メニュー
Amazon Virtual Private Cloud
ユーザーガイド

Amazon VPC とは?

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワーク内で AWS リソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。

Amazon VPC の概念

Amazon VPC を開始する場合、この仮想ネットワークの重要な概念と、ご自身のネットワークとの類似点または相違点を理解する必要があります。このセクションでは、Amazon VPC の重要な概念について簡単に説明します。

Amazon VPC は、Amazon EC2 のネットワーキングレイヤーです。Amazon EC2 を始めて使う場合は、Amazon EC2 の概要をご覧ください。」 (Linux インスタンス用 Amazon EC2 ユーザーガイド) でその概要を確認してください。

VPC とサブネット

Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラウドの他の仮想ネットワークから論理的に切り離されており、AWS のリソース (例えば Amazon EC2 インスタンス) を VPC 内に起動できます。VPC の IP アドレス範囲を指定して、サブネットを追加し、セキュリティグループを関連付けて、ルートテーブルを設定できます。

サブネットは、VPC の IP アドレスの範囲です。AWS リソースは、指定したサブネット内に起動できます。インターネットに接続する必要があるリソースにはパブリックサブネットを、インターネットに接続しないリソースにはプライベートサブネットを使用してください。パブリックサブネットとプライベートサブネットの詳細については、「VPC とサブネットの基本」を参照してください。

各サブネットでの AWS リソースの保護には、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用できます。詳細については、「セキュリティ」を参照してください。

サポートされているプラットフォーム

オリジナルリリースの Amazon EC2 は、ほかのカスタマーと共用していた EC2-Classic プラットフォームという名の単一のフラットネットワークをサポートしていました。以前の AWS アカウントでは、このプラットフォームをまだサポートしており、EC2-Classic または VPC にインスタンスを起動できます。2013 年 12 月 4 日以降に作成されたアカウントは EC2-VPC のみをサポートします。詳細については、「サポートされているプラットフォームとデフォルト VPC があるかどうかを確認する」を参照してください。

EC2-Classic の代わりに VPC でインスタンスを起動すると、次が可能になります。

  • 開始から停止までの間に維持される静的プライベート IPv4 アドレスをインスタンスに割り当てる。

  • オプションで、IPv6 CIDR ブロックを VPC に関連付け、IPv6 アドレスをインスタンスに割り当てる。

  • 複数の IP アドレスをインスタンスに割り当てる

  • ネットワークインターフェイスを定義し、1 つまたは複数のネットワークインターフェイスをインスタンスに割り当てる

  • 実行中にインスタンスのセキュリティグループメンバーシップを変更する

  • インスタンスからのアウトバウンドトラフィックを制御し (egress フィルタリング)、インスタンスへのインバウンドトラフィックを制御する (ingress フィルタリング)

  • ネットワークアクセスコントロールリスト (ACL) の形でインスタンスにアクセス制御の層を追加する

  • 単一テナントハードウェアでインスタンスを実行する

値とデフォルト以外の VPCs

アカウントが EC2-VPC プラットフォームのみをサポートする場合は、各アベイラビリティーゾーンでデフォルトサブネットを持つデフォルト VPC が作成されます。デフォルト VPC は EC2-VPC による高度な機能のメリットがあり、即時に利用することができます。デフォルト VPC をお持ちのお客様が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォルト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関する知識は必要ありません。

アカウントがサポートするプラットフォームのタイプにかわらず、必要に応じた独自の VPC を作成および設定をすることができます。これはデフォルト以外の VPC と呼ばれます。デフォルト以外の VPC で作成するサブネット、そしてデフォルト VPC で作成する追加サブネットは、デフォルト以外のサブネットと呼ばれます。

インターネットにアクセスする

VPC 内に起動するインスタンスが VPC 外のリソースにどのようにアクセスするかをコントロールします。

デフォルト VPC にはインターネットゲートウェイが含まれ、各デフォルトサブネットはパブリックサブネットです。デフォルトサブネット内に起動するインスタンスにはそれぞれ、プライベート IPv4 アドレスとパブリック IPv4 アドレスが割り当てられています。これらのインスタンスは、このインターネットゲートウェイを介してインターネットと通信できます。インターネットゲートウェイを使用すると、インスタンスは Amazon EC2 ネットワークエッジを介してインターネットに接続できます。

 デフォルト VPC を使用

デフォルトでは、デフォルト以外のサブネットで起動した各インスタンスにはプライベート IPv4 アドレスが割り当てられていますが、パブリック IPv4 アドレスは割り当てられていません。ただし、起動時に明示的にパブリック IP アドレスを割り当てた場合や、サブネットのパブリック IP アドレス属性を変更した場合は例外です。これらのインスタンスは相互に通信できますが、インターネットにアクセスできません。

 デフォルト以外の VPC を使用する

デフォルト以外のサブネットで起動するインスタンスのインターネットアクセスを有効にするには、インターネットゲートウェイをその VPC (デフォルト VPC でない場合) にアタッチし、インスタンスに Elastic IP アドレスを関連付けます。

インターネットゲートウェイの使用

または、VPC のインスタンスによるインターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否するには、IPv4 トラフィックに対してネットワークアドレス変換 (NAT) デバイスを使用できます。NAT では、複数のプライベート IPv4 アドレスが 1 つのパブリック IPv4 アドレスにマッピングされます。NAT デバイスは Elastic IP アドレスを持ち、インターネットゲートウェイを介してインターネットに接続されます。プライベートサブネットのインスタンスをインターネットに接続するには、この NAT デバイスを使用します。これにより、トラフィックがインスタンスからインターネットゲートウェイにルーティングされ、すべての応答がインスタンスにルーティングされます。

詳細については、「NAT」を参照してください。

オプションで、Amazon が提供する IPv6 CIDR ブロックを VPC と関連付け、インスタンスに IPv6 アドレスを割り当てることができます。インスタンスは、インターネットゲートウェイを介して IPv6 経由でインターネットに接続できます。また、インスタンスは、Egress-only インターネットゲートウェイを使用して IPv6 経由でインターネットへのアウトバウンド接続を開始できます。詳細については、「Egress-Only インターネットゲートウェイ」を参照してください。IPv6 トラフィックは IPv4 トラフィックと異なるため、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。

企業ネットワークまたはホームネットワークにアクセスする

オプションで、IPsec AWS マネージド VPN 接続を使用して、VPC を自社データセンターに接続し、AWS クラウドをデータセンターの拡張機能にすることができます。

VPN 接続は、VPC にアタッチされている仮想プライベートゲートウェイと、データセンターに配置されているカスタマーゲートウェイで構成されています。仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。カスタマーゲートウェイは、VPN 接続のお客様側の物理デバイスまたはソフトウェアアプライアンスです。

 仮想プライベートゲートウェイの使用

詳細については、「AWS マネージド VPN 接続」を参照してください。

AWS PrivateLink は、高可用性のスケーラブルなテクノロジーであり、サポートされている AWS のサービス、他の AWS アカウントでホストされているサービス (VPC エンドポイントサービス)、およびサポートされている AWS Marketplace パートナーサービスに VPC をプライベートに接続できます。サービスと通信するのに、インターネットゲートウェイ、NAT デバイス、パブリック IP アドレス、AWS Direct Connect 接続、または VPN 接続は不要です。VPC と サービス間のトラフィックは、Amazon ネットワークを離れません。

AWS PrivateLink を使用するには、サービスのインターフェイス VPC エンドポイントを VPC 内に作成します。これによって Elastic Network Interface がサブネットに作成され、そのプライベート IP アドレスがサービスへのトラフィックのエントリポイントとなります。詳細については、「VPC エンドポイント」を参照してください。

インターフェイスエンドポイントを使用して AWS サービスにアクセスする

AWS PrivateLink を使用する独自のサービス (エンドポイントサービス) を作成し、このサービスにアクセスすることを他の AWS のお客様に許可できます。詳細については、「VPC エンドポイントサービス (AWS PrivateLink) 」を参照してください。

Amazon VPC の使用を開始する方法

Amazon VPC の実践入門をするには、チュートリアル「Amazon VPC の使用開始」を行ってください。この演習では、デフォルト以外の VPC をパブリックサブネットと共に作成し、このサブネット内でインスタンスを起動する手順を説明します。

デフォルト VPC があり、VPC の追加設定を一切行わずに VPC にインスタンスの起動を始める場合は、「EC2 インスタンスをデフォルト VPC 内に起動する」を参照してください。

Amazon VPC の基本的なシナリオについては、「シナリオと例」を参照してください。VPC とサブネットは、お客様のニーズに合わせて他の方法でも設定できます。

次の表は、本サービスを利用する際に役立つと思われる関連リソースの一覧です。

リソース 説明

Amazon Virtual Private Cloud Connectivity Options

ネットワーク接続のオプションの概要が記載されているホワイトペーパーです。

Amazon VPC forum

Amazon VPC に関する技術的な疑問について話し合うコミュニティフォーラムです。

AWS の開発者用リソース

ドキュメンテーション、コードサンプル、リリースノートをはじめとする、AWS ベースの革新的なアプリケーション開発に役立つさまざまな情報が収められた、中心的起点となるリソースセンターです。

AWS サポートセンター

AWS サポートのホームページです。

お問い合わせ

AWS の請求、アカウント、イベントに関するお問い合わせの受付窓口です。

Amazon VPC は他の多くの AWS サービスと統合します。また、一部のサービスでは、特定の関数を実行するアカウントで VPC が必要になります。Amazon VPC を使用するサービスの例を次に示します。

AWS Config サービスを使用すると、アカウントの VPC、サブネット、およびその他の VPC リソースの詳細、さらにこれらの相互関係を確認することができます。詳細については、AWS Config Developer Guide を参照してください。

Amazon VPC へのアクセス

Amazon VPC には、Amazon VPC コンソールというウェブベースのユーザーインターフェイスがあります。AWS アカウントにサインアップ済みの場合は、AWS マネジメントコンソール にサインインして [VPC] を選択することで、Amazon VPC コンソールにアクセスできます。

コマンドラインインターフェイスを使用する場合は、以下の選択肢があります。

AWS Command Line Interface (AWS CLI)

AWS の各種サービス用のコマンドを提供します。Windows、macOS、および Linux/Unix でサポートされます。開始するには、AWS Command Line Interface ユーザーガイド を参照してください。Amazon VPC 用のコマンドの詳細については、「ec2」を参照してください。

AWS Tools for Windows PowerShell

PowerShell 環境でスクリプトを記述するユーザー向けに、AWS の各種サービス用のコマンドを提供します。開始するには、「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。

Amazon VPC にはクエリ API が用意されています。このリクエストは、HTTP 動詞 (GET または POST) とクエリパラメータ Action で記述する HTTP または HTTPS リクエストです。詳細については、Amazon EC2 API Reference の「アクション」を参照してください。

HTTP または HTTPS を介してリクエストを送信する代わりに、言語固有の API を使用してアプリケーションを構築するために、AWS には、ソフトウェア開発者向けのライブラリ、サンプルコード、チュートリアル、その他のリソースが用意されています。これらのライブラリには、リクエストの暗号化署名、リクエストの再試行、エラーレスポンスの処理などのタスクを自動化する基本的な機能が用意されています。詳細については、AWS の SDK およびツールを参照してください。

Amazon VPC の料金表

Amazon VPC は追加料金なしで使用できます。使用するインスタンスおよびその他の Amazon EC2 機能に対して標準料金がかかります。AWS マネージド VPN 接続と NAT ゲートウェイを使用するための料金が発生します。詳細については、「Amazon VPC 料金表」および「Amazon EC2 料金表」を参照してください。

Amazon VPC の制限

プロビジョニングできる Amazon VPC コンポーネントの数には制限があります。これらの制限のいくつかは、リクエストによって引き上げることができます。詳細については、「Amazon VPC の制限」を参照してください。

PCI DSS コンプライアンス

Amazon VPC は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。