VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

2021/10/14

VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。

VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。

VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 60 IN      A       10.0.0.110

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110

VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。

$ dig kms.us-west-2.amazonaws.com
~中略~
;; ANSWER SECTION:
kms.us-west-2.amazonaws.com. 53 IN      A       54.240.253.185

$ dig kms.us-west-2.amazonaws.com

~中略~

;; ANSWER SECTION:

kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185

ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
~中略~
;; ANSWER SECTION:
vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

~中略~

;; ANSWER SECTION:

vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110

ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com
{
    "Keys": [
        ~省略~
    ]
}

$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com

{

"Keys": [

~省略~

]

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: リザーブドインスタンス推奨事項を確認した

マネジメントコンソールで[AWSコスト管理]カテゴリの[AWS Cost Exp …

: Amazon Pollyを使って覚えたい資料を耳から身体に染み込ませる

Amazon Pollyを使うとソースコードを一切かかなくても、テキストを音声に …

: AWSアカウントのルートユーザーのセキュリティ認証情報

アカウント作成時にはMFA設定するためにIAMダッシュボードからアクセスするので …

: Backlogの課題チケット更新内容をMicrosoft Teamsに通知する(AWS Lambda Python)

BacklogにSlack連携が追加されました。ですが、私の所属している会社で …

: AWS Cloud9でJavaサンプルを実行する

リモートで共有開発ができるCloud9便利ですね。 Cloud9でJavaのサン …

: Amazon Rekognitionでイベント参加者の顔写真を解析して似ている人ランキングをその場で作る

2017/9/21に開催されたAWS Cloud Roadshow 2017 大 …

: AWS EC2 インスタンスステータスのチェックで失敗して起動しなくなり復旧

EC2のインスタンスに接続出来なくなったので、AMIから作成してElastic …

: ヤマムギvol.27 Amazon Route 53プライベートホストゾーンとリゾルバーのデモをしました

今日は『AWS認定資格試験テキスト&問題集AWS認定ソリューションアーキ …

: Backlogの実績工数をAmazon QuickSightで可視化してわかったこと

今年に入ってから、Backlogで個人タスクを登録しだして、予定工数、実績工数を …

: Developers Summit 2018 「AWSのフルマネージドな環境でCI/CDをやってみよう！AWS Cloud9からAWS Fargateへの継続的デプロイをご紹介」を聞きました

※写真は展示のAmazon Echoです。以下は、思ったことや気になったことを …

PREV: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認
NEXT: S3バケットポリシーでクロスアカウントのPrincipalについて確認

VPCピア接続した先のVPCインターフェイスエンドポイントを使用する

ad

ad

関連記事