VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

2021/10/14

VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。

VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。

VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 60 IN      A       10.0.0.110

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110

VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 53 IN      A       54.240.253.185

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185

ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
{
    "Keys": [
        ~省略~
    ]
}

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

{

"Keys": [

~省略~

]

}

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: EC2スケジュールリザーブドインスタンスって終わりましたん？

ユーザーガイドのScheduled Reserved Instancesを見ると …

: AWS Step Functions まずはパラレルでLambdaを並列実行してみました

複数のlambdaの実行制御をLambdaでやってましたが、その部分をStep …

: CloudFormation Lambda-backedカスタムリソースチュートリアルをやりました

チュートリアル: Amazon マシンイメージ ID を参照するの手順に従ってや …

: ads.txtをS3に配置してCloudFrontで設定する

ads.txtのダウンロード ads.txt設置してねってメールが来てました。 …

: WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

AWS CloudWatch LogsエージェントでAmazon EC2上のNg …

: Lambda関数で自分自身の環境変数を更新する

Twitterでツイート検索するAPIを試してみるでツイートの取得を重複させない …

: ブラウザからJavaScript SDKを使ってAmazon S3 への写真のアップロードチュートリアルをやってみました

ブラウザから Amazon S3 への写真のアップロードをやってみました。 HT …

: ある意味マネジメントコンソールで生成された署名付きURL

マネジメントコンソールにS3オブジェクトの[開く]というボタンがいつのまにか出来 …

: AWS Transit GatewayのVPCアタッチメント

構成これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …

: Elastic BeanstalkでflaskアプリケーションデプロイのチュートリアルをCloud9で

Elastic Beanstalk への flask アプリケーションのデプロイ …

PREV: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認
NEXT: S3バケットポリシーでクロスアカウントのPrincipalについて確認

VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

ad

ad

関連記事