Shiva が
S3 バケットと VPC 間の接続問題の
トラブルシューティングをお手伝いします
Amazon Virtual Private Cloud (Amazon VPC) の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスから Amazon Simple Storage Service (Amazon S3) バケットへの接続にゲートウェイエンドポイントを使用していますが、動作しません。この解決方法を教えてください。
ネットワークアクセスまたは Amazon VPC から Amazon S3 への接続を許可するセキュリティルールが原因で、ゲートウェイ VPC エンドポイントとの接続問題が発生している場合があります。次のリソースと構成を確認して、接続問題を診断しトラブルシューティングしてください。
VPC での DNS 設定
重要: VPC で DNS 解決が有効になっている必要があります (「ゲートウェイエンドポイントの制限」を参照)。独自の DNS サーバーを使用している場合は、AWS のサービスへの DNS リクエストが AWS 維持の IP アドレスに解決されることを確認してください。
- [Amazon VPC console] にサインインします。
- ナビゲーションペインで、[Virtual Private Cloud] の下にある [Your VPCs] を選択します。
- リソースリストで、S3 接続問題がある Amazon VPC を選択します。
- [Summary] ビューで、必ず [DNS resolution] を [yes] に設定してください。「VPC の DNS サポートを更新する」をご覧ください。
ルートテーブルを Amazon S3 に設定する
- [Amazon VPC console] にサインインします。
- ナビゲーションペインで、[Virtual Private Cloud] の下にある [Route Tables] を選択します。
- S3 接続問題がある VPC サブネットに関連付けられているルートテーブルを選択します。
- [Routes] ビューを選択します。
- ゲートウェイ VPC エンドポイントを使用する、Amazon S3 へのルートがあることを確認します。「ゲートウェイエンドポイントのルーティング」をご覧ください。
セキュリティグループのアウトバウンドルール
- [Amazon EC2 console] にサインインします。
- ナビゲーションペインで、[Network & Security] の下にある [Security Groups] を選択します。
- リソースリストで、Amazon S3 への接続に使用しているインスタンスに関連付けられているセキュリティグループを選択します。
- [Outbound] ビューで、利用可能なアウトバウンドルールで Amazon S3 へのトラフィックが許可されていることを確認します。
デフォルトのアウトバウンドルールはすべてのアウトバウンドトラフィックを許可します。セキュリティグループにデフォルトのアウトバウンドルールがなく、より制限が厳しいルールが適用されている場合は、次のアウトバウンドルールのうちいずれかを必ず追加します。
- ゲートウェイ VPC エンドポイントに関連付けられたプレフィックスリストの ID からのトラフィックを許可するアウトバウンドルール。
- Amazon S3 が使用するパブリック IP を送信先とするアウトバウンドルール。
ネットワーク ACL ルール
- [Amazon VPC console] にサインインします。
- ナビゲーションペインの [Security] で、[Network ACLs] を選択します。
- リソースリストで、S3 接続問題がある VPC サブネットに関連付けられているネットワーク ACL を選択します。
- [Inbound Rules] ビューで、エフェメラル TCP ポート 1024-65535 の Amazon S3 からのインバウンドリターントラフィックが、ルールにより許可されていることを確認します。
- [Outbound Rules] ビューで、Amazon S3 へのトラフィックが、ルールにより許可されていることを確認します。
注意: デフォルトでは、ネットワーク ACL によりすべてのインバウンドおよびアウトバウンドの IPv4 トラフィックと、IPv6 トラフィック (該当する場合) が許可されます。ネットワーク ACL ルールでトラフィックを制限する場合は、S3 に CIDR ブロック (IP アドレス範囲) を指定する必要があります。
ゲートウェイ VPC エンドポイントポリシー
- [Amazon VPC console] にサインインします。
- ナビゲーションペインで、[Virtual Private Cloud] の下にある [Endpoints] を選択します。
- リソースリストで、S3 接続問題がある VPC サブネットに関連付けられているエンドポイントを選択します。
- [Policy] ビューを選択します。
- エンドポイントポリシーを確認してください。ポリシーにより、接続問題の影響を受ける S3 バケットまたは IAM ユーザーへのアクセスがブロックされているかどうかを確認します。ポリシーを編集して、S3 バケットまたは IAM ユーザーへのアクセスを有効にします。「Amazon S3 のエンドポイントポリシーの使用」をご覧ください。
S3 バケットポリシー
- [Amazon S3 console] にサインインします。
- 接続問題がある S3 バケットを選択します。
- [Permissions] ビューを選択します。
- [バケットポリシー] を選択します。
- バケットポリシーにより、接続を希望するゲートウェイ VPC エンドポイントと VPC からのアクセスが許可されていることを確認してください。ポリシーを編集して、ゲートウェイ VPC エンドポイントと VPC からのアクセスを有効にします。「Amazon S3 バケットポリシーの使用」をご覧ください。
注意: バケットポリシーは、Amazon VPC のインスタンスに関連付けられた、特定のパブリック IP アドレスや Elastic IP アドレスからのアクセスのみを制限できます。インスタンスに関連付けられたプライベート IP アドレスに基づくアクセスは制限できません。「特定の IP アドレスへのアクセスの制限」をご覧ください。
プロキシサーバーを使用する場合、必ず VPC 接続を許可してください。S3 にプロキシサーバーを使用しない場合、S3 バケットにアクセスする際に次のコマンドを使用してプロキシサーバーを迂回します。
export no_proxy = mybucket.s3-us-west-2.amazonaws.com
IAM ポリシー
- AWS IAM コンソールにサインインします。
- インスタンスから S3 バケットへのアクセスに使用する IAM ユーザーかロールを選択します。
- [Routes (ルート)] ビューを選択します。
- IAM ユーザーまたはロールに関連付けられたユーザーに、Amazon S3 にアクセスするための適切なアクセス許可があることを確認します。「特定の IAM ロールへの Amazon S3 バケットのアクセスを制限する方法」および「チュートリアル例: ユーザーポリシーを使用したバケットへのアクセスの制御」をご覧ください。
AWS CLI 構成
必ず AWS コマンドラインインターフェース (AWS CLI) を構成し、デフォルトの AWS リージョンを設定してください。デフォルトのリージョン名を指定するには、aws configure コマンドを使用します。
デフォルトのリージョンを指定しない場合や、デフォルトのリージョンを上書きする場合は、必ず各 AWS CLI コマンドで --region オプションを設定します。