エンドポイントサービス用インターフェイスベースの Amazon VPC エンドポイントに、セキュリティおよびネットワーク ACL を設定するには、どうすれば良いですか?

最終更新日: 2019 年 4 月 9 日

エンドポイントサービスに接続するためのインターフェイスベース Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成したいです。セキュリティグループとネットワークアクセスコントロールリスト (ACL) を設定するには、どうすれば良いですか?

簡単な説明

AWS PrivateLink を使用して Amazon VPC エンドポイントインターフェイスを作成すると、指定したサブネットの内側に Elastic Network Interface が作成されます。このインターフェイス VPC エンドポイント (インターフェイスエンドポイント) は、関連付けられているサブネットのネットワーク ACL を継承します。着信リクエストおよび発信リクエストを保護するために、セキュリティグループをインターフェイスエンドポイントに関連付ける必要があります。

Network Load Balancer をエンドポイントサービスに関連付けると、Network Load Balancer は、ターゲットが IP アドレスによって登録されているかのように、登録されているターゲットにリクエストを転送します。この場合、発信元 IP アドレスはロードバランサーノードのプライベート IP アドレスです。Amazon VPC エンドポイントサービスにアクセスできる場合は、セキュリティグループのルールと Network Load Balancer のターゲットに関連付けられているネットワーク ACL 内のルールが一致していることを確認する必要があります。

  • Network Load Balancer のプライベート IP アドレスからの通信を許可する
  • クライアントの IP アドレスまたはインターフェイスエンドポイントからの通信を許可しない

クライアントと Amazon VPC エンドポイント間の通信を許可するには、クライアントのサブネットに関連付けられているネットワーク ACL とインターフェイスエンドポイントに関連付けられているサブネット内にルールを作成する必要があります。

解決方法

インターフェイスエンドポイントに関連付けられているネットワーク ACL を探す

  1. Amazon VPC コンソールにサインインします。
  2. [エンドポイント] を選択します。
  3. リストからエンドポイントの ID を選択してください。
  4. サブネットビューを選択します。
  5. 関連付けられているサブネットを選択すると、Amazon VPC コンソールの [サブネット] セクションにリダイレクトされます。
  6. サブネットに関連付けられているネットワーク ACL に注意してください。

インターフェイスエンドポイントに関連付けられているセキュリティグループを探す

  1. Amazon VPC コンソールにサインインします。
  2. [エンドポイント] を選択します。
  3. エンドポイントのリストからエンドポイントの ID を選択してください。
  4. セキュリティグループビューを選択します。
  5. 関連付けられているセキュリティグループの ID に注意してください。

クライアントのインターフェイスエンドポイントに関連付けられているセキュリティグループを設定する

注: セキュリティグループはステートフルです。ルールを一方向に定義すると、リターントラフィックは自動的に許可されます。

インバウンドルールを設定します。

  • [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
  • [発信元] に、新規クライアントの IP アドレスまたはネットワークを入力してください。

注: インターフェイスエンドポイントに関連付けられているセキュリティグループのアウトバウンド方向にルールを作成する必要はありません。

インターフェイスエンドポイントに関連付けられているセキュリティグループごとに、これらの手順を繰り返してください。

インターフェイスエンドポイントに関連付けられているネットワーク ACL を設定する

すでに述べたように、ネットワーク ACL に対して、ルールを編集します。

クライアントからのトラフィックを許可するようにインバウンドルールを設定してください。

  • [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
  • [発信元] に、クライアントの IP アドレスを入力します。

インターフェイスエンドポイントからのリターントラフィックを許可するようにアウトバウンドルールを設定してください。

  • [ポート範囲] に、1024-65535 と入力します。
  • [送信先] に、クライアントの IP アドレスまたはネットワークを入力します。

注: クライアントに関連付けられているセキュリティグループとネットワーク ACL を設定するときは、アウトバウンドルールでエンドポイントインターフェイスのプライベート IP への接続が許可されていることを確認してください。クライアントのセキュリティグループのインバウンド方向は関係ありません。ただし、クライアントのネットワーク ACL のインバウンド方向では、TCP 一時的に範囲 1024 ~ 65535 が許可されている必要があります。発信元 IP アドレスは、Amazon VPC エンドポイントインターフェイスの IP アドレスです。これは、リターントラフィックの発信元であるためです。