の VPC 設定 AWS Cloud9 開発環境 - AWS Cloud9

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

の VPC 設定 AWS Cloud9 開発環境

AWS Cloud9 開発環境Amazon Virtual Private Cloud) に関連するすべての Amazon VPC は、特定の VPC 要件を満たす必要があります。これには環境、 だけでなく、VPC 内で実行されるEC2 環境クラウドコンピューティングインスタンス ( SSH 環境 や AWS インスタンスなど) Amazon EC2 に関連付けられている Amazon Lightsail も含まれます。

Amazon VPC の 要件 AWS Cloud9

Amazon VPC で使用する AWS Cloud9 には、以下の設定が必要です。これらの要件にすでに精通しており、互換性のある VPC を作成する場合は、「」までスキップしますAmazon VPC 向けの AWS Cloud9 を作成する

次のチェックリストを使用して、VPC が以下のすべての要件を満たしていることを確認します。

条件 確認する方法 その他のリソース

VPC は、AWS と同じ AWS アカウントおよび AWS Cloud9 開発環境. リージョン内に存在する場合があります。

—または—

VPC は、AWS とは異なる 環境. アカウントの共有 VPC である場合があります (ただし、VPC は AWS と同じ 環境). リージョンにあることが必要です)。

VPCs リージョンAWSの のリストを表示する

VPC にはパブリックサブネットが必要です (トラフィックがインターネットゲートウェイにルーティングされる場合、サブネットはパブリックです)。

環境が SSH 経由で EC2 インスタンスに直接アクセスしている場合、インスタンスはパブリックサブネットでのみ起動できます。

を使用して受信しないAmazon EC2インスタンスにアクセスする場合Systems Manager、インスタンスはパブリックサブネットまたはプライベートサブネットで起動できます。

パブリックサブネットを使用している場合は、インスタンスの SSM エージェントが に接続できるように、インターネットゲートウェイを VPC にアタッチSystems Managerします。

プライベートサブネットを使用している場合は、パブリックサブネットで NAT ゲートウェイをホストすることで、サブネットのインスタンスがインターネットと通信できるようにします。

パブリックサブネットには、最小限のルートセットを含むルートテーブルが必要です。

VPC (またはアーキテクチャに応じて AWS クラウドコンピューティングインスタンス) に関連付けられたセキュリティグループは、インバウンドトラフィックとアウトバウンドトラフィックの最小セットを許可する必要があります。

セキュリティレイヤーを追加するため、VPC にネットワーク ACL がある場合、ネットワーク ACL はインバウンドおよびアウトバウンドトラフィックの最小セットを許可する必要があります。

ネットワーク ACL を作成する

注記

次の手順では、 Amazon VPC または Amazon EC2 コンソールを使用する場合は、 にサインインAWS マネジメントコンソールしAmazon VPC、アカウントの 管理者の認証情報を使用して https://console.aws.amazon.com/ コンソール (Amazon EC2vpc) または https://console.aws.amazon.com/ コンソール (IAMec2AWS を開くことをお勧めします。

AWS CLI または aws-shell を使用する場合はAWS CLI、アカウントのIAM管理者の認証情報を使用して AWS または aws-shell を設定することをお勧めします。これを実行できない場合は、AWS アカウントの管理者に確認してください。

VPCs リージョンAWSの のリストを表示する

Amazon VPC コンソールを使用するにはAWS、ナビゲーションバーで、 を作成する AWS リージョンを選択しますAWS Cloud9環境。次にVPCs、ナビゲーションペインで [Your] を選択します。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 describe-vpcs コマンドを実行します。

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

前述のコマンドで、 を us-east-2 を作成する AWS リージョンAWS Cloud9に置き換えます環境。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力には、VPC のリストが含まれますIDs。

VPC のサブネットのリストを表示する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [ VPCs ] を選択します。[VPC ID] 列の VPC の ID を書き留めます。次に、ナビゲーションペインで [サブネット] を選択し、[VPC] 列でその ID を含むサブネットを探します。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 describe-subnets コマンドを実行します。

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

前述のコマンドで、us-east-2 を、サブネットがある AWS リージョンに置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力で、VPC ID に一致するサブネットを探します。

サブネットがパブリックかどうかを確認する

注記

環境のインスタンスをプライベートサブネットで起動している場合でも、VPC には、ネットワークアドレス変換 (NAT) ゲートウェイを作成できる、設定済みのパブリックサブネットが必要です。NAT ゲートウェイは、プライベートサブネットのインスタンスがインターネットに接続できるようにします。

Amazon VPC コンソールを使用するには、ナビゲーションペインで [サブネット] を選択します。使用する AWS Cloud9 の横にあるサブネットを選択します。[ルートテーブル] タブで、[ターゲット] 列に igw- で始まるエントリがある場合、サブネットはパブリックです。

AWS CLI または aws-shell を使用するには、 Amazon EC2 describe-route-tables コマンドを実行します。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

前述のコマンドで、us-east-2 をサブネットがある AWS リージョンで置き換え、subnet-12a3456b をサブネット ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力に、 で始まる結果が少なくとも 1 つある場合igw-、サブネットはパブリックです。

出力に結果がない場合、ルートテーブルはサブネットではなく VPC に関連付けられている可能性があります。これを確認するには、サブネット自体ではなく、サブネットに関連する VPC に対して Amazon EC2 describe-route-tables コマンドを実行します。次に例を示します。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力に、 で始まる結果が 1 つ以上ある場合igw-、VPC にはインターネットゲートウェイが含まれます。

インターネットゲートウェイの設定を表示または変更する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [インターネットゲートウェイ] を選択します。インターネットゲートウェイの横にあるボックスを選択します。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、該当する場合は [編集] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用して設定を表示するには、 Amazon EC2 describe-internet-gateways コマンドを実行します。

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

前述のコマンドで、us-east-2 をインターネットゲートウェイがある AWS リージョンで置き換え、igw-1234ab5c をインターネットゲートウェイ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

インターネットゲートウェイを作成する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [インターネットゲートウェイ] を選択します。[インターネットゲートウェイの作成] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用するには、 Amazon EC2 create-internet-gateway コマンドを実行します。

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

前述のコマンドで、us-east-2 を、新規のインターネットゲートウェイがある AWS リージョンに置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力には、新規のインターネットゲートウェイの ID が含まれています。

インターネットゲートウェイを VPC にアタッチする

Amazon VPC コンソールを使用するには、ナビゲーションペインで [インターネットゲートウェイ] を選択します。インターネットゲートウェイの横にあるボックスを選択します。[Actions]、[Attach to VPC] の順に選択します (使用可能な場合)。画面の指示に従います。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 attach-internet-gateway コマンドを実行します。

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 をインターネットゲートウェイがある AWS リージョンで置き換え、igw-a1b2cdef をインターネットゲートウェイ ID で置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

サブネットにルートテーブルがあるかどうかを確認する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [サブネット] を選択します。使用する VPC のパブリックサブネットの横にあるボックスAWS Cloud9を選択します。[ルートテーブル] タブで、[ルートテーブル] の値がある場合、パブリックサブネットにはルートテーブルがあります。

AWS CLI または aws-shell を使用するには、 Amazon EC2 describe-route-tables コマンドを実行します。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

前述のコマンドで、us-east-2 をパブリックサブネットがある AWS リージョンで置き換え、subnet-12a3456b をパブリックサブネット ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力に値がある場合、パブリックサブネットには少なくとも 1 つのルートテーブルがあります。

出力に結果がない場合、ルートテーブルはサブネットではなく VPC に関連付けられている可能性があります。これを確認するには、サブネット自体ではなく、サブネットの関連する VPC に対して Amazon EC2 describe-route-tables コマンドを実行します (例: )。

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力に少なくとも 1 つの結果がある場合、VPC には少なくとも 1 つのルートテーブルがあります。

サブネットにルートテーブルをアタッチする

Amazon VPC コンソールを使用するには、ナビゲーションペインで [ルートテーブル] を選択します。アタッチするルートテーブルの横にあるチェックボックスをオンにします。サブネットの関連付け] タブで [編集] を選択し、アタッチ先のサブネットの横にあるチェックボックスをオンにして、[保存.] を選択します。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 associate-route-table コマンドを実行します。

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

前述のコマンドで、us-east-2 をルートテーブルがある AWS リージョンで置き換え、subnet-12a3456b をサブネット ID で置き換え、rtb-ab12cde3 をルートテーブル ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

ルートテーブルを作成する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [ルートテーブル] を選択します。[ルートテーブルの作成] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 create-route-table コマンドを実行します。

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を新しいルートテーブルがある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力には、新しいルートテーブルの ID が含まれています。

ルートテーブルの設定を表示または変更する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [ルートテーブル] を選択します。ルートテーブルの横にあるチェックボックスをオンにします。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、[Edit (編集)] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用して設定を表示するにはAmazon EC2describe-route-tables、次のように コマンドを実行します。

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

前述のコマンドで、us-east-2 をルートテーブルがある AWS リージョンで置き換え、rtb-ab12cde3 をルートテーブル ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

の最小推奨ルートテーブル設定 AWS Cloud9

送信先 ターゲット ステータス 伝播済み

CIDR-BLOCK

ローカル

アクティブ

いいえ

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

アクティブ

いいえ

これらの設定では、 CIDR-BLOCK はサブネットの CIDR ブロックで、 igw-INTERNET-GATEWAY-ID は互換性のあるインターネットゲートウェイの ID です。

VPC のセキュリティグループのリストを表示する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [セキュリティグループ] を選択します。[セキュリティグループの検索] ボックスに、VPC ID または名前を入力し、 キーを押しますEnter。 その VPC のセキュリティグループが検索結果のリストに表示されます。

AWS CLI または aws-shell を使用するには、 Amazon EC2 describe-security-groups コマンドを実行します。

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力にはIDs、その VPC のセキュリティグループのリストが含まれます。

AWS クラウドコンピューティングインスタンスのセキュリティグループのリストを表示する

Amazon EC2 コンソールを使用するには、ナビゲーションペインで [インスタンス] を展開し、[インスタンス.] を選択します。インスタンスのリストで、インスタンスの横にあるボックスを選択します。そのインスタンスのセキュリティグループが、[Security groups] の横の [Description.] タブに表示されます。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 describe-security-groups コマンドを実行します。

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

前述のコマンドで、us-east-2 をインスタンスがある AWSS リージョンで置き換え、i-12a3c456d789e0123 をインスタンス ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力には、IDsそのインスタンスのセキュリティグループのリストが含まれます。

VPC のセキュリティグループの設定を表示または変更する

Amazon VPC コンソールを使用するには、ナビゲーションペインで [セキュリティグループ] を選択します。セキュリティグループの横にあるボックスを選択します。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、該当する場合は [編集] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用して設定を表示するには、次のように Amazon EC2 describe-security-groups コマンドを実行します。

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

前述のコマンドで、us-east-2 をインスタンスがある AWS リージョンで置き換え、sg-12a3b456 をセキュリティグループ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

AWS クラウドコンピューティングインスタンスのセキュリティグループの設定を表示または変更する

Amazon EC2 コンソールを使用するには、ナビゲーションペインで [インスタンス] を展開し、[インスタンス.] を選択します。インスタンスの一覧で、インスタンスの横のボックスを選択します。[説明] タブの [セキュリティグループ] で、セキュリティグループを選択します。各タブを確認します。タブの設定を変更するには、該当する場合は [Edit (編集)] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用して設定を表示するには、次のように Amazon EC2 describe-security-groups コマンドを実行します。

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

前述のコマンドで、us-east-2 をインスタンスがある AWS リージョンで置き換え、sg-12a3b456 をセキュリティグループ ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

の最小インバウンドトラフィックとアウトバウンドトラフィックの設定 AWS Cloud9

重要

インスタンスのセキュリティグループにインバウンドルールがない場合、別のホストからインスタンスへの着信トラフィックは許可されません。非受信 EC2 インスタンスの使用についてはを使用した進入なし EC2 インスタンスへのアクセス AWS Systems Manager、「」を参照してください。

  • インバウンド: ポート 22 で SSH を使用するすべての IP アドレス。ただし、これらの IP アドレスを、AWS Cloud9 が使用するものだけに制限することができます。詳細については、「 」を参照してください。 のインバウンド SSH IP アドレスの範囲AWS Cloud9.

    注記

    2018 年 7 月 31 日以降にEC2 環境作成された の場合、 AWS Cloud9 はセキュリティグループを使用して、ポート 22 経由で SSH を使用するインバウンド IP アドレスを、 AWS Cloud9 が使用するアドレスのみに制限します。詳細については、「 」を参照してください。 のインバウンド SSH IP アドレスの範囲AWS Cloud9.

  • インバウンド (ネットワークACLsのみ): およびEC2 環境、 SSH 環境 または Ubuntu Server を実行する Amazon EC2 インスタンスAmazon Linuxに関連付けられた の場合、ポート 32768-61000 経由で TCP を使用するすべての IP アドレス。詳細および他のAmazon EC2インスタンスタイプのポート範囲については、の「一時ポート」を参照してくださいAmazon VPC ユーザーガイド

  • アウトバウンド: 任意のプロトコルとポートを使用するすべてのトラフィックソース。

セキュリティグループレベルでこの動作を設定することができます。さらにセキュリティレベルを高めるために、ネットワーク ACL を使用することもできます。詳細については、の「セキュリティグループとネットワークの比較」を参照してくださいACLsAmazon VPC ユーザーガイド

たとえば、インバウンドおよびアウトバウンドのルールをセキュリティグループに追加するには、次のようにルールを設定します。

インバウンドルール
タイプ プロトコル ポート範囲 送信元

SSH (22)

TCP (6)

22

0.0.0.0 (ただし次の注記および を参照)。 のインバウンド SSH IP アドレスの範囲AWS Cloud9.)

注記

2018 年 7 月 31 日以降にEC2 環境作成された の場合、 はインバウンドルールAWS Cloud9を追加して、ポート 22 経由で SSH を使用するインバウンド IP アドレスを、 AWS Cloud9 が使用するアドレスのみに制限します。詳細については、「 」を参照してください。 のインバウンド SSH IP アドレスの範囲AWS Cloud9.

アウトバウンドルール
タイプ プロトコル ポート範囲 送信元

すべてのトラフィック

ALL

ALL

0.0.0.0/0

たとえば、インバウンドおよびアウトバウンドのルールをネットワーク ACL に追加するよう選択した場合は、次のようにルールを設定します。

インバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

SSH (22)

TCP (6)

22

0.0.0.0 (ただし を参照)。 のインバウンド SSH IP アドレスの範囲AWS Cloud9.)

許可

200

カスタム TCP ルール

TCP (6)

32768-61000 ( Amazon Linux および Ubuntu Server インスタンス用。 その他のインスタンスタイプについては、「一時ポート」を参照してください。)

0.0.0.0/0

許可

*

すべてのトラフィック

ALL

ALL

0.0.0.0/0

拒否

アウトバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

すべてのトラフィック

ALL

ALL

0.0.0.0/0

許可

*

すべてのトラフィック

ALL

ALL

0.0.0.0/0

拒否

セキュリティグループとネットワーク の詳細についてはACLs、 の以下を参照してくださいAmazon VPC ユーザーガイド

VPC でセキュリティグループを作成する

Amazon VPC または Amazon EC2 コンソールを使用するには、次のいずれかのアクションを実行します。

  • Amazon VPC コンソールのナビゲーションペインで、[セキュリティグループ] を選択します。[セキュリティグループの作成] を選択し、画面の指示に従います。

  • Amazon EC2 コンソールのナビゲーションペインで [ネットワーク & セキュリティ] を展開し、[セキュリティグループ.] を選択します。[セキュリティグループの作成] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用するには、次のように Amazon EC2 create-security-group コマンドを実行します。

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

VPC に少なくとも 1 つのネットワーク ACL があるかどうかを確認する

Amazon VPC コンソールを使用するにはVPCs、ナビゲーションペインで [ ] を選択します。使用する VPC の横にあるボックスAWS Cloud9を選択します。[Summary (概要)] タブで、[Network ACL (ネットワーク ACL)] の値がある場合、VPC には少なくとも 1 つのネットワーク ACL があります。

AWS CLI または aws-shell を使用するには、 Amazon EC2 describe-network-acls コマンドを実行します。

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力のリストに少なくとも 1 つのエントリがある場合、その VPC には少なくとも 1 つのネットワーク ACL があります。

VPC ACLs のネットワークのリストを表示する

Amazon VPC コンソールを使用するにはACLs、ナビゲーションペインで [ネットワーク] を選択します。[ネットワークの検索ACLs] ボックスに、VPC ID または名前を入力し、 キーを押しますEnter。 その VPC ACLs のネットワークが検索結果のリストに表示されます。

AWS CLI または aws-shell を使用するには、 Amazon EC2 describe-network-acls コマンドを実行します。

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

前述のコマンドで、us-east-2 を VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。Windows で前述のコマンドを実行するには、一重引用符を二重引用符に置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

出力には、その VPC ACLs のネットワークのリストが含まれます。

ネットワーク ACL の設定を表示または変更する

Amazon VPC コンソールを使用するにはACLs、ナビゲーションペインで [ネットワーク] を選択します。ネットワーク ACL の横にあるボックスを選択します。設定を確認するには、それぞれのタブをクリックします。タブの設定を変更するには、[Edit (編集)] を選択し (該当する場合)、画面の指示に従います。

AWS CLI または aws-shell を使用して設定を表示するには、 Amazon EC2 describe-network-acls コマンドを実行します。

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

前述のコマンドで、us-east-2 をネットワーク ACL がある AWS リージョンで置き換え、acl-1234ab56 をネットワーク ACL ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

ネットワーク ACL を作成する

Amazon VPC コンソールを使用するにはACLs、ナビゲーションペインで [ネットワーク] を選択します。[Create Network ACL (ネットワーク ACL の作成)] を選択し、画面の指示に従います。

AWS CLI または aws-shell を使用するには、 Amazon EC2 create-network-acl コマンドを実行します。

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

前述のコマンドで、us-east-2 を新しいネットワーク ACL にアタッチする VPC がある AWS リージョンで置き換え、vpc-1234ab56 を VPC ID で置き換えます。aws-shell で前述のコマンドを実行する場合は、 を無視します。aws.

Amazon VPC 向けの AWS Cloud9 を作成する

Amazon VPC コンソールを使用して、Amazon VPC と互換性のある AWS Cloud9. を作成できます。

注記

この手順では、 にサインインAWS マネジメントコンソールしAmazon VPC、アカウントの IAM 管理者の認証情報を使用して AWS コンソールを開くことをお勧めします。これを実行できない場合は、AWS アカウントの管理者に確認してください。

組織によってはVPCs、自分で を作成することが許可されていない場合があります。VPC を作成できない場合は、 AWS アカウント管理者またはネットワーク管理者に確認してください。

  1. Amazon VPC コンソールをまだ開いていない場合は、AWS マネジメントコンソール にサインインして Amazon VPC コンソール (https://console.aws.amazon.com/vpc.) を開きます。

  2. ナビゲーションバーで、AWS リージョンが 環境 と同じではない場合は、正しい AWS リージョンを選択します。

  3. [VPC ダッシュボード] ページが表示されていない場合は、ナビゲーションペインで [VPC ダッシュボード] を選択します

  4. VPC ウィザードの起動.] を選択します。

  5. ステップ 1: VPC 設定の選択] ページで、[1 個のパブリックサブネットを持つ VPC] が選択されていることを確認し、[選択.] を選択します。

  6. [Step 2: VPC with a Single Public Subnet] では、次のデフォルト設定を変更しないことをお勧めします。(ただし、使用するカスタム がある場合は、CIDR CIDRs 設定を変更できます。 詳細については、の「VPC とサブネットのサイズ設定」を参照してくださいAmazon VPC ユーザーガイド

    • IPv4 CIDR ブロック: 10.0.0.0/16

    • IPv6 CIDR ブロック: CIDR ブロックIPv6なし

    • パブリックサブネットの IPv4 CIDR: 10.0.0.0/24

    • アベイラビリティーゾーン]: [指定なし

    • DNS ホスト名を有効化]: [はい

    • ハードウェアテナンシー]: [デフォルト

  7. [VPC 名] に、VPC の名前を入力します。

  8. [サブネット名] に、VPC のサブネットの名前を入力します。

  9. 新しい VPC の作成.] を選択します。

    Amazon VPC は、 と互換性のある以下のリソースを作成しますAWS Cloud9。

    • VPC

    • VPC のパブリックサブネット

    • パブリックサブネットのルートテーブルと最小限必要な設定

    • パブリックサブネットのインターネットゲートウェイ

    • パブリックサブネットのネットワーク ACL で、最低限必要な設定が含まれている

  10. デフォルトでは、VPC はすべてのタイプ、プロトコル、ポート、および IP アドレスからの着信トラフィックを許可します。この動作を制限すると、ポート 22 を介した SSH を使用して AWS Cloud9 からの IP アドレスのみを許可することができます。1 つのアプローチは、次のように、VPC のデフォルトのネットワーク ACL に受信ルールを設定することです。

    1. Amazon VPC コンソールのナビゲーションペインで、[] を選択しますVPCs

    2. 作成した VPC のボックスを選択します。

    3. 説明] タブで、[ネットワーク ACL.] の横のリンクを選択します。

    4. 表示されているネットワーク ACL の横にあるチェックボックスをオンにします。

    5. インバウンドルール] タブで、[インバウンドルールの編集.] を選択します。

    6. ルール # 100)] の [タイプ] で、[SSH (22).] を選択します。

    7. [ソース] に、この VPC の のインバウンド SSH IP アドレスの範囲AWS Cloud9リージョンと一致するいずれかの CIDR ブロックをAWSリストに入力します。

    8. 別のルールの追加.] を選択します。

    9. [ルール #] に「」と入力します200

    10. Type] で [SSH (22).] を選択します。

    11. [ソース] に、この VPC の のインバウンド SSH IP アドレスの範囲AWS Cloud9リージョンと一致するAWSリストの他の CIDR ブロックを入力します。

    12. 少なくとも、Amazon Linux インスタンスタイプおよび Ubuntu Server インスタンスタイプでは TCP ポート 32768-61000 を使用して、すべての IP アドレスからの着信トラフィックを許可する必要があります。(背景知識と、他のAmazon EC2インスタンスタイプのポート範囲については、『』の「一時ポート」を参照してくださいAmazon VPC ユーザーガイド)。これを行うには、[別のルールの追加.] を選択します。

    13. [ルール #] に「」と入力します300

    14. Type] で [Custom TCP Rule.] を選択します。

    15. [ポート範囲] に「」と入力します 32768-61000 ( Amazon Linux および Ubuntu Server インスタンスタイプの場合)。

    16. 送信元] に「0.0.0.0/0.」と入力します。

    17. 保存.] を選択します。

    18. の使用方法の計画に応じて、ネットワーク ACL にインバウンドまたはアウトバウンドのルールを追加する必要がある場合がありますAWS Cloud9。VPC のインバウンドおよびアウトバウンド通信APIsを許可する特定のウェブサービスまたは のドキュメントを参照してください。具体的には、ネットワーク ACL ルールの [Type (タイプ)]、[Protocol (プロトコル)]、[Port Range (ポート範囲)]、および [Source (ソース)] の各設定をチェックして、トラフィックがサブネットから出ていくのを許可します。

のサブネットを作成する AWS Cloud9

Amazon VPC コンソールを使用して、 と互換性のある VPC のサブネットを作成できますAWS Cloud9。EC2 インスタンスのプライベートサブネットとパブリックサブネットのどちらを作成できるかは、環境と接続する方法によって異なります。

  • SSH を介した直接アクセス: パブリックサブネットのみ

  • を介したアクセスSystems Manager: パブリックサブネットまたはプライベートサブネット

環境の EC2 をプライベートサブネットで起動するオプションはEC2 環境、コンソール、コマンドライン、または を使用して「受信なし」を作成する場合にのみ使用できますAWS CloudFormation

同じステップに従って、パブリックまたはプライベートにできるサブネットを作成します。その後、サブネットがインターネットゲートウェイへのルートを持つルートテーブルに関連付けられている場合、そのサブネットはパブリックサブネットになります。ただし、サブネットがインターネットゲートウェイへのルートを持たないルートテーブルに関連付けられている場合、プライベートサブネットになります。詳細については、「 」を参照してください。サブネットをパブリックまたはプライベートとして設定する

前の手順に従って の VPC を作成した場合はAWS Cloud9、この手順に従う必要はありません。これは、[Create new VPC (新しい VPC の作成)] ウィザードによって自動的にサブネットが作成されるためです。

重要
  • AWS アカウントには、AWS の同じ 環境. リージョン内に互換性のある VPC が既に存在している必要があります。詳細については、 の VPC の要件を参照してください。Amazon VPC の 要件 AWS Cloud9.

  • この手順では、 にサインインしAWS マネジメントコンソール、Amazon VPCアカウントの IAM 管理者の認証情報を使用して AWS コンソールを開くことをお勧めします。これを実行できない場合は、AWS アカウントの管理者に確認してください。

  • 一部の組織では、独自のサブネットを作成することが許可されていない場合があります。サブネットを作成できない場合は、AWS アカウントの管理者またはネットワーク管理者に確認してください。

サブネットを作成するには

  1. Amazon VPC コンソールをまだ開いていない場合は、AWS マネジメントコンソール にサインインして Amazon VPC コンソール (https://console.aws.amazon.com/vpc.) を開きます。

  2. ナビゲーションバーで、AWS リージョンが AWS の 環境 リージョンと同じではない場合は、正しい AWS リージョンを選択します。

  3. [サブネット] ページが表示されていない場合は、ナビゲーションペインで [サブネット] を選択します。

  4. Create Subnet.] を選択します。

  5. [サブネットの作成] ダイアログボックスの [名前タグ] に、サブネットの名前を入力します。

  6. [VPC] で、サブネットを関連付ける VPC を選択します。

  7. [アベイラビリティーゾーン] で、使用するサブネットのAWSリージョン内のアベイラビリティーゾーンを選択するか、[指定なし] を選択して でアベイラビリティーゾーンAWSを自動的に選択します。

  8. [IPv4CIDR ブロック] に、使用するサブネットの IP アドレス範囲を CIDR 形式で入力します。この IP アドレスの範囲は、VPC の IP アドレスのサブネットである必要があります。

    CIDR ブロックの詳細については、の「VPC とサブネットのサイズ設定」を参照してくださいAmazon VPC ユーザーガイド「3.1」も参照してください。Basic Concept and Prefix Notation (RFC 4632) または IPv4 CIDR ブロック (Wikipedia)。

サブネットを作成したら、パブリックサブネットまたはプライベートサブネットとして設定します。

サブネットをパブリックまたはプライベートとして設定する

サブネットを作成したら、インターネットとの通信方法を指定して、サブネットをパブリックまたはプライベートにすることができます。

パブリックサブネットにはパブリック IP アドレスがあり、インターネットゲートウェイ (IGW) がアタッチされています。これにより、サブネットのインスタンスと、インターネットおよび AWS の他のサービスとの間の通信が可能になります。

プライベートサブネットのインスタンスにはプライベート IP アドレスがあり、ネットワークアドレス変換 (NAT) ゲートウェイはサブネットのインスタンスとインターネットや他のAWSサービスとの間でトラフィックを送受信するために使用されます。NAT ゲートウェイはパブリックサブネットでホストされている必要があります。

Public subnets
注記

環境のインスタンスがプライベートサブネットで起動されていても、VPC には少なくとも 1 つのパブリックサブネットが必要です。これは、インスタンスとの間でトラフィックを転送する NAT ゲートウェイがパブリックサブネットでホストされる必要があるためです。

サブネットをパブリックとして設定するには、インターネットゲートウェイ (IGW) をそれにアタッチし、その IGW へのルートを指定するルートテーブルを設定し、インバウンドトラフィックとアウトバウンドトラフィックを制御するためのセキュリティグループの設定を定義します。

これらのタスクを実行するためのガイダンスは、「」に記載されていますAmazon VPC 向けの AWS Cloud9 を作成する

重要

開発環境で を使用して EC2 インスタンスSSMにアクセスする場合は、インスタンスが起動されるパブリックサブネットによってパブリック IP アドレスが割り当てられていることを確認します。これを行うには、独自の IP アドレスを指定するか、パブリック IP アドレスの自動割り当てを有効にします。自動割り当て IP 設定の変更に関連するステップについては、の「VPCIP アドレス指定」を参照してくださいAmazon VPC ユーザーガイド

Private subnets

を介してアクセスされる非進入インスタンスを作成する場合はSystems Manager、プライベートサブネットで起動できます。プライベートサブネットにはパブリック IP アドレスがないため、プライベート IP アドレスをリクエストのパブリックアドレスにマッピングし、パブリック IP アドレスをレスポンスのプライベートアドレスにマッピングするには、NAT ゲートウェイが必要です。

警告

アカウントで NAT ゲートウェイを作成して使用すると、料金が発生します。NAT ゲートウェイの時間単位の使用料金とデータ処理料金が適用されます。Amazon EC2 データ転送料金も適用されます。詳細については、「Amazon VPC の料金.」を参照してください。

NAT ゲートウェイを作成および設定する前に、以下を実行する必要があります。

  • NAT ゲートウェイをホストするパブリック VPC サブネットを作成します。

  • NAT ゲートウェイに割り当てることができる Elastic IP アドレスをプロビジョニングします。

  • プライベートサブネットの場合は、[パブリックアドレスIPv4の自動割り当てを有効にする] チェックボックスをオフにして、起動したインスタンスにプライベート IP アドレスを割り当てます。詳細については、の「VPCIP アドレス指定」を参照してくださいAmazon VPC ユーザーガイド

このタスクのステップについては、の「NAT ゲートウェイの使用」を参照してくださいAmazon VPC ユーザーガイド

重要

現在、環境の EC2 インスタンスがプライベートサブネットで起動されている場合、 を使用して、AWS エンティティ ( ユーザーなど) に代わって AWS 管理の一時認証情報 のサービスにアクセスすることを EC2 環境にAWSIAM許可することはできません。