EC2 Instance Connect Endpoint を使用した、パブリック IPv4 アドレスを必要としないインスタンスへの接続 - Amazon Elastic Compute Cloud

EC2 Instance Connect Endpoint を使用した、パブリック IPv4 アドレスを必要としないインスタンスへの接続

EC2 インスタンスConnect エンドポイントを使用すると、インスタンスにパブリック IPv4 アドレスがなくても、SSH または RDP 経由でインスタンスに接続できます。

仕組み

まず、仮想プライベートクラウド (VPC) のサブネットに EC2 Instance Connect Endpoint を作成します。次に、インスタンスに接続するときに、インスタンスの ID を指定します。オプションで EC2 Instance Connect Endpoint を指定できます。エンドポイントはインスタンスへのプライベートトンネルとして機能します。

サブネットに EC2 Instance Connect Endpoint を作成すると、VPC がサブネットの通信を許可するように設定されていれば、そのエンドポイントを使用して VPC 内の任意のサブネットの任意のインスタンスに接続できます。

注記

あるサブネットの EC2 Instance Connect Endpoint を使用して、別のアベイラビリティーゾーンにある別のサブネットのインスタンスに接続する場合、アベイラビリティーゾーン間のデータ転送に追加料金がかかります。

次の図は、VPC のプライベートサブネットにあるインスタンスにインターネットから接続しているユーザーを示しています。図には、以下の主要コンポーネントがあります。

  • EC2 Instance Connect Endpoint サービスは、ユーザーが EC2 Instance Connect Endpoint を使用して、プライベートサブネットにあるインスタンスにインターネットから接続できるようにする AWS のサービスです。

  • プライベートサブネット A の EC2 Instance Connect Endpoint はプライベートトンネルとして機能し、ユーザーはプライベートサブネットにあるインスタンスに接続できます。

    EC2 Instance Connect Endpoint の作成と接続へのアクセスは、IAM アクセス許可によって制御されます。インスタンスに追加のセキュリティグループルールを設定して、インバウンドトラフィックを制限できます。例えば、インスタンスのインバウンドルールを使用して、EC2 Instance Connect Endpoint からの管理ポート上のトラフィックのみを許可することができます。

  • プライベートサブネット A には EC2 Instance Connect Endpoint がありますが、プライベートサブネット B にはありません。VPC の設定に基づいて、プライベートサブネット A とプライベートサブネット B が通信を許可されている場合、プライベートサブネット A の EC2 Instance Connect Endpoint を使用してプライベートサブネット B のインスタンスに接続できます。


                EC2 Instance Connect Endpoint フローの概要。
利点

EC2 Instance Connect Endpoint には以下の利点があります。

  • インスタンスにパブリック IPv4 アドレスを設定することなく、インスタンスに接続できます。AWS は、実行中のインスタンスと Elastic IP アドレスに関連付けられたパブリック IPv4 アドレスを含む、すべてのパブリック IPv4 アドレスに対して料金を請求します。詳細については、「Amazon VPC の料金」ページの「パブリック IPv4 アドレス」タブを参照してください。

  • VPC にインターネットゲートウェイがなくても、インターネットからインスタンスに接続できます。

  • IAM ポリシーとアクセス許可を使用して、インスタンスに接続する EC2 Instance Connect Endpoint の作成と使用へのアクセスを制御できます。

  • インスタンスへの接続を試みると、成功または失敗を問わず、すべて CloudTrail にログが作成されます。