複数の から中央AWSサービスエンドポイントにプライベートにアクセスする VPCs - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の から中央AWSサービスエンドポイントにプライベートにアクセスする VPCs

作成者: Martin Guenthner (AWS) と Samuel Gordon (AWS)

概要

環境のセキュリティとコンプライアンスの要件により、Amazon Web Services (AWS) のサービスまたはエンドポイントへのトラフィックがパブリックインターネットを経由しないように指定される場合があります。このパターンは、中央ハブVPCが複数の分散スポーク に接続されているhub-and-spokeトポロジー用に設計されたソリューションですVPCs。このソリューションでは、 AWS PrivateLink を使用してハブアカウントの AWSサービスのインターフェイスVPCエンドポイントを作成します。次に、トランジットゲートウェイと分散ドメインネームシステム (DNS) ルールを使用して、接続された 全体でエンドポイントのプライベート IP アドレスへのリクエストを解決しますVPCs。

このパターンでは、AWSTransit Gateway、インバウンド Amazon Route 53 Resolver エンドポイント、および共有 Route 53 転送ルールを使用して、接続された のリソースからのDNSクエリを解決する方法について説明しますVPCs。エンドポイント、トランジットゲートウェイ、リゾルバー、転送ルールはハブアカウントで作成します。次に、AWSResource Access Manager (AWS RAM) を使用して、Transit Gateway と転送ルールをスポーク と共有しますVPCs。提供されているAWS CloudFormation テンプレートは、ハブアンドスポーク のリソースのデプロイVPCと設定に役立ちますVPCs。

前提条件と制限

前提条件

  • AWS Organizations の同じ組織で管理されているハブアカウントと 1 つ以上のスポークアカウント。詳細については、「組織の作成と管理」 を参照してください。

  • AWS Resource Access Manager (AWS RAM) は、AWSOrganizations の信頼されたサービスとして設定されています。詳細については、「他の AWSサービスでの AWS Organizations の使用」を参照してください。

  • DNS 解像度はハブアンドスポーク で有効にする必要がありますVPCs。詳細については、DNS「 の属性VPC」(Amazon Virtual Private Cloud ドキュメント) を参照してください。

制約事項

  • このパターンは、同じAWSリージョンのハブアカウントとスポークアカウントを接続します。マルチリージョンデプロイでは、リージョンごとにこのパターンを繰り返す必要があります。

  • AWS サービスは、インターフェイスVPCエンドポイント PrivateLink として と統合する必要があります。詳細なリストについては、「 AWSと統合する のサービス AWS PrivateLink (PrivateLink ドキュメント)」を参照してください。

  • アベイラビリティーゾーンのアフィニティは保証されません。例えば、アベイラビリティーゾーン A からのクエリは、アベイラビリティーゾーン B からの IP アドレスで応答する場合があります。

  • VPC エンドポイントに関連付けられた Elastic Network Interface には、1 秒あたり 10,000 クエリの制限があります。

アーキテクチャ

ターゲットテクノロジースタック

  • ハブAWSアカウントのVPCハブ

  • スポークAWSアカウントの VPCs 1 つ以上のスポーク

  • ハブアカウントの 1 つ以上のインターフェイスVPCエンドポイント

  • ハブアカウントの着信と発信のルート 53 リゾルバー

  • ハブアカウントにデプロイされ、スポークアカウントと共有されるルート 53 Resolver 転送ルール

  • ハブアカウントにデプロイされ、スポークアカウントと共有されるトランジットゲートウェイ

  • AWS ハブとスポークを接続する Transit Gateway VPCs

ターゲット アーキテクチャ

次のイメージは、このソリューションのサンプルアーキテクチャを示しています。このアーキテクチャでは、ハブアカウントの ルート 53 Resolver 転送ルールは、他のアーキテクチャコンポーネントと次のような関係にあります。

  1. 転送ルールは、 AWS VPCを使用してスポークと共有されますRAM。

  2. 転送ルールは、ハブ のアウトバウンドリゾルバーに関連付けられていますVPC。

  3. 転送ルールは、ハブ のインバウンドリゾルバーを対象としていますVPC。

スポークアカウントとハブアカウントのリソースを表示するアーキテクチャダイアグラム。

次のイメージは、サンプルアーキテクチャを経由するトラフィックフローを示しています。

  1. スポーク内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなどのリソースは、 にDNSリクエストVPCを行います<service>.<region>.amazonaws.com。リクエストはスポーク Amazon DNS Resolver によって受信されます。

  2. ハブアカウントから共有され、スポーク に関連付けられている Route 53 転送ルールはVPC、リクエストを傍受します。

  3. ハブ ではVPC、アウトバウンドリゾルバーは転送ルールを使用してリクエストをインバウンドリゾルバーに転送します。

  4. インバウンドリゾルバーは、ハブ VPC Amazon DNS Resolver を使用して の IP アドレスをVPCエンドポイントのプライベート IP アドレス<service>.<region>.amazonaws.comに解決します。VPC エンドポイントが存在しない場合、パブリック IP アドレスに解決されます。

スポークのリソースからハブ のサービスエンドポイントVPCへのトラフィックフローVPC。

ツール

AWS ツールとサービス

  • AWS CloudFormation を使用すると、AWSリソースをセットアップし、迅速かつ一貫してプロビジョニングし、AWSアカウントとリージョン全体のライフサイクルを通じてリソースを管理できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) はAWS、 クラウドでスケーラブルなコンピューティング性能を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を許可するかを制御することで、 AWSリソースへのアクセスを安全に管理できます。

  • AWS Resource Access Manager (AWS RAM) は、リソースをAWSアカウント間で安全に共有し、運用上のオーバーヘッドを減らし、可視性と監査性を提供するのに役立ちます。

  • Amazon Route 53 は、可用性が高くスケーラブルなドメインネームシステム (DNS) ウェブサービスです。

  • AWS Systems Manager は、 AWS クラウドで実行されているアプリケーションとインフラストラクチャの管理に役立ちます。アプリケーションとリソースの管理が簡略化され、オペレーション上の問題の検出と解決時間が短縮され、AWS リソースを大規模かつセキュアに管理できるようになります。

  • AWS Transit Gateway は、 VPCsとオンプレミスネットワークを接続する中央ハブです。

  • Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークでAWSリソースを起動するのに役立ちます。この仮想ネットワークは、ユーザー自身のデータセンターで運用されていた従来のネットワークと似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるという利点があります。

その他のツールとサービス

  • nslookup は、DNSレコードのクエリに使用されるコマンドラインツールです。このパターンでは、このツールを使用してソリューションをテストします。

コードリポジトリ

このパターンのコードは GitHub、 vpc-endpoint-sharingリポジトリの で使用できます。このパターンには 2 つのAWS CloudFormation テンプレートがあります。

  • ハブアカウントに以下のリソースをデプロイするためのテンプレート。

    • rSecurityGroupEndpoints – VPCエンドポイントへのアクセスを制御するセキュリティグループ。

    • rSecurityGroupResolvers — ルート 53 リゾルバーへのアクセスを制御するセキュリティグループ。

    • rKMSEndpointrSSMMessagesEndpointrSSMEndpointrEC2MessagesEndpoint- ハブアカウントのインターフェイスVPCエンドポイントの例。ユースケースに合わせてこれらのエンドポイントをカスタマイズします。

    • rInboundResolver – ハブ Amazon Resolver に対するDNSクエリを解決する Route 53 DNS Resolver。

    • rOutboundResolver — クエリを着信リゾルバーに転送する発信ルート 53 リゾルバー。

    • rAWSApiResolverRule – すべてのスポーク と共有されている Route 53 Resolver 転送ルールVPCs。

    • rRamShareAWSResolverRule – スポークがrAWSApiResolverRule転送ルールVPCsを使用できるようにするAWSRAM共有。

    • *rVPC – 共有サービスのモデル化VPCに使用されるハブ 。

    • * rSubnet1 — ハブリソースを格納するプライベートサブネット。

    • *rRouteTable1 – ハブ のルートテーブルVPC。

    • *rRouteTableAssociation1 - ハブ のrRouteTable1ルートテーブルの場合VPC、プライベートサブネットの関連付け。

    • *rRouteSpoke – ハブからスポーク VPCへのルートVPC。

    • *rTgw – すべてのスポーク と共有されているトランジットゲートウェイVPCs。

    • *rTgwAttach – ハブがトラフィックをrTgwトランジットゲートウェイVPCにルーティングできるようにするアタッチメント。

    • *rTgwShare – スポークアカウントが rTgw Transit Gateway を使用できるようにするAWSRAM共有。

  • スポークアカウントに以下のリソースをデプロイするためのテンプレート。

    • rAWSApiResolverRuleAssociation – スポークがハブアカウントで共有転送ルールVPCを使用できるようにする関連付け。

    • *rVPC – スポーク VPC。

    • * rSubnet1, rSubnet2, rSubnet3 — スポークプライベートリソースを格納するために使用される各アベイラビリティーゾーンのサブネット。

    • *rTgwAttach – スポークがトラフィックをrTgwトランジットゲートウェイVPCにルーティングできるようにするアタッチメント。

    • *rRouteTable1 – スポーク のルートテーブルVPC。

    • *rRouteEndpoints – スポーク内のリソースからトランジットゲートウェイVPCへのルート。

    • *rRouteTableAssociation1/2/3 – スポーク のrRouteTable1ルートテーブルの場合VPC、プライベートサブネットの関連付け。

    • *rInstanceRole – ソリューションのテストに使用されるIAMロール。

    • *rInstancePolicy – ソリューションのテストに使用されるIAMポリシー。

    • * rInstanceSg — ソリューションのテストに使用されたセキュリティグループ。

    • *rInstanceProfile – ソリューションのテストに使用されるIAMインスタンスプロファイル。

    • *rInstance – AWS Systems Manager 経由でアクセスするように事前設定されたEC2インスタンス。このインスタンスを使用してソリューションをテストします。

* これらのリソースはサンプルアーキテクチャをサポートしているため、既存のランディングゾーンにこのパターンを実装する場合は必要ない場合があります。

エピック

タスク説明必要なスキル

コードリポジトリを複製します。

  1. コマンドラインインターフェースで、作業ディレクトリをサンプルファイルを保存する場所に変更します。

  2. 次のコマンドを入力します。

    git clone https://github.com/aws-samples/vpc-endpoint-sharing.git
ネットワーク管理者、クラウドアーキテクト

テンプレートを変更します。

  1. クローンしたリポジトリで hub.yml ファイルと spoke.yml ファイルを開きます。

  2. これらのテンプレートにより、作成されたリソースを確認し、環境に合わせて必要に応じてテンプレートを調整してください。詳細なリストについては、「ツール」 のコードリポジトリセクションを参照してください。アカウントにこれらのリソースが既にいくつかある場合は、 CloudFormation テンプレートから削除します。詳細については、「 テンプレートの使用 (CloudFormation ドキュメント)」を参照してください。

  3. hub.yml ファイルと spoke.yml ファイルを保存して閉じます。

ネットワーク管理者、クラウドアーキテクト
タスク説明必要なスキル

ハブリソースをデプロイする。

hub.yml テンプレートを使用してスタックを作成します CloudFormation 。提示された場合、テンプレートのパラメータに値を提供します。詳細については、「スタックの作成 (CloudFormation ドキュメント)」を参照してください。

クラウドアーキテクト、ネットワーク管理者

スポーク・リソースをデプロイします。

spoke.yml テンプレートを使用してスタックを作成します CloudFormation 。提示された場合、テンプレートのパラメータに値を提供します。詳細については、「スタックの作成 (CloudFormation ドキュメント)」を参照してください。

クラウドアーキテクト、ネットワーク管理者
タスク説明必要なスキル

AWS サービスへのプライベートDNSクエリをテストします。

  1. AWS Systems Manager の一機能である Session Manager を使用してrInstanceEC2インスタンスに接続します。詳細については、「Session Manager を使用して Linux インスタンスに接続する」(Amazon EC2ドキュメント) を参照してください。

  2. ハブアカウントにVPCエンドポイントがある AWSサービスの場合、 nslookup を使用して、インバウンド Route 53 Resolver のプライベート IP アドレスが返されることを確認します。

    Amazon Systems Manager nslookup エンドポイントに到達するための使用例を次に示します。

    nslookup ssm.<region>.amazonaws.com

  3. AWS コマンドラインインターフェイス (AWS CLI) で、変更がサービス機能に影響を与えなかったことを確認するのに役立つコマンドを入力します。コマンドのリストについては、AWSCLI「 コマンドリファレンス」を参照してください。

    たとえば、次のコマンドでは、Amazon Systems Manager のドキュメントのリストが返されます。

    aws ssm list-documents
ネットワーク管理者

AWS サービスへのパブリックDNSクエリをテストします。

  1. ハブアカウントにVPCエンドポイントがない AWSサービスの場合は、 nslookup を使用してパブリック IP アドレスが返されることを確認します。を使用して Amazon Simple Notification Service (Amazon SNS) エンドポイントnslookupに到達する例を次に示します。

    nslookup sns.<region>.amazonaws.com

  2. でAWSCLI、変更がサービス機能に影響を与えなかったことを確認するのに役立つコマンドを入力します。コマンドのリストについては、AWSCLI「 コマンドリファレンス」を参照してください。

    例えば、ハブアカウントに Amazon SNSトピックが存在する場合、次のコマンドはトピックのリストを返します。

    aws sns list-topics
ネットワーク管理者

関連リソース