20260120 Amazon VPC のパブリックサブネットを無くしたい！

Transcript

1. Amazon VPC の パブリックサブネットを無くしたい！ 2026/1/20 Masaru Ogura

2. 自己紹介 • 名前 • 小倉 大 (おぐらまさる) Facebook : https://www.facebook.com/masaru.ogura.71

   X : @MasaruOgura • 所属 • 株式会社サーバーワークス • パーソル＆サーバーワークス株式会社 • その他 • ススキノが生んだエンジニア • 2024 - 2025 Japan AWS Ambassador • 2023 - 2024 Japan AWS Top Engineer • 2020 - 2025 Japan AWS All Certifications Engineer • AWS Samurai 2023 2

3. アジェンダ 1. 結論 2. パブリックサブネットとは？ 3. パブリックサブネットを無くすメリット 4. インターネットから VPC

   向け 5. VPC 内からインターネット向け 6. VPC 内から VPC 外向け 7. 結論 3

4. 結論 • パブリックサブネットを無くすことは技術的には可能 4

5. パブリックサブネットとは？ 5 • インターネットゲートウェイへのルートがあるサブネット 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 Internet

   gateway パブリックサブネットの ルートテーブル 送信先 ターゲット 10.0.0.0/16 local プライベートサブネットの ルートテーブル Region Virtual private cloud (VPC) Availability Zone – 1a Availability Zone – 1c Public subnet Public subnet Private subnet Private subnet Internet Internet gateway Amazon RDS Amazon EC2 Amazon EC2

6. パブリックサブネットを無くすメリット 6 • セキュリティを向上できる 6 送信先 ターゲット 10.0.0.0/16 local プライベートサブネットの

   ルートテーブル Region Virtual private cloud (VPC) Availability Zone – 1a Availability Zone – 1c Private subnet Private subnet Internet Internet gateway Amazon RDS × インターネットからプライベート サブネットへの疎通は不可 ・パブリック IP アドレスがない ・Internet gatewayあての ルートがない

7. インターネットから VPC 向け (Web サーバー) 7 Region Virtual private cloud

   (VPC) Availability Zone – 1a Availability Zone – 1c Private subnet Private subnet Internet Internet gateway Amazon EC2 AWS Cloud Amazon CloudFront (VPC オリジン)

8. インターネットから VPC 向け (Web サーバー以外) 8 Region Virtual private cloud

   (VPC) Availability Zone – 1a Availability Zone – 1c Private subnet Private subnet Internet Internet gateway Amazon EC2 AWS Global Accelerator AWS Cloud

9. VPC 内からインターネット向け 9 Region Virtual private cloud (VPC) Availability Zone

   – 1a Availability Zone – 1c Private subnet Private subnet Internet Internet gateway Amazon EC2 NAT gateway (Regional) Amazon EC2 AWS Cloud

10. VPC 内から VPC 外向け 10 Region Virtual private cloud (VPC)

    Availability Zone – 1a Availability Zone – 1c Private subnet Private subnet Internet Internet gateway Amazon EC2 NAT gateway (Regional) Amazon EC2 AWS Cloud Amazon S3

11. 結論 • パブリックサブネットを無くすことは技術的には可能 – 費用 – 追加の AWS サービスの利用料は許容できるのか –

    要件 – セキュリティ向上のために本当に必要な構成なのか 11

12. 参考資料 • Amazon VPC からパブリックサブネットを無くしたい！ https://blog.serverworks.co.jp/no-public-subnet • VPC リージョナル NAT

    ゲートウェイ https://aws.amazon.com/jp/blogs/networking-and-content-delivery/introducing- amazon-vpc-regional-nat-gateway/ • CloudFront VPC オリジン https://aws.amazon.com/jp/blogs/news/introducing-amazon-cloudfront-vpc-origins- enhanced-security-and-streamlined-operations-for-your-applications/ 12

13. 参考資料 • CloudFront 定額料金プラン https://aws.amazon.com/jp/blogs/networking-and-content-delivery/introducing-flat- rate-pricing-plans-with-no-overages/ • CloudFront 料金 (プランごとに利用できる機能)

    ※言語を英語に変更 https://aws.amazon.com/cloudfront/pricing/ • AWS PrivateLink https://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/what-is-privatelink.html • Global Accelerator (エンドポイントのリソース要件) https://docs.aws.amazon.com/ja_jp/global-accelerator/latest/dg/about-endpoints- caveats.html 13

14. ご清聴ありがとうございました