Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPC Block Public Accessを触ってみて気づいた色々な勘所

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for da-hatakeyama da-hatakeyama
January 24, 2025
Technology
390
2

VPC Block Public Accessを触ってみて気づいた色々な勘所

「JAWS-UGちばらき(茨城&千葉支部共同開催) #1 土浦からはじめます!」での登壇資料です
https://jawsug-ibaraki.connpass.com/event/338441/

Avatar for da-hatakeyama

da-hatakeyama

January 24, 2025

More Decks by da-hatakeyama

See All by da-hatakeyama
これまでのネットワーク運用を変えるかもしれないアプデをおさらい
Avatar for da-hatakeyama hatahata021
4
440
好奇心をくすぐるサービス「Amazon Leo」について徹底調査
Avatar for da-hatakeyama hatahata021
0
150
プロトコルを跨いで使えるファイルサーバーを作ってみる 〜S3 File GatewayとTransfer Familyの併用〜
Avatar for da-hatakeyama hatahata021
1
240
VPC Block Public AccessとCloudFrontVPCオリジンによって何が変わるのか?
Avatar for da-hatakeyama hatahata021
2
1.3k
WernerVogelsのKeynoteで語られた6つの教訓とOps
Avatar for da-hatakeyama hatahata021
2
690
サーバレスを本気で理解したいあなたに贈る 「実践力を鍛えるBootcamp」の紹介
Avatar for da-hatakeyama hatahata021
3
430
CloudFrontを使ってSPAなWebサイトを公開するときに気をつけること
Avatar for da-hatakeyama hatahata021
2
3.7k
「AWSの薄い本」の紹介
Avatar for da-hatakeyama hatahata021
1
270
ALBの新機能 Automatic Target Weightsとgray failuresについて考えてみる
Avatar for da-hatakeyama hatahata021
0
1.1k

Other Decks in Technology

See All in Technology
価格.comをAI駆動で全面刷新する ー 30年分の技術的負債を返し、次の30年の土台をつくる ー / AI Engineering Summit Tokyo 2026
Avatar for tkyowa tkyowa
50
56k
BigQuery の Cross-cloud Lakehouse への歩み
Avatar for Tomonori Hayashi / ぴーはや phaya72
2
600
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
Avatar for つくぼし tsukuboshi
0
300
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
210
Agentic Defenseとともにセキュリティエンジニアが輝き続けるには / How Security Engineers Can Keep Excelling with Agentic Defense
Avatar for Yuji Oshima yuj1osm
0
120
Microsoft Build Keynoteふりかえり
Avatar for tomokusaba tomokusaba
0
110
Databricks 月刊サービスアップデート 2026年05月号
Avatar for ちょし tyosi1212
0
210
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
Avatar for Hiroki Suezawa (@rung) rung
PRO
2
780
Rubyで音を視る
Avatar for ydah ydah
1
110
AI Adaptable なテストを整える工夫 / Ways to Make Your Tests AI-Adaptable
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
3
220
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
Avatar for Hiroshi Tokoyo htokoyo
1
200
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
Avatar for soudai sone soudai
PRO
0
210

Featured

See All Featured
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.6k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
350
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2.1k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.2k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
200
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
360
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
330
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
230
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
950
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
240
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.8k

Transcript

  1. VPC Block Public Accessを触ってみて気づいた 色々な勘所 JAWS-UGちばらき(茨城&千葉支部共同開催) #1 はたはた

  2. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  3. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  4. 自己紹介 名前 畠山 大治(はたはた) 業務 プリセールスエンジニア @AWSパートナー 好きなもの Perfume、読書、映画・アニメ ギター(練習中)

    好きなAWSサービス VPC、CloudFront はたはた (@hatake_book)

  5. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  6. VPC Block Public Access(BPA)とは lre:Invent直前(いわゆる ”pre:Invent”)で発表された、VPCとインターネットの間の 通信を強制的にブロックできる機能 lブロックする方向は2種類の設定から選択可能 l双方向 :インバウンドとアウトバウンド両方ブロック

    lIngress-only :インターネットからVPCへのインバウンドのみブロック lBPA設定を適用しない除外設定をサブネット単位で設定可能 l除外するトラフィックの方向も2種類から選択可能 l双方向 :インバウンドとアウトバウンド両方を許可 lEgress-Only :サブネットからインターネットへの通信を許可

  7. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  8. まずは検証環境を準備 従来通りのアーキテクチャでWebサーバーを構築しておく lIPv4とIPv6のデュアルスタック構成 lインターネットとの通信パターンを3種類用意 lEC2からのインターネットEgress(IPv4) lEC2からのインターネットEgress(IPv6) lインターネットからALBへのIngress(IPv4、IPv6) lEgress通信の確認にはGoogleのDNSを使用 l簡略化のためHTTPS化は未実施

  9. BPAの設定を追加して挙動を確認 まずは「双方向ブロック、除外設定なし」の設定を入れてみる (設定を入れた後に1分ほど待機すると有効化される)

  10. BPAの設定を追加して挙動を確認 「VPCとインターネットとの通信をすべてブロックする」という設定を入れているので、 全通信がブロックされる 通信経路 結果 EC2からのインターネットEgress(IPv4) 拒否 EC2からのインターネットEgress(IPv6) 拒否 インターネットからALBへのIngress(IPv4、IPv6)

    拒否

  11. BPAの設定を追加して挙動を確認 先ほどの設定に「パブリックサブネットでの双方向通信を除外」という設定を追加してみる (設定を入れてから有効化されるまで5分ほど時間がかかる)

  12. BPAの設定を追加して挙動を確認 EIGWもインターネットゲートウェイの一種なので、 IPv6のEgress通信のみ拒否される 通信経路 結果 EC2からのインターネットEgress(IPv4) 許可 EC2からのインターネットEgress(IPv6) 拒否 インターネットからALBへのIngress(IPv4、IPv6)

    許可 「プライベートサブネットでのEgress通信を除外」 という除外設定を追加する必要がある

  13. VPCフローログでの出力内容を確認してみる lIPv6でのEgressが一度許可(ACCEPT)された後に拒否(REJECT)されている lVPCフローログのreject-reasonフィールドに「BPA」との記載あり セキュリティグループやNACLで許可された後、BPAで拒否されるという挙動になっている

  14. BPAの設定を追加して挙動を確認 今回の構成でBPAを導入するのであれば以下のような設定になる lパターン1 l双方向ブロック lパブリックサブネットでの双方向除外 lプライベートサブネットでのEgress-Only除外 lパターン2 lIngress-Onlyブロック lパブリックサブネットでの双方向除外

  15. 脱線:VPC エンドポイントとの通信はどうなる? VPCエンドポイントに対するトラフィックは、いずれもBPAの制限対象にはならない lインターフェイス型 Ø 先ほどの構成からNAT Gatewayを消し、VPCエンドポイ ント経由でセッションマネージャーを使う状態に修正 Ø BPAでブロック設定を入れても、セッションマネージャー

    は使用可能なのでVPCエンドポイントと通信できている lゲートウェイ型 Ø BPAでブロック設定を入れても、DynamoDBに接続可能 なのでVPCエンドポイントと通信できている

  16. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  17. CloudFront VPC Origins とは l re:Invent直前(いわゆる ”pre:Invent”)で発表された、CloudFrontの新機能 l プライベートサブネットにあるリソースを、CloudFrontディストリビューションの オリジンに設定できるように

    l 対応しているリソースはALB、NLB、EC2インスタンス l ALB、NLBをパブリックサブネットに配置する必要がないため、よりセキュアな構成 にすることができる Ø パブリックIPを削減することができるためコスト削減も見込める

  18. CloudFront VPC Originsとの組み合わせ CloudFront VPC Originsを使い、インターネットに露出するリソースを極限まで減らした構成に 作り替える

  19. CloudFront VPC Originsとの組み合わせ 前述のパターン1の設定「BPAで双方向ブロック、パブリックサブネットで双方向除外、プライ ベートサブネットでEgress-Only除外」を再度有効化してみると…

  20. CloudFront VPC Originsとの組み合わせ インターネットからWebサーバーに到達不可能に 通信経路 結果 EC2からのインターネットEgress(IPv4) 許可 EC2からのインターネットEgress(IPv6) 許可

    インターネットからALBへのIngress(IPv4、IPv6) 拒否 インターネットからCloudFront VPC Origins向けの 通信がインバウンドと判定されている プライベートサブネットでの設定を双方向除外に 変更する必要がある

  21. CloudFront VPC Originsとの組み合わせ 今回の構成でBPAを導入するのであれば以下のような設定になる lパターン1 l双方向ブロック lパブリックサブネットでのEgress-Only除外 lプライベートサブネットでの双方向除外 lパターン2 lIngress-Onlyブロック

    lプライベートサブネットでの双方向除外

  22. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  23. 今後意識すべき観点 l BPAのブロック方向の設定によって除外設定の内容も変わる、という点に考慮して 設計を行う必要がある l 既存リソースがある環境で導入する場合は… Ø あらかじめ除外設定を入れておいた上で、BPA設定のブロック方向を「Ingress-Only」に 設定、そこから除外設定を追加していくという手順が比較的シンプル l

    新規構築をする場合は… Ø あらかじめ除外設定を入れておいた上で、「Ingress-Only」のBPA設定をとりあえず入れ ておくとガバナンスを効かせることができる l インターネット接続を問答無用で遮断する機能なので設定は慎重に! Ø 設定はかなりシンプルだが影響は非常に大きい Ø アーキテクチャによる設計の違いにも留意する必要あり BPA設定のブロック方向と除外設定の組み合わせ

  24. 今後意識すべき観点 l セキュリティグループ、NACLよりも 強力な機能なので権限管理をしておく と安心 Ø 権限設定の例 • 「VpcBlockPublicAccess」 が含まれれ

    るEC2のAPIアクションのみを制限する IAMポリシー • 2025年1月現在、対象のAPIアクション は6つ存在している 権限管理 { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmtxxxxxxxxxxxxx", "Action": [ "ec2:CreateVpcBlockPublicAccessExclusion", "ec2:DeleteVpcBlockPublicAccessExclusion", "ec2:DescribeVpcBlockPublicAccessExclusions", "ec2:DescribeVpcBlockPublicAccessOptions", "ec2:ModifyVpcBlockPublicAccessExclusion", "ec2:ModifyVpcBlockPublicAccessOptions" ], "Effect": "Deny", "Resource": "*" }, { "Sid": "Stmtxxxxxxxxxxxxx", "Action": "*", "Effect": "Allow", "Resource": "*" } ] }

  25. 今後意識すべき観点 l re:Invent期間中に発表されたOrganizationsの新機能「宣言型ポリシー」で、BPA がサポートされている! Ø 宣言型ポリシー:ある特定のサービスの設定内容を、組織内で強制的に指定できる機能 l しかし、除外設定を宣言型ポリシーで作成することは不可 Ø 各アカウントの各リージョンで除外設定を別途追加する必要があるので、活用シーンは

    限られそう 権限管理(宣言型ポリシー) 参考:https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc- block-public-access

  26. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ

  27. まとめ l BPAを使用するとVPCとインターネットの間のトラフィックを制御できる Ø セキュリティやガバナンスを強化する効果がある l BPAとCloudFront VPC Originsを組み合わせることで、よりセキュアな環境を作る ことができる

    l 設計時には既存の構成とは少し異なる観点が必要になるため、「BPAの設定がどの 通信に影響するのか」は事前にちゃんと検証しておく必要がある l 強力な機能なので、ユーザーの権限管理もしておくと安心 Ø 宣言型ポリシーでもサポートされているが、まだちょっと機能不足な雰囲気 Ø 「特定のタグがついてるサブネットは除外」とかできたら便利そう、今後に期待

  28. 宣伝 l 「OpsJAWS Meetup33」を3/4(火)に開催します! Ø オンライン、オフライン(目黒)どっちも開催予定 l AIOpsをテーマに、AWS Hero みのるんさんに登壇いただきます!

    l LT枠も募集中!! (2/17まで募集、締め切り次第抽選実施)

  29. 参考資料 l Amazon VPC Block Public Access による VPC セキュリティの強化

    Ø https://aws.amazon.com/jp/blogs/news/vpc-block-public-access/ l VPC とサブネットへのパブリックアクセスをブロックする Ø https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/security-vpc-bpa.html l [アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリ リースされました! Ø https://iret.media/128465 l Amazon CloudFront VPC オリジンの紹介: アプリケーションのセキュリティ強化と運用の合理化 Ø https://aws.amazon.com/jp/blogs/news/introducing-amazon-cloudfront-vpc-origins-enhanced- security-and-streamlined-operations-for-your-applications/ l Restrict access with VPC origins Ø https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content- vpc-origins.html