VPCエンドポイント経由の通信で情報の盗聴を防ぐ
VPCエンドポイントを設定することで、インターネットに通信をさらすことなく、S3、DynamoDB、CloudTrail、Elastic Load Blancer等のサービスへ、セキュアに通信をすることができます。
VPCエンドポイントを設定しない場合、S3等へのアクセスは通常インターネットを経由して、通信するため、暗号化通信をしていないと通信の盗聴が可能であり、情報漏洩につながる危険性があります。
■VPCエンドポイントを使用しない場合
しかし、VPCエンドポイントを設定すれば、インターネットを通過せず、閉域で通信することが可能になります。
VPCエンドポイントには2種類のエンドポイントがあります。
①Interface endpoint
②Gateway endpoint
①のInteface endpointは、「S3」、「DynamoDB」以外のサービスにアクセスする際に使用します。
※AWS PrivateLinkという言い方もありますが、AWS PrivateLinkを使うにはInteface endpointを作成する必要があり、Inteface endpoint経由でサービスに通信するにAWS PrivateLinkを使用することになりますので、Interface endpoint = AWS PrivateLinkと考えても、間違えではないと思われます。
■VPCエンドポイント(Interface Endpoint)を使用する場合
②のGateway endpointは、「S3」、「DyanmoDB」へのアクセスに使用します。
※ルートテーブルの設定で宛先を指定する必要があります。
■VPCエンドポイント(Gateway Endpoint)を使用する場合
それではVPCエンドポイントの設定を紹介します。
①VPCエンドポイント(Interface endpoint)の設定
AWSコンソールにログインしたら、サービス一覧の「ネットワーキングとコンテンツ配信」の「VPC」を押します。
「VPC」を押すと、以下の画面が出てくるので、左側の「エンドポイント」を押します。
「エンドポイント」を押すと、以下の画面が出てくるので、左側の「エンドポイントの作成」を押します。
「エンドポイントの作成」を押すと、以下の画面が出てきますので、VPCエンドポイント経由で通信するサービスを選択します。
今回は、「CloudTrail」を押すと以下のような画面が出ます。
右側にでは「Interface」と書いてあり、「Interface endpoint」の利用を示しています。
「VPC」と「サブネット」の選択が必要になります。
画面下にスクロールすると以下のような画面になります。
必要な設定を終えたら、「エンドポイントの作成」を押して、完了です。
②VPCエンドポイント(Gateway endpoint)の設定
Gateway endpointの設定も「エンドポイントの作成」までは同じです。
以下の画面で、右の「>」を押して、サービス名の一覧からS3を探します。
S3を選択すると以下のような画面になります。
S3の場合は、Gateway endpointという名のVPCエンドポイントになります。
Gateway endpointはルートテーブルを用いて、宛先を指定する必要があるため、ルートテーブルの設定画面も表示されます。
画面下にスクロールすると以下のような画面になります。
必要な設定を終えたら、「エンドポイントの作成」を押して、完了です。
まとめ
・VPCエンドポイントを使うと、AWSサービスとセキュアに通信することができる
・VPCエンドポイントを使わないとインターネット経由での通信になり、通信の盗聴や情報漏洩の危険性がある
・VPCエンドポイントには、「Interface endpoint」「Gateway endpoint」の2種類がある
コメント