Amazon VPC で AWS CloudShell を使用する
AWS CloudShell 仮想プライベートクラウド (VPC) を使用すると、VPC で CloudShell 環境を作成できます。VPC 環境ごとに、VPC を割り当て、サブネットを追加し、最大 5 つのセキュリティグループを関連付けることができます。AWS CloudShell は VPC のネットワーク設定を継承するため、VPC 内の他のリソースと同じサブネット内で AWS CloudShell を安全に使用し、これらのリソースに接続できます。
Amazon VPC を使用すると、論理的に隔離されている定義済みの仮想ネットワーク内で AWS のリソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。VPC の詳細については、「Amazon Virtual Private Cloud」を参照してください。
運用上の制約
AWS CloudShell の VPC 環境には以下の制約があります。
-
IAM プリンシパルごとに作成できる VPC 環境の数は最大 2 つです。
-
VPC 環境に割り当てることができるセキュリティグループの数は最大 5 つです。
-
VPC 環境では、[アクション] メニューで CloudShell のアップロードおよびダウンロードオプションは使用できません。
注記
ファイルのアップロードまたはダウンロードは、他の CLI ツールを介して、インターネットの進入/退出にアクセスできる VPC 環境から行うことができます。
-
VPC 環境は永続ストレージをサポートしていません。ストレージはエフェメラルです。アクティブな環境セッションが終了すると、データとホームディレクトリは削除されます。
-
AWS CloudShell 環境は、プライベート VPC サブネット内にある場合にのみ、インターネットに接続できます。
注記
デフォルトでは、パブリック IP アドレスは CloudShell の VPC 環境に割り当てられません。すべてのトラフィックをインターネットゲートウェイにルーティングするようにルーティングテーブルが設定されているパブリックサブネットに作成した VPC 環境は、パブリックインターネットにアクセスできません。しかし、ネットワークアドレス変換 (NAT) が設定されているプライベートサブネットは、パブリックインターネットにアクセスできます。このようなプライベートサブネットに作成した VPC 環境は、パブリックインターネットにアクセスできます。
-
アカウントにマネージド CloudShell 環境を提供するために、AWS は、基盤となるコンピューティングホストの以下のサービスへのネットワークアクセスをプロビジョニングする場合があります。
-
Amazon S3
-
VPC エンドポイント
-
com.amazonaws.<リージョン>.ssmmessages
-
com.amazonaws.<リージョン>.logs
-
com.amazonaws.<リージョン>.kms
-
com.amazonaws.<リージョン>.execute-api
-
com.amazonaws.<リージョン>.ecs-telemetry
-
com.amazonaws.<リージョン>.ecs-agent
-
com.amazonaws.<リージョン>.ecs
-
com.amazonaws.<リージョン>.ecr.dkr
-
com.amazonaws.<リージョン>.ecr.api
-
com.amazonaws.<リージョン>.codecatalyst.packages
-
com.amazonaws.<リージョン>.codecatalyst.git
-
aws.api.global.codecatalyst
-
VPC 設定を変更して、これらのエンドポイントへのアクセスを制限することはできません。
CloudShell VPC は、すべての AWS リージョンと GovCloud リージョンで利用できます。CloudShell の VPC が利用可能なリージョンのリストについては、「AWS CloudShell でサポートされている AWS リージョン」を参照してください。
-
