イングレスの分散化 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

イングレスの分散化

イングレスの分散化とは、インターネットからのトラフィックがアカウントのワークロードに到達する方法を、個々のアカウントレベルで定義する原則のことです。マルチアカウントアーキテクチャにおいて、イングレス分散化の利点の 1 つは、各アカウントがワークロードに最適なイングレスサービスまたはリソース (Application Load Balancer、Amazon API Gateway、Network Load Balancer など) を使用できることです。

イングレスが分散されていると、各アカウントを個別に管理する必要がありますが、AWS Firewall Manager から構成を一元的に管理、維持することができます。Firewall Manager は、AWS WAFAmazon VPC セキュリティグループなどの保護をサポートしています。Application Load Balancer、Amazon CloudFront、API Gateway、または AWS WAF に関連付けることができます AWS AppSync。エグレス VPC とトランジットゲートウェイを使用している場合、エグレスの一元化 で説明されているように、各スポーク VPC にはパブリックサブネットとプライベートサブネットが含まれます。ただし、トラフィックはネットワークアカウントのエグレス VPC を経由するため、NAT ゲートウェイをデプロイする必要はありません。

次の図は、インターネットにアクセス可能なワークロードを含む単一の VPC AWS アカウント を持つ個人の例を示しています。インターネットからのトラフィックは、インターネットゲートウェイを経由して VPC にアクセスし、パブリックサブネットでホストされている負荷分散サービスとセキュリティサービスに到達します。(パブリックサブネットには、インターネットゲートウェイへのデフォルトルートがあります)。ロードバランサーをパブリックサブネットにデプロイし、 AWS WAF アクセスコントロールリスト (ACLs) をアタッチして、クロスサイトスクリプティングなどの悪意のあるトラフィックから保護します。アプリケーションをホストするワークロードをプライベートサブネットにデプロイします。プライベートサブネットは、インターネットと直接アクセスすることはできません。

インターネットゲートウェイを介して VPC にアクセスするインターネットからのトラフィック AWS WAF、およびロードバランサー。

組織に VPC が多数ある場合は、専用の AWS アカウントと共有のアカウントにインターフェイス VPC エンドポイント、またはプライベートホストゾーンを作成することで、一般的な AWS のサービス を共有できます。詳細については、「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする (AWS PrivateLink ドキュメント)」および「プライベートホストゾーンの使用」(Route 53 ドキュメント) を参照してください。

次の図は、組織全体で共有できるリソース AWS アカウント をホストする の例を示しています。VPC エンドポイントは、専用 VPC で作成すると複数のアカウントで共有できます。VPC エンドポイントを作成する場合、オプションで、エンドポイントの DNS エントリを AWS に管理させることができます。エンドポイントを共有するには、このオプションをオフにし、別の Route 53 プライベートホストゾーン (PHZ) に DNS エントリを作成します。その後、PHZ を組織内のすべての VPC に関連付けると、VPC エンドポイントの一元的な DNS 解決を行うことができます。また、トランジットゲートウェイのルートテーブルに、共有 VPC から他の VPC へのルートが含まれていることを確認する必要があります。詳細については、「インターフェイス VPC エンドポイントへの集中型アクセス」(AWS ホワイトペーパー) を参照してください。

サービスのエンドポイントとリソースをホストし、他のメンバーアカウントと共有する、共有アカウント

共有 AWS アカウント は、 AWS Service Catalog ポートフォリオをホストするのにも最適な場所です。ポートフォリオは、デプロイ用に用意する IT サービスのコレクションであり AWS、ポートフォリオにはそれらのサービスの設定情報が含まれています。共有アカウントでポートフォリオを作成し、組織と共有できます。その後、各メンバーアカウントはポートフォリオを独自のリージョン Service Catalog インスタンスにインポートします。詳細については、「AWS Organizationsとの共有」(Service Catalog ドキュメント) を参照してください。

同様に、 では AWS Proton、共有アカウントを使用して環境テンプレートとサービステンプレートを一元管理し、組織メンバーアカウントとのアカウント接続を設定できます。詳細については、「環境アカウント接続 (AWS Proton ドキュメント)」を参照してください。