Amazon Virtual Private Cloud (VPC) は、定義した論理的に分離された仮想ネットワークで AWS リソースを起動できるようにするサービスです。独自の IP アドレスの範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーク環境を完全に制御できます。VPC 内のほとんどのリソースに IPv4 と IPv6 の両方を使用できるため、リソースとアプリケーションへの安全で簡単なアクセスが保証されます。

AWS の基本サービスの 1 つである Amazon VPC では、VPC のネットワーク設定を簡単にカスタマイズできます。インターネットにアクセスできるウェブサーバー用にパブリックサブネットを作成できます。また、データベースやアプリケーションサーバーなどのバックエンドシステムを、インターネットにアクセスできないプライベートなサブネットに配置することもできます。Amazon VPC により、セキュリティグループやネットワークアクセスコントロールリストなどの複数のセキュリティレイヤーを使用して、各サブネットの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのアクセスをコントロールすることができます。

Amazon VPC の特徴

  • NAT ゲートウェイ: NAT ゲートウェイとは、NAT (Network Address Translation) サービスのことです。NAT ゲートウェイを使用すると、プライベートサブネット内のインスタンスは VPC 外のサービスに接続できますが、外部サービスはそれらのインスタンスとの接続を開始できません。NAT ゲートウェイは、インスタンスのソース IPv4 アドレスを NAT ゲートウェイのプライベート IP アドレスに置き換えます。インスタンスに応答トラフィックを送信する際、NAT デバイスはアドレスを元のソース IPv4 アドレスに変換して戻します。
  • セキュリティグループ: セキュリティグループは、関連付けられた Amazon EC2 インスタンスのファイアウォールとして機能し、インスタンスレベルでインバウンドトラフィックとアウトバウンドトラフィックの両方を制御します。インスタンスを起動するときに、作成した 1 つ以上のセキュリティグループにインスタンスを関連付けることができます。VPC の各インスタンスは、さまざまなセキュリティグループのセットに属する可能性があります。インスタンスの起動時にセキュリティグループを指定しない場合、インスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。詳しくは、「VPC のセキュリティグループ」を参照してください。
  • ネットワークアクセスコントロールリスト: ネットワークアクセスコントロールリスト (ACL) は、VPC のオプションのセキュリティレイヤーで、1 つ以上のサブネットに出入りするトラフィックを制御するファイアウォールとして機能します。セキュリティグループと同様のルールでネットワーク ACL を設定して、VPC にセキュリティのレイヤーを追加できます。セキュリティグループとネットワーク ACL の具体的な違いについては、こちらをご覧ください
  • VPC フローログ: Amazon S3 または Amazon CloudWatch に配信される VPC フローログを監視して、ネットワークの依存関係とトラフィックパターンの運用上の可視性を取得したり、異常を検出してデータ漏洩を防止したり、ネットワーク接続と設定の問題をトラブルシューティングしたりできます。フローログの強化されたメタデータは、TCP 接続を開始したユーザー、および NAT ゲートウェイなどの中間層を流れるトラフィックの実際のパケットレベルの送信元と送信先に関する洞察をさらに得るのに役立ちます。フローログをアーカイブして、特定のコンプライアンス要件を満たすのを支援することもできます。VPC フローログの開始方法についてはこちらをご覧ください。
  • VPC トラフィックミラーリング: VPC トラフィックミラーリングを使用すると、Amazon EC2 インスタンスの Elastic Network Interface からネットワークトラフィックをコピーしてから、そのトラフィックを帯域外セキュリティおよびモニタリングアプライアンスに送信してディープパケットインスペクションを行うことができます。VPC トラフィックミラーリングにより、ネットワークとセキュリティの異常を検出し、運用上の洞察を得て、コンプライアンスとセキュリティの制御を実装し、問題のトラブルシューティングを行うことができます。VPC を通して流れるネットワークパケットに直接アクセスできる VPC トラフィックミラーリング。VPC トラフィックミラーリングの開始方法についてはこちらをご覧ください。
  • Reachability Analyzer: Reachability Analyzer は、VPC 内の 2 つのリソース間のネットワーク到達可能性を分析およびデバッグできる静的設定分析ツールです。VPC で送信元リソースと送信先リソースを指定すると、Reachability Analyzer は、到達可能な場合はそれらの間の仮想パスのホップごとの詳細を生成し、到達不能な場合はブロックしているコンポーネントを特定します。Reachability Analyzer の詳細はこちらをご覧ください。
  • Ingress Routing: この機能により、インターネットゲートウェイ (IGW) または仮想プライベートゲートウェイ (VGW) との間でやり取りされるすべての受信および送信トラフィックを特定の EC2 インスタンスの Elastic Network Interface にルーティングできます。この機能を使用すると、トラフィックがビジネスワークロードに到達する前に、すべてのトラフィックを IGW、VGW、または EC2 インスタンスに送信するように VPC を設定できます。Ingress Routingの詳細はこちらをご覧ください

Amazon VPC で他の AWS リソースを使用する

Virtual Private Cloud (VPC) で使用できるリソースは数多くあります。

Amazon VPC、AWS アカウント、オンプレミスネットワークを単一のゲートウェイに簡単に接続します。
データをインターネットに公開せずに、VPC と AWS でホストされているサービス、またはオンプレミス間でプライベート接続を確立します。
数回クリックするだけで、Amazon VPC 全体にネットワークセキュリティをデプロイできます。
オンプレミスネットワークをクラウドに拡張し、どこからでも安全にアクセスできるようにします。
VPC プライベートサブネットワークロードがインターネットにアクセスできるようにすると同時に、インターネットがこれらのインスタンスとの接続を開始するのを防ぎます

想定される使用目的と制約

このサービスのご利用には、アマゾン ウェブ サービスカスタマーアグリーメントが適用されます。

Amazon VPC 料金の詳細

料金のページを見る
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ