View a markdown version of this page

別のアカウントの VPC への接続 - AWS HealthOmics
前提条件ワークフローのアカウントに Amazon VPC を作成するVPC ピアリング接続リクエストの作成リソースのアカウントを準備するワークフローのアカウントで VPC 設定を更新するクロスアカウント VPC アクセスを使用したワークフローの実行トラブルシューティングベストプラクティスその他のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

別のアカウントの VPC への接続

HealthOmics ワークフロー実行に、どちらの VPC もインターネットに公開することなく、別の AWS アカウントによって管理される Amazon VPC 内のリソースへのアクセスを許可できます。このアクセスパターンにより、 AWSを使用して他の組織とデータを共有できます。このアクセスパターンを使用すると、インターネット経由よりも高いレベルのセキュリティとパフォーマンスで、VPC 間でデータを共有できます。VPC ピアリング接続を使用してこれらのリソースにアクセスするようにワークフロー実行を設定します。

警告

アカウントまたは VPC 間のアクセスを許可する場合は、プランがこれらのアカウントを管理する各組織のセキュリティ要件を満たしていることを確認します。このドキュメントの手順に従うことは、リソースのセキュリティ体制に影響します。

このチュートリアルでは、IPv4 を使用してピアリング接続で 2 つのアカウントを接続します。別のアカウントの VPC にまだ接続されていない HealthOmics 設定リソースを設定します。ワークフロー実行を静的 IPs を提供しないリソースに接続するように DNS 解決を設定します。これらの手順を他のピアリングシナリオに適応させるには、「VPC ピアリングガイド」を参照してください。

前提条件

HealthOmics ワークフロー実行に別のアカウントのリソースへのアクセスを許可するには、以下が必要です。

  • で認証してからリソースから読み取るように設定された HealthOmics ワークフロー。

  • Amazon VPC 経由で利用可能な Amazon RDS クラスターやライセンスサーバーなど、別のアカウントのリソース。

  • ワークフローのアカウントとリソースのアカウントの認証情報。リソースのアカウントを使用する権限がない場合は、権限を持つユーザーに連絡してそのアカウントを準備します。

  • HealthOmics ワークフロー実行に関連付ける VPC (およびサポートされている Amazon VPC リソース) を作成および更新するアクセス許可。

  • HealthOmics 設定リソースを作成するアクセス許可。

  • ワークフローのアカウントで VPC ピアリング接続を作成するアクセス許可。

  • リソースのアカウントで VPC ピアリング接続を受け入れるアクセス許可。

  • リソースの VPC (および Amazon VPC リソースのサポート) の設定を更新するアクセス許可。

  • HealthOmics ワークフロー実行を開始するアクセス許可。

ワークフローのアカウントに Amazon VPC を作成する

HealthOmics ワークフローのアカウントに Amazon VPC、サブネット、ルートテーブル、セキュリティグループを作成します。

コンソールを使用して VPC、サブネット、その他の VPC リソースを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ダッシュボードで、[VPC を作成] を選択します。

  3. [IPv4 CIDR ブロック] には、プライベート CIDR ブロックを指定します。CIDR ブロックは、リソースの VPC で使用されるブロックと重複してはいけません。リソースの VPC で IPs をリソースに割り当てるために使用されるブロックや、リソースの VPC のルートテーブルで既に定義されているブロックを選択しないでください。適切な CIDR ブロックの定義の詳細については、「VPC CIDR ブロック」を参照してください。

  4. [AZ のカスタマイズ] を選択します。

  5. HealthOmics がリージョンで動作するアベイラビリティーゾーンを少なくとも 1 つ選択します。

  6. パブリックサブネットの数 で、 を選択します0

  7. VPC エンドポイントの場合は、 を選択します None (後で追加してコストを最適化できます)。

  8. [Create VPC(VPC の作成)] を選択します。

VPC ピアリング接続リクエストの作成

ワークフローの VPC (リクエスタ VPC) からリソースの VPC (アクセプタ VPC) への VPC ピアリング接続リクエストを作成します。

ワークフローの VPC から VPC ピアリング接続をリクエストするには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Peering Connections] (ピアリング接続) をクリックします。

  3. [Create Peering Connection] (ピアリング接続の作成) をクリックします。

  4. VPC ID (リクエスタ) の場合は、ワークフローの VPC を選択します。

  5. [アカウント ID] には、リソースのアカウントの ID を入力します。

  6. VPC ID (アクセプタ) には、リソースの VPC ID を入力します。

  7. [Create Peering Connection] (ピアリング接続の作成) をクリックします。

リソースのアカウントを準備する

ピアリング接続を作成し、接続を使用するようにリソースの VPC を準備するには、前提条件に記載されているアクセス許可を保持するロールを使用してリソースのアカウントにログインします。ログインする手順は、アカウントのセキュリティ保護方法によって異なる場合があります。 AWS アカウントにサインインする方法の詳細については、AWS 「サインインユーザーガイド」を参照してください。リソースのアカウントで、次の手順を実行します。

VPC ピアリング接続リクエストを受け入れるには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Peering Connections] (ピアリング接続) をクリックします。

  3. 保留中の VPC ピアリング接続を選択します (ステータスは承認待ちです)。

  4. [アクション] を選択します。

  5. ドロップダウンリストから、[リクエストを受け入れる] を選択します。

  6. 確認を求められたら、[リクエストの承諾] を選択します。

  7. [ルートテーブルを今すぐ変更] を選択して VPC のメインルートテーブルにルートを追加すると、ピアリング接続を介してトラフィックを送受信できるようになります。

リソースの VPC のルートテーブルを検査します。Amazon VPC によって生成されたルートは、リソースの VPC の設定方法に基づいて接続を確立しない場合があります。VPC の新しいルートと既存の設定の間に競合がないことを確認します。トラブルシューティングの詳細については、「Amazon VPC ピアリングガイド」の「VPC ピアリング接続のトラブルシューティング」を参照してください。

リソースの VPC のルートテーブルを更新するには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

  3. リソースに関連付けられたサブネットのルートテーブルの名前の横にあるチェックボックスをオンにします。

  4. [アクション] を選択します。

  5. [Export routes] (ルートのエクスポート) を選択します。

  6. [Add Rule] (ルートの追加) を選択します。

  7. Destination に、ワークフローの VPC の CIDR ブロックを入力します。

  8. [ターゲット] には、VPC ピアリング接続を選択します。

  9. [Save changes] (変更の保存) をクリックします。

ルートテーブルの更新中に発生する可能性のある考慮事項の詳細については、「VPC ピアリング接続のルートテーブルを更新する」を参照してください。

リソースのセキュリティグループを更新するには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Security Groups] (セキュリティグループ) を選択します。

  3. リソースのセキュリティグループを選択します。

  4. [アクション] を選択します。

  5. ドロップダウンリストから、[インバウンドルールの編集] を選択します。

  6. [ルールを追加] を選択してください。

  7. Type では、リソースが使用するプロトコル (HTTPS、MySQL/Aurora、カスタム TCP など) を選択します。

  8. ポート範囲には、リソースがリッスンするポートを入力します。

  9. Source には、ワークフローの VPC CIDR ブロック (10.0.0.0/16 など) を入力します。

  10. [ルールの保存] を選択します。

  11. [Edit outbound rules] (アウトバウンドルールの編集) を選択します。

  12. アウトバウンドトラフィックが制限されているかどうかを確認します。デフォルトの VPC 設定では、すべてのアウトバウンドトラフィックが許可されます。アウトバウンドトラフィックが制限されている場合は、次のステップに進みます。

  13. [ルールを追加] を選択してください。

  14. Type でAll trafficまたは必要な特定のプロトコルを選択します。

  15. Destination には、ワークフローの VPC CIDR ブロック (10.0.0.0/16 など) を入力します。

  16. [ルールの保存] を選択します。

ピアリング接続の DNS 解決を有効にするには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Peering Connections] (ピアリング接続) をクリックします。

  3. ピアリング接続を選択します。

  4. [アクション] を選択します。

  5. [DNS 設定の編集] を選択します。

  6. [アクセプタ DNS 解決] で、[リクエスタ VPC がアクセプタ VPC ホストの DNS をプライベート IP に解決できるようにする] を選択します。

  7. [Save changes] (変更の保存) をクリックします。

ワークフローのアカウントで VPC 設定を更新する

ワークフローのアカウントにログインし、VPC 設定を更新します。

VPC ピアリング接続のルートを追加するには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

  3. HealthOmics 設定に関連付けるサブネットのルートテーブルの名前の横にあるチェックボックスをオンにします。

  4. [アクション] を選択します。

  5. [Export routes] (ルートのエクスポート) を選択します。

  6. [Add Rule] (ルートの追加) を選択します。

  7. [送信先] には、リソースの VPC の CIDR ブロックを入力します。

  8. [ターゲット] には、VPC ピアリング接続を選択します。

  9. [Save changes] (変更の保存) をクリックします。

ルートテーブルの更新中に発生する可能性のある考慮事項の詳細については、「VPC ピアリング接続のルートテーブルを更新する」を参照してください。

HealthOmics ワークフロー実行のセキュリティグループを更新するには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Security Groups] (セキュリティグループ) を選択します。

  3. HealthOmics 設定に使用するセキュリティグループを選択します。

  4. [アクション] を選択します。

  5. [Edit outbound rules] (アウトバウンドルールの編集) を選択します。

  6. [ルールを追加] を選択してください。

  7. Type には、リソースが使用するプロトコル (HTTPS、MySQL/Aurora、カスタム TCP など) を選択します。

  8. ポート範囲には、リソースがリッスンするポートを入力します。

  9. Destination には、リソースの VPC CIDR ブロック (10.1.0.0/16 など) を入力します。

  10. [ルールの保存] を選択します。

  11. インバウンドのルールを編集 を選択します。

  12. インバウンドトラフィックルールが存在するかどうかを確認します。リソースがワークフロー実行への接続を再開する必要がある場合は、次のステップに進みます。それ以外の場合は、DNS 解決ステップに進みます。

  13. [ルールを追加] を選択してください。

  14. Type で、適切なプロトコルを選択します。

  15. Source には、リソースの VPC CIDR ブロック (10.1.0.0/16 など) を入力します。

  16. [ルールの保存] を選択します。

ピアリング接続の DNS 解決を有効にするには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Peering Connections] (ピアリング接続) をクリックします。

  3. ピアリング接続を選択します。

  4. [アクション] を選択します。

  5. [DNS 設定の編集] を選択します。

  6. [リクエスタ DNS 解決] で、[アクセプタ VPC がリクエスタ VPC ホストの DNS をプライベート IP に解決できるようにする] を選択します。

  7. [Save changes] (変更の保存) をクリックします。

クロスアカウント VPC アクセスを使用したワークフローの実行

ワークフロー実行を開始するときは、ワークフローのアカウントの VPC のサブネットとセキュリティグループを使用します。ワークフロー実行からのトラフィックは、VPC ピアリング接続を介して他のアカウントの VPC にルーティングされます。

HealthOmics 設定リソースの作成と VPC ネットワークを使用したワークフロー実行の開始については、「」を参照してくださいHealthOmics ワークフローを VPC に接続する

重要

両方の VPC で VPCs フローログを有効にして、それらの間のトラフィックフローを検証し、接続の問題をトラブルシューティングすることをお勧めします。詳細については、「Amazon VPC ユーザーガイド」の「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。

トラブルシューティング

ワークフロー実行がピア接続された VPC 内のリソースに接続できない場合:

  1. ルートテーブルの検証: 両方の VPCs VPC ピアリング接続を指す双方向ルートがあることを確認します。

  2. セキュリティグループを確認する: 両方の VPCs のセキュリティグループが必要なトラフィック (リソース VPC のインバウンド、ワークフロー VPC のアウトバウンド) を許可していることを確認します。

  3. DNS 解決の検証: DNS 名を使用する場合は、ピアリング接続で双方向で DNS 解決が有効になっていることを確認します。

  4. CIDR ブロックを確認する: CIDR ブロックが 2 つの VPCs 間で重複していないことを確認します。

  5. VPC フローログの確認: 両方の VPC で VPCsして、トラフィックフローの問題を診断します。

  6. ピアリング接続ステータスの確認: ピアリング接続ステータスが両方のアカウントactiveにあることを確認します。

トラブルシューティングガイダンスの詳細については、「Amazon VPC ピアリングガイド」の「VPC ピアリング接続のトラブルシューティング」を参照してください。

ベストプラクティス

  1. 最小特権のセキュリティグループを使用する: ワークフローがリソースにアクセスするために必要な特定のポートとプロトコルのみを許可します。

  2. ピアリング関係を文書化する: ピアリングされる VPCsと目的に関するドキュメントを維持します。

  3. クロスアカウントトラフィックのモニタリング: VPC フローログと CloudWatch メトリクスを使用してトラフィックパターンをモニタリングし、異常を検出します。

  4. CIDR ブロックを慎重に計画する: CIDR ブロックが重複しないようにし、将来の拡張のためのスペースを確保します。

  5. 徹底的にテストする: 本番ワークロードを実行する前に、テストワークフローとの接続を検証します。

  6. リソースアカウントの所有者との調整: トラブルシューティングとメンテナンスのために、リソースアカウントを管理するチームと明確なコミュニケーションチャネルを確立します。

  7. タグを使用する: VPC ピアリング接続、ルートテーブル、セキュリティグループにタグを付けて、目的と所有権を特定します。

その他のリソース