VPCピア接続した先のVPCインターフェイスエンドポイントを使用する
VPC1とVPC2でピア接続しています。
VPC2にはKMSのインターフェイスエンドポイントがあり、DNSを有効にしています。
VPC2はDNS名前解決とDNSホスト名を有効にしています。
VPC1のEC2インスタンスからKMSのインターフェイスエンドポイントは、エンドポイントURLにインターフェイスDNSを指定することで使用できます。
VPC2のC2インスタンスからdigコマンドでkms.us-west-2.amazonaws.comを確認すると、同じVPCにインターフェイスエンドポイントがあるので、プライベートIPアドレスが返ってきます。
|
1 2 3 4 5 |
$ dig kms.us-west-2.amazonaws.com ~中略~ ;; ANSWER SECTION: kms.us-west-2.amazonaws.com. 60 IN A 10.0.0.110 |
VPC1のEC2インスタンスから確認すると、パブリックIPアドレスが返ってきます。
|
1 2 3 4 5 |
$ dig kms.us-west-2.amazonaws.com ~中略~ ;; ANSWER SECTION: kms.us-west-2.amazonaws.com. 53 IN A 54.240.253.185 |
ですが、VPC1のEC2インスタンスからインターフェイスのDNSで確認するとプライベートIPアドレスが返ってきます。
|
1 2 3 4 5 |
$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com ~中略~ ;; ANSWER SECTION: vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110 |
ちなみにローカルのmacからでも、プライベートサブネットしかない単独のVPC内のEC2インスタンスからも名前解決できましたので、ピア接続には関係なく名前解決できます。
|
1 2 3 4 5 |
$ dig vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com ~中略~ ;; ANSWER SECTION: vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com. 60 IN A 10.0.0.110 |
ということで、エンドポイントURLを指定しました。
AWS CLIの場合は、–endpoint-url オプションで使用できます。
|
1 2 3 4 5 6 7 |
$ aws kms list-keys --endpoint-url https://vpce-0b5082ea4163c3866-hztmwhus.kms.us-west-2.vpce.amazonaws.com { "Keys": [ ~省略~ ] } |
最後までお読みいただきましてありがとうございました!
【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。
【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。
【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。
【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
CodeCommitリポジトリの復号化のCloudTrailログ確認
ユーザーガイドAWS Key Management Service と AWS …
-
-
DS18B20センサー+Raspberry Piで取得した温度をAmazon Kinesis FirehoseからS3へ格納してAthenaでクエリーしたのをQuickSightで可視化する
JAWS DAYS 2017でやりますハンズオンの「[IoTハンズオン] Ras …
-
-
ヤマムギ vol.24 API GatewayでREST API作成と直接DynamoDB登録のデモをしました
2週間ぶりのヤマムギ勉強会デモなのでなんだか久しぶりな気がしました。 今日はポケ …
-
-
AWS Transit GatewayのVPN接続
上記のような構成で、オンプレミス側は東京リージョンのVPCでVyOSを起動して接 …
-
-
Developers Summit 2018 「AWSのフルマネージドな環境でCI/CDをやってみよう!AWS Cloud9からAWS Fargateへの継続的デプロイをご紹介」を聞きました
※写真は展示のAmazon Echoです。 以下は、思ったことや気になったことを …
-
-
Backlogの実績工数をAmazon QuickSightでの可視化 – 仕組み編
Backlogの実績工数をAmazon QuickSightで可視化してわかった …
-
-
WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する
AWS CloudWatch LogsエージェントでAmazon EC2上のNg …
-
-
AWS CDK とにかくサンプルでやってみる
Cloud9でAWS CDK環境で作った環境でサンプルプロジェクトからのデプロイ …
-
-
AWS Transit GatewayのVPCアタッチメント
構成 これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …
-
-
Amazon Route 53 Resolverを設定確認
Route 53 Resolverを設定しました。 東京リージョンのVPCをオン …