Amazon VPC の特徴

Amazon Virtual Private Cloud (VPC) は、定義した論理的に分離された仮想ネットワークで AWS リソースを起動できるようにするサービスです。独自の IP アドレスの範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーク環境を完全に制御できます。VPC 内のほとんどのリソースに IPv4 と IPv6 の両方を使用できるため、リソースとアプリケーションへの安全で簡単なアクセスが保証されます。

AWS の基本サービスの 1 つである Amazon VPC では、VPC のネットワーク設定を簡単にカスタマイズできます。インターネットにアクセスできるウェブサーバー用にパブリックサブネットを作成できます。また、データベースやアプリケーションサーバーなどのバックエンドシステムを、インターネットにアクセスできないプライベートなサブネットに配置することもできます。Amazon VPC では、セキュリティグループやネットワークアクセスコントロールリストなどの複数のセキュリティレイヤーを使用して、各サブネットの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのアクセスのコントロールを支援できます。

Amazon VPC の特徴

Amazon Virtual Private Cloud (VPC) は、定義した論理的に分離された仮想ネットワークで AWS リソースを起動できるようにするサービスです。自分の IP アドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーキング環境を完全に制御できます。VPC 内のほとんどのリソースに IPv4 と IPv6 の両方を使用できるため、リソースとアプリケーションへの安全で簡単なアクセスが保証されます。AWS の基本サービスの 1 つである Amazon VPC では、VPC のネットワーク設定を簡単にカスタマイズできます。インターネットにアクセスできるウェブサーバー用にパブリックサブネットを作成できます。また、データベースやアプリケーションサーバーなどのバックエンドシステムを、インターネットにアクセスできないプライベートなサブネットに配置することもできます。Amazon VPC により、セキュリティグループやネットワークアクセスコントロールリストなどの複数のセキュリティレイヤーを使用して、各サブネットの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのアクセスをコントロールすることができます。

フローログ

Amazon Simple Storage Service (Amazon S3) または Amazon CloudWatch に配信される VPC フローログを監視して、ネットワークの依存関係とトラフィックパターンの運用上の可視性を取得したり、異常を検出してデータ漏洩を防止したり、ネットワーク接続と設定の問題をトラブルシューティングしたりできます。フローログの強化されたメタデータで、TCP 接続を開始したユーザー、および NAT ゲートウェイなどの中間層を流れるトラフィックのパケットレベルの送信元と送信先をより詳しく知ることができます。フローログをアーカイブして、特定のコンプライアンス要件を満たすのを支援することもできます。この機能の使用を開始する方法については、 こちらをご覧ください。

IP アドレスマネージャー (IPAM)

IPAM は、AWS ワークロードの IP アドレスの計画、追跡、モニタリングを簡単にします。IPAM は、Amazon VPC への IP アドレスの割り当てを自動化し、社内開発の、またはスプレッドシートベースの計画アプリケーションを使用する必要性を排除します。また、複数のアカウントや VPC における IP の使用状況を統一されたオペレーションビューで表示することで、ネットワークの可観測性を向上させます。

IP アドレス関連

IP アドレスは、VPC 内のリソースが相互に通信したり、インターネットのリソースと通信することを可能にします。Amazon VPC は、IPv4 と IPv6 の両方のアドレス設定プロトコルをサポートしています。VPC では、IPv4 専用、デュアルスタック、および IPv6 専用のサブネットを作成し、これらのサブネットで Amazon EC2 インスタンスを起動することができます。また、Amazon は、インスタンスにパブリック IP アドレスを割り当てるための複数のオプションを提供します。Amazon が提供するパブリック IPv4 アドレス、Elastic IPv4 アドレス、または Amazon が提供する IPv6 CIDR の IP アドレスを使用することができます。これとは別に、Amazon VPC 内に独自の IPv4 アドレスまたは IPv6 アドレスを持ち込み、これらのインスタンスに割り当てることができるオプションもあります。VPC 内の IP アドレス設定については、 こちらをご覧ください。

Ingress ルーティング

この機能を使用すると、 インターネットゲートウェイまたは 仮想プライベートゲートウェイとの間でやり取りされるすべての受信および送信トラフィックを特定の Amazon EC2 インスタンスの Elastic Network Interface にルーティングできます。 ビジネスワークロードに到達する前に、すべてのトラフィックをゲートウェイまたは Amazon EC2 インスタンスに送信するように、 仮想プライベートクラウドを設定します。この機能の詳細については、 こちらをご覧ください。

Network Access Analyzer

Network Access Analyzer は、AWS のネットワークがネットワークセキュリティとコンプライアンスの要件に準拠しているかどうかを検証するのに役立ちます。Network Access Analyzer では、ネットワークセキュリティとコンプライアンスの要件を指定することができ、指定した要件を満たさない意図しないネットワークアクセスを特定することができます。Network Access Analyzer を使用すると、リソースへのネットワークアクセスを把握することができ、クラウドのセキュリティ体制の改善点を特定したり、コンプライアンスの証明を容易に行うことができます。

ネットワークアクセスコントロールリスト

ネットワークアクセスコントロールリスト (ネットワーク ACL) は、VPC のオプションのセキュリティレイヤーで、1 つ以上のサブネットに出入りするトラフィックを制御するファイアウォールとして機能します。セキュリティグループのルールと同様のルールでネットワーク ACL を設定することもできます。セキュリティグループとネットワーク ACL の違いについては、 こちらをご覧ください。

ネットワークマネージャー

Network Manager は、AWS 上のネットワークの管理およびモニタリングを支援するツールや機能を提供します。Network Manager は、接続性管理、ネットワークモニタリングとトラブルシューティング、IP 管理、ネットワークセキュリティとガバナンスを容易に実行できるようにします。

Reachability Analyzer

この静的設定分析ツールを使用すると、VPC 内の 2 つのリソース間のネットワーク到達可能性を分析およびデバッグすることができます。送信元リソースと送信先リソースを指定すると、Reachability Analyzer は、到達可能な場合はそれらの間の仮想パスのホップごとの詳細を生成し、到達不能な場合はブロックしているコンポーネントを特定します。この機能の使用を開始する方法については、 こちらをご覧ください。

セキュリティグループ

関連付けられた Amazon EC2 インスタンスのファイアウォールとして機能するセキュリティグループを作成し、インスタンスレベルでインバウンドトラフィックとアウトバウンドトラフィックを制御します。インスタンスを起動するときに、1 つ以上のセキュリティグループにインスタンスを関連付けることができます。グループを指定していない場合、インスタンスは自動的に VPC のデフォルトグループに関連付けられます。VPC の各インスタンスは、さまざまなグループのセットに属することができます。セキュリティグループの詳細については こちらをご覧ください。

トラフィックミラーリング

この機能を使用すると、Amazon EC2 インスタンスの Elastic Network Interface からネットワークトラフィックをコピーして、そのトラフィックを帯域外セキュリティおよびモニタリングアプライアンスに送信してディープパケットインスペクションを行うことができます。ネットワークとセキュリティの異常を検出し、運用上の洞察を得て、コンプライアンスとセキュリティの制御を実装し、問題のトラブルシューティングを行うことができます。VPC を通して流れるネットワークパケットに直接アクセスできるトラフィックミラーリング。この機能の使用を開始する方法については、 こちらをご覧ください。

Amazon VPC で他の AWS リソースを使用する

Virtual Private Cloud (VPC) で使用できるリソースは数多くあります。

Amazon VPC、AWS アカウント、オンプレミスネットワークを単一のゲートウェイに簡単に接続します。
データをインターネットに公開せずに、VPC と AWS でホストされているサービス、またはオンプレミス間でプライベート接続を確立します。
数回クリックするだけで、Amazon VPC 全体にネットワークセキュリティをデプロイできます。
オンプレミスネットワークをクラウドに拡張し、どこからでも安全にアクセスできるようにします。
VPC プライベートサブネットワークロードがインターネットにアクセスできるようにすると同時に、インターネットがこれらのインスタンスとの接続を開始するのを防ぎます

想定される使用目的と制約

このサービスのご利用には、アマゾン ウェブ サービスカスタマーアグリーメントが適用されます。