Amazon Virtual Private Cloud(VPC)とAmazon Simple Storage Services(S3)をより便利に利用するためのAWSの新機能をご紹介します。ご存知のとおり、S3は安全で耐久性があり、拡張性の高いオブジェクトストレージサービスです。また、Amazon Virtual Private Cloud(Amazon VPC)で、アマゾン ウェブ サービス(AWS)クラウドの論理的に分離したセクションを確保し、ここで、お客様が定義する仮想ネットワークで AWS リソースを起動することができます。
VPCを作成すると、セキュリティグループとアクセスコントロールリスト(ACLs)によりインバウンドとアウトバウンドのトラフィックをコントロールすることができます。これまで、EC2インスタンスからパブリックリソースへアクセスしたいときはインターネットゲートウェイやいくつかのNATインスタンスを利用する必要がありました。
新しいS3のVPCエンドポイント
本日、私たちはVPCエンドポイントというコンセプトにより、VPCからS3へのアクセスを簡略化しました。VPCエンドポイントは簡単な設定、高い信頼性、そしてゲートウェイやNATインスタンスを必要としない安全なS3への接続を提供します。
プライベートサブネット上で起動しているEC2インスタンスは同一リージョンにあるS3バケット、オブジェクト、APIへアクセスをコントロールすることができます。S3バケットポリシーを利用することで、どのVPCまたはVPCエンドポイントからアクセスするかを設定することができます。
VPCエンドポイントの作成および利用
AWSマネージメントコンソール、AWSコマンドラインインタフェース(CLI)、Windows PowerShellのAWSツール、VPCのAPIからVPCエンドポイントの作成、設定を行なうことができます。今回はコンソールから新しいエンドポイントを作成してみましょう!VPCダッシュボードを開き、リージョンを選択してください。ナビゲーションバーの"Endpoints"の項目をクリックしてください。
もしすでにいくつかのVPCエンドポイントがある場合は、こちらのリストに表示されます。
"Create EndPoint"をクリックし、VPCを選択し、必要であればアクセスポリシーを変更してください。
VPCエンドポイントのアクセスポリシーは信頼されていないS3バケットへの通信許可、不許可を設定することができます。(デフォルトではすべてのS3バケットへ通信することが可能です。) また、特定のVPCまたはVPCエンドポイントからの通信をコントロールすることもできます。これらのアクセスポリシーは"aws:SourceVpc"や"aws"SourceVpce"の条件で記述します。(詳細はドキュメントを参照してください。)
上記のスクリーンショットでお分かりのように、将来的には他のAWSサービスのVPCエンドポイントも作成できるようになります。
VPCエンドポイントへのアクセスを許可するVPCサブネットを指定します。
上記のスクリーンショットの注意書きのように、VPCエンドポイントを作成する際は、 サブネット上のパブリックIPアドレスによるS3との通信が一旦切断されますのでご注意ください。
VPCエンドポイントを作成しても、S3のパブリックエンドポイントやDNS名は正常に動作します。VPCエンドポイントは単にEC2からS3への通信経路を変更するだけのものです。
すぐにご利用いただけます!
S3のVPCエンドポイントはアジアパシフィック(東京)をはじめ米国東部(北バージニア)、米国西部(オレゴン)、米国西部(北カリフォルニア)、ヨーロッパ(アイルランド)、ヨーロッパ(フランクフルト)、アジアパシフィック(シンガポール)、アジアパシフィック(シドニー)のリージョンで今日からご利用いただけます。詳しい情報はドキュメントをご覧ください。
-- Jeff (翻訳は吉田が担当しました)