リージョン別の可用性 AWS サービスへの影響とサポート VPC BPA の制限事項 IAM ポリシーを使用して VPC BPA に対するアクセスを制御するアカウントのために VPC BPA 双方向モードを有効にする VPC BPA モードをイングレスのみに変更する除外を作成および削除する組織レベルで VPC BPA を有効にする

VPC BPA の基本

このセクションでは、VPC BPA をサポートするサービスや、VPC BPA の使用方法など、VPC BPA に関する重要な詳細について説明します。

内容

リージョン別の可用性
AWS サービスへの影響とサポート
VPC BPA の制限事項
IAM ポリシーを使用して VPC BPA に対するアクセスを制御する
アカウントのために VPC BPA 双方向モードを有効にする
VPC BPA モードをイングレスのみに変更する
除外を作成および削除する
組織レベルで VPC BPA を有効にする

リージョン別の可用性

VPC BPA は、GovCloud および中国リージョンを含むすべての商用 AWS リージョンで利用できます。

また、このガイドでは、Network Access Analyzer および Reachability Analyzer と VPC BPA の併用についても説明します。Network Access Analyzer と Reachability Analyzer は、すべての商用リージョンで利用できるわけではありません。Network Access Analyzer と Reachability Analyzer を利用できるリージョンについては、「Network Access Analyzer ガイド」の「Limitations」と「Reachability Analyzer ガイド」の「Considerations」を参照してください。

AWS サービスへの影響とサポート

次のリソースとサービスは VPC BPA をサポートし、これらのサービスとリソースに対するトラフィックは VPC BPA の影響を受けます。

[インターネットゲートウェイ]: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。
[エグレスのみのインターネットゲートウェイ]: すべてのアウトバウンドトラフィックがブロックされます。エグレスのみのインターネットゲートウェイは、インバウンドトラフィックを許可しません。
Gateway Load Balancer (GWLB): GWLB エンドポイントを含むサブネットが除外されていても、インバウンドトラフィックとアウトバウンドトラフィックはすべてブロックされます。
[NAT ゲートウェイ]: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。NAT ゲートウェイには、インターネット接続のためのインターネットゲートウェイが必要です。
[インターネット向け Network Load Balancer]: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。インターネット向け Network Load Balancer には、インターネット接続のためのインターネットゲートウェイが必要です。
[インターネット向け Application Load Balancer]: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。インターネット向け Application Load Balancer には、インターネット接続のためのインターネットゲートウェイが必要です。
Amazon CloudFront VPC オリジン: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。
Direct Connect: パブリック仮想インターフェイス (パブリック IPv4 またはグローバルユニキャスト IPv6 アドレス) を使用するすべてのインバウンドトラフィックとアウトバウンドトラフィックはブロックされます。このトラフィックは、接続にインターネットゲートウェイ (または Egress-Only インターネットゲートウェイ) を使用します。
AWS Global Accelerator: ターゲットがインターネットからアクセス可能かどうかにかかわらず、VPC へのインバウンドトラフィックはブロックされます。
AWS Network Firewall: ファイアウォールエンドポイントを含むサブネットが除外されていても、インバウンドトラフィックとアウトバウンドトラフィックはすべてブロックされます。
AWS Wavelength キャリアゲートウェイ: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。

次のサービスやリソースについてのトラフィックなど、プライベート接続に関連するトラフィックは、VPC BPA によってブロックされず、影響も受けません。

AWS Client VPN
AWS CloudWAN
AWS Outposts ローカルゲートウェイ
AWS Site-to-Site VPN
トランジットゲートウェイ
AWS Verified Access

重要

サブネット内の EC2 インスタンスで実行されているアプライアンス (サードパーティーのセキュリティやモニタリングツールなど) を通じて送受信トラフィックをルーティングする場合、VPC BPA を使用すると、トラフィックが送受信されるようにそのサブネットを除外する必要があります。インターネットゲートウェイではなくアプライアンスサブネットにトラフィックを送信する他のサブネットは、追加で除外に設定する必要はありません。
VPC 内のリソースから Route 53 Resolver など、VPC で実行されている他のサービスにプライベートに送信されるトラフィックは、VPC 内のインターネットゲートウェイを通過しないため、VPC BPA がオンになっている場合でも許可されます。これらのサービスは、DNS クエリを解決するためなど、ユーザーに代わって VPC 外のリソースに対してリクエストを実行し、VPC 内のリソースのアクティビティに関する情報を公開する可能性があります (他のセキュリティコントロールを通じて緩和されない場合)。
インターネット向けロードバランサーがあり、そのサブネットの 1 つのみに対して VPC BPA 除外を作成した場合、ロードバランサーは引き続き除外されたサブネットでパブリックトラフィックを受信し、除外されていないサブネットのターゲットにプライベートにルーティングすることができます。VPC BPA がターゲットへのパブリックアクセスを完全にブロックするには、ロードバランサーサブネットが除外されていないことを確認してください。

VPC BPA の制限事項

VPC BPA のイングレスのみのモードは、NAT ゲートウェイとエグレスのみのインターネットゲートウェイが許可されていないローカルゾーン (LZ) ではサポートされていません。

IAM ポリシーを使用して VPC BPA に対するアクセスを制御する

VPC BPA 機能に対するアクセスを許可/拒否する IAM ポリシーの例については、「VPC とサブネットへのパブリックアクセスをブロックする」を参照してください。

アカウントのために VPC BPA 双方向モードを有効にする

VPC BPA 双方向モードは、このリージョンのインターネットゲートウェイとエグレスのみのインターネットゲートウェイとの間のすべてのトラフィックをブロックします (除外された VPC とサブネットを除く)。除外の詳細については、「除外を作成および削除する」を参照してください。

重要

本番アカウントで VPC BPA を有効にする前に、インターネットアクセスを必要とするワークロードを徹底的に確認することを強くお勧めします。

注記

アカウントの VPC とサブネットで VPC BPA を有効にするには、その VPC とサブネットを所有している必要があります。
現在 VPC サブネットを他のアカウントと共有している場合、サブネット所有者によって強制適用される VPC BPA モードも参加者のトラフィックに適用されますが、参加者は共有サブネットに影響を及ぼす VPC BPA の設定を制御することはできません。

VPC BPA モードをイングレスのみに変更する

VPC BPA のイングレスのみのモードは、このリージョンの VPC に対するすべてのインターネットトラフィックをブロックします (除外される VPC またはサブネットを除く)。NAT ゲートウェイとエグレスのみのインターネットゲートウェイとの間のトラフィックのみが許可されます。なぜなら、これらのゲートウェイはアウトバウンド接続の確立のみを許可するからです。

除外を作成および削除する

VPC BPA の除外は、単一の VPC またはサブネットに適用できるモードであり、アカウントの VPC BPA モードから除外し、双方向または Egress-Only のアクセスを許可します。アカウントで VPC BPA が有効になっていない場合でも VPC とサブネットのために VPC BPA の除外を作成して、VPC BPA がオンになっているときに除外に対するトラフィックの中断が発生しないようにできます。VPC の除外は、VPC 内のすべてのサブネットに自動的に適用されます。

最大 50 個の除外を作成できます。制限の引き上げをリクエストする方法については、「Amazon VPC クォータ」の「VPC BPA exclusions per account」を参照してください。

AWS マネジメントコンソール

Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。
左のナビゲーションペインで、[設定] を選択します。
[パブリックアクセスをブロックする] タブの [除外] で、次のいずれかを実行します。
- 除外を削除するには、削除する除外項目を選択し、[アクション] > [除外の削除] を選択します。
- 除外を作成するには、[除外を作成] を選択し、次のステップに進みます。
ブロック方向を選択します。
- [双方向]: 除外された VPC とサブネットとの間のすべてのインターネットトラフィックを許可します。
- [エグレスのみ]: 除外された VPCとサブネットからのアウトバウンドインターネットトラフィックを許可します。除外された VPC とサブネットに対するインバウンドインターネットトラフィックをブロックします。この設定は、VPC BPA が [双方向] に設定されている場合に適用されます。
[VPC] または [サブネット] を選択します。
[除外を作成] を選択します。
[除外ステータス] が [アクティブ] に変わるまで待ちます。変更を確認するには、除外テーブルを更新する必要がある場合があります。

除外が作成されました。

AWS CLI

除外の許可の方向を変更します:


aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional

除外ステータスが更新されるまでに時間がかかる場合があります。除外のステータスを表示するには:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```

組織レベルで VPC BPA を有効にする

AWS Organizations を使用して組織内のアカウントを管理している場合は、AWSOrganizations 宣言型ポリシーを使用して、組織内のアカウントに VPC BPA を適用できます。VPC BPA 宣言型ポリシーの詳細については、「AWS Organizations ユーザーガイド」の「サポートされている宣言型ポリシー」を参照してください。

注記

VPC BPA 宣言型ポリシーを使用して、除外を許可するかどうかを設定できますが、ポリシーを使用して除外を作成することはできません。除外を作成するには、VPC を所有するアカウントで除外を作成する必要があります。VPC BPA の除外の作成方法の詳細については、「除外を作成および削除する」を参照してください。
VPC BPA 宣言型ポリシーが有効になっている場合、[パブリックアクセスをブロックする] では、[宣言型ポリシーによる管理] と表示され、アカウントレベルで VPC BPA 設定を変更することはできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPC とサブネットへのパブリックアクセスをブロックする

VPC BPA の影響を評価し、VPC BPA をモニタリングする