CloudFront VPCオリジンとVPC Latticeサービスの内部ALBをマルチアカウントで一元利用しよう

Transcript

1. NW -JAWS #21 ～改めて振り返る CloudFront と ELB(LV200 ～) CloudFront のVPCオリジンと

   VPC Lattice サービスの内部 ALBを マルチアカウントで一元利用しよう Kiyomasa Miyamoto IBM Japan 26 th May in 2026

2. Agenda 1. 自己紹介 2. Web サーバーでの ALB利用の歴史 1. CloudFront VPC

   オリジン登場以前 (～2024 年10 月) 2. CloudFront VPC オリジンの登場 (2024 年11 月) 3. CloudFront VPC オリジンの機能拡張 (2025 年11 月) 3. CloudFront VPC オリジンのマルチアカウントでの一元利用 1. 検証構成 2. ポイント 4. VPC Lattice サービスとしての内部 ALBの利用 1. Lattice サービスの作成イメージ 2. Lattice サービス (内部ALB)のマルチアカウントでの一元利用 3. Lattice サービスへのアクセス 5. まとめ

3. 1. 自己紹介 ⚫ 氏名：宮本 清正 ⚫ 経歴：大学院修士 修了後、新卒入社。 (大学院時代はシステム制御 (AI

   の前身)を研究。 ) • 勤続25 年。 主にメインフレーム (IBM Z) の運用自動化領域の技術支援を実施中。 • 社内AI 推進活動実施中 • 社内AWS コミュニティーにおける AWS エンジニア育成活動実施中 (3 年) ⚫ 好きな IT 技術： クラウド 、 AI 、 Linux 、 IaC (Ansible,Terraform etc)、ネットワーク ⚫ 好きな AWS サービス： CloudFormation 、 Kiro 、 Systems Manager 、 VPC Lattice など。 ⚫ AWS 受賞歴 ⚫ 2024 -2025 Japan AWS All Certifications Engineers ⚫ 2025 -2026 AWS Community Builders (Global 表彰) ※Network & Content Delivery PMI 認定資格(PMP) G検定

4. 2. Web サーバーでの ALB利用の歴史 1. CloudFront VPC オリジン登場以前 (～2024 年10

   月) ⚫ フロントエンド (Web サーバー)側でALBを利用する場合、主に下記 2パターンの構成が取られてきた。 ⚫ ALBを内部ロードバランサーとしてプライベートサブネットに配置はできるものの、主にアプリケーションサーバーに 対する負荷分散を行う為のものとして利用されてきた。 ALBと Web サーバー共にパブリックサブネットに配置 ALBはパブリックサブネット、 Web サーバーはプライベートサブネットに配置 VPC Public subnet Public subnet Webサーバー Webサーバー AZ1 AZ2 ALB Internet gateway VPC AZ1 Public subnet AZ2 Public subnet Private subnet Private subnet Webサーバー Webサーバー Internet gateway ALB NAT gateway NAT gateway

5. 2. Web サーバーでの ALB利用の歴史 2. CloudFront VPCオリジンの登場 (2024 年11 月)

   ⚫ VPCのプライベートサブネットに配置されている ALB、 NLB、 EC2 インスタンスを、 CloudFront のオリジンとして 使用できるように機能拡張された。 https://aws.amazon.com/jp/about -aws/whats -new/2024/11/amazon -cloudfront -vpc -origins/ ⚫ CloudFront からのアクセスのみに限定するのであれば、 Web サーバー向けのフロントエンドとして、 ALBを パブリックサブネットに配置する必要がなくなった。 ⚫ ただし、当時は単一アカウントでのみ使用が可能なものだった。 CloudFront Distribution VPC AZ1 Private subnet AZ2 Private subnet Webサーバー Webサーバー Public subnet Public subnet AWS account NAT gateway NAT gateway Internet gateway ALB CloudFront VPC Origin

6. 2. Web サーバーでの ALB利用の歴史 3. CloudFront VPC オリジンの機能拡張 (2025 年11

   月) ⚫ VPCオリジンの CloudFront サポート発表から 1年後に、 VPCオリジンを RAM(Resource Access Manager) を使用して、複数アカウントでの共有利用が可能となった。 https://aws.amazon.com/jp/about -aws/whats -new/2025/11/amazon -cloudfront -cross -account -vpc -origins/ ⚫ 個々のVPCオリジン作成が不要になり、 1つのアカウントで VPCオリジンの一元管理が可能となる。 VPC AZ1 Private subnet AZ2 Private subnet Webサーバー Webサーバー AWS account AWS account AWS account CloudFront distribution CloudFront distribution CloudFront VPC Origin RAM Regional NAT gateway Internet gateway 同じ時期にリージョナル NAT ゲートウェイも発表され、 NAT ゲートウェイのパブリッ クサブネットへの配置も不要 となった。

7. 3. CloudFront VPC オリジンのマルチアカウントでの一元利用 1. 検証構成 ⚫ VPCオリジンは、プライベートサブネットに配置した ALB(内部ロードバランサー )とする。

   ⚫ ALBリスナーは HTTPS( ポート 443) アクセス、ターゲットグループ (EC2) へのヘルスチェックは HTTP( ポート 80) とする。 ⚫ CloudFront ディストリビューション、 VPCオリジンの ALB共にACMで作成したパブリック証明書を設定。 ⚫ メインアカウントに親ドメインのホストゾーン、他のアカウントにサブドメインのホストゾーンを用意。 VPC AZ1 Private subnet AZ2 Private subnet Webサーバー Webサーバー Main AWS account Other AWS account CloudFront distribution CloudFront VPC Origin RAM Regional NAT gateway Internet gateway Interface Endpoint Session Manager AWS Systems Manager 東京リージョン ACM 米国東部リージョン ACM パブリック ホストゾーン (cloudlab-km.com) Amazon Route 53 Amazon Route 53 パブリック ホストゾーン (awsuser01.cloudlab-km.com)

8. 3. CloudFront VPCオリジンのマルチアカウントでの一元利用 2. ポイント ⚫ 設定内容の詳細については、下記リンク先の Qiita 記事(昨年投稿)を参照。 AWS

   の夜明け～VPCリソースにパブリックサブネットが不要な時代の到来 検証をシンプルにするために、 Web サーバーは単純にデフォルトの Apache2 提供のindex.html を表示するものとしている。 ⚫ 検証で分かった主なポイントは下記の通り。 主なポイント 個人的な感想 ・他アカウントでの共有設定の際に、 RAM コンソールへの遷 移が不要。 ・他の AWS サービスであれば RAM コンソールで共有設定を作 成するものが多いので、この点は便利。 ・他アカウントの CloudFront コンソールにおいて、 VPCオリ ジンエンドポイント (メインアカウントの VPCオリジンへの接 続に必要)については 手動入力が必要。プルダウンメニューと かが付いていない。 ・今回は個人で複数アカウント各々の AWS コンソールにログ オンしていたため、コピー &ペーストで対応したが、業務で利 用する場合には、 VPCオリジンエンドポイントの情報をメー ルなどで事前に入手しておくなどの考慮が必要と考える。 ・ VPCオリジンを CloudFront のオリジンとして利用する場合、 月額プランを使うのであれば、 ビジネスプラン (月200$) の指 定が必要。 ・単一アカウントのみでの利用時も同様だが、月額プランを 契約した場合、 CloudFront のディストリビューションは削除 できない。 ・ディストリビューションを削除する場合には、月額プラン のキャンセルが必要。 (ただし、その月が終了しない限り、従 量課金制には戻らない。 ) ・ 個人検証用途での利用には、従量課金制で CloudFront を使 用することをお奨め。

9. 4. VPC Lattice サービスとしての内部 ALBの利用 1. Lattice サービスの作成イメージ ⚫ 事前にVPC上に内部ALB構成を作成しておき、それを

   VPC Lattice のターゲットグループに指定する。 ⚫ ターゲットグループを作成後、 Lattice サービスに紐づける。 ⚫ 最終的にVPC Lattice サービスネットワークにアタッチを行う。 ⚫ 内部ALBをターゲットとした Lattice サービスの作成結果イメージについては、下記の Qiita 記事を参照。 AWS の夜明け～VPCリソースにパブリックサブネットが不要な時代の到来 Amazon VPC Lattice サービスネットワーク VPC Private subnet Private subnet AZ1 AZ2 Service ALB Instance* Instance* ターゲットグループ

10. 4. VPC Lattice サービスとしての内部 ALBの利用 2. Lattice サービス (内部ALB)のマルチアカウントでの一元利用 ⚫

    Lattice サービスを RAM で他アカウントに共有することも考えられるが、個人的には下記の構成がお奨め。 ⚫ VPC Lattice サービスネットワークをネットワーク基盤と捉えて、サービスネットワークと Lattice サービス群を 基盤管理用アカウントの環境に構築し、サービスネットワークを他アカウントに RAM で共有する。 ⚫ 他アカウントからは、共有されたサービスネットワークに対し、サービスネットワークエンドポイントを使って Lattice サービス (内部ALB)へアクセスを行う。 ※サービスネットワークエンドポイントについては、下記リンク先にある過去の LT資料を参照。 VPC Latticeのサービスエンドポイント機能を使用した複数VPCアクセス Consumer Account Administorator Account VPC VPC VPC Amazon VPC Lattice サービスネットワーク ALB ターゲットグループ Service Resource Gateway Resource Config Private subnet Service Network Endpoint RAMで共有

11. 4. VPC Lattice サービスとしての内部 ALBの利用 3. Lattice サービスへのアクセス ⚫ サービスネットワークエンドポイントによって提供されるエンドポイント

    DNS を使用すれば、他アカウントで 管理されているサービスネットワークに接続して、 Lattice サービスにアクセスできる。 ssm -user@ip -30 -0-1-178:~$ curl -I https://vpce -0a81cf340261bf54a -snsa -0c148e64e1ba732ee.7d67968.vpc -lattice -svcs.ap -northeast -1. on.aws HTTP/2 200 date: Mon, 25 May 2026 13:59:25 GMT content -type: text/html content -length: 10671 server: Apache/2.4.58 (Ubuntu) last -modified: Mon, 25 May 2026 12:15:57 GMT etag : "29af -652a3573fafb7" accept -ranges: bytes vary: Accept -Encoding x-amzn -requestid : c5f292d5 -24bb -4a4a -b32c -cfbd04ec7f4d ssm -user@ip -30 -0-1-178:~$ curl -l https://vpce -0a81cf340261bf54a -snsa -0c148e64e1ba732ee.7d67968.vpc -lattice -svcs.ap -northeast -1. on.aws <!DOCTYPE html PUBLIC " -//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1 -transitional.dtd"> <html xmlns ="http://www.w3.org/1999/xhtml"> <! -- Modified from the Debian original for Ubuntu Last updated: 2022 -03 -22 See: https://launchpad.net/bugs/1966004 --> <head> <meta http -equiv ="Content -Type" content="text/html; charset=UTF -8" /> <title>Apache2 Ubuntu Default Page: It works</title> <style type="text/ css" media="screen"> ：

12. 5. まとめ ⚫ 今回は、 2025 年11 月に機能拡張された CloudFront VPC オリジンのマルチアカウントでの共有機能と

    VPC Lattice のサービスとして、内部 ALBを他アカウントに共有利用する方法をご紹介しました。 ⚫ VPCオリジンを管理者アカウントで作成し、個々のユーザーアカウントに RAM で共有すれば VPCオリジンを一元利用が可能。 ⚫ 今後、 CloudFront VPC オリジン機能を使用する Web アプリ開発にチャレンジ予定ですが、その際には 下記のようにフロント部分とデータ部分を分けた構成を考えています。 ⚫ フロント部分 (HTML ファイル系 ) ⚫ VPCオリジンから分離して、 S3を使用した静的 Web ホスティングとする。 ⚫ React などを利用。 ⚫ データ部分 (バックエンド ) ⚫ ALBのターゲットグループとして、 ECSを利用。 DBにRDSを利用。 ⚫ VPC Lattice のサービスとしても利用可能なアプリを作成予定。