# NAT インスタンス
<a name="VPC_NAT_Instance"></a>

NAT インスタンスはネットワークアドレス変換 (NAT) を提供します。NAT インスタンスを使用すると、プライベートサブネット内のリソースが、インターネットやオンプレミスネットワークなどの仮想プライベートクラウド (VPC) 外部の宛先と通信できます。プライベートサブネット内のリソースは、インターネットへのアウトバウンド IPv4 トラフィックを開始できますが、インターネット上で開始されたインバウンドトラフィックを受信することはできません。

**重要**  
NAT AMI は、2020 年 12 月 31 日に標準サポートが終了し、2023 年 12 月 31 日にメンテナンスサポートが終了した Amazon Linux AMI の最新バージョン 2018.03 に基づいて構築されています。詳細については、ブログ投稿「[Amazon Linux AMI のサポート終了](https://aws.amazon.com/blogs/aws/update-on-amazon-linux-ami-end-of-life/)」を参照してください。  
既存の NAT AMI を使用する場合は、AWS が [NATゲートウェイに移行](vpc-nat-comparison.md#nat-instance-migrate)することを推奨します。NAT ゲートウェイでは、可用性と帯域幅に優れ、運用管理の手間を軽減できます。詳細については、「[NAT ゲートウェイと NAT インスタンスの比較](vpc-nat-comparison.md)」を参照してください。  
NAT インスタンスの方が NAT ゲートウェイよりもユースケースに適している場合は、[3. NAT AMI を作成する](work-with-nat-instances.md#create-nat-ami) で説明されているように Amazon Linux の現行バージョンから独自の NAT AMI を作成できます。

**Topics**
+ [NAT インスタンスの基本](#basics)
+ [プライベートリソースが VPC の外側で通信できるようにする](work-with-nat-instances.md)

## NAT インスタンスの基本
<a name="basics"></a>

次の図は、NAT インスタンスの基本を示しています。プライベートサブネットと関連付けられたルートテーブルは、プライベートサブネットのインスタンスからパブリックサブネット内の NAT インスタンスにインターネットトラフィックを送信します。次に、NAT インスタンスは、そのトラフィックをインターネットゲートウェイに送信します。トラフィックは NAT インスタンスのパブリック IP アドレスに関連付けられます。NAT インスタンスは応答用に大きなポート番号を指定します。応答が戻ってきた場合、NAT インスタンスはそれをプライベートサブネット内のインスタンスに、応答用のポート番号に基づいて送信します。

NAT インスタンスにはインターネットアクセスが必要なため、パブリックサブネット (インターネットゲートウェイへのルートがあるルートテーブルを持つサブネット) に存在し、パブリック IP アドレスまたは Elastic IP アドレスを持っている必要があります。

![\[VPC 内の NAT インスタンスのセットアップを示す図\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/nat-instance_updated.png)


NAT インスタンスを使い始めるには、NAT AMI を作成し、NAT インスタンスのセキュリティグループを作成して、NAT インスタンスを VPC で起動します。

NAT インスタンスのクォータは、リージョンのインスタンスのクォータによって異なります。詳細については、「AWS 全般のリファレンス」の「[Amazon EC2 Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html#limits_ec2)」を参照してください。

# プライベートリソースが VPC の外側で通信できるようにする
<a name="work-with-nat-instances"></a>

このセクションでは、NAT インスタンスを作成し、これを使ってプライベートサブネット内のリソースが仮想プライベートクラウドの外部で通信できるようにする方法について説明します。

**Topics**
+ [1. NAT インスタンス用の VPC を作成する](#create-vpc-subnets)
+ [2. NAT インスタンスのセキュリティグループを作成する](#NATSG)
+ [3. NAT AMI を作成する](#create-nat-ami)
+ [4. NAT インスタンスの作成](#NATInstance)
+ [5. 送信元/送信先チェックを無効にする](#EIP_Disable_SrcDestCheck)
+ [6. ルートテーブルを更新する](#nat-routing-table)
+ [7. NAT インスタンスをテストする](#nat-test-configuration)

## 1. NAT インスタンス用の VPC を作成する
<a name="create-vpc-subnets"></a>

次の手順を使用して、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

**VPC を作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. **[Create VPC（VPC の作成）]** を選択します。

1. **[Resources to create]** (作成するリソース) で、**[VPC and more]** (VPC など) を選択します。

1. [**名前タグの自動生成**] に、VPC の名前を入力します。

1. サブネットを設定するには、次の操作を行います。

   1. [**アベイラビリティーゾーンの数**] で、ニーズに応じて [**1**] または [**2**] を選択します。

   1. [**パブリックサブネットの数**] で、アベイラビリティーゾーンごとに 1 つのパブリックサブネットがあることを確認します。

   1. **[Number of private subnets]** (プライベートサブネットの数) で、アベイラビリティーゾーンごとに 1 つのプライベートサブネットがあることを確認します。

1. **[Create VPC（VPC の作成）]** を選択します。

## 2. NAT インスタンスのセキュリティグループを作成する
<a name="NATSG"></a>

次の表で説明されているルールを使用してセキュリティグループを作成します。これらのルールにより、NAT インスタンスは、ネットワークからの SSH トラフィックだけでなく、プライベートサブネット内のインスタンスからインターネットに向かうトラフィックも受信できるようになります。また、NAT インスタンスは、インターネットにトラフィックを送信することもできます。これにより、プライベートサブネットのインスタンスがソフトウェア更新を取得できます。

推奨されるインバウンドルールを次に示します。


| ソース | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| プライベートサブネット CIDR | TCP | 80 | プライベートサブネットのサーバーからのインバウンド HTTP トラフィックを許可する | 
| プライベートサブネット CIDR | TCP | 443 | プライベートサブネットのサーバーからのインバウンド HTTPS トラフィックを許可する | 
| ネットワークのパブリック IP アドレスの範囲 | TCP | 22 | ネットワークから NAT インスタンスへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可する | 

推奨されるアウトバウンドルールを次に示します。


| 目的地 | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | TCP | 80 | インターネットへのアウトバウンド HTTP アクセスを許可する | 
| 0.0.0.0/0 | TCP | 443 | インターネットへのアウトバウンド HTTPS アクセスを許可する | 

**セキュリティグループを作成するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで [**セキュリティグループ**] をクリックします。

1. **セキュリティグループの作成** を選択します。

1. セキュリティグループの名前と説明を入力します。

1. **[VPC]** には、NAT インスタンスの VPC の ID を選択します。

1. 次のように、**[インバウンドルール]** でインバウンドトラフィックのルールを追加します。

   1. [**ルールの追加**] を選択します。**[種類]** で **[HTTP]** を選択し、**[送信元]** にプライベートサブネットの IP アドレス範囲を入力します。

   1. [**ルールの追加**] を選択します。**[種類]** で **[HTTPS]** を選択し、**[送信元]** にプライベートサブネットの IP アドレス範囲を入力します。

   1. [**ルールの追加**] を選択します。**[種類]** に **[SSH]** を選択し、**[送信元]** にネットワークの IP アドレス範囲を入力します。

1. 次のように、**[アウトバウンドルール]** でアウトバウンドトラフィックのルールを追加します。

   1. [**ルールの追加**] を選択します。**[種類]** に **[HTTP]** を選択し、**[送信先]** に「0.0.0.0/0」と入力します。

   1. [**ルールの追加**] を選択します。**[種類]** に **[HTTPS]** を選択し、**[送信先]** に「0.0.0.0/0」と入力します。

1. [**セキュリティグループの作成**] を選択します。

詳細については、「[セキュリティグループ](vpc-security-groups.md)」を参照してください。

## 3. NAT AMI を作成する
<a name="create-nat-ami"></a>

NAT AMI は、EC2 インスタンスで NAT を実行するように設定されます。NAT AMI を作成した後、NAT AMI を使用して NAT インスタンスを起動する必要があります。

NAT AMI に Amazon Linux 以外のオペレーティングシステムを使用する予定の場合は、そのオペレーティングシステムのドキュメントを参照して NAT の設定方法を確認します。インスタンスの再起動後も維持されるように、これらの設定を保存するようにしてください。

**Amazon Linux 用の NAT AMI を作成するには**

1. AL2023 または Amazon Linux 2 を実行する EC2 インスタンスを起動します。必ず NAT インスタンス用に作成したセキュリティグループを指定してください。

1. インスタンスに接続し、次のコマンドをそのインスタンスで実行して、iptables を有効にします。

   ```
   sudo yum install iptables-services -y
   sudo systemctl enable iptables
   sudo systemctl start iptables
   ```

1. 再起動後も維持されるように IP 転送を有効にするには、インスタンスで次の操作を行います。

   1. テキストエディタ (**nano** や **vim**) を使用し、設定ファイル (`/etc/sysctl.d/custom-ip-forwarding.conf`) を作成します。

   1. 設定ファイルに次の行を追加します。

      ```
      net.ipv4.ip_forward=1
      ```

   1. 設定ファイルを保存し、テキストエディタを終了します。

   1. 次のコマンドを実行し、設定ファイルを適用します。

      ```
      sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf
      ```

1. インスタンスで次のコマンドを実行して、プライマリネットワークインターフェイスの名前を書き留めます。この情報は、次のステップで必要になります。

   ```
   netstat -i
   ```

   次の出力例では、`docker0` は Docker が作成したネットワークインターフェイス、`eth0` はプライマリネットワークインターフェイス、`lo` はループバックインターフェイスです。

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   docker0   1500        0      0      0 0             0      0      0      0 BMU
   eth0      9001  7276052      0      0 0       5364991      0      0      0 BMRU
   lo       65536   538857      0      0 0        538857      0      0      0 LRU
   ```

   次の出力例では、プライマリネットワークインターフェイスは `enX0` です。

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   enX0      9001     1076      0      0 0          1247      0      0      0 BMRU
   lo       65536       24      0      0 0            24      0      0      0 LRU
   ```

   次の出力例では、プライマリネットワークインターフェイスは `ens5` です。

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   ens5      9001    14036      0      0 0          2116      0      0      0 BMRU
   lo       65536       12      0      0 0            12      0      0      0 LRU
   ```

1. 次のコマンドをインスタンスで実行して、NAT を設定します。プライマリネットワークインターフェイスが `eth0` でない場合は、*eth0* を、前のステップでメモしたプライマリネットワークインターフェイスに置き換えます。

   ```
   sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   sudo /sbin/iptables -F FORWARD
   sudo service iptables save
   ```

1. EC2 インスタンスから NAT AMI を作成します。詳細については、「Amazon EC2 ユーザーガイド」の「[インスタンスからの Linux AMI の作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#how-to-create-ebs-ami)」を参照してください。

## 4. NAT インスタンスの作成
<a name="NATInstance"></a>

以下の手順に従って、作成した VPC、セキュリティグループ、NAT AMI を使用し、NAT インスタンスを起動します。

**NAT インスタンスを起動するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ダッシュボードで、[**Launch Instance (インスタンスの起動)**] を選択してください。

1. **[名前]** に、NAT インスタンスの名前を入力します。

1. **[アプリケーションと OS イメージ]** で、NAT AMI を選択します (**[その他の AMI を参照]**、**[My AMI]** を選択します)。

1. **[インスタンスタイプ]** で、NAT インスタンスに必要なコンピューティング、メモリ、ストレージリソースを持つインスタンスタイプを選択します。

1. **[キーペア]** で、既存のキーペアを選択するか、**[新しいキーペアの作成]** を選択します。

1. **[Network settings]** (ネットワーク設定) で、次の操作を行います。

   1. **[編集]** を選択します。

   1. [**VPC **] で、作成した VPC を選択します。

   1. **[サブネット]** で、作成済みのパブリックサブネットを選択します。

   1. **[Auto-assign public IP]** (パブリック IP の自動割り当て) で、**[Enable]** (有効化) を選択します。または、NAT インスタンスを起動した後、Elastic IP アドレスを割り振り、それを NAT インスタンスに割り当てます。

   1. **[ファイアウォール]** で **[既存のセキュリティグループの選択]** を選択してから、作成済みのセキュリティグループを選択します。

1. **[インスタンスを起動]** を選択してください。インスタンス ID を選択して、インスタンスの詳細ページを開きます。インスタンスの状態が **[実行中]** に変わり、ステータスチェックが成功するまで待ちます。

1. NAT インスタンスの送信元/送信先チェックを無効にします ([5. 送信元/送信先チェックを無効にする](#EIP_Disable_SrcDestCheck) を参照)。

1. ルートテーブルを更新して、NAT インスタンスにトラフィックを送信します ([6. ルートテーブルを更新する](#nat-routing-table) を参照)。

## 5. 送信元/送信先チェックを無効にする
<a name="EIP_Disable_SrcDestCheck"></a>

EC2 インスタンスは、送信元/送信先チェックをデフォルトで実行します。つまり、そのインスタンスは、そのインスタンスが送受信する任意のトラフィックの送信元または送信先である必要があります。しかし、NAT インスタンスは、送信元または送信先がそのインスタンスでないときにも、トラフィックを送受信できなければなりません。したがって、NAT インスタンスでは送信元/送信先チェックを無効にする必要があります。

**送信元/送信先チェックを無効にするには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**インスタンス**] を選択してください。

1. NAT インスタンスを選択します。

1. **[アクション]**、**[ネットワーキング]**、**[送信元/送信先チェックの変更]** の順にクリックします。

1. **[送信元/宛先を確認]** には、**[停止]** を選択します。

1. **[保存]** を選択します。

1. NAT インスタンスにセカンダリネットワークインターフェイスがある場合は、[**Networking**] (ネットワーキング) のタブで [**Network interfaces**] (ネットワークインタフェイス) から選択します。インターフェイス ID を選択して、ネットワークインタフェイスのページに移動します。[**Actions**] (アクション)、[**Change source/dest. check**] (送信元/送信先の変更チェック) の順に選択し、[**Enable**] (有効化) をクリアし、[**Save**] (保存) を選択します。

## 6. ルートテーブルを更新する
<a name="nat-routing-table"></a>

プライベートサブネットのルートテーブルには、インターネットトラフィックを NAT インスタンスに送信するルートが必要です。

**ルートテーブルを更新するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Route tables]** (ルートテーブル) を選択します。

1. プライベートサブネットのルートテーブルを選択します。

1. **[ルート]** タブで、**[ルートの編集]** 、**[ルートの追加]** の順に選択します。

1. **[送信先]** には「0.0.0.0/0」、**[ターゲット]** には NAT インスタンスのインスタンス ID を入力します。

1. **[Save changes]** (変更の保存) をクリックします。

詳細については、「[ルートテーブルを設定する](VPC_Route_Tables.md)」を参照してください。

## 7. NAT インスタンスをテストする
<a name="nat-test-configuration"></a>

NAT インスタンスを起動して上記の設定手順を完了したら、テストを行い、NAT インスタンスを踏み台サーバーとして使うことで、NAT インスタンス経由でプライベートサブネットのインスタンスからインターネットにアクセスできるかどうかを確認します。

**Topics**
+ [ステップ 1: NAT インスタンスのセキュリティグループを更新する](#nat-test-security)
+ [ステップ 2: プライベートサブネット内でインスタンスを起動する](#nat-test-launch-instance)
+ [ステップ 3: ICMP が有効なウェブサイトに ping を送信する](#nat-test-ping)
+ [ステップ 4: クリーンアップする](#nat-test-clean-up)

### ステップ 1: NAT インスタンスのセキュリティグループを更新する
<a name="nat-test-security"></a>

プライベートサブネットのインスタンスが NAT インスタンスに ping トラフィックを送信できるようにするには、インバウンドとアウトバウンドの ICMP トラフィックを許可するルールを追加します。NAT インスタンスを踏み台サーバーとして機能させるには、プライベートサブネットへのアウトバウンド SSH トラフィックを許可するルールを追加します。

**NAT インスタンスのセキュリティグループを更新するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで [**セキュリティグループ**] をクリックします。

1. NAT インスタンスに関連付けられているセキュリティグループのチェックボックスをオンにします。

1. [**インバウンドルール**] タブで、[**インバウンドルールの編集**] を選択します。

1. [**Add rule**] を選択します。[**Type**] (タイプ) で [**All ICMP - IPv4**] (すべての ICMP - IPv4) を選択します。**[送信元]** で **[カスタム]** を選択し、プライベートサブネットの IP アドレス範囲を入力します。[**ルールの保存**] を選択します。

1. **[Outbound rules]** (アウトバウンドルール) タブで **[Edit outbound rules]** (アウトバウンドルールの編集) を選択します。

1. [**Add rule**] を選択します。[**Type**] (タイプ) で [**SSH**] を選択します。**[送信先]** で **[カスタム]** を選択し、プライベートサブネットの IP アドレス範囲を入力します。

1. [**Add rule**] を選択します。[**Type**] (タイプ) で [**All ICMP - IPv4**] (すべての ICMP - IPv4) を選択します。**送信先**として、**Anywhere - IPv4** を選択します。[**ルールの保存**] を選択します。

### ステップ 2: プライベートサブネット内でインスタンスを起動する
<a name="nat-test-launch-instance"></a>

プライベートサブネット内にインスタンスを起動します。NAT インスタンスからの SSH アクセスを許可する必要があります。また、NAT インスタンスに使用したのと同じキーペアを使用する必要があります。

**プライベートサブネット内でテストインスタンスを起動するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ダッシュボードで、[**Launch Instance (インスタンスの起動)**] を選択してください。

1. プライベートサブネットを選択します。

1. このインスタンスにパブリック IP アドレスを割り当てないでください。

1. このインスタンスのセキュリティグループが、NAT インスタンスまたはパブリックサブネットの IP アドレス範囲からのインバウンド SSH アクセス、およびアウトバウンド ICMP トラフィックを許可していることを確認します。

1. NAT インスタンスの起動に使用したのと同じキーペアを選択します。

### ステップ 3: ICMP が有効なウェブサイトに ping を送信する
<a name="nat-test-ping"></a>

プライベートサブネットのテストインスタンスが NAT インスタンスを使用してインターネットと通信できることを検証するには、**ping** コマンドを実行します。

**プライベートインスタンスからインターネット接続をテストするには**

1. ローカルコンピュータから SSH エージェント転送を設定して、NAT インスタンスを踏み台サーバーとして使用できるようにします。

------
#### [ Linux and macOS ]

   ```
   ssh-add key.pem
   ```

------
#### [ Windows ]

   まだインストールされていない場合は、[Pageant をダウンロードしてインストールします](https://www.chiark.greenend.org.uk/~sgtatham/putty/)。

   [PuTTYgen を使用してプライベートキーを変換する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key)。

   Pageant を起動し、タスクバーの **Pageant** アイコン (非表示の場合があります) を右クリックして、**[Add Key]** を選択します。作成した .ppk ファイルを選択し、必要に応じてパスフレーズを入力して、**[Open]** を選択します。

------

1. ローカルコンピュータから、NAT インスタンスに接続します。

------
#### [ Linux and macOS ]

   ```
   ssh -A ec2-user@nat-instance-public-ip-address
   ```

------
#### [ Windows ]

   PuTTY を使用して NAT インスタンスに接続します。**[Auth]** については、**[Allow agent forwarding]** を選択します。**[Private key file for authentication]** は空白のままにしてください。

------

1. NAT インスタンスから、ICMP が有効なウェブサイトを指定して、**ping** コマンドを実行します。

   ```
   [ec2-user@ip-10-0-4-184]$ ping ietf.org
   ```

   NAT インスタンスがインターネットにアクセスできることを確認するため、次のような出力を受け取ったことを確認してから、**Ctrl\$1C** キーを押して **ping** コマンドをキャンセルします。または、NAT インスタンスがパブリックサブネットにある (そのルートテーブルにインターネットゲートウェイへのルートがある) ことを確認します。

   ```
   PING ietf.org (104.16.45.99) 56(84) bytes of data.
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
   ...
   ```

1. NAT インスタンスから、プライベート IP アドレスを使用してプライベートサブネットのインスタンスに接続します。

   ```
   [ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address
   ```

1. プライベートインスタンスから **ping** コマンドを実行して、インターネットに接続できることをテストします。

   ```
   [ec2-user@ip-10-0-135-25]$ ping ietf.org
   ```

   プライベートインスタンスが NAT インスタンスを介してインターネットにアクセスできることを確認するため、次のような出力を受け取ったことを確認してから、**Ctrl\$1C** キーを押して **ping** コマンドをキャンセルします。

   ```
   PING ietf.org (104.16.45.99) 56(84) bytes of data.
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
   ...
   ```

**トラブルシューティング**

プライベートサブネットのサーバーから **ping** コマンドが失敗した場合は、次の手順を使用して問題のトラブルシューティングを行います。
+ ICMP が有効な Web サイトに ping を実行できたことを確認します。そうでない場合、サーバーは応答パケットを受信できません。これをテストするには、自分のコンピュータのコマンドラインターミナルから同じ **ping** コマンドを実行します。
+ NAT インスタンスのセキュリティグループで、プライベートサブネットからのインバウンド ICMP トラフィックを許可していることを確認します。そうでない場合、NAT インスタンスはプライベートインスタンスから **ping** コマンドを受け取ることができません。
+ NAT インスタンスの送信元/送信先チェックを無効にしたことを確認します。詳細については、「[5. 送信元/送信先チェックを無効にする](#EIP_Disable_SrcDestCheck)」を参照してください。
+ ルートテーブルが正しく設定されていることを確認します。詳細については、「[6. ルートテーブルを更新する](#nat-routing-table)」を参照してください。

### ステップ 4: クリーンアップする
<a name="nat-test-clean-up"></a>

プライベートサブネットのテストサーバーが不要になった場合、インスタンスを終了し、今後料金を請求されないようにします。詳細については、「*Amazon EC2 ユーザーガイド*」の「[インスタンスの終了](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)」を参照してください。

NAT インスタンスが不要になった場合は、そのインスタンスを停止または終了して、料金を請求されないようにできます。NAT AMI を作成した場合は、必要なときにいつでも新しい NAT インスタンスを作成できます。