VPC を設定 - AWS 規範ガイダンス
ファイアウォール VPCインバウンド VPCアウトバウンド VPCVPC Flow Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC を設定

VPC は、従来のデータセンターネットワークに似た、AWS 上で論理的に分離されたネットワークです。通常、堅牢なネットワークには、ネットワークアカウントに 3 つの異なる VPC が含まれます。

  • ファイアウォール VPC

  • インバウンド VPC

  • アウトバウンド VPC

これらの各 VPC は、特定の目的のために指定されています。このガイドで説明されているものを除き、アプリケーションやその他のサービスをこれらの VPC にデプロイしないでください。

これらの VPC を作成する際は、[VPC のみ] オプションを選択します。次に、[IPAM が割り当てられた IPv4 CIDR ブロック] オプションを選択し、関連する IPAM プールを選択したうえで、適切なネットマスクを入力します。

ファイアウォール VPC

ファイアウォール VPC は、AWS Network Firewall を使用したファイアウォールの作成と設定専用の VPC です。ファイアウォール VPC 内に、次の 6 つのプライベートサブネットを作成します。

  • Transit Gateway アタッチメント専用の 3 つのサブネット

  • ファイアウォール専用の 3 つのサブネット

インバウンド VPC

ネットワークアカウントを設定する際は、AWS でホストされているサービスに送信されるトラフィックを考慮してください。インバウンド VPC では、Application Load Balancer をホストします。また、セキュリティを侵害する可能性のある悪意のあるアクティビティを防ぐために、組織の標準である AWS WAF ファイアウォールやその他のセキュリティ関連サービスを設定します。インバウンド VPC で、次の 6 つのサブネットを作成します。

  • Application Load Balancer をホストするための 3 つのパブリックサブネット

  • インバウンド VPC の CIDR ブロック以外の他のネットワーク CIDR ブロックに対して、ファイアウォールへのルーティングを設定するための 3 つの Transit Gateway アタッチメントサブネット

アウトバウンド VPC

アウトバウンド VPC は、ネットワークアカウントから送信されるトラフィックを制御します。アウトバウンド VPC では、次の 6 つのサブネットを作成します。

  • 3 つの異なるアベイラビリティーゾーンに設けた 3 つのパブリックサブネット (各サブネットに NAT ゲートウェイを作成)。

  • 3 つのアベイラビリティーゾーンに設けた 3 つのプライベートサブネット (各サブネットには、それぞれのパブリックサブネットに作成された NAT ゲートウェイ ID への 0.0.0.0/0 ルートを含むようにルートテーブルを設定)。トランジットゲートウェイをプライベートサブネットにアタッチ。

プライベートホストゾーンをアウトバウンド VPC に関連付けます。

VPC Flow Logs

今後の分析のためにネットワークインターフェイスへのすべてのリクエストを記録するには、[VPC フローログ] を設定します。詳細については、「Amazon VPC ドキュメント」および「Patterns」の「Configure VPC Flow Logs for centralization across AWS アカウント」を参照してください。