の VPC の設定AWS Cloud9開発環境 - AWS Cloud9

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の VPC の設定AWS Cloud9開発環境

everyAWS Cloud9Amazon Virtual Private Cloud (Amazon VPC) に関連付けられている開発環境は、特定の VPC 要件を満たしている必要があります。これらの環境には、EC2 環境とAWSVPC 内で実行されているクラウドコンピューティングインスタンス (Amazon EC2 インスタンスや Amazon Lightsail インスタンスなど)。

Amazon VPC の要件AWS Cloud9

Amazon VPC はAWS Cloud9で使用するには、以下の設定が必要です。以下の要件は熟知しており、互換性のある VPC を作成したいという場合は、Amazon VPC の作成AWS Cloud9

次のチェックリストを使用して、以下のすべての要件を VPC が満たしていることを確認します。

条件 確認する方法 その他のリソース

VPC は、同じAWSアカウントとAWSリージョンをAWS Cloud9開発環境。

—または—

VPC は、異なるAWSアカウントよりも環境です。(ただし、VPC は、同じAWS環境としてのリージョン)。

Amazon の VPC のリストを表示するAWSリージョン

VPC にはパブリックサブネットが必要です (トラフィックがインターネットゲートウェイにルーティングされる場合、サブネットはパブリックです)。

環境が SSH 経由で EC2 インスタンスに直接アクセスしている場合、インスタンスはパブリックサブネットでのみ起動できます。

アクセスしている場合Amazon EC2 インスタンスの入力を使用して Systems Manager を使用する場合、インスタンスはパブリックサブネットまたはプライベートサブネットで起動できます。

パブリックサブネットを使用している場合は、インスタンスの SSM Agent が Systems Manager に接続できるように、インターネットゲートウェイを VPC にアタッチします。

プライベートサブネットを使用している場合は、パブリックサブネットで NAT ゲートウェイをホストして、サブネットのインスタンスがインターネットと通信できるようにします。

パブリックサブネットには、最小限のルートセットを含むルートテーブルが必要です。

VPC の関連付けられたセキュリティグループ(またはAWSアーキテクチャに応じて、クラウドコンピューティングインスタンス) では、インバウンドおよびアウトバウンドトラフィックの最小セットを許可する必要があります。

セキュリティレイヤーを追加するため、VPC にネットワーク ACL がある場合、ネットワーク ACL はインバウンドおよびアウトバウンドトラフィックの最小セットを許可する必要があります。

ネットワーク ACL を作成する

注記

以下の手順では、Amazon VPC または Amazon EC2 コンソールを使用する場合は、以下の手順で、AWS Management ConsoleAmazon VPC コンソール (https://console.aws.amazon.com/vpc) または Amazon EC2 コンソール (https://console.aws.amazon.com/ec2) の IAM 管理者の認証情報を使用してAWSアカウント.

を使用する場合AWS CLIまたは aws-シェルを使用する場合は、AWS CLIまたは aws-shell で IAM 管理者の認証情報を使用してAWSアカウント. これを実行できない場合は、AWS アカウントの管理者に確認してください。

Amazon の VPC のリストを表示するAWSリージョン

Amazon VPC コンソールを使用するには、AWSナビゲーションバーで、[] を選択します。AWSリージョンAWS Cloud9によって環境が作成されます。次に、VPC をセットアップするナビゲーションペインで、[] を選択します。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-vpcs コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

上記のコマンドでは、us-east-2とAWSリージョンAWS Cloud9によって環境が作成されます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、VPC ID のリストが含まれます。

VPC のサブネットの一覧を表示する

Amazon VPC コンソールを使用するには、[] を選択します。VPC をセットアップするナビゲーションペインで、[] を選択します。VPC の ID は、VPC ID列でロードバランサーの ID をクリックします。次に、ナビゲーションペインで [サブネット] を選択し、[VPC] 列でその ID を含むサブネットを探します。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-subnets コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

前述のコマンドで、us-east-2 を、サブネットがある AWS リージョンに置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力で、VPC ID と一致するサブネットを探します。

サブネットがパブリックであるかどうかを確認する

重要

環境の EC2 インスタンスをプライベートサブネットに起動する場合は、SSM サービスに接続できるように、そのインスタンスに対してアウトバウンドトラフィックが許可されていることを確認してください。プライベートサブネットの場合、アウトバウンドトラフィックは通常、ネットワークアドレス変換 (NAT) ゲートウェイまたは VPC エンドポイントを介して設定されます。(NAT ゲートウェイにはパブリックサブネットが必要です)。

SSM にアクセスするために NAT ゲートウェイではなく VPC エンドポイントを選択した場合、インスタンスの自動更新とセキュリティパッチが機能しないことがあります。

Amazon VPC コンソールを使用するには、[] を選択します。Subnetsナビゲーションペインで、[] を選択します。使用する AWS Cloud9 の横にあるサブネットを選択します。リポジトリの []ルートテーブルタブにエントリがある場合、ターゲットで始まるigw-の場合、サブネットはパブリックです。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-route-tables コマンド。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

前述のコマンドで、us-east-2 をサブネットがある AWS リージョンで置き換え、subnet-12a3456b をサブネット ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力では、で始まる結果が 1 つでもある場合は、igw-の場合、サブネットはパブリックです。

出力に結果がない場合は、ルートテーブルがサブネットではなく、代わりに VPC に関連付けられている可能性があります。これを確認するために、Amazon EC2 を実行します。 describe-route-tables コマンドは、次の例のように、サブネット自体の代わりに、サブネットに関連する VPC です。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力では、で始まる結果が 1 つでもある場合は、igw-の場合、VPC にはインターネットゲートウェイが含まれます。

インターネットゲートウェイの設定を表示または変更する

Amazon VPC コンソールを使用するには、[] を選択します。インターネットゲートウェイナビゲーションペインで、[] を選択します。インターネットゲートウェイの横にあるボックスを選択します。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、該当する場合は [編集] を選択し、画面の指示に従います。

を使用するにはAWS CLI設定を表示するために aws-shell を使用するには、Amazon EC2 を実行します。 describe-internet-gateways コマンド。

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

前述のコマンドで、us-east-2 をインターネットゲートウェイがある AWS リージョンで置き換え、igw-1234ab5c をインターネットゲートウェイ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

インターネットゲートウェイを作成する

Amazon VPC コンソールを使用するには、[] を選択します。インターネットゲートウェイナビゲーションペインで、[] を選択します。[インターネットゲートウェイの作成] を選択し、画面の指示に従います。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 create-internet-gateway コマンド。

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

前述のコマンドで、us-east-2 を、新規のインターネットゲートウェイがある AWS リージョンに置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、新規のインターネットゲートウェイの ID が含まれています。

インターネットゲートウェイを VPC にアタッチする

Amazon VPC コンソールを使用するには、[] を選択します。インターネットゲートウェイナビゲーションペインで、[] を選択します。インターネットゲートウェイの横にあるボックスを選択します。必要に応じて [アクション]、[VPC にアタッチ] の順に選択し、画面の指示に従います。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 attach-internet-gateway コマンドを実行します。たとえば、次のようにします。

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 をインターネットゲートウェイがある AWS リージョンで置き換え、igw-a1b2cdef をインターネットゲートウェイ ID で置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

サブネットにルートテーブルがあるかどうかを確認する

Amazon VPC コンソールを使用するには、[] を選択します。Subnetsナビゲーションペインで、[] を選択します。必要な VPC のパブリックサブネットの横にあるチェックボックスをオンにしますAWS Cloud9を使用します。リポジトリの []ルートテーブル] タブの値がある場合、ルートテーブルパブリックサブネットには、ルートテーブルがあります。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-route-tables コマンド。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

前述のコマンドで、us-east-2 をパブリックサブネットがある AWS リージョンで置き換え、subnet-12a3456b をパブリックサブネット ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力に値がある場合、パブリックサブネットには少なくとも 1 つのルートテーブルがあります。

出力に結果がない場合は、ルートテーブルがサブネットではなく、代わりに VPC に関連付けられている可能性があります。これを確認するために、Amazon EC2 を実行します。 describe-route-tables コマンドで、次の例のように、サブネット自体の代わりに、サブネットに関連する VPC を指定します。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力に少なくとも 1 つの結果がある場合、VPC には少なくとも 1 つのルートテーブルがあります。

サブネットへのルートテーブルの添付

Amazon VPC コンソールを使用するには、[] を選択します。ルートテーブルナビゲーションペインで、[] を選択します。アタッチするルートテーブルの横にあるチェックボックスをオンにします。[サブネットの関連付け] タブで [編集] を選択し、アタッチ先のサブネットの横にあるチェックボックスをオンにして、[保存] を選択します。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 associate-route-table コマンドを実行します。たとえば、次のようにします。

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

前述のコマンドで、us-east-2 をルートテーブルがある AWS リージョンで置き換え、subnet-12a3456b をサブネット ID で置き換え、rtb-ab12cde3 をルートテーブル ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

ルートテーブルを作成する

Amazon VPC コンソールを使用するには、[] を選択します。ルートテーブルナビゲーションペインで、[] を選択します。[ルートテーブルの作成] を選択し、画面の指示に従います。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 create-route-table コマンドを実行します。たとえば、次のようにします。

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を新しいルートテーブルがある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、新しいルートテーブルの ID が含まれています。

ルートテーブルの設定を表示または変更する

Amazon VPC コンソールを使用するには、[] を選択します。ルートテーブルナビゲーションペインで、[] を選択します。ルートテーブルの横にあるチェックボックスをオンにします。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、[編集] を選択し、画面の指示に従います。

を使用するにはAWS CLI設定を表示するために aws-shell を使用するには、Amazon EC2 を実行します。 describe-route-tables コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

前述のコマンドで、us-east-2 をルートテーブルがある AWS リージョンで置き換え、rtb-ab12cde3 をルートテーブル ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

の推奨ルートテーブルの最小設定AWS Cloud9

送信先 ターゲット ステータス 伝播済み

CIDR-BLOCK

ローカル

アクティブ

いいえ

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

アクティブ

いいえ

これらの設定では、CIDR-BLOCKサブネットの CIDR ブロック、igw-INTERNET-GATEWAY-ID は、互換性のあるインターネットゲートウェイの ID です。

VPC のセキュリティグループのリストの表示

Amazon VPC コンソールを使用するには、[] を選択します。セキュリティグループナビゲーションペインで、[] を選択します。左セキュリティグループの検索ボックスに、VPC ID または名前を入力し、キーを押します。Enter。その VPC のセキュリティグループが検索結果のリストに表示されます。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-security-groups コマンド。

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、その VPC のセキュリティグループ ID のリストが含まれています。

セキュリティグループのリストを表示します。AWSクラウドコンピューティングインスタンス

Amazon EC2 コンソールを使用するには、[] を展開します。インスタンスナビゲーションペインで [] を選択し、続いて [] を選択します。インスタンス。インスタンスの一覧で、インスタンスの横のボックスを選択します。そのインスタンスのセキュリティグループが、[Security groups] の横の [Description] タブに表示されます。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-security-groups コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

前述のコマンドで、us-east-2 をインスタンスがある AWSS リージョンで置き換え、i-12a3c456d789e0123 をインスタンス ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、そのインスタンスのセキュリティグループ ID のリストが含まれています。

VPC 内のセキュリティグループの設定を表示または変更する

Amazon VPC コンソールを使用するには、[] を選択します。セキュリティグループナビゲーションペインを使用する場合。セキュリティグループの横にあるボックスを選択します。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、該当する場合は [編集] を選択し、画面の指示に従います。

を使用するにはAWS CLI設定を表示するために aws-shell を使用するには、Amazon EC2 を実行します。 describe-security-groups コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

前述のコマンドで、us-east-2 をインスタンスがある AWS リージョンで置き換え、sg-12a3b456 をセキュリティグループ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

設定の表示または変更AWSクラウドコンピューティングインスタンスのセキュリティグループ

Amazon EC2 コンソールを使用するには、[] を展開します。インスタンスナビゲーションペインで [] を選択し、続いて [] を選択します。インスタンス。インスタンスの一覧で、インスタンスの横のボックスを選択します。[説明] タブの [セキュリティグループ] で、セキュリティグループを選択します。各タブを確認します。タブの設定を変更するには、該当する場合は [編集] を選択し、画面の指示に従います。

を使用するにはAWS CLI設定を表示するために aws-shell を使用するには、Amazon EC2 を実行します。 describe-security-groups コマンドを実行します。たとえば、次のようにします。

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

前述のコマンドで、us-east-2 をインスタンスがある AWS リージョンで置き換え、sg-12a3b456 をセキュリティグループ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

インバウンドおよびアウトバウンドトラフィックの最小設定AWS Cloud9

重要

インスタンスのセキュリティグループにインバウンドルールがない場合、別のホストからインスタンスへの着信トラフィックは許可されません。入力なし EC2 インスタンスの使用の詳細については、「」を参照してください。進入しない EC2 インスタンスへのアクセスAWSSystems Manager

  • インバウンド: ポート 22 で SSH を使用するすべての IP アドレス。ただし、これらの IP アドレスを、AWS Cloud9 が使用するものだけに制限することができます。詳細については、「AWS Cloud9 のインバウンド SSH IP アドレスの範囲」を参照してください。

    注記

    2018 年 7 月 31 日以降に作成した EC2 環境の場合、AWS Cloud9セキュリティグループを使用して、ポート 22 経由で SSH を使用するインバウンド IP アドレスを、AWS Cloud9を使用します。詳細については、「AWS Cloud9 のインバウンド SSH IP アドレスの範囲」を参照してください。

  • インバウンド(ネットワーク ACL のみ): EC2 環境、および Amazon Linux または Ubuntu Server を実行する Amazon EC2 インスタンスに関連付けられた SSH 環境では、ポート 32768-61000 経由で TCP を使用するすべての IP アドレス。詳細と、他の Amazon EC2 インスタンスタイプのポート範囲を含むについては、一時ポート()Amazon VPC ユーザーガイド

  • アウトバウンド: 任意のプロトコルとポートを使用するすべてのトラフィックソース。

セキュリティグループレベルでこの動作を設定することができます。さらにセキュリティレベルを高めるために、ネットワーク ACL を使用することもできます。詳細については、「」を参照してください。セキュリティグループとネットワーク ACL の比較()Amazon VPC ユーザーガイド

たとえば、インバウンドおよびアウトバウンドのルールをセキュリティグループに追加するには、次のようにルールを設定します。

インバウンドルール
タイプ プロトコル ポート範囲 送信元

SSH (22)

TCP (6)

22

0.0.0.0 (ただし次の注記および AWS Cloud9 のインバウンド SSH IP アドレスの範囲 を参照)。

注記

2018 年 7 月 31 日以降に作成した EC2 環境の場合、AWS Cloud9インバウンドルールを追加し、ポート 22 経由で SSH を使用するインバウンド IP アドレスを、が使用する IP アドレスのみに自動的に制限します。AWS Cloud9を使用します。詳細については、「AWS Cloud9 のインバウンド SSH IP アドレスの範囲」を参照してください。

アウトバウンドルール
タイプ プロトコル ポート範囲 送信元

すべてのトラフィック

ALL

ALL

0.0.0.0/0

たとえば、インバウンドおよびアウトバウンドのルールをネットワーク ACL に追加するよう選択した場合は、次のようにルールを設定します。

インバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

SSH (22)

TCP (6)

22

0.0.0.0 (ただし AWS Cloud9 のインバウンド SSH IP アドレスの範囲 を参照)。

許可

200

カスタム TCP ルール

TCP (6)

32768-61000 (Amazon Linux および Ubuntu Server インスタンス。 その他のインスタンスタイプについては、一時ポート。)

0.0.0.0/0

許可

*

すべてのトラフィック

ALL

ALL

0.0.0.0/0

拒否

アウトバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

すべてのトラフィック

ALL

ALL

0.0.0.0/0

許可

*

すべてのトラフィック

ALL

ALL

0.0.0.0/0

拒否

セキュリティグループとネットワーク ACL の詳細については、『』の「以下を参照してください。Amazon VPC ユーザーガイド

VPC でのセキュリティグループの作成

Amazon VPC または Amazon EC2 コンソールを使用するには、次の 1 つを実行します。

  • Amazon VPC コンソールで、[] を選択します。セキュリティグループナビゲーションペインを使用する場合。[セキュリティグループの作成] を選択し、画面の指示に従います。

  • Amazon EC2 コンソールで、ネットワーク&セキュリティナビゲーションペインで [] を選択し、続いて [] を選択します。セキュリティグループ。[セキュリティグループの作成] を選択し、画面の指示に従います。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 create-security-group コマンドを実行します。たとえば、次のようにします。

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

VPC に少なくとも 1 つのネットワーク ACL があるかどうかを確認します

Amazon VPC コンソールを使用するには、[] を選択します。VPC をセットアップするナビゲーションペインを使用する場合。必要な VPC の横にあるボックスをオンにします。AWS Cloud9を使用します。リポジトリの []概要] タブの値がある場合、ネットワーク ACLVPC には少なくとも 1 つのネットワーク ACL があります。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。describe-network-aclsコマンド。

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力のリストに少なくとも 1 つのエントリがある場合、その VPC には少なくとも 1 つのネットワーク ACL があります。

VPC のネットワーク ACL のリストを表示する

Amazon VPC コンソールを使用するには、[] を選択します。ネットワーク ACLナビゲーションペインを使用する場合。左ネットワーク ACL の検索ボックスに、VPC ID または名前を入力し、キーを押します。Enter。その VPC のネットワーク ACL が検索結果のリストに表示されます。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。 describe-network-acls コマンド。

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。上記のコマンドを Windows で実行するには、一重引用符を二重引用符で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

出力には、その VPC のネットワーク ACL のリストが含まれています。

ネットワーク ACL の設定を表示または変更する

Amazon VPC コンソールを使用するには、[] を選択します。ネットワーク ACLナビゲーションペインを使用する場合。ネットワーク ACL の横にあるボックスをオンにします。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、[] を選択します。編集[] を選択し、画面の指示に従います。

を使用するにはAWS CLI設定を表示するために aws-shell を使用するには、Amazon EC2 を実行します。 describe-network-acls コマンド。

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

前述のコマンドで、us-east-2 をネットワーク ACL がある AWS リージョンで置き換え、acl-1234ab56 をネットワーク ACL ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

ネットワーク ACL を作成する

Amazon VPC コンソールを使用するには、[] を選択します。ネットワーク ACLナビゲーションペインを使用する場合。[ネットワーク ACL の作成] を選択し、画面の指示に従います。

を使用するにはAWS CLIaws-shell を使用して、Amazon EC2 を実行します。create-network-aclコマンド。

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を新しいネットワーク ACL にアタッチする VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、aws を無視します。

Amazon VPC の作成AWS Cloud9

Amazon VPC コンソールを使用して、と互換性のある Amazon VPC を作成します。AWS Cloud9。

注記

この手順では、[] にサインインすることをお勧めします。AWS Management ConsoleIAM 管理者の認証情報を使用して Amazon VPC コンソールを開きます。AWSアカウント. これを実行できない場合は、AWS アカウントの管理者に確認してください。

一部の組織では、独自の VPC を作成することが許可されていない場合があります。VPC を作成できない場合は、次の例のように、VPC を作成してください。AWSアカウント管理者またはネットワーク管理者です。

  1. Amazon VPC コンソールをまだ開いていない場合は、AWS Management ConsoleAmazon VPC コンソール (https://console.aws.amazon.com/vpc

  2. ナビゲーションバーで、AWSリージョンが環境と同じではない場合は、正しいAWSリージョン。

  3. [VPC ダッシュボード] ページが表示されていない場合は、ナビゲーションペインで [VPC ダッシュボード] を選択します。

  4. [VPC ウィザードの起動] を選択します。

  5. を使用する場合ステップ 1: VPC 設定の選択, とともに1 つのパブリックサブネットを持つ VPCすでに選択されている場合は、Select

  6. を使用する場合ステップ 2: 1 つのパブリックサブネットを持つ VPC以下の手順では、以下のデフォルト設定を変更しないことをお勧めします。(ただし、使用するカスタム CIDR がある場合は、CIDR 設定を変更できます。 詳細については、「」を参照してください。VPC とサブネットのサイズ設定()Amazon VPC ユーザーガイド。)

    • IPv4 CIDR ブロック: 10.0.0.0/16

    • IPv6 CIDR ブロック: IPv6 CIDR ブロックなし

    • パブリックサブネットの IPv4 CIDR: 10.0.0.0/24

    • アベイラビリティーゾーン: 指定なし

    • DNS ホスト名を有効化: はい

    • ハードウェアのテナンシー: デフォルト値

  7. を使用する場合VPC 名に VPC の名前を入力します。

  8. を使用する場合サブネット名[] で、VPC のサブネットの名前を入力します。

  9. [新しい VPC の作成] を選択します。

    Amazon VPC はと互換性のある次のリソースを作成します。AWS Cloud9:

    • VPC

    • VPC のパブリックサブネット

    • パブリックサブネットのルートテーブルで、最低限の設定が必要です。

    • パブリックサブネットのインターネットゲートウェイ

    • パブリックサブネットのネットワーク ACL で、最低限の設定が必要です。

  10. デフォルトでは、VPC はすべてのタイプ、プロトコル、ポート、および IP アドレスからの着信トラフィックを許可します。この動作を制限すると、ポート 22 を介した SSH を使用して AWS Cloud9 からの IP アドレスのみを許可することができます。1 つの方法は、次のように、VPC のデフォルトネットワーク ACL に受信ルールを設定することです。

    1. Amazon VPC コンソールのナビゲーションペインで [] を選択します。VPC をセットアップする

    2. 先ほど作成した VPC のボックスを選択します。

    3. [説明] タブで、[ネットワーク ACL] の横のリンクを選択します。

    4. ネットワーク ACL の横に表示されているボックスを選択します。

    5. [インバウンドルール] タブで、[インバウンドルールの編集] を選択します。

    6. [ルール # 100)] の [タイプ] で、[SSH (22)] を選択します。

    7. を使用する場合送信元で、CIDR ブロックの 1 つをAWS Cloud9 のインバウンド SSH IP アドレスの範囲リストと一致するAWSこの VPC のリージョン。

    8. [別のルールの追加] を選択します。

    9. を使用する場合ルール番号」と入力する。200

    10. [Type] で [SSH (22)] を選択します。

    11. を使用する場合送信元で、他の CIDR ブロックをAWS Cloud9 のインバウンド SSH IP アドレスの範囲リストと一致するAWSこの VPC のリージョン。

    12. 少なくとも、Amazon Linux および Ubuntu Server インスタンスタイプでは TCP ポート 32768-61000 を使用して、すべての IP アドレスからの着信トラフィックを許可する必要があります。(背景知識と、他の Amazon EC2 インスタンスタイプのポート範囲を含むについては、一時ポート()Amazon VPC ユーザーガイド). これを行うには、[別のルールの追加] を選択します。

    13. を使用する場合ルール番号」と入力する。300

    14. [Type] で [Custom TCP Rule] を選択します。

    15. を使用する場合ポート範囲」と入力する。32768-61000Amazon Linux および Ubuntu Server インスタンスタイプ用。

    16. [送信元] に「0.0.0.0/0」と入力します。

    17. [Save] を選択します。

    18. ネットワーク ACL にさらにインバウンドルールまたはアウトバウンドルールを追加する必要があります。AWS Cloud9。VPC のインバウンドおよびアウトバウンド通信を許可する特定のウェブサービスまたは API のドキュメントを参照してください。より具体的には、タイプ,プロトコル,ポート範囲, および送信元設定を使用して、トラフィックがサブネットの外に流れるようにします。

作成のサブネットAWS Cloud9

Amazon VPC コンソールを使用して、と互換性のある VPC のサブネットを作成できます。AWS Cloud9。EC2 インスタンスのプライベートサブネットとパブリックサブネットのどちらを作成できるかは、環境がインスタンスに接続する方法によって異なります。

  • SSH による直接アクセス:パブリックサブネットのみ

  • Systems Manager によるアクセス: パブリックまたはプライベートサブネット

環境の EC2 をプライベートサブネットに起動するオプションは、コンソール、コマンドライン、AWS CloudFormation

あなたは従うサブネットの作成と同じ手順パブリックまたはプライベートのいずれかです。その後、サブネットに関連付けられているルートテーブルにインターネットゲートウェイへのルートがある場合、そのサブネットはパブリックサブネットになります。しかし、サブネットに関連付けられているルートテーブルにインターネットゲートウェイへのルートがない場合、そのサブネットはプライベートサブネットになります。詳細については、「」を参照してください。サブネットをパブリックまたはプライベートとして構成する

前の手順に従って [] の VPC を作成した場合AWS Cloud9ただし、この手順に従う必要はありません。これは、[新しい VPC の作成] ウィザードによって自動的にサブネットが作成されるためです。

重要
  • -AWSアカウントには、互換性のある VPC が既に存在している必要がありますAWS環境のリージョンです。詳細については、Amazon VPC の要件AWS Cloud9 の VPC の要件を参照してください。

  • この手順では、[] にサインインすることをお勧めします。AWS Management Consoleを開き、IAM 管理者の認証情報を使用して Amazon VPC コンソールを開きます。AWSアカウント. これを実行できない場合は、AWS アカウントの管理者に確認してください。

  • 一部の組織では、独自のサブネットを作成することが許可されていない場合があります。サブネットを作成できない場合は、AWS アカウントの管理者またはネットワーク管理者に確認してください。

サブネットを作成するには

  1. Amazon VPC コンソールをまだ開いていない場合は、AWS Management ConsoleAmazon VPC コンソール (https://console.aws.amazon.com/vpc

  2. ナビゲーションバーで、AWSリージョンは、AWS環境のリージョンで、正しいAWSリージョン。

  3. [サブネット] ページが表示されていない場合は、ナビゲーションペインで [サブネット] を選択します。

  4. [Create Subnet] を選択します。

  5. サブネットの作成ダイアログボックス、名前タグサブネットの名前を入力します。

  6. [VPC] で、サブネットを関連付ける VPC を選択します。

  7. [アベイラビリティーゾーン] で、使用するサブネットの AWS リージョン内のアベイラビリティーゾーンを選択するか、[指定なし] を選択して、AWS にアベイラビリティーゾーンを選択させます。

  8. を使用する場合IPv4 CIDR ブロックに、使用するサブネットの IP アドレスの範囲を CIDR 形式で入力します。この IP アドレスの範囲は、VPC の IP アドレスのサブネットである必要があります。

    CIDR ブロックの詳細については、『』を参照してください。VPC とサブネットのサイズ設定()Amazon VPC ユーザーガイド。以下の資料も参照してください。3.1. 基本概念と接頭辞表記RFC 4632またはIPv4 CIDR ブロックウィキペディアで。

サブネットの作成後、パブリックサブネットまたはプライベートサブネットとして構成する

サブネットをパブリックまたはプライベートとして構成する

サブネットを作成した後、インターネットとの通信方法を指定することで、サブネットをパブリックまたはプライベートにすることができます。

パブリックサブネットにはパブリック IP アドレスがあり、サブネットのインスタンスとインターネット間の通信を可能にするインターネットゲートウェイ(IGW)がアタッチされています。AWSのサービス。

プライベートサブネット内のインスタンスはプライベート IP アドレスを持ち、ネットワークアドレス変換(NAT)ゲートウェイを使用して、サブネットとインターネットとその他のAWSのサービス。NAT ゲートウェイは、パブリックサブネットでホストされている必要があります。

Public subnets
注記

環境のインスタンスがプライベートサブネットで起動された場合でも、VPC は少なくとも 1 つのパブリックサブネットを備えている必要があります。これは、インスタンスとの間でトラフィックを転送する NAT ゲートウェイがパブリックサブネットでホストされている必要があるためです。

サブネットをパブリックとして設定するには、インターネットゲートウェイ(IGW)をアタッチし、その IGW へのルートを指定するようにルートテーブルを設定し、インバウンドトラフィックとアウトバウンドトラフィックを制御するためのセキュリティグループの設定を定義します。

これらのタスクの実行に関するガイダンスは、Amazon VPC の作成AWS Cloud9

重要

開発環境がSSM を使用して EC2 インスタンスにアクセスするの場合は、インスタンスに起動先のパブリックサブネットによってパブリック IP アドレスが割り当てられていることを確認します。これを行うには、独自の IP アドレスを指定するか、パブリック IP アドレスの自動割り当てを有効にします。自動割り当て IP 設定を変更する手順については、」VPC の IP アドレス指定()Amazon VPC ユーザーガイド

Private subnets

Systems Manager からアクセスする入力なしのインスタンスを作成する場合は、プライベートサブネットで起動できます。プライベートサブネットにはパブリック IP アドレスがないため、NAT ゲートウェイでは、プライベート IP アドレスをリクエストのパブリックアドレスにマッピングし、そのパブリック IP アドレスを応答のプライベートアドレスにマッピングする必要があります。

警告

アカウントで NAT ゲートウェイを作成して使用するには料金がかかります。NAT ゲートウェイの時間単位の使用料金とデータ処理料金が適用されます。Amazon EC2 データ転送料金も適用されます。詳細については、Amazon VPC の料金を参照してください。

NAT ゲートウェイを作成して設定する前に、以下の操作を実行する必要があります。

  • NAT ゲートウェイをホストするパブリック VPC サブネットを作成します。

  • をプロビジョニングするElastic IP アドレスNAT ゲートウェイに割り当てることができます。

  • プライベートサブネットの場合は、パブリック IPv4 アドレスの自動割り当てを有効にするチェックボックスをオンにして、起動されたインスタンスにプライベート IP アドレスが割り当てられるようにします。詳細については、「」を参照してください。VPC の IP アドレス指定()Amazon VPC ユーザーガイド

このタスクの手順については、」NAT ゲートウェイの使用()Amazon VPC ユーザーガイド

重要

現在、環境の EC2 インスタンスがプライベートサブネットで起動されている場合、AWS管理の一時認証情報を使用して、EC2 環境がAWSサービスを代理してAWSエンティティ(IAM ユーザーなど)。