ゲートウェイ VPC エンドポイントを使用して S3 バケットに接続できないのはなぜですか。

最終更新日: 2020 年 11 月 23 日

Amazon Virtual Private Cloud (Amazon VPC) の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスから Amazon Simple Storage Service (Amazon S3) バケットへの接続にゲートウェイエンドポイントを使用していますが、接続できません。この解決方法を教えてください。

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください

ゲートウェイ VPC エンドポイントの接続の問題は、ネットワークアクセスまたは Amazon VPC から Amazon S3 への接続を許可するセキュリティルールに原因がある可能性があります。次のリソースと設定を確認して、接続問題を診断しトラブルシューティングしてください。

リージョンの設定

呼び出すことができるのは、Amazon S3 ゲートウェイ VPC エンドポイントと同じリージョンにある Amazon S3 オブジェクトに限られます。オブジェクトとエンドポイントが同じリージョンにあることを確認してください。

VPC での DNS 設定

重要: VPC で DNS 解決が有効になっている必要があります (「ゲートウェイエンドポイントの制限」を参照)。独自の DNS サーバーを使用している場合は、AWS のサービスへの DNS リクエストが AWS が維持する IP アドレスに解決されることを確認してください。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Virtual Private Cloud] の下にある [VPC] を選択します。
  3. リソースリストで、S3 接続問題がある Amazon VPC を選択します。
  4. [概要] ビューで、必ず [DNS 解決] を [はい] に設定します。

ルートテーブルを Amazon S3 に設定する

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Virtual Private Cloud] の下にある [ルートテーブル] を選択します。
  3. S3 接続問題がある VPC サブネットに関連付けられているルートテーブルを選択します。
  4. [ルート] ビューを選択します。
  5. ゲートウェイ VPC エンドポイントを使用する、Amazon S3 へのルートがあることを確認します。

セキュリティグループのアウトバウンドルール

  1. Amazon EC2 コンソールを開きます。
  2. ナビゲーションペインの [ネットワーク & セキュリティ] の下にある [セキュリティグループ] を選択します。
  3. リソースリストで、Amazon S3 への接続に使用しているインスタンスに関連付けられているセキュリティグループを選択します。
  4. [アウトバウンド] ビューで、利用可能なアウトバウンドルールで Amazon S3 へのトラフィックが許可されていることを確認します。

デフォルトのアウトバウンドルールはすべてのアウトバウンドトラフィックを許可します。セキュリティグループに、デフォルトのアウトバウンドルールよりも制限の厳しいルールがある場合は、次のいずれかを追加します。

詳細については、「セキュリティグループの変更」を参照してください。

ネットワーク ACL ルール

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインの [セキュリティ] で、[ネットワーク ACL] を選択します。
  3. リソースリストで、S3 接続問題がある VPC サブネットに関連付けられているネットワークアクセスコントロールリスト (ACL) を選択します。
  4. [インバウンドルール] ビューで、エフェメラル TCP ポート 1024-65535 の Amazon S3 からのインバウンドリターントラフィックが、ルールにより許可されていることを確認します。
  5. [アウトバウンドルール] ビューで、Amazon S3 へのトラフィックが、ルールにより許可されていることを確認します。
注: デフォルトでは、ネットワーク ACL によりすべてのインバウンドおよびアウトバウンドの IPv4 トラフィックが許可されます。ネットワーク ACL により、必要に応じて、すべてのインバウンドおよびアウトバウンドの IPv6 トラフィックが許可されます。ネットワーク ACL ルールでトラフィックを制限する場合は、 Amazon S3 に CIDR ブロック (IP アドレス範囲) を指定する必要があります。

ゲートウェイ VPC エンドポイントポリシー

重要: エンドポイントは、現在クロスリージョンリクエストをサポートしていません。エンドポイントがバケットと同じリージョンにあることを確認してください。get-bucket-location コマンドを使用して、バケットの場所を見つけることができます。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Virtual Private Cloud] の下にある [エンドポイント] を選択します。
  3. リソースリストで、S3 接続問題がある VPC サブネットに関連付けられているエンドポイントを選択します。
  4. [ポリシー] ビューを選択します。
  5. エンドポイントポリシーを確認してください。ポリシーにより、接続問題の影響を受ける S3 バケットまたは AWS Identity and Access Management (IAM) ユーザーへのアクセスがブロックされているかどうかを確認します。必要に応じて、ポリシーを編集して、S3 バケットまたは IAM ユーザーへのアクセスを有効にします。詳細については、「Amazon S3 のエンドポイントポリシーの使用」を参照してください。

S3 バケットポリシー

  1. Amazon S3 コンソールを開きます。
  2. 接続問題がある S3 バケットを選択します。
  3. [アクセス権限] ビューを選択します。
  4. [バケットポリシー] を選択します。
  5. バケットポリシーにより、接続を希望するゲートウェイ VPC エンドポイントと VPC からのアクセスが許可されていることを確認してください。ポリシーを編集して、ゲートウェイ VPC エンドポイントと VPC からのアクセスを有効にします。詳細については、「Amazon S3 バケットポリシーの使用」を参照してください。

注: バケットポリシーは、VPC のインスタンスに関連付けられた、特定のパブリック IP アドレスや Elastic IP アドレスからのアクセスのみを制限できます。インスタンスに関連付けられたプライベート IP アドレスに基づくアクセスは制限できません。詳細については、「特定の IP アドレスへのアクセスを制限する」を参照してください。

プロキシサーバーを使用する場合、必ず VPC 接続を許可してください。S3 にプロキシサーバーを使用しない場合、S3 バケットにアクセスする際に次のコマンドを使用してプロキシサーバーを迂回します。

export no_proxy = mybucket.s3.us-west-2.amazonaws.com

注: 「us-west-2」はご利用のリージョンに必ず置き換えてください。

IAM ポリシー

  1. AWS IAM コンソールを開きます。
  2. インスタンスから S3 バケットへのアクセスに使用する IAM ユーザーかロールを選択します。
  3. [アクセス権限] ビューを選択します。
  4. IAM ユーザーまたはロールに関連付けられたユーザーに、Amazon S3 にアクセスするための適切なアクセス許可があることを確認します。詳細については、「特定の IAM ロールへの Amazon S3 バケットアクセスを制限する方法」および「ユーザーポリシーを使用したバケットへのアクセスコントロール」を参照してください。

AWS CLI 設定

AWS CLI を設定し、デフォルトの AWS リージョンを設定します。デフォルトのリージョン名を指定するには、aws configure コマンドを使用します。または、次の場合は、各 AWS CLI コマンドで --region オプションを設定できます。

  • デフォルトのリージョンを指定したくない場合
    - または -
  • デフォルトのリージョンを上書きしたい場合