翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC と AWS Control Tower の CIDR とピア接続
このセクションは、主にネットワーク管理者を対象としています。通常、会社のネットワーク管理者は、AWS Control Tower 組織の全体的な CIDR 範囲を選択する担当者です。ネットワーク管理者は、特定の目的のために、その範囲内からサブネットを割り当てます。
VPC の CIDR 範囲を選択すると、AWS Control Tower は RFC 1918 仕様に従って IP アドレス範囲を検証します。Account Factory は、以下の範囲で最大 /16
の CIDR ブロックを許可します。
-
10.0.0.0/8
-
172.16.0.0/12
-
192.168.0.0/16
-
100.64.0.0/10
(インターネットプロバイダーがこの範囲の使用を許可している場合のみ)
/16
区切り記号を使用すると、最大 65,536 個の IP アドレスを指定できます。
以下の範囲から有効な IP アドレスを割り当てることができます。
-
10.0.x.x to 10.255.x.x
-
172.16.x.x – 172.31.x.x
-
192.168.0.0 – 192.168.255.255
(192.168
範囲外の IP はありません)
指定した範囲がこれらの範囲外である場合、AWS Control Tower はエラーメッセージを表示します。
デフォルトの CIDR 範囲は 172.31.0.0/16
です。
AWS Control Tower は、選択された CIDR 範囲を使用して VPC を作成する際に、組織単位 (OU) 内に作成した各アカウントのすべての VPC に対して、同じ CIDR 範囲を割り当てます。IP アドレスのデフォルトオーバーラップのため、この実装では、OU 内のいずれかの AWS Control Tower VPC 間のピア接続が最初は許可されません。
サブネット
各 VPC 内で、AWS Control Tower は指定された CIDR 範囲を 9 つのサブネット間に均等に分割します (6 つのサブネットがある米国西部 (北カリフォルニア)。VPC 内のサブネットは重複しません。したがって、それらはすべて VPC 内において相互間で通信できます。
つまり、デフォルトでは VPC 内のサブネット通信は制限されません。VPC サブネット間の通信を制御するためのベストプラクティスは、必要に応じて、許可するトラフィックフローを定義するルールを使用してアクセスコントロールリストを設定することです。特定のインスタンス間のトラフィックを制御するには、セキュリティグループを使用します。AWS Control Tower でセキュリティグループとファイアウォールを設定する方法の詳細については、「チュートリアル: AWS Firewall Manager を使用して AWS Control Tower でセキュリティグループを設定する」を参照してください。
ピア接続
AWS Control Tower は、複数の VPC 間で通信するための VPC と VPC 間のピア接続を制限しません。ただし、デフォルトでは、すべての AWS Control Tower VPC のデフォルトの CIDR 範囲は同じです。ピア接続をサポートするために、IP アドレスが重複しないように Account Factory の設定で CIDR 範囲を変更できます。
Account Factory の設定で CIDR 範囲を変更すると、以降に AWS Control Tower で (Account Factory を使用して) 作成されるすべての新しいアカウントに新しい CIDR 範囲が割り当てられます。古いアカウントは更新されません。例えば、アカウントを作成し、CIDR 範囲を変更して新しいアカウントを作成すると、これら 2 つのアカウントに割り当てられた VPC 間はピア接続できます。IP アドレス範囲が同じではないため、ピア接続が可能です。