VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

2021/10/14

VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。

VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。

VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 60 IN      A       10.0.0.110

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110

VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 53 IN      A       54.240.253.185

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185

ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
{
    "Keys": [
        ~省略~
    ]
}

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

{

"Keys": [

~省略~

]

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: 「Amazon EKS Workshop」の環境準備とクラスター作成

今はアーカイブになっている1つ前のEKS Workshopの環境準備記録です。 …

: Amazon LinuxにRedmine 環境構築(エラーと対応をそのまま記載版)

Amazon Linuxにgit + Redmineの環境を構築してみます。自 …

: Amazon CloudWatch Syntheticsでハートビートモニタリングを実行

このブログに対してハートビートモニタリングのCanaryを実行してみました。 C …

: Lambdaバージョンとエイリアスとトリガー

Lambdaのバージョン、エイリアスにはそれぞれ別のトリガーが設定できます。上 …

: AWS Lambda(Python3)でSelenium + Chrome Headless + でwebスクレイピングする

インターネット上に公開されている情報をDynamoDBにつっこみたいだけなので、 …

: Intel 82599 VF インターフェイスで拡張ネットワーキングが有効なEC2インスタンスで帯域幅を確認してみました

拡張ネットワーキングが有効なEC2インスタンスとそうではないインスタンスの2セッ …

: Amazon SES, S3で受信したメールをAWS Lambda, SESで別のメールへ転送する

Amazon SESでメール受信で受信したメールを、毎回S3バケットに見に行って …

: CloudWatch Logs機密データ保護を設定しました

Amazon CloudWatch Logs を使用して機密データを保護するがリ …

: AWS EC2 インスタンスステータスのチェックで失敗して起動しなくなり復旧

EC2のインスタンスに接続出来なくなったので、AMIから作成してElastic …

: AWS コスト最適化ハブを有効にしました

新しいコスト最適化ハブは、推奨アクションを一元化してコストを節約します 2023 …

PREV: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認
NEXT: S3バケットポリシーでクロスアカウントのPrincipalについて確認

VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

ad

ad

関連記事