翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # VPC と AWS Control Tower の CIDR とピア接続 このセクションは、主にネットワーク管理者を対象としています。通常、会社のネットワーク管理者は、AWS Control Tower 組織の全体的な CIDR 範囲を選択する担当者です。ネットワーク管理者は、特定の目的のために、その範囲内からサブネットを割り当てます。 VPC の CIDR 範囲を選択すると、AWS Control Tower は RFC 1918 仕様に従って IP アドレス範囲を検証します。Account Factory は、以下の範囲で最大 `/16` の CIDR ブロックを許可します。 + `10.0.0.0/8` + `172.16.0.0/12` + `192.168.0.0/16` + `100.64.0.0/10` (インターネットプロバイダーがこの範囲の使用を許可している場合のみ) `/16` 区切り記号を使用すると、最大 65,536 個の IP アドレスを指定できます。 以下の範囲から有効な IP アドレスを割り当てることができます。 + `10.0.x.x to 10.255.x.x` + `172.16.x.x – 172.31.x.x` + `192.168.0.0 – 192.168.255.255` (`192.168` 範囲外の IP はありません) 指定した範囲がこれらの範囲外である場合、AWS Control Tower はエラーメッセージを表示します。 デフォルトの CIDR 範囲は `172.31.0.0/16` です。 AWS Control Tower は、選択された CIDR 範囲を使用して VPC を作成する際に、組織単位 (OU) 内に作成した各アカウントのすべての VPC に対して、同じ CIDR 範囲を割り当てます。**IP アドレスのデフォルトオーバーラップのため、この実装では、OU 内のいずれかの AWS Control Tower VPC 間のピア接続が最初は許可されません。 **サブネット** 各 VPC 内で、AWS Control Tower は指定された CIDR 範囲を 9 つのサブネット間に均等に分割します (6 つのサブネットがある米国西部 (北カリフォルニア)。VPC 内のサブネットは重複しません。したがって、それらはすべて VPC 内において相互間で通信できます。 つまり、デフォルトでは VPC 内のサブネット通信は制限されません。VPC サブネット間の通信を制御するためのベストプラクティスは、必要に応じて、許可するトラフィックフローを定義するルールを使用してアクセスコントロールリストを設定することです。特定のインスタンス間のトラフィックを制御するには、セキュリティグループを使用します。AWS Control Tower でセキュリティグループとファイアウォールを設定する方法の詳細については、[「チュートリアル:AWS Firewall Manager を使用して AWS Control Tower でセキュリティグループを設定する](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)」を参照してください。 **ピア接続** AWS Control Tower は、複数の VPC 間で通信するための VPC と VPC 間のピア接続を制限しません。ただし、デフォルトでは、すべての AWS Control Tower VPC のデフォルトの CIDR 範囲は同じです。ピア接続をサポートするために、IP アドレスが重複しないように Account Factory の設定で CIDR 範囲を変更できます。 Account Factory の設定で CIDR 範囲を変更すると、以降に AWS Control Tower で (Account Factory を使用して) 作成されるすべての新しいアカウントに新しい CIDR 範囲が割り当てられます。古いアカウントは更新されません。例えば、アカウントを作成し、CIDR 範囲を変更して新しいアカウントを作成すると、これら 2 つのアカウントに割り当てられた VPC 間はピア接続できます。IP アドレス範囲が同じではないため、ピア接続が可能です。