メニュー
Amazon Virtual Private Cloud
ユーザーガイド

Amazon VPC とは?

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワーク内にアマゾン ウェブ サービス (AWS) リソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。

Amazon VPC の概念

Amazon VPC を開始する場合、この仮想ネットワークの重要な概念と、ご自身のネットワークとの類似点または相違点を理解する必要があります。このセクションでは、Amazon VPC の重要な概念について簡単に説明します。

Amazon VPC は、Amazon EC2 のネットワーキングレイヤーです。Amazon EC2 を始めて使う場合は、Amazon EC2 の概要をご覧ください。」 (Linux インスタンス用 Amazon EC2 ユーザーガイド) でその概要を確認してください。

VPC とサブネット

Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース (例えば Amazon EC2 インスタンス) を VPC 内に起動できます。VPC は設定できます。例えば、IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイ、セキュリティの設定などが可能です。

サブネットは、VPC の IP アドレスの範囲です。AWS リソースは、選択したサブネット内に起動できます。インターネットに接続する必要があるリソースにはパブリックサブネットを、インターネットに接続されないリソースにはプライベートサブネットを使用してください。パブリックサブネットとプライベートサブネットの詳細については、「VPC とサブネットの基本」を参照してください。

各サブネットでの AWS リソースの保護には、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用できます。詳細については、「セキュリティ」を参照してください。

サポートされているプラットフォーム

オリジナルリリースの Amazon EC2 は、ほかのカスタマーと共用していた EC2-Classic プラットフォームという名の単一のフラットネットワークをサポートしていました。以前の AWS アカウントでは、現在でもこのプラットフォームをサポートしており、EC2-Classic または VPC にインスタンスを起動できます。2013 年 12 月 4 日以降に作成されたアカウントは EC2-VPC のみをサポートします。詳細については、「サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する」を参照してください。

EC2-Classic の代わりに VPC でインスタンスを起動すると、次が可能になります。

  • 開始から停止までの間に維持される静的プライベート IPv4 アドレスをインスタンスに割り当てる。

  • オプションで、IPv6 CIDR ブロックを VPC に関連付け、IPv6 アドレスをインスタンスに割り当てる。

  • 複数の IP アドレスをインスタンスに割り当てる

  • ネットワークインターフェイスを定義し、1 つまたは複数のネットワークインターフェイスをインスタンスに割り当てる

  • 実行中にインスタンスのセキュリティグループメンバーシップを変更する

  • インスタンスからのアウトバウンドトラフィックを制御し (egress フィルタリング)、インスタンスへのインバウンドトラフィックを制御する (ingress フィルタリング)

  • ネットワークアクセスコントロールリスト (ACL) の形でインスタンスにアクセス制御の層を追加する

  • 単一テナントハードウェアでインスタンスを実行する

値とデフォルト以外の VPCs

アカウントが EC2-VPC プラットフォームのみをサポートする場合は、各アベイラビリティーゾーンでデフォルトサブネットを持つデフォルト VPC が作成されます。デフォルト VPC は EC2-VPC による高度な機能のメリットがあり、即時に利用することができます。デフォルト VPC をお持ちのお客様が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォルト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関する知識は必要ありません。

アカウントがサポートするプラットフォームのタイプにかわらず、必要に応じた独自の VPC を作成および設定をすることができます。これはデフォルト以外の VPC と呼ばれます。デフォルト以外の VPC で作成するサブネット、そしてデフォルト VPC で作成する追加サブネットは、デフォルト以外のサブネットと呼ばれます。

インターネットにアクセスする

VPC 内に起動するインスタンスが VPC 外のリソースにどのようにアクセスするかをコントロールします。

デフォルトの VPC にはインターネットゲートウェイが含まれ、各デフォルトのサブネットはパブリックサブネットです。デフォルトのサブネット内に起動するインスタンスにはそれぞれ、プライベート IPv4 アドレスとパブリック IPv4 アドレスが割り当てられています。これらのインスタンスは、このインターネットゲートウェイを介してインターネットと通信できます。インターネットゲートウェイを使用すると、インスタンスが Amazon EC2 ネットワークエッジを介してインターネットに接続できます。

 デフォルトの VPC を使用

デフォルトでは、デフォルト以外のサブネットで起動した各インスタンスにはプライベート IPv4 アドレスが割り当てられていますが、パブリック IPv4 アドレスは割り当てられていません。ただし、起動時に明示的にパブリック IP アドレスを割り当てた場合や、サブネットのパブリック IP アドレス属性を変更した場合は例外です。これらのインスタンスは相互に通信できますが、インターネットにアクセスできません。

 デフォルト以外の VPC を使用する

デフォルト以外のサブネットで起動するインスタンスのインターネットアクセスを有効にするには、インターネットゲートウェイをその VPC にアタッチし (その VPC がデフォルトの VPC でない場合)、インスタンスに Elastic IP アドレスを関連付けます。

 インターネットゲートウェイの使用

また、IPv4 トラフィック用にネットワークアドレス変換 (NAT) デバイスを使用して、VPC のインスタンスによるインターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否することもできます。NAT では、複数のプライベート IPv4 アドレスが 1 つのパブリック IPv4 アドレスにマッピングされます。NAT デバイスは Elastic IP アドレスを持ち、インターネットゲートウェイを介してインターネットに接続されます。プライベートサブネットのインスタンスをインターネットに接続するには、この NAT デバイスを使用します。これにより、トラフィックがインスタンスからインターネットゲートウェイにルーティングされ、すべての応答がインスタンスにルーティングされます。

詳細については、「NAT」を参照してください。

オプションで、Amazon が提供する IPv6 CIDR ブロックを VPC と関連付け、インスタンスに IPv6 アドレスを割り当てることができます。インスタンスは、インターネットゲートウェイを介して IPv6 経由でインターネットに接続できます。また、Egress-Only インターネットゲートウェイを使用して、IPv6 経由でインターネットへのアウトバウンド接続を開始できます。詳細については、「Egress-Only インターネットゲートウェイ」を参照してください。IPv6 トラフィックは IPv4 トラフィックと異なるため、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。

企業ネットワークまたはホームネットワークにアクセスする

オプションで、IPsec ハードウェア VPN 接続を使用して、VPC をご自身の企業データセンターに接続し、AWS クラウドをデータセンターの拡張機能にすることができます。

VPN 接続は、VPC にアタッチされている仮想プライベートゲートウェイと、データセンターに配置されているカスタマーゲートウェイで構成されています。仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。カスタマーゲートウェイは、VPN 接続のお客様側の物理デバイスまたはソフトウェアアプライアンスです。

 仮想プライベートゲートウェイの使用

詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加」を参照してください。

Amazon VPC の使用を開始する方法

Amazon VPC の実践入門をするには、チュートリアル「ご利用開始にあたって」を行ってください。この演習では、パブリックサブネットでデフォルト以外の VPC を作成して、サブネット内にインスタンスを起動する手順を説明します。

デフォルト VPC があり、VPC の追加設定を一切行わずに VPC にインスタンスの起動を始める場合は、「EC2 インスタンスをデフォルトの VPC 内に起動する」を参照してください。

Amazon VPC の基本的なシナリオについては、「シナリオと例」を参照してください。VPC とサブネットは、お客様のニーズに合わせて他の方法でも設定できます。

以下の表は、本サービスを利用する際に役立つ関連リソースをまとめたものです。

リソース 説明

Amazon Virtual Private Cloud Connectivity Options

ネットワーク接続のオプションの概要が記載されているホワイトペーパーです。

Amazon VPC forum

Amazon VPC に関する技術的な疑問について話し合うコミュニティフォーラムです。

AWS の開発者用リソース

ドキュメンテーション、コードサンプル、リリースノートをはじめとする、AWS ベースの革新的なアプリケーション開発に役立つさまざまな情報が収められた、中心的起点となるリソースセンターです。

AWS サポートセンター

AWS サポートのホームページです。

お問い合わせ

AWS の請求、アカウント、イベントに関するお問い合わせの受付窓口です。

Amazon VPC は他の多くの AWS サービスと統合します。また、一部のサービスでは、特定の関数を実行するアカウントで VPC が必要になります。Amazon VPC を使用するサービスの例を次に示します。

AWS Config サービスを使用すると、アカウントの VPC、サブネット、およびその他の VPC リソースの詳細、さらにこれらの相互関係を確認することができます。詳細については、「AWS Config とは何ですか?」を参照してください。」 (AWS Config Developer Guide) を参照してください。

Amazon VPC へのアクセス

Amazon VPC には、Amazon VPC コンソールというウェブベースのユーザーインターフェイスがあります。AWS アカウントにサインアップ済みの場合は、AWS マネジメントコンソールにサインインし、コンソールのホームページから [VPC] を選択することで Amazon VPC コンソールにアクセスできます。

コマンドラインインターフェイスを使用する場合は、以下の選択肢があります。

AWS コマンドラインインターフェイス (CLI)

さまざまな AWS 製品用のコマンドが用意されており、Windows、Mac、および Linux/UNIX でサポートされています。開始するには、AWS Command Line Interface ユーザーガイド を参照してください。Amazon VPC 用のコマンドの詳細については、「ec2」を参照してください。

AWS Tools for Windows PowerShell

PowerShell 環境でスクリプトを記述するユーザー向けに、さまざまな AWS 製品用のコマンドが用意されています。開始するには、「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。

Amazon VPC にはクエリ API が用意されています。このリクエストは、HTTP 動詞 (GET または POST) とクエリパラメータ Action で記述する HTTP または HTTPS リクエストです。Amazon VPC 用の API アクションの詳細については、「Amazon EC2 API Reference」の「Actions」を参照してください。

HTTP または HTTPS を介してリクエストを送信する代わりに、言語固有の API を使用してアプリケーションを構築することを希望する場合に備えて、AWS には、ソフトウェア開発者向けのライブラリ、サンプルコード、チュートリアル、その他のリソースが用意されています。これらのライブラリには、リクエストの暗号化署名、リクエストの再試行、エラーレスポンスの処理などのタスクを自動処理する基本機能が用意されているので、開発を簡単に始められます。AWS SDK のダウンロードの詳細については、「AWS SDK とツール」を参照してください。

Amazon VPC の料金表

Amazon VPC は追加料金なしで使用できます。使用するインスタンスおよびその他の Amazon EC2 機能に対して標準料金がかかります。ハードウェア VPN 接続と NAT ゲートウェイを使用するための料金が発生します。詳細については、「Amazon VPC 料金表」および「Amazon EC2 料金表」を参照してください。

Amazon VPC 制限

プロビジョニングできる Amazon VPC コンポーネントの数には制限があります。これらの制限のいくつかは、リクエストによって引き上げることができます。詳細については、「Amazon VPC の制限」を参照してください。

PCI DSS コンプライアンス

Amazon VPC は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。