VPC エンドポイントでの Elastic Beanstalk の使用

VPC エンドポイント を使用すると、サポートされる AWS のサービスおよび AWS PrivateLink を使用する VPC エンドポイントのサービスに VPC をプライベートに接続できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続は不要です。

VPC のインスタンスでは、サービスのリソースと通信するためにパブリック IP アドレスを必要としません。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れることはありません。VPC エンドポイントの詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイント」を参照してください。

AWS Elastic Beanstalk では、Elastic Beanstalk サービスへのプライベート接続を提供する AWS PrivateLink をサポートしており、パブリックインターネットへのトラフィックの公開を排除します。アプリケーションが AWS PrivateLink を使用して Elastic Beanstalk にリクエストを送信できるようにするには、VPC エンドポイントのタイプと呼ばれるインターフェイス VPC エンドポイント (インターフェイスエンドポイント) を設定します。詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

注記

Elastic Beanstalk では、限られた数の AWS リージョンで、AWS PrivateLink とインターフェイス VPC エンドポイントをサポートしています。近い将来、より多くの AWS リージョンにサポートを拡張する予定です。

Elastic Beanstalk 用の VPC エンドポイントをセットアップする

VPC で Elastic Beanstalk サービスのインターフェイス VPC エンドポイントを作成するには、「インターフェイスエンドポイントの作成」の手順に従います。[サービス名] で、com.amazonaws. region.elasticbeanstalk を選択します。

VPC がパブリックインターネットアクセスで設定されている場合でも、アプリケーションは elasticbeanstalk.region.amazonaws.com パブリックエンドポイントを使用して、インターネット経由で Elastic Beanstalk にアクセスできます。これを防ぐには、エンドポイントの作成時に [Enable DNS name (DNS 名を有効にする)] が有効になっていることを確認します (デフォルトでは true)。これにより、パブリックサービスエンドポイントをインターフェイス VPC エンドポイントにマップする DNS エントリが VPC に追加されます。

拡張ヘルスのための VPC エンドポイントを設定する

環境の 拡張ヘルスレポート を有効にすると、拡張ヘルス情報を AWS PrivateLink 経由で送信するように設定することもできます。拡張ヘルス情報は、環境インスタンスの Elastic Beanstalk コンポーネントである healthd デーモンによって、別の Elastic Beanstalk 拡張ヘルスサービスに送信されます。VPC でこのサービスのインターフェイス VPC エンドポイントを作成するには、「インターフェイスエンドポイントの作成」の手順に従います。[サービス名] で、com.amazonaws.region.elasticbeanstalk-healthを選択します。

重要

healthd デーモンは、拡張ヘルス情報をパブリックエンドポイント、elasticbeanstalk-health.region.amazonaws.com に送信します。VPC がパブリックインターネットアクセスで設定されていて、VPC エンドポイントで [Enable DNS name (DNS 名を有効にする)] が無効になっている場合、拡張ヘルス情報はパブリックインターネットを通過します。これは、拡張ヘルスの VPC エンドポイントを設定した際に意図したことではない可能性があります。[Enable DNS name (DNS 名を有効にする)] が有効になっていることを確認します (デフォルトでは true)。

プライベート VPC で VPC エンドポイントを使用する

プライベート VPC、または VPC 内のプライベートサブネットにはパブリックインターネットアクセスはありません。プライベート VPC で Elastic Beanstalk 環境を実行し、インターフェイス VPC エンドポイントを設定してセキュリティを強化できます。この場合、Elastic Beanstalk サービスへの連絡に加えて、他の理由で環境がインターネットに接続しようとする場合があることに注意してください。プライベート VPC で環境を実行する方法の詳細については、「プライベート VPC で Elastic Beanstalk 環境を実行する」を参照してください。

エンドポイントポリシーを使用して VPC エンドポイントでアクセスを制御する

デフォルトでは、VPC エンドポイントは、関連付けられているサービスへのフルアクセスを許可します。エンドポイントを作成または変更するときに、エンドポイントポリシー をアタッチできます。

エンドポイントポリシーは、エンドポイントから指定されたサービスへのアクセスを制御する AWS Identity and Access Management (IAM) リソースポリシーです。エンドポイントポリシーは、エンドポイントに固有のものです。これは、環境が持つ可能性のあるユーザーまたはインスタンスの IAM ポリシーとは別のものであり、上書きしたり置き換えたりすることはありません。VPC エンドポイントポリシーの作成と使用の詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

次の例では、VPC エンドポイントを経由して環境を終了するアクセス許可をすべてのユーザーに拒否し、他のすべてのアクションへのフルアクセスを許可します。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

注記

現時点では、主要な Elastic Beanstalk のサービスのみが VPC エンドポイントへのエンドポイントポリシーのアタッチをサポートしています。拡張ヘルスサービスでは、エンドポイントポリシーがサポートされていません。