my-site-blogCIDR表記
- 予約アドレスが決まっている
- XXX.XXX.XXX.0-3
- XXX.XXX.XXX.255
サブネット
public subnet
- トラフィックを外部に送信できる
private subnet
- 基本トラフィックを外部に送信できない
マネージドサービス
VPC or サブネット内に構築されるサービス
ex) EC2, RDS
リージョン単位で提供されるリソース、サービス(リージョンサービス)
ex) S3, DynamoDB
VPCエンドポイント
- リージョンサービスとの連携の際にインターネットを共有せずにAWSのネットワーク内での通信を可能にするときに使用する
- ゲートウェイ型とインターフェース型がある
ゲートウェイ型
- ルートテーブルへの設定が必要
ex) S3, DynamoDB
インターフェース型
- AWS PrivateLinkを利用したインターフェース型のエンドポイント
- VPCエンドポイントを使用したいリソースがあるサブネットにアタッチする
- 許可する接続をセキュリティグループを使って制御設定を行う
アクセス制御
ルートテーブル
- メインルートテーブル
- VPCが作られると自動で作られる
- 影響範囲が大きい
- カスタムルートテーブル
- 影響範囲が小さい
- サブネット間のアクセス・通信制御を行う
注意
- サブネットは1つのルートテーブルに紐付かないといけない
- サブネットは複数のルートテーブルに紐づくことはできない
- ルートテーブルは複数のルートテーブルを紐付けることができる
セキュリティグループ
- Linuxにおけるファイヤーウォール機能 IPTablesとほぼ同じ役割
- アクセス許可するソースやプロトコル、ポートのルール定義を作成し、EC2やRDSなどのリソースに紐付けることでファイヤーウォールとして動作する
- 受送信の両方をリソースレベルで制御できる
- リソースをグループ化して、共通のセキュリティグループを関連付けることができる
- 通信の状態を記録する(ステートフル)ので、発生した通信に対する応答通信は自動で許可される
ネットワークACL
- サブネットに関連づけられ、受送信の両方をサブネットレベルで制御できる
- 関連付けられるすべてのサブネットに適用される
- セキュリティグループよりも広範囲な制御・設定ができる
- 通信の状態を記録しない(ステートレス)、応答通信にも許可が必要
その他
VPCフリーログ
- VPCのIPトラフィック情報をキャプチャする機能
- ログはcloudwatchやS3に保存できる
- VPC, サブネット, ENI単位で収集できる
- ログの収集はコンソールからもできるが、データ量が膨大になり、ボリュームに応じた課金
- トラフィック解析が必要な場合は時間を絞ることを推奨
GuardDuty
- VPCのフリーログなどから不正アクセスを検知するサービス