AWS Global Accelerator での安全な VPC 接続
AWS Global Accelerator に Network Load Balancer、内部 Application Load Balancer、または Amazon EC2 インスタンスエンドポイントを追加すると、プライベートサブネットでターゲットにして、仮想プライベートクラウド (VPC) のエンドポイントとの間でインターネットトラフィックを直接送信できるようになります。ロードバランサーまたは EC2 インスタンスを含む VPC には、VPC がインターネットトラフィックを受け入れることを示す「インターネットゲートウェイ」がアタッチされている必要があります。ただし、ロードバランサーまたは EC2 インスタンスに公開 IP アドレスは必要ありません。また、サブネットに関連付けられたインターネットゲートウェイルートは必要ありません。
これは一般的なインターネットゲートウェイのユースケースとは異なり、VPC 内のインスタンスまたはロードバランサーにインターネットトラフィックを送信しるためには、パブリック IP アドレスとインターネットゲートウェイルートの両方が必要です。ターゲットの伸縮性のあるネットワークインターフェイスがパブリックサブネット (インターネットゲートウェイルートを持つサブネット) に存在する場合でも、インターネットトラフィックに Global Accelerator を使用すると、Global Accelerator は一般的なインターネットルートをオーバーライドし、Global Accelerator 経由で到着するすべての論理接続もインターネットゲートウェイではなく Global Accelerator 経由で返されます。
注記
Amazon EC2 インスタンスにパブリック IP アドレスとパブリックサブネットを使用することは一般的ではありませんが、それらを使用して設定することは可能です。セキュリティグループは、Global Accelerator からのトラフィックや、インスタンス ENI に割り当てられたパブリック IP アドレスまたは Elastic IP アドレスなど、インスタンスに到着するすべてのトラフィックに適用されます。プライベートサブネットを使用して、トラフィックが Global Accelerator によってのみ配信されるようにします。
ENI、セキュリティグループや Global Acceleratorの動作の詳細について、「 クライアント IP アドレスが保存されているエンドポイントの要件」を参照してください。
ネットワーク境界の問題を検討し、インターネットアクセス管理に関連する IAM 権限を設定するときは、この情報に注意してください。VPC へのインターネットアクセスの制御の詳細については、この「サービスコントロールポリシーの例」を参照してください。