JAWS-UG東京 ランチタイムLT会 #20230725

2023年7月25日 アイレット株式会社 佐藤 竜也 JAWS-UG東京 ランチタイムLT会 特定のS3バケットへの通信だけ プライベート接続を実現したい

• https://jawsug-asa.connpass.com/event/274687/

自 己 紹 介 # 名前 佐藤 竜也（ますの） @masno_soy # 所属・担当 ・アイレット株式会社 ・AWS基盤 運用・保守 / PM（仮） # 資格 ・2023 Japan AWS All Certifications Engineers # 触ってみたいAWSサービス ・Fargate ・App Runnner ・Amplify

LT内容 指定のS3バケットのみローカル通信で直接アクセスするには？ ・インターフェース型の VPCエンドポイントを経由する ・Route53プライベート ホストゾーンで宛先を参照する ・S3バケットポリシー / セキュリティグループで制御

要件確認 指定のS3バケットのみ ローカル通信で直接アクセスしたい その他細かな要件 ・その他のS3バケットはパブリック経由とする （AmazonLinuxリポジトリ含む） ・パブリックサブネットからは指定のS3へアクセス不可 ・既存のEC2インスタンスの設定は極力変更しない ・お金は抑えたい

疑問点の整理 S3バケットへのローカル通信って出来る？ インターフェース型のVPCエンドポイント （PrivateLink）で解決

疑問点の整理 ゲートウェイ型でもAWSネットワーク内の通信で完結する。 しかしパブリックIP経由となるためプライベート通信は不可。 引用：Amazon S3 用の AWS PrivateLink

• https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_Amazon-Route53-Resolver_0530_v1.pdf#page=18

疑問点の整理 S3バケット毎にエンドポイントの向き先は変えられる？ Route53 プライベートホストゾーンで解決

疑問点の整理 Route53 Resolver ・自動的にVPCに配備されるDNSサーバ ・Route53 Resolverでプライベートホストゾーンを参照する EC2やS3など AWSリソースの名前 解決では追加設定不要 引用：AWS BLACK BELT ONLINE SEMINAR Amazon Route 53 Resolver(p.18)

• https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_Amazon-Route53-Resolver_0530_v1.pdf#page=18

疑問点の整理 パブリックサブネットからのアクセス制御はどうする？ S3バケットポリシーで VPCエンドポイントを指定 セキュリティグループで VPCエンドポイントとEC2間を制御

疑問点の整理 方向性は見えた！ しかし 問題が発生...

問題発生 ゲートウェイ型とインターフェース型の VPCエンドポイントを併用したとき どうやって通信を振り分ければ良いのか...

問題発生 ゲートウェイ型エンドポイントのエイリアス登録が出来ない プライベートホストゾーンは作成可能 「s3.ap-northeast-1.amazonaws.com」 ゲートウェイ型のS3エンドポイントをレコードに登録できない

解決に向けて ３つの案を検討 ・S3バケット宛の経路となるパブリックIPをAレコードに登録する →IPアドレスが可変のため定期チェックの仕組みが必要。 ・Route53 Resolver ルールを利用する →アウトバウンドエンドポイント作成による費用負担増。 ・S3バケット毎にプライベートホストゾーンを作成する →対象バケットが増えるごとにホストゾーンが増える。

方針確定 S3バケット毎にプライベートホストゾーンを作成する 【決め手】 ・ローカル通信をする対象バケットは増加しない方針 ・Route53 アウトバウンドエンドポイントが約90USD/月*ENIのお値段発生 ・IP可変はS3アクセスの障害点となるため許容不可

構成図

補足 詳細は下記ブログにも掲載中 https://soypocket.com/it/s3bucket-limited-private-subnet/ 想定通りの通信になったものの 他に良いやり方ありそうかも？という気持ちはある。

• https://soypocket.com/it/s3bucket-limited-private-subnet/

参考サイト Amazon S3 用の AWS PrivateLink https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/privatelink-interface-endpoints.html BlackBeltOnline：Amazon Route 53 Resolver 編 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_Amazon-Route53-Resolver_0530_v1.pdf#page=18 BlackBeltOnline：Amazon Route 53 Hosted zone 編 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AmazonRoute53-hostedZone_0531_V1.pdf AWS IP アドレスの範囲 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html Amazon S3 のセキュリティのベストプラクティス https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/security-best-practices.html

• https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/privatelink-interface-endpoints.html
• https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_Amazon-Route53-Resolver_0530_v1.pdf#page=18
• https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AmazonRoute53-hostedZone_0531_V1.pdf
• https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html
• https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/security-best-practices.html

ご清聴ありがとうございました