VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

2021/10/14

VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。

VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。

VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 60 IN      A       10.0.0.110

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110

VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 53 IN      A       54.240.253.185

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185

ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
{
    "Keys": [
        ~省略~
    ]
}

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

{

"Keys": [

~省略~

]

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: AWS Systems Manager Fleet Manager Windows RDP Connectを試してみました

AWS Systems Manager Fleet Manager Window …

: EC2 プレイスメントグループを試してみました

やったことないのでやってみたやつです。プレイスメントグループの作成まず、EC …

: DynamoDB IAMポリシーで特定項目だけを許可する

検証記録です。対象テーブル書籍のサンプルで作ったこちらです。所属バンドの楽 …

: Amazon Linux 2023、T4Gインスタンス、PHP8にWordPressを移行しました

ブログをAmazon Linux 2からAmazon Linux 2023に移行 …

: AWS Transit GatewayのVPCアタッチメント

構成これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …

: AWSのアカウントを新規作成と、最低限やっておいた方がいいMFAの設定

AWSのアカウントを新規作成する手順を書き出しておきます。 ※2017年8月6日 …

: [事前準備] JAWS-UG 関西IoT専門支部「マクニカkibo + AWS IoTハンズオン」

来る12/19(土)の JAWS-UG 関西IoT専門支部第一回勉強会「マクニカ …

: EC2 VyOSで/etc/resolv.confを設定しました

EC2でVyOSを起動してSSHで接続して確認していたところ、どうもVyOSから …

: AWS Summit 2016 Tokyoに参加してきました (Day2)

馬込は非常に良い天気です。泊まっている部屋が2Fでしたので窓を明けると歩いてい …

: AWS CLIを使用したIAMロールの引き受けコマンドのメモ

よく忘れて調べるのでメモです。公式のこちらAWS CLI を使用して IAM …

PREV: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認
NEXT: S3バケットポリシーでクロスアカウントのPrincipalについて確認

VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

ad

ad

関連記事

AWS Systems Manager Fleet Manager Windows RDP Connectを試してみました

EC2 プレイスメントグループを試してみました

DynamoDB IAMポリシーで特定項目だけを許可する

Amazon Linux 2023、T4Gインスタンス、PHP8にWordPressを移行しました

AWS Transit GatewayのVPCアタッチメント

AWSのアカウントを新規作成と、最低限やっておいた方がいいMFAの設定

[事前準備] JAWS-UG 関西IoT専門支部「マクニカkibo + AWS IoTハンズオン」

EC2 VyOSで/etc/resolv.confを設定しました

AWS Summit 2016 Tokyoに参加してきました (Day2)

AWS CLIを使用したIAMロールの引き受けコマンドのメモ