別アカウントのVPCからAWS PrivateLinkを使う

2020/03/28 2023/02/12

VPC エンドポイントサービス (AWS PrivateLink)を参考にしました。

NLB + EC2 の構成

右側サービス側のNLB+EC2の構築手順は割愛します。
NLBは内部向けにしました。
EC2は以下のユーザーデータで、画面上にインスタンスの情報が表示されるWebサーバーにしています。

#!/bin/bash
yum -y update
yum -y install httpd
systemctl enable httpd.service
systemctl start httpd.service
AZ=`curl --silent http://169.254.169.254/latest/meta-data/placement/availability-zone`
INSTANCE_ID=`curl --silent http://169.254.169.254/latest/meta-data/instance-id`
IP_ADDRESS=`curl --silent http://169.254.169.254/latest/meta-data/public-ipv4`
echo $AZ\<br\> >> /var/www/html/index.html
echo $INSTANCE_ID\<br\> >> /var/www/html/index.html
echo $IP_ADDRESS >> /var/www/html/index.html

#!/bin/bash

yum -y update

yum -y install httpd

systemctl enable httpd.service

systemctl start httpd.service

AZ=`curl --silent http://169.254.169.254/latest/meta-data/placement/availability-zone`

INSTANCE_ID=`curl --silent http://169.254.169.254/latest/meta-data/instance-id`

IP_ADDRESS=`curl --silent http://169.254.169.254/latest/meta-data/public-ipv4`

echo $AZ\<br\> >> /var/www/html/index.html

echo $INSTANCE_ID\<br\> >> /var/www/html/index.html

echo $IP_ADDRESS >> /var/www/html/index.html

エンドポイントサービスの作成

VPCの[エンドポイントサービスの作成]から作成しました。
NLBを選択して、[エンドポイントの承諾が必要]を有効にしました。

VPCエンドポイントサービス、プリンシパルの許可を設定

作成したエンドポイントサービスを選択して、[ホワイトリストにプリンシパルを追加する]アクションから、コンシューマー側(呼び出し元)のアカウントを追加しました。
123456789012 はもう一方のアカウントIDです。

arn:aws:iam::123456789012:root

arn:aws:iam::123456789012:rootの形式で指定すると、アカウントID123456789012でVPCエンドポイントの作成が許可されたIAMユーザー、IAMロールがVPCエンドポイントを作成できます。
もしもエンドポイントサービスを提供する側が、ほかアカウントで許可されるIAMロールやIAMユーザーを限定したい場合は、arn:aws:iam::123456789012:user/usernameや、arn:aws:iam::123456789012:role/rolenameを指定します。

VPCエンドポイントの作成に必要なので、サービス名をメモっておきました。

VPCエンドポイントの作成

123456789012のアカウントで、VPCエンドポイントを作成しました。

[サービスを名前で検索]を選択して、メモっておいたサービス名を入力して[検証]ボタンを押下しました。
操作しているIAMユーザーにVPCエンドポイントの作成が許可されていれば、サービスが見つかります。

サポートされるAZはNLBが設定されているAZのみになりました。

作成すると、[承諾の保留中]となりました。

エンドポイントサービスで承諾する

エンドポイントサービス側のアカウントに戻り、[エンドポイント接続]タブで承諾をしました。

コンシューマーEC2から接続してみる。

EC2インスタンスを起動して、curlコマンドで、VPCエンドポイントのDNSにリクエストしてみました。

$ curl http://vpce-xxxxxxxxxxxxx.vpce-svc-xxxxxxxxxxx.us-east-1.vpce.amazonaws.com
us-east-1b<br>
i-xxxxxxxxxx<br>
3.237.94.211

$ curl http://vpce-xxxxxxxxxxxxx.vpce-svc-xxxxxxxxxxx.us-east-1.vpce.amazonaws.com

us-east-1b<br>

i-xxxxxxxxxx<br>

3.237.94.211

エンドポイントサービス側のEC2インスタンスの情報が見れました。

エンドポイント作成後に特定のエンドポイントからのリクエストを拒否したい場合

エンドポイントサービス側で、「エンドポイント接続リクエストの却下」を選択します。
状態がRejectになり、接続しようとしてもエラーになります。

$ curl http://vpce-xxxxxxxxxxxxx.vpce-svc-xxxxxxxxxxx.us-east-1.vpce.amazonaws.com
curl: (7) Failed to connect to vpce-xxxxxxxxxxxxx.vpce-svc-xxxxxxxxxxx.us-east-1.vpce.amazonaws.com port 80 after 3081 ms: No route to host

$ curl http://vpce-xxxxxxxxxxxxx.vpce-svc-xxxxxxxxxxx.us-east-1.vpce.amazonaws.com