VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

2021/10/14

VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。

VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。

VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 60 IN      A       10.0.0.110

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110

VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 53 IN      A       54.240.253.185

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185

ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
{
    "Keys": [
        ~省略~
    ]
}

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

{

"Keys": [

~省略~

]

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: S3に置いたMP3ファイルをTwilioから電話再生する(AWS Lambda Python)

Google Calendar Twilio ReminderのTwilioを使 …

: Amazon Chimeのチャットを使ってみました

Amazon Chimeはビデオミーティングや配信したりというサービスですが、チ …

: 「AWSではじめるLinux入門ガイド」を執筆しました

2020年4月30日に、「AWSではじめるLinux入門ガイド」という本を発行い …

: EC2 セッションマネージャにEC2インスタンスの一覧から接続できるようになりました

EC2に接続する時に、どうしてもSSHクライアントから接続しないといけない場合を …

: Systems Manager パッチマネージャでベースラインを作成して適用する

ベースラインの作成 Systems Managerのパッチマネージャーでパッチベ …

: AWS Summit 2017 Tokyo Day2 開場~基調講演

昨年に引き続き今年もAWS Summit Tokyoへ行ってきました。朝一の新 …

: Amazon EC2のスクリーンショットとは

ドキュメント見てたらAmazon EC2でスクリーンショットって機能があったので …

: Cloud9環境を共有した際の環境認証

Cloud9を環境を構築したIAMユーザー以外に共有したとき、その環境から実行す …

: AWS Network Firewallの入門

公式のGetting started with AWS Network Fire …

: AWS Lambdaで「Process exited before completing request」

AWS lambdaで「Process exited before comple …

PREV: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認
NEXT: S3バケットポリシーでクロスアカウントのPrincipalについて確認

VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

ad

ad

関連記事

S3に置いたMP3ファイルをTwilioから電話再生する(AWS Lambda Python)

Amazon Chimeのチャットを使ってみました

「AWSではじめるLinux入門ガイド」を執筆しました

EC2 セッションマネージャにEC2インスタンスの一覧から接続できるようになりました

Systems Manager パッチマネージャでベースラインを作成して適用する

AWS Summit 2017 Tokyo Day2 開場~基調講演

Amazon EC2のスクリーンショットとは

Cloud9環境を共有した際の環境認証

AWS Network Firewallの入門

AWS Lambdaで「Process exited before completing request」