンドを使用できます。これらのコマンドラインインターフェイスの詳細について
は、「Amazon VPC へのアクセス (p. 6)」を参照してください。
• modify-vpc-attribute（AWS CLI）
• ec2-modify-vpc-attribute（Amazon EC2 CLI）
• Edit-EC2VpcAttribute（AWS Tools for Windows PowerShell）
プライベートホストゾーンの使用
プライベート IP アドレスや AWS で提供されたプライベート DNS ホスト名の代わりに example.com
のようなカスタム DNS ドメイン名を使用して VPC のリソースにアクセスする場合は、Amazon Route
53 でプライベートホストゾーンを作成できます。プライベートホストゾーンは、インターネットにリ
ソースを公開することなく、1 つ以上の VPC 内のドメインとそのサブドメインにトラフィックをルー
ティングする方法に関する情報を保持するコンテナです。次に、Amazon Route 53 リソースレコード
セットを作成できます。これにより、ドメインとサブドメインへのクエリに Amazon Route 53 が対応
する方法が決定されます。たとえば、example.com のブラウザリクエストが VPC のウェブサーバーに
ルーティングされるようにする場合、プライベートホストゾーンで A レコードを作成し、そのウェブ
サーバーの IP アドレスを指定します。プライベートホストゾーンの作成の詳細については、『Amazon
Route 53 開発者ガイド』の「プライベートホストゾーンの使用」を参照してください。
API Version 2014-02-01
166
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続
カスタム DNS ドメイン名を使用してリソースにアクセスするには、VPC 内のインスタンスに接続して
いる必要があります。インスタンスで、ping コマンド（ping mywebserver.example.com など）
を使用してカスタム DNS 名からプライベートホストゾーンのリソースにアクセス可能なことをテスト
できます（ping コマンドが機能するには、インスタンスのセキュリティグループのルールでインバウ
ンド ICMP トラフィックが許可されている必要があります）。
プライベートホストゾーンは VPC 外部の推移的関係をサポートしていません。たとえば、VPN 接続の
他方の側からカスタムプライベート DNS 名を使用してリソースにアクセスすることはできません。
Important
Amazon Route 53 のプライベートホストゾーンに定義されているカスタム DNS ドメイン名を
使用している場合は、VPC 属性 enableDnsHostnames と enableDnsSupport を true に設
定する必要があります。詳細については、「VPC の DNS サポートを更新する (p. 165)」を参照
してください。
VPC ピア接続
Abstract
リソースを共有するために、他の VPC との VPC ピア接続を作成します。
VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックのルーティング
を可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在し
ているかのように相互に通信できます。VPC ピア接続は、自分の VPC 間、または 1 つのリージョン内
の他の AWS アカウントにある VPC との間に作成できます。
AWS では VPC の既存のインフラストラクチャを使用して VPC ピアリング接続を作成しています。こ
れはゲートウェイでも VPN 接続でもなく、個別の物理ハードウェアに依存するものではありません。
通信の単一障害点や帯域幅のボトルネックは存在しません。
VPC ピア接続によりデータの転送を高速化することができます。たとえば、複数の AWS アカウント
がある場合、アカウント間でピア接続を行い、ファイル共有ネットワークを作成できます。VPC 接続
を使用して、所有するいずれかの VPC にあるリソースに他の VPC がアクセスできるようにすること
も可能です。VPC ピア接続を使用できるシナリオのその他の例については、「Amazon VPC Peering
Guide」を参照してください。
Topics
•
•
•
•
VPC ピア機能の基本 (p. 167)
VPC ピア接続の操作 (p. 169)
API と CLI の概要 (p. 174)
VPC ピア接続へのアクセスを制御する (p. 175)
VPC ピア機能の基本
VPC ピア接続を確立するには、リクエスター VPC（つまりローカル VPC）の所有者がピア VPC の所
有者にリクエストを送信して、VPC ピア接続を作成します。ピア VPC はユーザーまたは他の AWS ア
カウントが所有できます。また、ピア VPC はリクエスタ VPC の CIDR ブロックと重複する CIDR ブ
ロックを持つことはできません。ピア VPC の所有者は、VPC ピア接続リクエストを承認して VPC ピ
ア接続を有効にする必要があります。プライベート IP アドレスを使用したピア VPC 間のトラフィック
の流れを有効にするには、自分の VPC の 1 つ以上のルートテーブルにピア VPC の IP アドレス範囲を
指すルートを追加します。ピア VPC の所有者は、自分の VPC のルートテーブルの 1 つにリクエスター
VPC の IP アドレス範囲を指すルートを追加します。また、インスタンスに関連付けられているセキュ
リティグループのルールを更新して、ピア VPC との間で送受信されるトラフィックが制限されていな
API Version 2014-02-01
167
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア機能の基本
いことを確認する必要があります。セキュリティグループの詳細については、VPC のセキュリティグ
ループ (p. 70) を参照してください。
VPC ピア接続は、2 つの VPC 間の 1 対 1 関係です。所有するそれぞれの VPC で複数の VPC ピア接
続を作成できますが、推移的なピア関係はサポートされていません。自分の VPC と直接ピア関係にな
い VPC とのピア関係を作成することはできません。
次の図は、2 つの異なる VPC とピア関係にある VPC の例です。2 つの VPC ピア接続があり、VPC A
は VPC B と VPC C の両方とピア関係にあります。 VPC B と VPC C はピア関係にはありません。VPC
B と VPC C との間のピア接続の中継データポイントとして VPC A を使用することはできません。VPC
B と VPC C との間でトラフィックのルーティングを有効にしたい場合は、その VPC 間で一意の VPC
ピア接続を作成する必要があります。
VPC ピア機能の制限事項の詳細については、「VPC ピア機能の制限事項 (p. 169)」を参照してくださ
い。サポートされているピア関係の詳細および例については、「Amazon VPC Peering Guide」を参照
してください。
VPC ピア接続内でのデータ転送には、アベイラビリティーゾーン間のデータ転送と同じ料金が適用さ
れます。詳細については、Amazon EC2 料金表を参照してください。
VPC ピア接続のライフサイクル
VPC ピア接続は、リクエストが開始されたときから始まるさまざなステージで使用されます。それぞ
れのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC ピア接続は VPC コ
ンソールと API またはコマンドライン出力に一定期間表示されます。
• [Initiating-request]: VPC ピア接続のリクエストが開始されました。このステージでは、ピア接続は失
敗する可能性があり、pending-acceptanceに移行する場合があります。
• [Failed]: VPC ピア接続のリクエストが失敗しました。このステージの間は、ピア接続が承認または
却下されることはありません。失敗した VPC ピア接続は、リクエスタに 2 時間表示されます。
• [Pending-acceptance]: VPC ピア接続リクエストがピア VPC の所有者からの承認を待っています。
このステージの間、リクエスタ VPC の所有者はリクエストを削除できます。ピア VPC の所有者は
リクエストを承認するか却下できます。リクエストに対するアクションがない場合、リクエストは 7
日後に有効期限が切れます。
API Version 2014-02-01
168
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続の操作
• [Expired]: VPC ピア接続のリクエストが有効期限切れとなりました。どちらの VPC 所有者もアクショ
ンを実行することはできません。期限切れとなった VPC ピア接続は、両方の VPC 所有者に対して
2 日間表示されます。
• [Rejected]: ピア VPC の所有者は、VPC ピア接続リクエストの pending-acceptance を却下しまし
た。このステージの間は、リクエストを承認することはできません。却下された VPC ピア接続は、
リクエスタ VPC の所有者に対して 2 日間表示され、ピア VPC の所有者に対しては 2 時間表示され
ます。リクエストが同じ AWS アカウント内で作成されている場合、却下されたリクエストは 2 時間
表示されます。
• [Provisioning]: VPC ピア接続リクエストが承認され、間もなく active 状態に移行します。
• [Active]: VPC ピア接続がアクティブになります。このステージの間、どちらの VPC の所有者も VPC
接続を削除したり却下したりできません。
• [Deleted]: active な状態の VPC ピア接続がいずれかの VPC 所有者によって削除されたか、
pending-acceptance な状態の VPC ピア接続リクエストがリクエスタ VPC の所有者によって削除
されました。このステージの間、VPC ピア接続を承認または却下することはできません。VPC ピア
接続は、それを削除した当事者に対して 2 時間表示され、その他の当事者に対しては 2 日間表示さ
れます。VPC ピア接続が同じ AWS アカウント内で作成されている場合、削除されたリクエストは
2 時間表示されます。
VPC ピア機能の制限事項
別の VPC との VPC 接続を作成するには、次の制限事項と規則を認識しておく必要があります。
• CIDR ブロックが一致または重複する VPC 間で VPC ピア接続を作成することはできません。
• リージョンが異なる VPC 間で VPC ピア接続を作成することはできません。
• VPC ごとに保持できる実行中および保留中の VPC ピア接続の数には上限があります。VPC の制限
事項の詳細については、「Amazon VPC 制限 (p. 210)」を参照してください。
• VPC ピア機能は、推移的なピア関係をサポートしていません。VPC ピア接続では、ピア VPC とピ
ア接続が可能な別の VPC に自分の VPC からアクセスすることはできません。これには、自分の AWS
アカウント内ですべてが完結する VPC ピア接続も含まれます。サポートされているピア関係の詳細
および例については、「Amazon VPC Peering Guide」を参照してください。
• 同じ 2 つの VPC 間で同時に複数の VPC ピア接続を持つことはできません。
• VPC ピア接続の最大送信単位（MTU）は 1,500 バイトです。
• プレイスメントグループはピア接続された VPC にわたって使用できますが、ピア接続された VPC
のインスタンス間では完全な二分帯域幅が得られません。プレイスメントグループの詳細について
は、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「プレイスメントグループ」を参照し
てください。
• VPC ピア接続のユニキャストリバースパス転送（uRPF）はサポートされていません。詳細について
は、『Amazon VPC Peering Guide』の「レスポンストラフィックのルーティング」を参照してくだ
さい。
• セキュリティグループの Ingress または Egress ルールの送信元または送信先として、ピア VPC から
セキュリティグループを参照することはできません。代わりに、セキュリティグループの Ingress ま
たは Egress ルールの送信元または送信先として、ピア VPC の CIDR ブロックを参照します。
• プライベート DNS 値はピア接続された VPC のインスタンス間では解決できません。
VPC ピア接続の操作
Topics
• VPC ピア接続の作成 (p. 170)
• VPC ピア接続を承認する (p. 171)
• VPC ピア接続を却下する (p. 172)
• VPC ピア接続のルートテーブルを更新する (p. 172)
API Version 2014-02-01
169
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続の操作
• VPC ピア接続を説明する (p. 173)
• VPC ピア接続を削除する (p. 173)
VPC ピア接続の作成
VPC ピア接続を作成するには、最初に別の VPC とのピア接続リクエストを作成します。アカウント内
の別の VPC や、別の AWS アカウントの VPC との VPC ピア接続をリクエストできます。リクエスト
をアクティブ化するには、ピア VPC の所有者がリクエストを承認する必要があります。
アカウント内の別の VPC との VPC ピア接続を作成する
アカウント内の VPC との VPC ピア接続リクエストを作成するには、VPC ピア接続を作成する VPC
の ID があることを確認します。接続をアクティブ化するには、VPC ピア接続リクエストを自分で作成
し承認する必要があります。
アカウントで VPC ピア接続を作成するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Peering Connections] をクリックします。
[Create VPC Peering Connection] をクリックします。
ダイアログで次の情報を設定し、Create
• [Name]: オプションで VPC ピア接続に名前を付けることができます。これにより、Name という
キーと指定した値を含むタグが作成されます。
• [Local VPC to peer]: VPC ピア接続を作成するアカウントの VPC を選択します。
• [Select a VPC to peer with]: [My account] が選択されていることを確認し、[VPC ID] リストから
別の VPC を選択します。現在のリージョンの VPC のみが表示されます。
Important
VPC に重複している CIDR ブロックがないことを確認します。重複している場合、VPC
ピア接続のステータスが直ちに failed に移行します。
5.
確認のダイアログボックスで、ピア接続内の VPC に関する情報と共に VPC ピア接続の ID が表示
されます。[OK] をクリックします。
6.
承認を保留しているすべての VPC ピア接続を確認するには、フィルタリストから [Requests pending
my approval] を選択します。
7.
8.
作成した VPC ピア接続リクエストを選択して、[Accept request] をクリックします。
確認のダイアログボックスで、[Yes, Accept] をクリックします。2 番目の確認のダイアログボック
スが表示されるので、[Modify my route tables now] をクリックしてルートテーブルページに直接移
動するか、または [Close] をクリックして後で実行します。
これで VPC ピア接続がアクティブ化されました。VPC のルートテーブルにエントリを追加して、ピア
VPC 間にトラフィックが誘導されるようにする必要があります。詳細については、「VPC ピア接続の
ルートテーブルを更新する (p. 172)」を参照してください。
別の AWS アカウントの VPC との VPC ピア接続を作成する
別の AWS アカウントにある VPC との VPC ピア接続をリクエストできます。開始する前に、AWS ア
カウント番号と、ピア接続を行なう VPC のVPC ID があることを確認します。リクエストを作成した
後で、ピア VPC の所有者は VPC ピア接続を承認してアクティブ化する必要があります。
API Version 2014-02-01
170
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続の操作
リモート VPC との VPC ピア接続を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Peering Connections] をクリックします。
[Create VPC Peering Connection] をクリックします。
ダイアログで次の情報を設定し、Create
• [Name]: オプションで VPC ピア接続に名前を付けることができます。これにより、Name という
キーと指定した値を含むタグが作成されます。このタグはユーザーにのみ表示されます。ピア
VPC の所有者は、VPC ピア接続の独自のタグを作成できます。
• [Local VPC to peer]: VPC ピア接続を作成するアカウントの VPC を選択します。
• [Select a VPC to peer with]: [Another account] を選択して、AWS アカウント ID と VPC ピア接
続を作成する VPC の ID を入力します。
Important
VPC と ピア VPC に重複 CIDR ブロックがある場合、またはアカウント ID と VPC ID
が正しくないか互いに対応していない場合、VPC ピア接続のステータスが直ちに failed
に移行します。
5.
確認のダイアログボックスで、ピア接続内の VPC に関する情報と共に VPC ピア接続の ID が表示
されます。[OK] をクリックします。
作成した VPC ピア接続が有効化されていません。接続をアクティブ化するには、ピア VPC の所有者
が VPC ピア接続リクエストを承認する必要があります。トラフィックがピア VPC に誘導されるよう
にするには、VPC のルートテーブルを更新します。詳細については、「VPC ピア接続のルートテーブ
ルを更新する (p. 172)」を参照してください。
VPC ピア接続を承認する
pending-acceptance 状態にある VPC ピア接続は、有効化されるピア VPC の所有者が承認する必要
があります。別の AWS アカウントに送信した VPC ピア接続リクエストを承認することはできません。
同じ AWS アカウントで VPC ピア接続を作成する場合は、リクエストを自分で作成し承認する必要が
あります。
Important
未知の AWS アカウントからの VPC ピア接続は承認しないでください。悪意のあるユーザーが
VPC ピア接続リクエストを送信して、VPC に対して不正なネットワークアクセスを行なう場
合があります。これは、ピアフィッシングと呼ばれます。AWS アカウントまたは VPC につい
ての情報にリクエスタがアクセスするリスクなしで、不要な VPC ピア接続リクエストを安全
に却下できます。VPC ピア接続リクエストの却下に関する詳細については、「VPC ピア接続
を却下する (p. 172)」を参照してください。リクエストを無視して有効期限が切れるのを待つこ
ともできます。デフォルトでは、7 日後にリクエストの期限が切れます。
VPC ピア接続を承認するには
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Peering Connections] をクリックします。
3.
承認を保留しているすべての VPC ピア接続を確認するには、フィルタリストから [Requests pending
my approval] を選択します。
4.
VPC ピア接続を選択して、[Accept request] をクリックします。
API Version 2014-02-01
171
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続の操作
5.
確認のダイアログボックスで、[Yes, Accept] をクリックします。2 番目の確認のダイアログボック
スが表示されるので、[Modify my route tables now] をクリックしてルートテーブルページに直接移
動するか、または [Close] をクリックして後で実行します。
これで VPC ピア接続がアクティブ化されました。VPC のルートテーブルにエントリを追加して、ピア
VPC にトラフィックが誘導されるようにする必要があります。詳細については、「VPC ピア接続の
ルートテーブルを更新する (p. 172)」を参照してください。
VPC ピア接続を却下する
受信した VPC ピア接続リクエストで pending-acceptance 状態にあるものを却下できます。既知で
信頼できる AWS アカウントからの VPC ピア接続のみを承認するようにしてください。不要なリクエ
ストは却下できます。
VPC ピア接続を却下するには
1.
2.
3.
4.
5.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Peering Connections] をクリックします。
承認を保留しているすべての VPC ピア接続を確認するには、フィルタリストから [Requests pending
my approval] を選択します。
VPC ピア接続を選択して、[Reject request] をクリックします。
確認のダイアログボックスで、[Yes, Reject] をクリックします。
VPC ピア接続のルートテーブルを更新する
プライベート IP アドレスを使用してピア VPC のインスタンス間にトラフィックを送信するには、VPC
に関連付けられたルートテーブルにルートを追加する必要があります。このルートは、VPC ピア接続
の他の VPC の CIDR ブロック（または CIDR ブロックの一部）へのルートとなります。
同様に、ピア接続内の他の VPC の所有者は、VPC ルートテーブルの 1 つにトラフィックを自分の VPC
に戻すためのルートを追加する必要があります。VPC ピア接続でサポートされているルートテーブル
のその他の例については、「Amazon VPC Peering Guide」を参照してください。
pending-acceptance 状態にある VPC ピア接続のルートを追加できます。ただし、ルートには
blackhole 状態があり、VPC ピア接続が active 状態になるまで有効になりません。
ルートテーブルの詳細については、「ルートテーブル (p. 134)」を参照してください。
Warning
CIDR ブロックが重複または一致する複数の VPC にピア接続された VPC がある場合は、自分
の VPC から間違った VPC にレスポンストラフィックを送信しないようにルートテーブルが設
定されていることを確認します。AWS は現在、パケットのソース IP を確認してリプライパ
ケットをソースにルーティングするユニキャストリバースパス転送（uRPF）を VPC ピア接続
でサポートしていません。詳細については、『Amazon VPC Peering Guide』の「レスポンス
トラフィックのルーティング」を参照してください。
コンソールを使用して VPC ピア接続にルートを追加するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Route Tables] をクリックします。
インスタンスが存在するサブネットに関連付けられたルートテーブルを選択します。
API Version 2014-02-01
172
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続の操作
Note
そのサブネットに関連付けられたルートテーブルがない場合は、VPC のメインルートテー
ブルを選択します。サブネットがこのルートをデフォルトで使用するためです。
4.
[Routes] タブをクリックし、[Edit] をクリックします。
5.
6.
[Add Route] をクリックします。
[Destination] フィールドに、VPC ピア接続のネットワークトラフィックを誘導する必要のある IP
アドレスの範囲を入力します。ピア VPC CIDR ブロック全体、特定の範囲、または通信するイン
スタンスの IP アドレスのような個別の IP アドレスを指定できます。たとえば、ピア VPC の CIDR
ブロックが 10.0.0.0/16 の場合、10.0.0.0/28 の部分、または特定の IP アドレス 10.0.0.7/32
を指定できます。
7.
[Target] リストから VPC ピア接続を選択し、[Save] をクリックします。
VPC ピア接続を説明する
VPC コンソールですべての VPC ピア接続を確認できます。デフォルトでは、最近削除または却下され
たものを含むさまざまな状態にあるすべての VPC ピア接続がコンソールに表示されます。VPC ピア接
続のライフサイクルの詳細については、「VPC ピア接続のライフサイクル (p. 168)」を参照してくださ
い。
VPC ピア接続を確認するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Peering Connections] をクリックします。
すべての VPC ピア接続が一覧表示されます。フィルタリストと検索フィールドを使用して結果を
絞り込みます。たとえば、送信済みで承認待ちとなっている VPC ピア接続のリクエストを確認す
るには、フィルタリストから[Outstanding requests I've sent] を選択します。
VPC ピア接続を削除する
ピア接続されている VPC の所有者は、どちらも VPC ピア接続をいつでも削除できます。リクエスト
した後でまだ pending-acceptance 状態にある VPC ピア接続も削除できます。
Note
アクティブな VPC ピア接続の一部となっている VPC コンソールの VPC を削除すると、その
VPC ピア接続が削除されます。別のアカウントにある VPC との VPC ピア接続をリクエスト
して、他の当事者がそのリクエストを承認する前に自分の VPC を削除した場合は、その VPC
ピア接続が削除されます。別のアカウントの VPC からの pending-acceptance リクエスト
がある場合は、VPC を削除できません。最初に VPC ピア接続リクエストを却下する必要があ
ります。
API Version 2014-02-01
173
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
VPC ピア接続を削除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [Peering Connections] をクリックします。
VPC ピア接続を選択し、[Delete] をクリックします。
確認ダイアログボックスで、[Yes, Delete] をクリックします。
API と CLI の概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
VPC ピア接続を作成する
• 「create-vpc-peering-connection（AWS CLI）」
• 「ec2-create-vpc-peering-connection（Amazon EC2 CLI）」
• 「New-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」
• CreateVpcPeeringConnection
VPC ピア接続を承認する
•
•
•
•
「accept-vpc-peering-connection（AWS CLI）」
「ec2-accept-vpc-peering-connection（Amazon EC2 CLI）」
「Approve-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」
AcceptVpcPeeringConnection
VPC ピア接続を説明する
•
•
•
•
「describe-vpc-peering-connections（AWS CLI）」
「ec2-describe-vpc-peering-connections （Amazon EC2 CLI）」
「Get-EC2VpcPeeringConnections（AWS Tools for Windows PowerShell）」
「DescribeVpcPeeringConnections」
VPC ピア接続を却下する
• 「reject-vpc-peering-connection（AWS CLI）」
• 「ec2-reject-vpc-peering-connection（Amazon EC2 CLI）」
• 「Deny-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」
• RejectVpcPeeringConnection
VPC ピア接続を削除する
• 「delete-vpc-peering-connection（AWS CLI）」
• 「ec2-delete-vpc-peering-connection（Amazon EC2 CLI）」
• 「Remove-EC2VpcPeeringConnection」（AWS Tools for Windows PowerShell）
• DeleteVpcPeeringConnection
API Version 2014-02-01
174
Amazon Virtual Private Cloud ユーザーガイド
VPC ピア接続へのアクセスを制御する
ルートをルートテーブルに追加する
• create-route（AWS CLI）
• ec2-create-route（Amazon EC2 CLI）
• New-EC2Route（AWS Tools for Windows PowerShell）
• CreateRoute
ルートテーブルのルートを置き換える
• replace-route（AWS CLI）
• ec2-replace-route（Amazon EC2 CLI）
• Set-EC2Route（AWS Tools for Windows PowerShell）
• ReplaceRoute
VPC ピア接続へのアクセスを制御する
デフォルトでは、IAM ユーザーは VPC ピア接続を作成または変更することはできません。ユーザーに
VPC ピア接続の作成と変更の権限を付与する IAM ポリシーを作成して、それらのリクエスト中にユー
ザーにアクセスを許可するリソースを制御することができます。Amazon EC2 の IAM ポリシーの詳細
については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 の IAM ポリ
シー」を参照してください。
VPC ピア接続を操作するためのポリシーの例については、「Amazon VPC のリソースに対するアクセ
スの制御 (p. 96)」を参照してください。
VPC エンドポイント
Abstract
VPC エンドポイントを他の AWS サービスにプライベートに接続するには、VPC エンドポイントを使用します。
VPC endpoint により、インターネット、NAT インスタンス、VPN 接続、または AWS Direct Connect
経由でのアクセスを使用せずに、VPC と別の AWS サービスとの間でプライベート接続を作成できま
す。エンドポイントは仮想デバイスです。エンドポイントは、VPC のインスタンスと AWS サービス
の間の通信を可能にする VPC コンポーネントであり、冗長性と高い可用性を備えており、水平スケー
リングが可能です。ネットワークトラフィックに課される可用性のリスクや帯域幅の制約はありませ
ん。
Important
現在、同じリージョン内での Amazon S3 との接続のみがエンドポイントでサポートされます。
他の AWS サービスのサポートは、今後さらに追加される予定です。
エンドポイントは、VPC のインスタンスがプライベート IP アドレスを使用して、他のサービスのリ
ソースと通信できるようにします。インスタンスはパブリック IP アドレスを必要とせず、VPC でイン
ターネットゲートウェイ、NAT インスタンス、または仮想プライベートゲートウェイは必要ありませ
ん。エンドポイントのポリシーを使用して、他のサービスのリソースへのアクセスを制御します。VPC
と AWS サービス間のトラフィックは、Amazon ネットワークを離れません。
エンドポイントは追加料金なしで使用できます。データ転送とリソースの使用量に対する標準料金が適
用されます。料金に関する詳細については、「Amazon EC2 料金表」を参照してください。
API Version 2014-02-01
175
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの基本
Topics
• エンドポイントの基本 (p. 176)
• エンドポイントの使用の管理 (p. 181)
• サービスへのアクセスの制御 (p. 181)
• エンドポイントの使用 (p. 183)
• API と CLI の概要 (p. 186)
エンドポイントの基本
エンドポイントを作成するには、VPC および接続先のサービスを指定します。サービスは、プレフィッ
クスリスト、またはリージョンのサービスの名前と ID によって識別されます。プレフィックスリスト
の ID の形式は pl-xxxxxxx で、プレフィックスリストの名前の形式は
com.amazonaws.<region>.<service> です。エンドポイントを作成するプレフィックスリストの名
前（サービス名）を使用します。
エンドポイントにエンドポイントポリシーをアタッチし、接続先の一部のサービスまたはすべてのサー
ビスへのアクセスを許可することができます。詳細については、「エンドポイントポリシーの使
用 (p. 181)」を参照してください。VPC と他のサービスの間のトラフィックのルーティングを制御する
には、エンドポイントに接続するために VPC により使用される 1 つ以上のルートテーブルを指定でき
ます。これらのルートテーブルを使用するサブネットはエンドポイントにアクセスでき、これらのサブ
ネットのインスタンスからサービスへのトラフィックは、エンドポイントを通じてルーティングされま
す。
Amazon VPC コンソールのダッシュボードで VPC ウィザードを使用して新しい VPC を作成し、指定
したサービスのエンドポイントをリクエストすることもできます。
エンドポイントを作成した後は、エンドポイントにアタッチされたポリシーを変更し、エンドポイント
で使用されるルートテーブルを追加または削除できます。
1 つの VPC で、（たとえば複数のサービスへの）複数のエンドポイントを作成できます。また、単一
のサービス用の複数のエンドポイントを作成したり、複数のルートテーブルを使用して、複数のサブ
ネットから異なるアクセスポリシーを同じサービスに対して適用することもできます。
Topics
• エンドポイントのルーティング (p. 176)
• Amazon S3 におけるエンドポイント (p. 178)
• エンドポイントの制限 (p. 180)
エンドポイントのルーティング
エンドポイントを作成または変更するときは、エンドポイントを通じてサービスにアクセスするために
使用する必要がある VPC ルートテーブルを指定します。ルートは自動的に各ルートテーブル追加され
て、送信先としてサービス (pl-xxxxxxxx) のプレフィックスリスト ID、ターゲットとしてエンドポイ
ント ID (vpce-xxxxxxxx) が登録されます。プレフィックスリスト ID は、サービスで使用されるパブ
リック IP アドレスの範囲を論理的に表します。指定されたルートテーブルに関連付けられるサブネッ
トのすべてのインスタンスは、自動的にエンドポイントを使用してサービスにアクセスします。指定さ
れたルートテーブルに関連付けられていないサブネットは、エンドポイントを使用してサービスにアク
セスしません。これにより、他のサブネットのリソースをエンドポイントとは別に維持することができ
ます。
AWS では、トラフィックと一致する最も具体的なルートを使用して、トラフィックをルーティングす
る方法を決定します（最長プレフィックス一致）。ルートテーブルに、インターネットゲートウェイを
指すすべてのインターネットトラフィック (0.0.0.0/0) の既存のルートがある場合、エンドポイント
ルートではサービスへのすべてのトラフィックが優先されます。これは、サービスの IP アドレス範囲
API Version 2014-02-01
176
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの基本
が 0.0.0.0/0 よりも具体的であるためです。他のすべてのインターネットトラフィックは、他のリー
ジョンのサービスへのトラフィックを含めて、インターネットゲートウェイに移動します。ただし、イ
ンターネットゲートウェイまたは NAT インスタンスを指す IP アドレス範囲への、既存のより具体的な
ルートがある場合、そのルートが優先されます。サービスで使用されている IP アドレス範囲と同じ IP
アドレス範囲への既存のルートがある場合、そのルートが優先されます。
サービスの現在の IP アドレス範囲を表示するには、describe-prefix-lists コマンドまたは
ec2-describe-prefix-lists コマンド』の「AWS IP アドレスの範囲」を参照してください。
Note
サービスのパブリック IP アドレス範囲は変更される場合があります。サービスの現在の IP ア
ドレス範囲に基づき、ルーティングまたはその他の決定を行う前に、その影響について検討し
てください。
ルートテーブルの異なるサービスへの複数のエンドポイントルート、または異なるルートテーブルの同
じサービスへの複数のエンドポイントルートを持つことができますが、1 つのルートテーブルの同じ
サービスへの複数のエンドポイントを持つことはできません。たとえば、VPC で Amazon S3 への 2
つのエンドポイントがある場合、両方のエンドポイントに同じルートテーブルを使用することはできま
せん。
ルートテーブル API を使用するか、VPC コンソールの [Route Tables] ページを使用して、ルートテー
ブルでエンドポイントルートを明示的に追加、変更、または削除することはできません。ルートテーブ
ルをエンドポイントに関連付けて、エンドポイントルートを追加することのみできます。エンドポイン
トルートは、エンドポイントからルートテーブルの関連付けを（エンドポイントを変更することで）削
除するか、エンドポイントを削除するときに自動的に削除されます。
エンドポイントに関連付けられたルートテーブルを変更するには、エンドポイントを変更します。詳細
については、「エンドポイントの変更 (p. 185)」を参照してください。
例: ルートテーブルのエンドポイントルート
このシナリオでは、ルーティングテーブルで、インターネットゲートウェイを指すすべてのインター
ネットトラフィック (0.0.0.0/0) に既存のルートがあります。別の AWS サービスへのサブネットか
らのトラフィックは、インターネットゲートウェイを使用します。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw-1a2b3c4d
Amazon S3 へのエンドポイントを作成し、ルートテーブルをエンドポイントに関連付けます。エンド
ポイントルートが自動的にルートテーブルに追加され、宛先は pl-1a2b3c4d となります（これが
Amazon S3 を表すと仮定します）。これで、同じリージョンの Amazon S3 へのサブネットからのト
ラフィックはエンドポイントに移動し、インターネットゲートウェイには移動しません。他のすべての
インターネットトラフィックは、他のサービスへのトラフィックや、他のリージョンの Amazon S3 へ
のトラフィックを含めて、インターネットゲートウェイに移動します。
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw-1a2b3c4d
pl-1a2b3c4d
vpce-11bb22cc
API Version 2014-02-01
177
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの基本
例: エンドポイントに対するルートテーブルの調整
このシナリオでは、サブネットのインスタンスがインターネットゲートウェイ経由で Amazon S3 バ
ケットと通信するようにルートテーブルを設定しました。54.123.165.0/24 のルートを宛先とし（こ
れが現在 Amazon S3 内にある IP アドレス範囲と仮定します）、インターネットゲートウェイをター
ゲットとするルートを追加しました。次に、エンドポイントを作成し、このルートテーブルをエンドポ
イントに関連付けます。エンドポイントルートがルートテーブルに自動的に追加されます。次に、
describe-prefix-lists コマンドを使用して、Amazon S3 の IP アドレス範囲を表示します。この範囲は
54.123.160.0/19 で、これはインターネットゲートウェイを指す範囲ほど具体的ではありません。こ
れは、IP アドレス範囲 54.123.165.0/24 へのトラフィックはインターネットゲートウェイを継続し
て使用し、（これが Amazon S3 のパブリック IP アドレス範囲に含まれる限り）エンドポイントを使
用しないことを意味します。
送信先
ターゲット
10.0.0.0/16
ローカル
54.123.165.0/24
igw-1a2b3c4d
pl-1a2b3c4d
vpce-11bb22cc
同じリージョンの Amazon S3 へのすべてのトラフィックがエンドポイントを通じてルーティングされ
るようにするには、ルートテーブルのルートを調整する必要があります。これを行うには、インター
ネットゲートウェイへのルートを削除します。これで、同じリージョンの Amazon S3 へのすべてのト
ラフィックはエンドポイントを使用し、ルートテーブルに関連付けられたサブネットはプライベートサ
ブネットになります。
送信先
ターゲット
10.0.0.0/16
ローカル
pl-1a2b3c4d
vpce-11bb22cc
Amazon S3 におけるエンドポイント
既に VPC から Amazon S3 リソースへのアクセスを設定している場合、エンドポイントの設定後に、
引き続き Amazon S3 DNS 名を使用してそれらのリソースにアクセスできます。ただし、以下のことに
注意してください。
• エンドポイントには、Amazon S3 リソースにアクセスするエンドポイントの使用を管理するポリシー
があります。デフォルトのポリシーでは、任意の AWS アカウントからの認証情報を使用して、VPC
内のユーザーまたはサービスによる、任意の Amazon S3 リソースへのアクセスが許可されます。こ
れには、VPC が関連付けられているアカウントとは別の AWS アカウントの Amazon S3 リソースが
含まれます。詳細については、「サービスへのアクセスの制御 (p. 181)」を参照してください。
• Amazon S3 によって受信される、影響を受けるサブネットのインスタンスからのソース IP アドレス
は、パブリック IP アドレスから VPC のプライベート IP アドレスに変更されます。エンドポイント
はネットワークルートを切り替え、開いている TCP 接続を切断します。タスクは切り替え中に中断
され、パブリック IP アドレスを使用した以前の接続が再開されます。エンドポイントの作成または
変更は、重要なタスクが実行中でないときに行うことをお勧めします。または、接続の障害後に、ソ
フトウェアが Amazon S3 に自動的に再接続できることをテストするようお勧めします。
• バケットポリシーで IP アドレス条件を使用して S3 バケットへのアクセスを制御していた場合
（aws:SourceIp 条件を使用）、ソース IP アドレスがプライベート IP アドレスに変更されると、
バケットへのアクセスが拒否されます。VPC のプライベート IP アドレスに対して、バケットポリ
シーで aws:SourceIp 条件を使用することはできません。その条件は、エンドポイント経由の
Amazon S3 へのリクエストでは無視されます。代わりに、特定の VPC または特定のエンドポイント
API Version 2014-02-01
178
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの基本
へのアクセスを制限するようバケットポリシーを調整します。詳細については、「Amazon S3 バケッ
トポリシーの使用 (p. 182)」を参照してください。
• エンドポイントを有効にするには、VPC で DNS 解決を有効にする必要があります。詳細について
は、「VPC での DNS の使用 (p. 163)」を参照してください。
• 現在、エンドポイントはクロスジージョンのリクエストをサポートしていません。必ずバケットと同
じリージョンでエンドポイントを作成してください。Amazon S3 コンソールを使用するか、
get-bucket-location コマンドを使用して、バケットの場所を見つけることができます。リージョン固
有の Amazon S3 エンドポイントを使用してバケットにアクセスします（たとえば、
mybucket.s3-us-west-2.amazonaws.com）。Amazon S3 のリージョン固有のエンドポイントの
詳細については、『Amazon Web Services General Reference』の「Amazon Simple Storage Service
(S3)」を参照してください。AWS CLI を使用して Amazon S3 にリクエストを実行する場合は、デ
フォルトリージョンをバケットと同じリージョンに設定するか、またはリクエストで --region パ
ラメータを使用します。
Note
Amazon S3 の米国スタンダードリージョンを us-east-1 リージョンにマッピングされるよう
に扱います。
Amazon Elastic MapReduce など、VPC の他の AWS サービスを使用する場合は、特定のタスクに S3
バケットが使用される可能性があります。必ず、エンドポイントのポリシーで Amazon S3 へのフルア
クセス（デフォルトのポリシー）を許可するか、またはそれらのサービスで使用される特定のバケット
へのアクセスを許可します。または、これらのいずれのサービスによっても使用されないサブネットで
のみエンドポイントを作成し、サービスが継続してパブリック IP アドレスを使用して S3 バケットに
アクセスできるようにします。
次の表は、エンドポイントによって影響を受ける可能性のある AWS サービスと、各サービスに固有の
情報を示しています。
AWS サービス
注意
AWS CloudFormation
待機条件またはカスタムリソースリクエストに応
答する必要があるリソースが VPC にある場合、
エンドポイントポリシーで、少なくともこれらの
リソースで使用される特定のバケットへのアクセ
スを許可する必要があります。詳細については、
「AWS CloudFormation および VPC エンドポイ
ント」を参照してください。
AWS CodeDeploy
エンドポイントポリシーでは、Amazon S3 へのフ
ルアクセス、または AWS CodeDeploy のデプロ
イ用に作成した S3 バケットへのアクセスを許可
する必要があります。
Elastic Beanstalk
エンドポイントポリシーでは、少なくとも Elastic
Beanstalk アプリケーションに使用された S3 バ
ケットへのアクセスを許可する必要があります。
詳細については、『AWS Elastic Beanstalk 開発者
ガイド』の「Amazon S3 で Elastic Beanstalk を
使用する」を参照してください。
API Version 2014-02-01
179
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの基本
AWS サービス
注意
Amazon Elastic MapReduce
サブネットのルートテーブルにはインターネット
ゲートウェイへのルートを含める必要があり、エ
ンドポイントポリシーでは、Amazon S3 へのフル
アクセスを許可する必要があります。詳細につい
ては、『Amazon Elastic MapReduce 開発者ガイ
ド』の「VPC エラー」を参照してください。
AWS OpsWorks
エンドポイントポリシーでは、少なくとも AWS
OpsWorks で使用される特定のバケットへのアク
セスを許可する必要があります。詳細について
は、『AWS OpsWorks ユーザーガイド』の「VPC
でのスタックの実行」を参照してください。
Amazon Redshift
エンドポイントポリシーでは、少なくとも、テー
ブルへのデータのロード、または監査ログファイ
ルの作成に使用される S3 バケットへのアクセス
を許可する必要があります。詳細については、
『Amazon Redshift Database Developer Guide』
の「データのロード」および『Amazon Redshift
Cluster Management Guide』の「データベース監
査ログ作成」を参照してください。
Amazon WorkDocs
Amazon WorkSpaces または EC2 インスタンスで
Amazon WorkDocs クライアントを使用している
場合、エンドポイントポリシーでは、Amazon S3
へのフルアクセスを許可する必要があります。
Amazon WorkSpaces
Amazon WorkSpaces は Amazon S3 に直接依存
しませんが、Amazon WorkSpaces ユーザーにイ
ンターネットアクセスを提供する場合は、他の企
業のウェブサイト、HTML メール、およびイン
ターネットサービスが Amazon S3 に依存する可
能性があることに注意してください。エンドポイ
ントポリシーで Amazon S3 へのフルアクセスを
許可し、これらのサービスが引き続き正しく動作
できるようにします。
VPC と S3 バケット間のトラフィックは、Amazon ネットワークを離れません。
エンドポイントの制限
エンドポイントを使用するには、現在の制限に注意する必要があります。
• プレフィックスリスト ID を使用して、エンドポイントで指定されたサービスへのアウトバウンドト
ラフィックを許可または拒否するアウトバウンドルールをネットワーク ACL で作成することはでき
ません。代わりに、アウトバウンドセキュリティグループのルールでプレフィックスリスト ID を使
用できます。詳細については、「個のセキュリティグループ (p. 183)」を参照してください。
• 別のリージョンで、VPC と AWS サービス間のエンドポイントを作成することはできません。
• エンドポイントにタグを付けることはできません。
• 1 つの VPC から別の VPC にエンドポイントを転送したり、1 つのサービスから別のサービスにエン
ドポイントを転送することはできません。
• エンドポイントの接続を、VPC から延長することはできません。VPC 接続、VPC ピア接続、AWS
Direct Connect 接続、または VPC の ClassicLink 接続のもう一方の側のリソースは、エンドポイント
を使用してエンドポイントサービスのリソースと通信することはできません。
API Version 2014-02-01
180
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの使用の管理
• Amazon S3 エンドポイントを使用する場合、バケットポリシーまたは IAM ポリシーを使用して VPC
CIDR 範囲（プライベート IP アドレス範囲）からのアクセスを許可することはできません。VPC
CIDR ブロックは重複または同じになる場合があり、それによって予期しない結果が発生する可能性
があります。代わりに、バケットポリシーを使用して特定のエンドポイントまたは特定の VPC への
アクセスを制限するか、ルートテーブルを使用して、エンドポイント経由で Amazon S3 のリソース
にアクセスできるインスタンスを制御できます。
エンドポイントの使用の管理
デフォルトでは、IAM ユーザーにはエンドポイントを使用するためのアクセス権限がありません。エン
ドポイントを作成、変更、説明、削除するアクセス権限をユーザーに付与する IAM ユーザーポリシー
を作成できます。現在、いずれの ec2:*VpcEndpoint* API アクションまたは
ec2:DescribePrefixLists アクションについても、リソースレベルのアクセス権限はサポートされ
ていません。特定のエンドポイントまたはプレフィックスリストを使用するアクセス権限をユーザーに
付与する IAM ポリシーを作成することはできません。詳細については、「8. VPC エンドポイントの作
成と管理 (p. 107)」の例を参照してください。
サービスへのアクセスの制御
エンドポイントを作成するときは、接続先のサービスへのアクセスを制御するエンドポイントポリシー
を、エンドポイントにアタッチします。Amazon S3 へのエンドポイントを使用する場合、Amazon S3
バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセス
を制御できます。
エンドポイントポリシーと Amazon S3 バケットポリシーは、JSON 形式で記述される必要がありま
す。
Topics
• エンドポイントポリシーの使用 (p. 181)
• Amazon S3 バケットポリシーの使用 (p. 182)
• 個のセキュリティグループ (p. 183)
エンドポイントポリシーの使用
VPC エンドポイントポリシーは、エンドポイントを作成または変更するときにエンドポイントにアタッ
チする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サー
ビスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシー
は、IAM ユーザーポリシーまたは S3 バケットポリシーを上書きまたは置き換えません。これは、エン
ドポイントから指定されたサービスへのアクセスを制御するための別のポリシーです。ただし、すべて
のタイプのポリシー（IAM ユーザーポリシー、エンドポイントポリシー、S3 ポリシー、および Amazon
S3 ACL ポリシー（存在する場合））では、Amazon S3 が成功するために必要なアクセス権限を付与
する必要があります。
エンドポイントに複数のポリシーをアタッチすることはできませんが、ポリシーはいつでも変更できま
す。ポリシーを修正した場合、変更が適用されるまで数分かかることがある点に注意してください。詳
細については、「エンドポイントの変更 (p. 185)」を参照してください。ポリシーの詳細については、
『IAM を使用する』の「AWS IAM ポリシーの概要」を参照してください。
エンドポイントポリシーは、他の IAM ポリシーと同様にすることができます。ただし、以下のことに
注意してください。
• 指定されたサービスに関連するポリシーの一部のみが機能します。エンドポイントポリシーを使用し
て、VPC のリソースによる他のアクションの実行を許可することはできません。たとえば、Amazon
API Version 2014-02-01
181
Amazon Virtual Private Cloud ユーザーガイド
サービスへのアクセスの制御
S3 へのエンドポイント用のエンドポイントポリシーに EC2 アクションを追加しても、効果はありま
せん。
• ポリシーには、Principal 要素を含める必要があります。詳細については、『IAM を使用する』の
「プリンシパル」を参照してください。
例: 特定のバケットへのアクセスの制限
特定の S3 バケットへのアクセスを制限するポリシーを作成できます。これは、VPC で S3 バケットを
使用する他の AWS サービスがある場合に便利です。my_secure_bucket のみへのアクセスを制限す
るポリシーの例を次に示します。
{
"Statement": [
{
"Sid": "Access-to-specific-bucket-only",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my_secure_bucket",
"arn:aws:s3:::my_secure_bucket/*"]
}
]
}
Amazon S3 バケットポリシーの使用
バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からバケットへのアクセスを
制御できます。
Amazon S3 のバケットポリシーの詳細については、『Amazon Simple Storage Service 開発者ガイド』
の「バケットポリシーとユーザーポリシーの使用」を参照してください。
例: 特定の エンドポイントへのアクセスの制限
以下に、特定のバケット my_secure_bucket に、エンドポイント vpce-1a2b3c4d からのみアクセス
できるようにする S3 バケットポリシーの例を示します。このポリシーは aws:sourceVpce 条件を使
用して、指定されたエンドポイントへのアクセスを制限します。aws:sourceVpce 条件では VPC エン
ドポイントリソースに ARN を必要とせず、エンドポイント ID のみを必要とします。
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::my_secure_bucket",
"arn:aws:s3:::my_secure_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
API Version 2014-02-01
182
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの使用
}
}
}
]
}
例: 特定の VPC へのアクセスの制限
aws:sourceVpc 条件を使用して、特定の VPC へのアクセスを制限するバケットポリシーを作成でき
ます。これは、同じ VPC で複数のエンドポイントを設定済みで、すべてのエンドポイントについて S3
バケットへのアクセスを管理する場合に便利です。以下に、my_secure_bucket およびそのオブジェ
クトへのアクセスを VPC vpc-111bbb22 に許可するポリシーの例を示します。aws:sourceVpc 条件
では、VPC リソースへの ARN は必要なく、VPC ID のみが必要です。
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPC-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::my_secure_bucket",
"arn:aws:s3:::my_secure_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbb22"
}
}
}
]
}
個のセキュリティグループ
デフォルトでは、特にアウトバウンドアクセスを制限していない限り、Amazon VPC セキュリティグ
ループですべてのアウトバウンドトラフィックが許可されます。セキュリティグループのアウトバウン
ドルールが制限されている場合、VPC からエンドポイントで指定されたサービスへのアウトバウンド
トラフィックを許可するルールを追加する必要があります。これを行うには、アウトバウンドルールで
サービスのプレフィックスリスト ID を宛先として使用できます。詳細については、「セキュリティグ
ループの変更 (p. 184)」を参照してください。
エンドポイントの使用
Amazon VPC を使用して、エンドポイントの作成および管理を行うことができます。
Topics
• エンドポイントの作成 (p. 184)
• セキュリティグループの変更 (p. 184)
• エンドポイントの変更 (p. 185)
• エンドポイントの説明 (p. 185)
• エンドポイントの削除 (p. 186)
API Version 2014-02-01
183
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの使用
エンドポイントの作成
エンドポイントを作成するには、エンドポイントを作成する VPC と、接続を確立するサービスを指定
する必要があります。また、ポリシーをエンドポイントにアタッチして、エンドポイントで使用される
ルートテーブルを指定することもできます。
エンドポイントを作成するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Endpoints] を選択します。
[Create Endpoint] を選択します。
4.
ウィザードの最初のステップで、次の情報を入力し、[Next Step] を選択します。
• エンドポイントおよびサービスを作成して接続する VPC を選択します（現在は、Amazon S3
サービスのみ利用できます）。
• ポリシーのタイプを選択します。デフォルトのオプションである [Full Access] のみそのまま使
用して、サービスへのフルアクセスを許可できます。または、[Custom] を選択し、AWS Policy
Generator を使用してカスタムポリシーを作成するか、独自のポリシーをカスタムウィンドウに
入力することもできます。
5.
ウィザードの 2 番目のステップで、エンドポイントで使用されるルートテーブルを選択します。
ウィザードは、サービスへのトラフィックをエンドポイントに対して示すテーブルにルートを自動
的に追加します。終了したら、[Create Endpoint] を選択します。
VPC ウィザードを使用して新しい VPC を作成し、同時にエンドポイントを作成することができます。
エンドポイントで使用されるルートテーブルを指定する代わりに、エンドポイントにアクセスするサブ
ネットを指定します。ウィザードは、これらのサブネットに関連付けられたルートテーブルにエンドポ
イントルートを追加します。
VPC ウィザードを使用して VPC およびエンドポイントを作成するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
Amazon VPC ダッシュボードで、[Start VPC Wizard] を選択します。
ニーズに合った VPC 設定を選択し、[Select] を選択します。設定の種類の詳細については、
「Amazon VPC の VPC ウィザードのシナリオ (p. 17)」を参照してください。
ウィザードの 2 番目のページで、必要に応じて VPC 設定を入力します。[Add endpoints for S3 to
your subnets] セクションで、次の情報を入力します。
• [Subnet] リストから、エンドポイントにアクセスできるサブネットを選択します。サブネットに
関連付けられたルートテーブルには、エンドポイントルートが含まれます。
• [Policy] リストからポリシーのタイプを選択します。デフォルトのオプションである [Full Access]
のみそのまま使用して、サービスへのフルアクセスを許可できます。または、[Custom] を選択
し、AWS Policy Generator を使用してカスタムポリシーを作成するか、独自のポリシーをカス
タムウィンドウに入力します。
5.
該当する場合は、ウィザードの手順の残りを完了した後、[Create VPC] をクリックします。
セキュリティグループの変更
VPC セキュリティグループでアウトバウンドトラフィックを制限している場合は、AWS サービスへの
トラフィックがインスタンスから送信することを許可するルールを追加する必要があります。
API Version 2014-02-01
184
Amazon Virtual Private Cloud ユーザーガイド
エンドポイントの使用
エンドポイントのアウトバウンドルールを追加するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで、[Security Groups] を選択します。
VPC セキュリティグループを選択して、[Outbound Rules] タブを選択し、[Edit] を選択します。
[Type] リストからトラフィックのタイプを選択し、必要に応じてポート範囲を入力します。たとえ
ば、インスタンスを使用して Amazon S3 からオブジェクトを取得する場合、[Type] リストから
[HTTPS] を選択します。
5.
[Destination] リストには、使用できる AWS サービスのプレフィックスリスト ID と名前が表示さ
れます。エンドポイントサービスのプレフィックスリスト ID を選択するか、または入力します。
Note
Amazon S3 の場合は、プレフィックスリストの名前は com.amazonaws.<region>.s3
です（たとえば、com.amazonaws.us-east-1.s3）。
6.
[Save] を選択します。
セキュリティグループの詳細については、VPC のセキュリティグループ (p. 70) を参照してください。
エンドポイントの変更
ポリシーを変更または削除し、エンドポイントで使用されるルートテーブルを追加または削除すること
で、エンドポイントを変更できます。
エンドポイントに関連付けられたポリシーを変更するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Endpoints] を選択します。
エンドポイントを選択して、[Actions] を選択し、[Edit Policy] を選択します。
ダイアログボックスで、[Full Access] を選択してフルアクセスを許可できます。または、[Custom]
を選択し、AWS Policy Generator を使用してカスタムポリシーを作成するか、独自のポリシーを
カスタムウィンドウに入力します。完了したら、[Save Policy] を選択します。
Note
変更が適用されるまで数分かかることがあります。
エンドポイントで使用されるルートテーブルを追加または削除するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで、[Endpoints] を選択します。
VPC endpoint を選択して、[Actions] を選択し、[Choose Route Tables] を選択します。
4.
ダイアログボックスで、必要なルートテーブルを選択または選択解除してから、[Save] を選択しま
す。
エンドポイントの説明
Amazon VPC コンソールを使用してエンドポイントを表示し、各エンドポイントに関する情報を表示
できます。
API Version 2014-02-01
185
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
エンドポイントに関する情報を表示するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで、[Endpoints] を選択します。
エンドポイントを選択します。
[Summary] タブで、エンドポイントに関する情報を表示できます。たとえば、[Service] フィール
ドでは、サービスのプレフィックスリスト名を取得できます。
[Route Tables] タブでは、エンドポイントで使用されるルートテーブルに関する情報を表示できま
す。[Policy] タブでは、エンドポイントにアタッチされた IAM ポリシーを表示できます。
Note
[Policy] タブでは、エンドポイントのポリシーのみが表示されます。ここには、エンドポ
イントを操作するアクセス権限を持っている IAM ユーザー用に IAM ポリシーに関する情
報は表示されません。また、サービス固有のポリシー（たとえば S3 バケットポリシー）
も表示されません。
エンドポイントの削除
エンドポイントが不要になった場合には、それを削除することができます。エンドポイントを削除する
と、エンドポイントで使用されたルートテーブルのエンドポイントルートも削除されますが、エンドポ
イントが存在する VPC に関連付けらたセキュリティグループに影響はありません。
エンドポイントを削除するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Endpoints] を選択します。
エンドポイントを選択して、[Actions] を選択し、[Delete Endpoint] を選択します。
確認ダイアログボックスで、[Yes, Delete] を選択します。
API と CLI の概要
このページで説明しているタスクは、コマンドラインツールまたは Amazon EC2 クエリ API を使用し
て実行できます。
VPC endpoint の作成
• create-vpc-endpoint (AWS CLI)
• ec2-create-vpc-endpoint (Amazon EC2 CLI)
• New-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
• CreateVpcEndpoint (Amazon EC2 クエリ API)
AWS サービスのプレフィックスリストの名前、ID、IP アドレス範囲の取得
• describe-prefix-lists (AWS CLI)
• ec2-describe-prefix-lists (Amazon EC2 CLI)
• Get-EC2PrefixList (AWS Tools for Windows PowerShell)
• DescribePrefixLists (Amazon EC2 クエリ API)
API Version 2014-02-01
186
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
VPC endpoint の変更
• modify-vpc-endpoint (AWS CLI)
• ec2-modify-vpc-endpoint (Amazon EC2 CLI)
• Edit-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
• ModifyVpcEndpoint (Amazon EC2 クエリ API)
VPC endpoint の説明
• describe-vpc-endpoints (AWS CLI)
• ec2-describe-vpc-endpoints (Amazon EC2 CLI)
• Get-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
• DescribeVpcEndpoints (Amazon EC2 クエリ API)
VPC endpoint の作成に使用できる AWS サービスのリストの取得
•
•
•
•
describe-vpc-endpoint-services (AWS CLI)
ec2-describe-vpc-endpoint-services (Amazon EC2 CLI)
Get-EC2VpcEndpointService (AWS Tools for Windows PowerShell)
DescribeVpcEndpointServices (Amazon EC2 クエリ API)
VPC endpoint の削除
•
•
•
•
delete-vpc-endpoints（AWS CLI）
ec2-delete-vpc-endpoints（Amazon EC2 CLI）
Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
DeleteVpcEndpoints（Amazon EC2 クエリ API）
API Version 2014-02-01
187
Amazon Virtual Private Cloud ユーザーガイド
VPC へのハードウェア仮想プライ
ベートゲートウェイの追加
Abstract
仮想プライベートゲートウェイを関連付け、カスタムルートテーブルを作成して、セキュリティグループルールを
更新することで、VPC からお客様のネットワークへのアクセスを可能にします。
デフォルトでは、Virtual Private Cloud（VPC）内に起動されるインスタンスとユーザー独自のネット
ワークとの通信はできません。VPC から独自のネットワークへのアクセスを可能にするには、仮想プ
ライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグルー
プ規則を更新します。
このプロセスは、このページの説明にしたがって手動で実行することも、VPC 作成ウィザードを使用
して多くのステップを自動的に実行することもできます。VPC 作成ウィザードを使用して仮想プライ
ベートゲートウェイを設定する方法の詳細については、「シナリオ 3: パブリックサブネットとプライ
ベートサブネット、およびハードウェア VPN アクセスを持つ VPC (p. 34)」または「シナリオ 4: 1 つ
のプライベートサブネットのみ、およびハードウェア VPN アクセスを持つ VPC (p. 45)」を参照して
ください。
VPN 接続という用語は一般的な用語ですが、Amazon VPC のドキュメントにおいては、VPN 接続は
VPC とユーザー独自のネットワーク間の接続を指します。
Topics
• VPN のコンポーネント (p. 189)
• VPN の設定例 (p. 189)
• VPN のルーティングオプション (p. 190)
• VPN 接続に必要なもの (p. 191)
• VPN 接続用に 2 つの VPN トンネルを設定する (p. 192)
• 冗長な VPN 接続を使用してフェイルオーバーを提供する (p. 193)
• VPN 接続を設定する (p. 193)
• インスタンスのエンドツーエンド接続のテスト (p. 196)
• 漏洩した認証情報の置き換え (p. 197)
• VPN 接続の静的ルートの編集 (p. 197)
• VPN 接続を削除する (p. 198)
• API と CLI の概要 (p. 199)
API Version 2014-02-01
188
Amazon Virtual Private Cloud ユーザーガイド
VPN のコンポーネント
お客様の VPC で VPN 接続を使用する場合の料金について詳しくは、「Amazon VPC 製品のページ」
を参照してください。
VPN のコンポーネント
VPN 接続は次のコンポーネントで構成されます。
仮想プライベートゲートウェイ
仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。
リージョン当たりの仮想プライベートゲートウェイの最大数や、VPC 内の他のコンポーネントに適用
される制限については、「Amazon VPC 制限 (p. 210)」を参照してください。
カスタマーゲートウェイ
カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプ
リケーションです。VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成されると
VPN トンネルが開始されます。仮想プライベートゲートウェイはイニシエータではないため、カスタ
マーゲートウェイがトンネルを開始する必要があります。VPN 接続でアイドル時間（通常は 10 秒です
が設定によって異なる）が生じた場合、トンネルがダウンすることがあります。アイドル時間が生じな
いように、ネットワーク監視ツール（IP SLA など）を使用してキープアライブ ping を生成できます。
カスタマーゲートウェイの詳細については、『Amazon VPC ネットワーク管理者ガイド』の「カスタ
マーゲートウェイ」を参照してください。
Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private
Cloud のよくある質問」を参照してください。
VPN の設定例
次の図に単一および複数の VPN 接続を示します。VPC には仮想プライベートゲートウェイが関連付け
られていて、ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲートウェイ
は、VPN 接続を有効にするように設定する必要があります。ルーティングを設定して、VPC からユー
ザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティングされるよう
にします。
単一の VPC に対して複数の VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、
外部にある同一の場所への冗長な接続を作成できます。また、複数の地理的な場所への VPN 接続を作
成することもできます。
API Version 2014-02-01
189
Amazon Virtual Private Cloud ユーザーガイド
単一の VPN 接続
単一の VPN 接続
複数の VPN 接続
VPN のルーティングオプション
VPN 接続を作成する場合、使用するルーティングのタイプを指定する必要があります。選択するルー
ティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイスがボーダー
ゲートウェイプロトコル（BGP）をサポートしている場合は、VPN 接続を設定するときに動的ルーティ
ングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。
Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認す
るには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。
API Version 2014-02-01
190
Amazon Virtual Private Cloud ユーザーガイド
VPN 接続に必要なもの
BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルー
トがアドバタイズされるので、VPN 接続への静的ルートを指定する必要はありません。BGP をサポー
トしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイ
に通知するネットワークのルート（IP プレフィックス）を入力する必要があります。BGP アドバタイ
ズを使用するか静的ルートエントリを使用するかにかかわらず、VPC からのトラフィックを受信でき
るのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。
使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定し
たライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェ
イルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行するこ
とによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。
VPN 接続に必要なもの
VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者が物理的なアプラ
イアンスをカスタマーゲートウェイとして指定し、設定する必要があります。VPN 事前共有キーおよ
び VPN 接続の設定に関連したその他のパラメータを含む必須の設定情報は、Amazon から提供されま
す。この設定はネットワーク管理者が行うのが一般的です。カスタマーゲートウェイの要件および設定
については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。
次の表は、VPN 接続を確立するために必要な情報の一覧です。
項目
用途
コメント
カスタマーゲートウェイのタイ
プ（例: Cisco ASA、Juniper JSeries、Juniper SSG、
Yamaha）
返される情報（カスタマーゲー
トウェイの設定に使用する）の
形式を指定します。
当社でテスト済みのデバイスの詳
細については、Amazon VPC よ
くある質問で「Amazon VPC で
機能することが知られているカス
タマーゲートウェイ装置にはどの
ようなものがありますか?」を参
照してください。
カスタマーゲートウェイの外部
インターフェイスの、インター
ネットでルーティング可能な IP
アドレス（静的）
カスタマーゲートウェイを作成
して設定するために使用されま
す。YOUR_UPLINK_ADDRESS
と呼ばれます。
この IP アドレス値は静的である
必要があります。また、ネット
ワークアドレス変換 (NAT) を実
行するデバイスの背後に存在する
可能性があります。ただし、NAT
トラバーサル (NAT-T) はサポー
トされていません。
IP アドレスの値は、リージョン
内で一意である必要があります。
IP アドレスが同じリージョン内
の任意の AWS アカウント内の異
なる VPN 接続ですでに使用され
ている場合、VPN 接続を作成し
ようとすると、InvalidCustomerGateway.DuplicateIpAddress エラーが表示されます。
詳細については、『Amazon VPC
ネットワーク管理者ガイド』の
「カスタマーゲートウェイ」を参
照してください。
API Version 2014-02-01
191
Amazon Virtual Private Cloud ユーザーガイド
VPN 接続用に 2 つの VPN トンネルを設定する
項目
用途
コメント
（オプション）動的にルーティ
ングされる VPN 接続を作成する
場合は、カスタマーゲートウェ
イのボーダーゲートウェイプロ
トコル（BGP）自律システム番
号（ASN）。
カスタマーゲートウェイを作成
して設定するために使用されま
す。YOUR_BGP_ASN と呼ばれ
ます。
コンソールでウィザードを使用
して VPC を設定すると、ASN
として自動的に 65000 が使用さ
れます。
ネットワークに割り当てられてい
る既存の ASN を使用できます。
既存の ASN がない場合は、プラ
イベート ASN（64512 から
65534 までの範囲）を使用できま
す。ASN の詳細については、
「Wikipedia の記事」を参照して
ください。
Amazon VPC は 2 バイトの ASN
番号をサポートしています。
VPC への VPN 接続を通してア 静的ルーターを指定するために
ドバタイズする内部ネッ ワーク 使用されます。
IP の範囲。
VPN 接続用に 2 つの VPN トンネルを設定する
ネットワークを VPC に接続するには、VPN 接続を使用します。各 VPN 接続には 2 つのトンネルがあ
り、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用しま
す。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できな
くなったとき（例えばメンテナンスのために停止）、ネットワークトラフィックはその特定の VPN 接
続用に使用可能なトンネルへ自動的にルーティングされます。
次の図は、VPN 接続の 2 つのトンネルを示しています。
API Version 2014-02-01
192
Amazon Virtual Private Cloud ユーザーガイド
冗長な VPN 接続を使用してフェイルオーバーを提供する
冗長な VPN 接続を使用してフェイルオーバーを提
供する
前述のように、VPN 接続では、接続の 1 つが使用できなくなった場合に備えて 2 つのトンネルを設定
します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 番目
のカスタマーゲートウェイを使用して、VPC への 2 番目の VPN 接続を設定できます。冗長な VPN 接
続とカスタマーゲートウェイを使用すれば、1 つのカスタマーゲートウェイでメンテナンスを実行しな
がら、2 番目のカスタマーゲートウェイの VPN 接続を通してトラフィックの送信を継続することがで
きます。冗長な VPN 接続とカスタマーゲートウェイをネットワークに確立するには、2 番目の VPN 接
続をセットアップする必要があります。2 番目の VPN 接続のカスタマーゲートウェイの IP アドレスは
パブリックにアクセス可能である必要があり、1 番目の VPN 接続に使用しているパブリック IP アドレ
スと同じアドレスにすることはできません。
次の図は、VPN 接続の 2 つのトンネルと 2 つのカスタマーゲートウェイを示しています。
動的にルーティングされる VPN 接続では、ボーダーゲートウェイプロトコル（BGP）を使用して、カ
スタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルー
ティングされる VPN 接続では、カスタマーゲートウェイのユーザー側でネットワークの静的ルートを
入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方の
ゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされま
す。BGP（使用可能な場合）で提供されるルーティング情報を使用して使用可能なパスを選択するよう
ネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによって
異なります。
VPN 接続を設定する
VPN 接続を手動でセットアップするには、次の手順を実行します。また、VPC およびサブネットを作
成してから、VPC ウィザードを使用してこの手順の最初の 5 つのステップを実行することもできます。
詳細については、「シナリオ 3 を実装する (p. 40)」または「シナリオ 4 を実装する (p. 48)」を参照し
てください。
API Version 2014-02-01
193
Amazon Virtual Private Cloud ユーザーガイド
カスタマーゲートウェイを作成する
VPN 接続をセットアップするには、以下のステップを完了する必要があります。
• ステップ 1: カスタマーゲートウェイを作成する (p. 194)
• ステップ 2: 仮想プライベートゲートウェイを作成する (p. 194)
• ステップ 3: ルートテーブルでルート伝達を有効にする (p. 194)
• ステップ 4: セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効に
する (p. 195)
• ステップ 5: VPN 接続を作成して、カスタマーゲートウェイを設定する (p. 195)
• 手順 6: サブネット内にインスタンスを起動する (p. 196)
この手順は、1 つ以上のサブネットがある VPC を使用しており、必要なネットワーク情報（VPN 接続
に必要なもの (p. 191) を参照）を理解していることを前提にしています。
カスタマーゲートウェイを作成する
カスタマーゲートウェイを作成するには
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Customer Gateways] をクリックしてから、[Create Customer Gateway]
をクリックします。
[Create Customer Gateway] ダイアログボックスで以下の作業を完了し、[Yes, Create] をクリック
します。
• [Name tag] フィールドで、カスタマーゲートウェイの名前を任意で入力します。これにより、
Name というキーと指定した値を含むタグが作成されます。
• [Routing] リストからルーティングタイプを選択します。
• 動的ルーティングを選択した場合は、[BGP ASN ] フィールドに、ボーダーゲートウェイプロト
コル（BGP）自律システム番号（ASN）を入力します。
• [IP Address] フィールドに、インターネットでルーティング可能な、カスタマーゲートウェイデ
バイスの静的 IP アドレスを入力します。このアドレスは、ネットワークアドレス変換（NAT）
を実行するデバイスの背後に存在する可能性があります。ただし、NAT トラバーサル（NAT-T）
はサポートされていません。
仮想プライベートゲートウェイを作成する
仮想プライベートゲートウェイを作成するには
1.
2.
3.
4.
ナビゲーションペインで [Virtual Private Gateways] をクリックしてから、[Create Virtual Private
Gateway] をクリックします。
任意で仮想プライベートゲートウェイの名前を入力し、[Yes, Create] をクリックします。
作成した仮想プライベートゲートウェイを選択して、[Attach to VPC] をクリックします。
[Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] をクリック
します。
ルートテーブルでルート伝達を有効にする
VPC で、インスタンスがカスタマーゲートウェイに到達できるようにするには、VPN 接続で使用され
るルートを含め、仮想プライベートゲートウェイを指すようにルートテーブルを設定する必要がありま
す。ルート伝達を有効にして、これらのルートを自動的にテーブルに伝達することができます。
API Version 2014-02-01
194
Amazon Virtual Private Cloud ユーザーガイド
セキュリティグループを更新して、インバウンド SSH、
RDP、ICMP アクセスを有効にする
静的ルーティングでは、VPN 設定に指定する静的 IP プレフィックスは、VPN 接続の作成後にルート
テーブルに伝達されます。動的なルーティングでは、カスタマーゲートウェイから BGP でアドバタイ
ズされたルートが、VPN 接続のステータスが UP のときにルートテーブルに伝達されます。
ルート伝達を有効にするには
1.
2.
ナビゲーションペインで [Route Tables] をクリックして、サブネットと関連付けられたルートテー
ブルを選択します。デフォルトでは、これは VPC のメインルートテーブルです。
詳細ペインの [Route Propagation] タブで [Edit] をクリックし、前の手順で作成した仮想プライベー
トゲートウェイを選択して、[Save] をクリックします。
Note
静的ルーティングでは、ルート伝達を有効にしない場合、VPN 接続で使用される静的ルートを
手動で入力する必要があります。そのためには、ルートテーブルを選択し、詳細ペインの
[Routes] タブで、[Edit] をクリックします。VPN 接続で使用される静的ルートを [Destination]
フィールドに追加し、[Target] リストから仮想プライベートゲートウェイ ID を選択して、[Save]
をクリックします。
セキュリティグループを更新して、インバウンド
SSH、RDP、ICMP アクセスを有効にする
セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有効
にするには
1.
2.
ナビゲーションペインで [Security Groups] をクリックして、VPC のデフォルトのセキュリティグ
ループを選択します。
詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセスを
許可するルール追加し、[Save] をクリックします。インバウンドルールの追加の詳細については、
「ルールを追加および削除する (p. 74)」を参照してください。
VPN 接続を作成して、カスタマーゲートウェイを設
定する
VPN 接続を作成して、カスタマーゲートウェイを設定するには
1.
ナビゲーションペインで [VPN Connections] をクリックします。
2.
[Create VPN Connection] をクリックします。
3.
[Create VPN Connection] ダイアログボックスで次の操作を行い、[Yes, Create] をクリックします。
• [Name tag] フィールドで、VPN 接続の名前を任意で入力します。これにより、Name というキー
と指定した値を含むタグが作成されます。
• 前の手順で作成した仮想プライベートゲートウェイを選択します。
• 前の手順で作成したカスタマーゲートウェイを選択します。
• VPN ルートがボーダーゲートウェイプロトコル（BGP）をサポートしているかどうかに基づい
て、いずれかのルーティングオプションを選択します。
• VPN ルーターが BGP をサポートしている場合は、[Dynamic (requires BGP)] を選択します。
• VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[Static IP Prefixes]
フィールドで、VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスをコン
マで区切って指定します。
API Version 2014-02-01
195
Amazon Virtual Private Cloud ユーザーガイド
サブネット内にインスタンスを起動する
4.
5.
6.
VPN 接続の作成には数分かかる場合があります。準備が整ったら、接続を選択し、[Download
Configuration] をクリックします。
[Download Configuration] ダイアログボックスで、カスタマーゲートウェイのデバイスまたはソフ
トウェアに対応するベンダー、プラットフォーム、およびソフトウェアを選択し、[Yes Download]
をクリックします。
このガイド（Amazon VPC ネットワーク管理者ガイド）と共に設定ファイルをネットワーク管理
者に渡します。ネットワーク管理者がカスタマーゲートウェイを設定した後、VPN 接続が機能す
るようになります。
サブネット内にインスタンスを起動する
サブネット内にインスタンスを起動するには
1.
2.
3.
Amazon EC2 コンソールを開きます。
ダッシュボードで、[Launch Instance] をクリックします。
[Choose an Amazon Machine Image (AMI)] ページで、AMI を選択し、[Select] をクリックします。
4.
5.
インスタンスタイプを選択し、[Next: Configure Instance Details] をクリックします。
[Configure Instance Details] ページで、[Network] リストから VPC を選択し、[Subnet] リストから
サブネットを選択します。[Configure Security Group] ページが表示されるまで、[Next] をクリック
します。
[Select an existing security group] オプションを選択し、前に変更したデフォルトのグループを選
択します。[Review and Launch] をクリックします。
選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択してイン
スタンスを起動します。
6.
7.
インスタンスのエンドツーエンド接続のテスト
VPN 接続を設定してインスタンスを起動した後、インスタンスへの ping を実行して接続をテストしま
す。ping リクエストに応答する AMI を使用し、インスタンスのセキュリティグループが、インバウン
ド ICMP を有効にするように設定されていることを確認する必要があります。Amazon Linux AMI のい
ずれかを使用することをお勧めします。ご使用のインスタンスで Windows Server を実行している場
合、インスタンスへの ping を実行するには、インスタンスにログインし、Windows ファイアウォール
でインバウンド ICMPv4 を有効にする必要があります。
Important
インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンスへ
のトラフィックをフィルタするセキュリティグループまたはネットワーク ACL を VPC 内に設
定する必要があります。
Amazon VPC コンソールまたは Amazon EC2 API/CLI を使用して、VPN 接続のステータスをモニタリ
ングできます。VPN 接続について、接続の状態、最後の状態変化からの経過時間、エラー説明のテキ
ストなどの情報を確認できます。
エンドツーエンド接続をテストするには
1.
2.
インスタンスが実行中になった後、そのプライベート IP アドレス（例えば 10.0.0.4）を取得し
ます。Amazon EC2 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ネットワークでカスタマーゲートウェイの背後にあるコンピュータから、インスタンスのプライ
ベート IP アドレスを指定した ping コマンドを実行します。正常な応答は次のようになります。
API Version 2014-02-01
196
Amazon Virtual Private Cloud ユーザーガイド
漏洩した認証情報の置き換え
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux イ
ンスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の
Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法について
は、「Microsoft Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows
Instance を参照してください。
漏洩した認証情報の置き換え
VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更できます。その
ためには、VPN 接続を削除し、同じ仮想プライベートゲートウェイを使用して新しい接続を作成して、
カスタマーゲートウェイに新しいキーを設定します。また、トンネルの内部のアドレスと外部のアドレ
スが一致することを確認することも必要です。VPN 接続を再作成するとアドレスが変更されることが
あるためです。この手順を実行する間、VPC 内のインスタンスとの通信は停止しますが、インスタン
スは中断されずに実行を継続します。ネットワーク管理者が新しい設定情報を実装した後、VPN 接続
に新しい認証情報が使用されるようになり、VPC 内のインスタンスへのネットワーク接続が再開され
ます。
Important
この手順にはネットワーク管理者グループの助けが必要です。
IKE 事前共有キーを変更するには
1.
2.
VPN 接続を削除します。詳細については、「VPN 接続を削除する (p. 198)」を参照してください。
VPC または仮想プライベートゲートウェイを削除する必要はありません。
新しい VPN 接続を作成して、新しい設定ファイルをダウンロードします。詳細については、「VPN
接続を作成して、カスタマーゲートウェイを設定する (p. 195)」を参照してください。
VPN 接続の静的ルートの編集
静的ルーティングでは、VPN 設定の静的ルートを追加、変更、または削除できます。
静的ルートを追加、変更、または削除するには
1.
ナビゲーションペインで [VPN Connections] をクリックします。
2.
[Static Routes] タブで、[Edit] をクリックします。
API Version 2014-02-01
197
Amazon Virtual Private Cloud ユーザーガイド
VPN 接続を削除する
3.
既存の静的 IP プレフィックスを変更するか、[Remove] をクリックしてルートを削除します。[Add
Another Route] をクリックして、新しい IP プレフィックスを設定に追加します。完了したら [Save]
をクリックします。
Note
ルートテーブルでルート伝達を有効にしていない場合、ルートテーブルで手動でルートを更新
し、更新された静的 IP プレフィックスを VPN 接続に反映する必要があります。詳細について
は、「ルートテーブルでルート伝達を有効にする (p. 194)」を参照してください。
VPN 接続を削除する
VPN 接続が不要になった場合には、それを削除することができます。
Important
VPN 接続を削除し、新しい VPN 接続を作成する場合は、新しい設定情報をダウンロードし、
ネットワーク管理者にカスタマーゲートウェイを再設定してもらう必要があります。
VPN 接続を削除するには
1.
2.
3.
4.
Amazon VPC コンソールを開きます。
ナビゲーションペインで [VPN Connections] をクリックします。
VPN 接続を選択し、[Delete] をクリックします。
[Delete VPN Connection] ダイアログボックスの [Yes, Delete] をクリックします。
カスタマーゲートウェイが不要になった場合には、それを削除することができます。VPN 接続で使用
中のカスタマーゲートウェイを削除することはできません。
カスタマーゲートウェイを削除するには
1.
2.
3.
ナビゲーションペインで [Customer Gateways] をクリックします。
削除するカスタマーゲートウェイを選択し、[Delete] をクリックします。
[Delete Customer Gateway] ダイアログボックスで、[Yes, Delete] をクリックします。
VPC 用の仮想プライベートゲートウェイが不要になった場合には、それをアタッチ解除することがで
きます。
仮想プライベートゲートウェイをアタッチ解除するには
1.
2.
ナビゲーションペインで [Virtual Private Gateways] をクリックします。
仮想プライベートゲートウェイを選択し、[Detach from VPC] をクリックします。
3.
[Detach from VPC] ダイアログボックスで、[Yes, Detach] をクリックします。
デタッチした仮想プライベートゲートウェイが不要になった場合は、削除することができます。VPC
にアタッチされている仮想プライベートゲートウェイを削除することはできません。
仮想プライベートゲートウェイを削除するには
1.
2.
削除する仮想プライベートゲートウェイを選択し、[Delete] をクリックします。
[Delete Virtual Gateway] ダイアログボックスで、[Yes, Delete] をクリックします。
API Version 2014-02-01
198
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
API と CLI の概要
コマンドラインまたは API アクションを使用して、VPN 接続をセットアップし、管理できます。使用
できる API アクションのリストを含む詳細については、「Amazon VPC へのアクセス (p. 6)」を参照
してください。
カスタマーゲートウェイを作成する
• CreateCustomerGateway（Amazon EC2 Query API）
• ec2-create-customer-gateway（Amazon EC2 CLI）
• create-customer-gateway（AWS CLI）
• New-EC2CustomerGateway（AWS Tools for Windows PowerShell）
仮想プライベートゲートウェイの作成
•
•
•
•
CreateVpnGateway（Amazon EC2 Query API）
ec2-create-vpn-gateway（Amazon EC2 CLI）
create-vpn-gateway（AWS CLI）
New-EC2VpnGateway（AWS Tools for Windows PowerShell）
ルート伝達を有効にする
•
•
•
•
EnableVgwRoutePropagation（Amazon EC2 Query API）
ec2-enable-vgw-route-propagation（Amazon EC2 CLI）
enable-vgw-route-propagation（AWS CLI）
Enable-EC2VgwRoutePropagation（AWS Tools for Windows PowerShell）
セキュリティグループを更新する
• CLI を使ったセキュリティグループの使用の詳細については、「API と CLI の概要 (p. 76)」を参照し
てください。
VPN 接続を作成する
• CreateVpnConnection（Amazon EC2 Query API）
• ec2-create-vpn-connection（Amazon EC2 CLI）
• create-vpn-connection（AWS CLI）
• New-EC2VpnConnection（AWS Tools for Windows PowerShell）
静的ルートを追加する
• CreateVpnConnectionRoute（Amazon EC2 Query API）
• ec2-create-vpn-connection-route（Amazon EC2 CLI）
• create-vpn-connection-route（AWS CLI）
• New-EC2VpnConnectionRoute（AWS Tools for Windows PowerShell）
静的ルートを削除する
• DeleteVpnConnectionRoute（Amazon EC2 Query API）
API Version 2014-02-01
199
Amazon Virtual Private Cloud ユーザーガイド
API と CLI の概要
• ec2-delete-vpn-connection-route（Amazon EC2 CLI）
• delete-vpn-connection-route（AWS CLI）
• Remove-EC2VpnConnectionRoute（AWS Tools for Windows PowerShell）
VPN 接続を削除する
• DeleteVpnConnection（Amazon EC2 Query API）
• ec2-delete-vpn-connection（Amazon EC2 CLI）
• delete-vpn-connection（AWS CLI）
• Remove-EC2VpnConnection（AWS Tools for Windows PowerShell）
カスタマーゲートウェイを削除する
• DeleteCustomerGateway（Amazon EC2 Query API）
• ec2-delete-customer-gateway（Amazon EC2 CLI）
• delete-customer-gateway（AWS CLI）
• Remove-EC2CustomerGateway（AWS Tools for Windows PowerShell）
仮想プライベートゲートウェイをデタッチする
•
•
•
•
DetachVpnGateway（Amazon EC2 Query API）
ec2-detach-vpn-gateway（Amazon EC2 CLI）
detach-vpn-gateway（AWS CLI）
Dismount-EC2VpnGateway（AWS Tools for Windows PowerShell）
仮想プライベートゲートウェイを削除する
•
•
•
•
DeleteVpnGateway（Amazon EC2 Query API）
ec2-delete-vpn-gateway（Amazon EC2 CLI）
delete-vpn-gateway（AWS CLI）
Remove-EC2VpnGateway（AWS Tools for Windows PowerShell）
API Version 2014-02-01
200
Amazon Virtual Private Cloud ユーザーガイド
VPN CloudHub を使用して安全なサ
イト間通信を提供する
Abstract
AWS VPN CloudHub と複数の VPN 接続を使用して、安全なサイト間通信を実現します。
複数の VPN 接続がある場合は、AWS VPN CloudHub を使用して、安全なサイト間通信を提供するこ
とができます。VPN CloudHub は、VPC の有無にかかわらず使用できるシンプルなハブアンドスポー
クモデルで動作します。この設計は、複数のブランチオフィスと既存のインターネット接続を持つ顧客
が、リモートオフィス間でプライマリ接続またはバックアップ接続を実現するために、便利でコストを
抑えられる可能性のあるハブアンドスポークモデルを実装したいと考えている場合に適しています。
次の図は VPN CloudHub アーキテクチャーです。青色の点線は、VPN 接続を介してルーティングされ
ているリモートサイト間のネットワークトラフィックを示しています。
API Version 2014-02-01
201
Amazon Virtual Private Cloud ユーザーガイド
AWS VPN CloudHub を使用するには、仮想プライベートゲートウェイと、複数のカスタマーゲートウェ
イを作成する必要があり、それぞれに固有のボーダーゲートウェイプロトコル（BGP）自律システム番
号（ASN）があります。カスタマーゲートウェイは、適切なルート（BGP プレフィックス）をその
VPN 接続にアドバタイズします。これらのルーティングアドバタイズメントが受信され、各 BGP ピア
に再アドバタイズされることで、サイト間でのデータの送受信か可能になります。各スポークのルート
に固有の ASN があるので、サイトの IP 範囲が重なることはありません。各サイトが、標準の VPN 接
続を使用しているように、VPC とデータを送受信することもできます。
仮想プライベートゲートウェイへの AWS Direct Connect 接続を使用するサイトを、AWS VPN CloudHub
に含めることもできます。例えば、ニューヨーク本社で VPC への AWS Direct Connect 接続を確立し
ながら、ブランチオフィスで VPC への VPN 接続を使用できます。ロサンゼルスとマイアミのブラン
チオフィスは、AWS VPN CloudHub を使用して、相互にデータを送受信したり、本社とデータを送受
信したりできます。
AWS VPN CloudHub を設定するには、AWS マネジメントコンソールを使用して、複数のカスタマー
ゲートウェイを作成します。このそれぞれに、ゲートウェイの固有のパブリック IP アドレスと固有の
ASN があります。次に、各カスタマーゲートウェイから一般的な仮想プライベートゲートウェイへの
VPN 接続を作成します。各 VPN 接続が、その特定の BGP ルートをアドバタイズする必要があります。
これを行うには、VPN 接続の VPN 設定ファイルでネットワークステートメントを使用します。ネット
ワークステートメントは、使用するルーターの種類によって少し違いがあります。
AWS VPN CloudHub を使用する場合は、通常の Amazon VPC VPN 接続料金を支払います。各 VPN が
仮想プライベートゲートウェイに接続されている間は、1 時間ごとに接続料金が発生します。AWS VPN
CloudHub を使用してサイト間でデータを送信する場合、サイトから仮想プライベートゲートウェイへ
のデータ送信にはコストがかかりません。仮想プライベートゲートウェイからエンドポイントに中継さ
れるデータに対しては、標準の AWS データ転送料金のみがかかります。例えば、ロサンゼルスとニュー
ヨークそれぞれにサイトがあり、両方のサイトに、仮想プライベートゲートウェイへの VPN 接続が存
在する場合は、VPN 接続ごとに 0.05 USD/時間（合計 0.10 USD/時間）の支払いが発生します。また、
ロサンゼルスからニューヨーク（およびその逆）に VPN 接続経由でデータを送信すると、そのデータ
API Version 2014-02-01
202
Amazon Virtual Private Cloud ユーザーガイド
すべてに対して標準の AWS データ転送料金が発生します。VPN 接続経由で仮想プライベートゲート
ウェイに送信されるネットワークトラフィックは無料ですが、VPN 接続経由で仮想プライベートゲー
トウェイからエンドポイントに送信されるネットワークトラフィックには、標準の AWS データ転送料
金がかかります。詳細については、「VPN 接続料金表」を参照してください。
API Version 2014-02-01
203
Amazon Virtual Private Cloud ユーザーガイド
ハードウェア専有インスタンスの基礎
ハードウェア専有インスタンス
Abstract
他の AWS インスタンスとアカウントから物理的に分離されたシングルテナントのハードウェアで、ハードウェア
専有インスタンスを実行します。
ハードウェア専有インスタンスは、単一のカスタマー専用のハードウェアの Virtual Private Cloud（VPC）
で実行される Amazon EC2 インスタンスです。ハードウェア専有インスタンスは、ハードウェア専有
インスタンス以外のインスタンスや、他の AWS アカウントに属するインスタンスとは、ホストハード
ウェアのレベルで物理的に分離されます。
このトピックでは、ハードウェア専有インスタンスの基礎を説明し、その実装方法を示します。
Topics
• ハードウェア専有インスタンスの基礎 (p. 204)
• ハードウェア専有インスタンスの使用 (p. 206)
• API とコマンドの概要 (p. 207)
ハードウェア専有インスタンスの基礎
VPC 内に起動する各インスタンスにはテナント属性があります。インスタンスの起動後にテナント属
性を変更することはできません。この属性の値を次に示します。
値
説明
default
インスタンスは共有するハードウェアで実行されます。
dedicated
インスタンスはシングルテナントのハードウェアで実行されます。
各 VPC には関連したインスタンスのテナント属性があります。VPC の作成後に VPC インスタンスの
テナント属性を変更することはできません。この属性の値を次に示します。
API Version 2014-02-01
204
Amazon Virtual Private Cloud ユーザーガイド
ハードウェア専有インスタンスの制限事項
値
説明
default
VPC 内に起動されたインスタンスは、インスタンスのテナント属
性が dedicated である場合、ハードウェア専有インスタンスで
す。
dedicated
VPC 内に起動されたすべてのインスタンスはハードウェア専有イ
ンスタンスであり、インスタンスのテナント属性の値は関係ありま
せん。
ハードウェア専有インスタンスを使用する場合は、次のいずれかの方法でインスタンスを実装できま
す。
• インスタンスのテナント属性を dedicated（この VPC 内に起動されたすべてのインスタンスはハー
ドウェア専有インスタンス）に設定して VPC を作成します。
• インスタンスのテナント属性を default に設定して VPC を作成し、起動時にハードウェア専有イ
ンスタンスとするインスタンスの専有テナント属性を指定します。
ハードウェア専有インスタンスの制限事項
AWS の一部のサービスまたは機能は、インスタンスのテナント属性が dedicated に設定されている
VPC では動作しません。そのほかにも制限事項があるかどうかを確認するには、サービスのドキュメ
ントを参照してください。
一部の種類のインスタンスは、インスタンスのテナント属性が dedicated に設定されている VPC で
は起動できません。サポートされているインスタンスの種類の詳細については、「Amazon EC2 専有
インスタンス」を参照してください。
Amazon EBS とハードウェア専有インスタンス
Amazon EBS バックト専有インスタンスを起動した場合、シングルテナントのハードウェアで EBS ボ
リュームは実行できません。
専有テナント属性を所有するリザーブドインスタン
ス
専有インスタンスを起動するうえで十分な空き容量を確保するために、専有リザーブドインスタンスを
購入できます。リザーブドインスタンスの詳細については、「オンデマンドとリザーブドインスタン
ス」を参照してください。
ハードウェア専有リザーブドインスタンスを購入すると、VPC 内にハードウェア専有インスタンスを
起動するための容量を格安の使用料金で購入することになります。時間単位での料金引き下げは、専有
テナント属性が指定されたインスタンスを起動した場合にのみ適用されるためです。だだし、デフォル
トのテナント属性値でリザーブドインスタンスを購入する場合は、dedicated インスタンステナント
属性でインスタンスを起動するときに、ハードウェア専有リザーブドインスタンスは取得されません。
さらに、リザーブドインスタンスの購入後にそのインスタンスのテナント属性を変更することはできま
せん。
ハードウェア専有インスタンスの Auto Scaling
Auto Scaling を使用してハードウェア専有インスタンスを起動する方法の詳細については、「Auto
Scaling 開発者ガイド」の「Amazon Virtual Private Cloud での Auto Scaling」を参照してください。
API Version 2014-02-01
205
Amazon Virtual Private Cloud ユーザーガイド
ハードウェア専有インスタンスの価格設定
ハードウェア専有インスタンスの価格設定
ハードウェア専有インスタンスには個別の価格設定モデルがあります。詳細については、Amazon EC2
ハードウェア専有インスタンスの製品ページを参照してください。
ハードウェア専有インスタンスの使用
このセクションでは、次のタスクの実行方法を説明します。
Topics
• インスタンスのテナント属性が専有である VPC を作成する (p. 206)
• ハードウェア専有インスタンスを VPC 内に起動する (p. 206)
• テナント属性情報を表示する (p. 207)
インスタンスのテナント属性が専有である VPC を作
成する
VPC を作成するときにインスタンスのテナント属性を指定できます。デフォルト設定のまま使用する
ことも、使用する VPC にインスタンスのテナント属性として dedicated を指定することもできます。
このセクションでは、インスタンスのテナント属性を dedicated に設定した VPC を作成する方法を
示します。
インスタンスのテナント属性がハードウェア専有である VPC を作成するには（VPC ウィザー
ド）
1.
2.
3.
4.
5.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ダッシュボードで [Start VPC Wizard] ボタンをクリックします。
VPC 設定を選択し、[Select] をクリックします。
ウィザードの次のページで、[Hardware tenancy] リストから [Dedicated] を選択します。
[Create VPC] ボタンをクリックして VPC を作成します。
インスタンスのテナント属性がハードウェア専有である VPC を作成するには（VPC ダイアロ
グボックスの作成）
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Your VPCs] をクリックし、続いて [Create VPC] をクリックします。
3.
[Create VPC] ダイアログボックスで、[Tenancy] ドロップダウンリストから [Dedicated] を選択し
ます。[CIDR Block] を指定し、[Yes, Create] をクリックします。
ハードウェア専有インスタンスを VPC 内に起動する
インスタンスのテナント属性が dedicated である VPC 内にインスタンスを起動すると、インスタン
スのテナント属性とは関係なく、インスタンスは自動的にハードウェア専有インスタンスとなります。
次の手順は、デフォルトのインスタンスのテナント属性が指定された VPC 内にハードウェア専有イン
スタンスを起動する方法を示しています。
API Version 2014-02-01
206
Amazon Virtual Private Cloud ユーザーガイド
テナント属性情報を表示する
デフォルトのインスタンスのテナント属性が指定されたハードウェア専有インスタンスを VPC
内に起動するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
VPC を作成するか、デフォルトのインスタンスのテナント属性が指定された既存の VPC を使用す
ることを選択します。
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
[Launch Instance] ボタンをクリックします。
3.
4.
5.
6.
[Choose an Amazon Machine Image (AMI)] ページで、AMI を選択し、[Select] をクリックします。
[Choose an Instance Type] ページで、起動するインスタンスのタイプを選択し、[Next: Configure
Instance Details] をクリックします。
7.
[Configure Instance Details] ページで、VPC とサブネットを選択します。[Tenancy] リストから
[Dedicated tenancy] を選択し、[Next: Add Storage] をクリックします。
8.
ウィザードにしたがって続行します。[Review Instance Launch] ページでオプションの確認が終了
したら、[Launch] をクリックし、キーペアを選択して、ハードウェア専有インスタンスを起動しま
す。
テナント属性情報を表示する
VPC のテナント属性情報を表示するには
1.
2.
3.
4.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Your VPCs] をクリックします。
[Tenancy] 列で、VPC のインスタンスのテナント属性を確認します。
[Tenancy] 列が表示されていない場合は、[Show/Hide] ボタンをクリックし、[Show/Hide Columns]
ダイアログボックスで [Tenancy] を選択して、[Close] をクリックします。
インスタンスのテナント属性情報を表示するには
1.
2.
3.
4.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
[Navigation] ペインの [Instances] をクリックします。
[Tenancy] 列でインスタンスのテナント属性を確認します。
[Tenancy] 列が表示されていない場合は、次のいずれかを行います。
• [Show/Hide] ボタンをクリックし、[Show/Hide Columns] ダイアログボックスで [Tenancy] を選
択して、[Close] をクリックします。
• インスタンスを選択します。詳細ペインの [Description] タブに、テナント属性を含めてインスタ
ンスに関する情報が表示されます。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンド
ラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセ
ス (p. 6)」を参照してください。
VPC 内に起動するインスタンスに対してサポートされているテナント属性オプションを設定す
る
• create-vpc（AWS CLI）
API Version 2014-02-01
207
Amazon Virtual Private Cloud ユーザーガイド
API とコマンドの概要
• ec2-create-vpc（Amazon EC2 CLI）
• New-EC2Vpc（AWS Tools for Windows PowerShell）
VPC 内に起動するインスタンスに対してサポートされているテナント属性オプションについて
説明する
• describe-vpcs（AWS CLI）
• ec2-describe-vpcs（Amazon EC2 CLI）
• Get-EC2Vpc（AWS Tools for Windows PowerShell）
インスタンスに対してテナント属性オプションを設定する
• run-instances（AWS CLI）
• ec2-run-instances（Amazon EC2 CLI）
• New-EC2Instance（AWS Tools for Windows PowerShell）
インスタンスのテナント属性値について説明する
• describe-instances（AWS CLI）
• ec2-describe-instances（Amazon EC2 CLI）
• Get-EC2Instance（AWS Tools for Windows PowerShell）
リザーブドインスタンスのテナント属性値について説明する
• describe-reserved-instances（AWS CLI）
• ec2-describe-reserved-instances（Amazon EC2 CLI）
• Get-EC2ReservedInstance（AWS Tools for Windows PowerShell）
リザーブドインスタンスサービスのテナント属性値について説明する
• describe-reserved-instances-offerings（AWS CLI）
• ec2-describe-reserved-instances-offerings（Amazon EC2 CLI）
• Get-EC2ReservedInstancesOffering（AWS Tools for Windows PowerShell）
API Version 2014-02-01
208
Amazon Virtual Private Cloud ユーザーガイド
ClassicLink
Abstract
ClassicLink を使用して、EC2-Classic インスタンスがプライベート IP を使用して VPC 内のインスタンスと通信で
きるようにします。
ClassicLink を使用すると、EC2-Classic インスタンスを同じリージョンにある自アカウントの VPC に
リンクできます。これによって、VPC のセキュリティグループを EC2-Classic インスタンスに関連付
けることができ、プライベート IP アドレスを使用して EC2-Classic インスタンスと VPC 内のインス
タンスが通信できるようになります。ClassicLink により、これらのプラットフォーム内のインスタン
ス間で通信を有効にするために、パブリック IP アドレスまたは Elastic IP アドレスを使用する必要が
なくなります。プライベートおよびパブリック IP アドレスについては、「VPC の IP アドレス指
定 (p. 127)」を参照してください。
ClassicLink は、EC2-Classic プラットフォームをサポートするアカウントを持つすべてのユーザーが利
用でき、任意のインスタンスタイプの EC2-Classic インスタンスで使用できます。
ClassicLink は追加料金なしで使用できます。データ転送とインスタンス時間の使用量に対する標準料
金が適用されます。
ClassicLink とその使用方法の詳細については、『Amazon EC2 ユーザーガイド』の以下のトピックを
参照してください。
• ClassicLink の基礎
• ClassicLink の制限事項
• ClassicLink の使用
• ClassicLink API と CLI の概要
API Version 2014-02-01
209
Amazon Virtual Private Cloud ユーザーガイド
Amazon VPC 制限
Abstract
必要に応じて、以下のデフォルトの Amazon VPC コンポーネントの制限数を増やすことを要請します。
次の表は、Amazon VPC に関連する制限数を表示しています。他に明記されていない限り、Amazon
VPC 制限フォームを使用して、これらのいずれの上限についても引き上げをリクエストできます。
リソース
デフォル
トの制限
コメント
リージョン当たりの VPC の数
5
この制限は、リクエスト時に増やすことが
できます。リージョンあたりのインターネッ
トゲートウェイの制限は、これと直接的な
相関があります。この制限を増やすと、リー
ジョンあたりのインターネットゲートウェ
イの制限が同じ数だけ増加します。
VPC 当たりのサブネットの数
200
この制限は、リクエスト時に増やすことが
できます。
リージョン当たりのインターネットゲート
ウェイの数
5
この制限は、リージョンあたりの VPC の制
限と直接的な相関があります。この制限を
単独で増やすことはできません。この制限
を増やす唯一の方法は、リージョンあたり
の VPC の制限を増やすことです。一度に
VPC にアタッチできるインターネットゲー
トウェイは 1 つだけです。
リージョン当たりの仮想プライベートゲー
トウェイの数
5
この制限は、リクエストに時に増やすこと
ができます。ただし、VPC に一度にアタッ
チできる仮想プライベートゲートウェイは
1 つだけです。
リージョン当たりのカスタマーゲートウェ
イの数
50
この制限は、リクエスト時に増やすことが
できます。
リージョン当たりの VPN 接続の数
50
この制限は、リクエスト時に増やすことが
できます。
API Version 2014-02-01
210
Amazon Virtual Private Cloud ユーザーガイド
リソース
デフォル
トの制限
コメント
VPC あたり（仮想プライベートゲートウェ 10
イあたり）の VPN 接続の数
この制限は、リクエスト時に増やすことが
できます。
VPC 当たりのルートテーブルの数
200
メインルートテーブルを含む。1 つのルー
トテーブルを VPC の 1 つ以上のサブネッ
トに関連付けることができます。
ルートテーブル当たりのエントリの数
50
これは、1 つのルートテーブルでの伝播さ
れないエントリの数に関する制限です。こ
の制限はリクエスト時に増やすことができ
ます。ただし、ネットワークパフォーマン
スが影響を受ける場合があります。
AWS アカウント当たり、1 リージョン内の 5
Elastic IP アドレスの数
これは、リージョン内で割り当てることが
できる VPC Elastic IP の数に関する制限で
す。これは、EC2 Elastic IP アドレスの制限
とは異なる制限です。この制限は、リクエ
スト時に増やすことができます。
VPC 当たりのセキュリティグループの数
100
この制限の引き上げをリクエストできます
が、引き上げは保証されません。セキュリ
ティグループの設定方法に応じて、ネット
ワークパフォーマンスに影響することがあ
ります。そのようなパフォーマンス上のリ
スクがある場合、リクエストは拒否される
可能性があります。
セキュリティグループ当たりのルールの数
50
この制限は、リクエスト時に増やすまたは
減らすことができます。ただし、セキュリ
ティグループあたりのルールの制限とネッ
トワークインターフェイスあたりのセキュ
リティグループの制限を乗算した値は 250
を超えることができません。たとえば、セ
キュリティグループあたり 100 個のルール
が必要な場合は、ネットワークインターフェ
イスあたりのセキュリティグループの数を
2 に減らします。
ネットワークインターフェイス当たりのセ
キュリティグループ
5
この制限はリクエスト時に増やすまたは減
らすことができます。最大は 16 です。ネッ
トワークインターフェイスあたりのセキュ
リティグループの制限とセキュリティグルー
プあたりのルールの制限を乗算した値は 250
を超えることができません。たとえば、ネッ
トワークインターフェイスあたり 10 個のセ
キュリティグループが必要な場合は、セキュ
リティグループあたりルールの数を 25 に減
らします。
インスタンス当たりのネットワークインター フェイス
この制限は、インスタンスタイプによって
異なります。詳細については、「インスタ
ンスタイプあたりの ENI ごとのプライベー
ト IP アドレス」を参照してください。
API Version 2014-02-01
211
Amazon Virtual Private Cloud ユーザーガイド
リソース
デフォル
トの制限
コメント
VPC 当たりのネットワークインターフェイ 100
ス
この制限は、オンデマンドインスタンスの
制限に 5 を掛けて計算します。デフォルト
のオンデマンドインスタンスの制限は、20
です。VPC 当たりのネットワークインター
フェイスの数は、リクエストによってまた
はオンデマンドインスタンスの制限を増や
すことによって、増やすことができます。
VPC 当たりのネットワーク ACL の数
200
1 つのネットワーク ACL を VPC の 1 つ以
上のサブネットに関連付けることができま
す。この制限は、ネットワーク ACL 当たり
のルールの数と同じものではありません。
ネットワーク ACL 当たりのルールの数
20
これは、1 つのネットワーク ACL の一方向
制限であり、Ingress ルールの制限は 20 で
あり、Egress ルールの制限は 20 です。
VPN 接続当たりの BGP アドバタイズドルー 100
トの数
この制限を増やすことはできません。100
を超えるプレフィックスが必要な場合は、
デフォルトルートをアドバタイズします。
VPC 当たりのアクティブな VPC ピア接続
50
この制限は、AWS Support への特殊なリク
エストを使用して増やすことができます。
1 つの VPC でのピア接続の上限は、125 個
になります。これに応じて、ルートテーブ
ルあたりのエントリ数を増やします。ただ
し、ネットワークパフォーマンスに影響す
ることがあります。
未処理の VPC ピア接続リクエスト
25
これは、アカウントからリクエストした未
処理の VPC ピア接続リクエストの数に関す
る制限です。この制限は、AWS Support へ
の特殊なリクエストを使用して増やすこと
ができます。
許容されない VPC ピア接続リクエストの有 1 週間
効期限
（168 時
間）
この制限は、AWS Support への特殊なリク
エストを使用して増やすことができます。
リージョンごとの VPC エンドポイント
この制限はリクエスト時に増減させること
ができます。VPC あたり最大で 255 エンド
ポイントです。
20
リージョン内の1つのネットワークインター 2
フェイス、1 つのサブネット、または 1 つ
の VPC ごとのフローログ
API Version 2014-02-01
212
サブネット用に 2 つのフローログを作成す
る場合は、ネットワークインターフェイス
ごとに 6 つのフローログ、ネットワークイ
ンターフェイスがある VPC で 2 つのフロー
ログを、実質的に持つことができます。こ
の制限を増やすことはできません。
Amazon Virtual Private Cloud ユーザーガイド
ドキュメントの履歴
Abstract
Amazon VPC ユーザーガイドの改定日、関連リリース、重要な変更を確認することができます。
次の表に、この Amazon VPC ガイドの各リリースにおける重要な変更点を示します。
機能
API バー
ジョン
説明
VPC フローログ
2015-0415
フローログを作成して、VPC のネットワークイン 2015 年 6
ターフェイスとの間で行き来する IP トラフィッ 月 10 日
クに関する情報をキャプチャできます。詳細につ
いては、「VPC フローログ (p. 116)」を参照して
ください。
VPC エンドポイント
2015-0301
エンドポイントにより、インターネット、VPN 接 2015 年 5
続、NAT インスタンス、または AWS Direct Con- 月 11 日
nect 経由でのアクセスを使用せずに、VPC と別
の AWS サービスとの間でプライベート接続を作
成できます。詳細については、「VPC エンドポイ
ント (p. 175)」を参照してください。
ClassicLink
2014-1001
ClassicLink を使用すると、EC2-Classic インスタ 2015 年 1
ンスを自アカウントの VPC にリンクできます。 月 7 日
これによって、VPC のセキュリティグループを
EC2-Classic インスタンスに関連付け、プライベー
ト IP アドレスを使用して EC2-Classic インスタ
ンスと VPC 内のインスタンスが通信できるよう
になります。詳細については、「ClassicLink (p. 209)」を参照してください。
プライベートホストゾー 2014-09ンの使用
01
リリース日
Amazon Route 53 のプライベートホストゾーンで 2014 年 11
定義したカスタムの DNS ドメイン名を使用して、 月 5 日
VPC のリソースにアクセスできます。詳細につい
ては、「プライベートホストゾーンの使
用 (p. 166)」を参照してください。
API Version 2014-02-01
213
Amazon Virtual Private Cloud ユーザーガイド
機能
API バー
ジョン
説明
リリース日
サブネットのパブリック 2014-06IP アドレス属性の変更 15
サブネットのパブリック IP アドレス属性を変更 2014 年 6
して、そのサブネットで起動するインスタンスが 月 21 日
パブリック IP アドレスを受け取るかどうかを示
すことができます。詳細については、「サブネッ
トのパブリック IP アドレス動作の変更 (p. 129)」
を参照してください。
VPC ピア接続
2014-0201
2 つの VPC 間で VPC ピア接続を作成して、いず 2014 年 3
れかの VPC のインスタンスが、プライベート IP 月 24 日
アドレスを使用して同じ VPC 内にあるかのよう
に相互に通信できるようにすることができます。
詳細については、「VPC ピア接続 (p. 167)」を参
照してください。
新しい EC2 起動ウィ
ザード
2013-1001
再設計された EC2 起動ウィザードについての情 2013 年 10
報を追加しました。詳細については、ステップ 3: 月 10 日
インスタンスを VPC 内で起動する (p. 13) を参照
してください。
パブリック IP アドレス 2013-07の割り当て
15
VPC 内に起動されたインスタンス用の新しいパブ 2013 年 8
リック IP アドレス指定機能に関する情報を追加 月 20 日
しました。詳細については、「起動中のパブリッ
ク IP アドレスの割り当て (p. 129)」を参照してく
ださい。
DNS ホスト名の有効化
と DNS 解決の無効化
デフォルトでは、DNS 解決は有効になっていま 2013 年 3
す。DNS 解決は、Amazon VPC コンソール、
月 11 日
Amazon EC2 コマンドラインインターフェイス、
または Amazon EC2 API アクションを使用して無
効にできます。
2013-0201
デフォルトでは、デフォルトではない VPC に対
して DNS ホスト名は無効になっています。DNS
ホスト名は、Amazon VPC コンソール、Amazon
EC2 コマンドラインインターフェイス、または
Amazon EC2 API アクションを使用して有効にで
きます。
詳細については、「VPC での DNS の使
用 (p. 163)」を参照してください。
静的なルーティング設定 2012-08を使用した VPN 接続
15
静的なルーティング設定を使用して Amazon VPC 2012 年 9
への IPsec VPN 接続を作成できます。以前は、 月 13 日
VPN 接続にはボーダーゲートウェイプロトコル
（BGP）を使用する必要がありました。現在では
両方のタイプの接続をサポートしており、Cisco
ASA や Microsoft Windows Server 2008 R2 など、
BGP をサポートしていないデバイスからの接続も
可能です。
ルートの自動伝播
VPN および Direct Connect リンクから VPC ルー 2012 年 9
ティングテーブルへのルートの自動伝播を設定で 月 13 日
きるようになりました。この機能により、Amazon
VPC への接続を作成して維持する手間が簡略化さ
れます。
2012-0815
API Version 2014-02-01
214
Amazon Virtual Private Cloud ユーザーガイド
機能
API バー
ジョン
AWS VPN CloudHub と
冗長な VPN 接続
VPC Everywhere
説明
リリース日
VPC の有無にかかわらず、1 つのサイトから別の 2011 年 9
サイトに安全に通信できます。冗長な VPN 接続 月 29 日
を使用して、VPC へのフォールトトレラントな接
続ができます。
2011-0715
5 つの AWS リージョンでのサポート、複数のア 2011 年 8
ベイラビリティーゾーンでの VPC、AWS アカウ 月 3 日
ント当たり複数の VPC、VPC 当たり複数の VPN
接続、Microsoft Windows Server 2008 R2 および
Microsoft SQL Server リザーブドインスタンス。
ハードウェア専有インス 2011-02タンス
28
ハードウェア専有インスタンスとは、単一のお客 2011 年 3
様専用のハードウェアを実行する VPC 内で起動 月 27 日
される Amazon EC2 インスタンスのことです。
ハードウェア専有インスタンスを使用すれば、イ
ンスタンスをハードウェアレベルで確実に分離し
ながら、従量課金制、プライベートの独立した仮
想ネットワークといった、Amazon VPC と AWS
伸縮自在なプロビジョニングの利点を十分にご活
用いただけます。
API Version 2014-02-01
215
Amazon Virtual Private Cloud ユーザーガイド
AWS の用語集
空白
プレースホルダー
このページは、「AWS General Reference」の AWS 用語集にリダイレクトさ
れます。
API Version 2014-02-01
216

下水道用異種管継手 VPC

ダンボール迷路作成

AWS - Amazon Web Services

IT経営カンファレンス2015 IT経営カンファレンス2015

GFL-70C

PDF形式(51kb) - 青山・文化人類学

マニュアル - s3.amazonaws.com

商品登録規約

AWS Directory Service - Amazon Web Services

SSGシリーズ

確率論シンポジウム予稿