NW-JAWS #14 re:Invent 2024（予選落ち含）で 発表された推しアップデートについて

Transcript

1. NW-JAWS #14 re:Invent 2024（予選落ち含）で 発表された推しアップデートについて 2024/12/16 五味 なぎさ

2. 自己紹介  所属：某SIer勤務  職種：インフラ・クラウドアーキテクト 最近はパブリッククラウド案件推進部署のマネージャー業が中心  趣味：キックボクシング、離島でダイビング  好きなAWSサービス：NW系サービス全般

   JAWSに初めて参加したのはNW-JAWS勉強会#7（2020/12 オンライン）  その他：JAWS-UGクラウド女子会運営、2024 Japan AWS Top Engineer 2022/2023/2024 Japan AWS All Certifications Engineers X（旧Twitter）：@nagisa_53

3. re:Invent 2024および開催前期間に発表されたNW関連のアップデートの 内、自身にとって嬉しかった（推し）アップデートについて ・アップデートの内容 ・なぜ嬉しかったか ・一部サービスについては実際に触ってみた結果 についてお話していきます。 ※結果的に予選落ちの3件になってしまいましたがご了承ください ※本日の内容は個人の見解であり、所属する組織の公式見解ではありません 本日お話する内容について

4.  対象のアカウント/リージョン内のVPCへのパブリックアクセスを 統一的にブロックできるようになりました  以下のように双方向ブロック/Ingress方向のみブロックから選択可能  各VPCで設定されているSecurity GroupやNetwork ACLよりも優先される ①

   VPCがブロックパブリックアクセスに対応

5.  なぜ嬉しかったか ① VPCがブロックパブリックアクセスに対応 これまでは意図せずVPCがインターネット公開されてしまうリスクに対し、 設定されたものを検出/修復する、権限管理を細かく行うことでリスクを軽 減するなどの対策が主となり、（特に大量のVPCを管理しているケースなど で）予防的措置を取る難易度が高かった 今回のアップデートにより、VPCのインターネットアクセス拒否設定が簡素 化され、統一的なVPCアクセスの予防制御が行いやすくなった

6.  CloudFrontからVPCのプライベートサブネットにある ALB、NLB、EC2 へ直接接続できるようになりました ② Amazon CloudFront が VPC Originに対応

   AWS Cloud Virtual private cloud (VPC) Private subnet Amazon CloudFront Application Load Balancer Instances Origin

7.  なぜ嬉しかったか ② Amazon CloudFront が VPC Originに対応 これまでCloudFrontのOriginとしてVPC上のリソースを利用する場合、パブ リックサブネットにグローバルIPアドレスを持つリソース（ALB/NLB/EC2

   等）が必要だった ・VPC内のリソースをインターネットにさらす必要があった （Headerによる制限やManaged Prefix Listによる送信元制限はできたものの） ・グローバルIPアドレスの利用が必須で、コスト面でデメリットがあった 今回のアップデートにより、VPC内のOriginをインターネットに直接さらす 必要がなくなり、また、外部公開向けにVPC内リソースへのグローバルIPア ドレス付与が必須ではなくなった

8.  実際に触ってみた  前提として事前に以下のリソースがあるとします  VPC  プライベートサブネット  Internet

   Gateway  オリジンとなるInternal ALB（今回はALBから固定レスポンスを返す形で検証）  大まかな流れ ① Cloud FrontでVPC Originを作成  作成が完了するとVPCの指定したオリジンと同じサブネットにVPC Origin用のENIが作成される （専用のSecurity Groupも併せて作成される） ② オリジンとなるInternal ALBのSecurity Groupに①で作られたSGからInbound通信を許可す るルールを適用 ③ ①で作成したVPC Originを利用するCloud Frontディストリビューションを作成 ② Amazon CloudFront が VPC Originに対応

9.  実際に触ってみた  無事に疎通 ② Amazon CloudFront が VPC Originに対応

10.  実際に触ってみて分かったこと  パブリックサブネットは不要だがIGWは必要  ユーザ側でIGW向けのルート設定は不要だが、AWS内部の通信で利用されている模様  OriginのSGではVPC OriginのENIに付与されるSGからのInbound通信だけ許可す れば疎通可能。以下Developer

    Guideより。  Origin（今回はALB）のログにはAWS内部で利用されているグローバルIPアドレ ス（おそらくCloud Front内部で利用されているもの）が送信元として記録され ていた ② Amazon CloudFront が VPC Originに対応

11.  CloudFrontがAnycast静的IPアドレスに対応しました  Anycast静的IPアドレスとは？  Anycastアドレスが割り当てられたインタフェース群に対しいくつかの固定のIP アドレスが割り当てられ、ネットワーク的な距離が最も近いインタフェースに 配信されるという技術  障害時動作やパフォーマンス面でもメリットがあるが、複数のエッジへの固定

    エンドポイント（= 静的IPアドレス）を提供する目的でも利用される ※ALB/NLB等はGlobal Acceleratorを利用することでAnycast静的IPアドレスが利用可能 ③ CloudFrontがAnycast静的IPアドレスに対応

12.  なぜ嬉しかったか ③ CloudFrontがAnycast静的IPアドレスに対応 これまでCloudFrontのIPアドレスは固定不可だった クライアント側でIPアドレスベースの送信先制限を行っていた場合に以下のような対応が 必要であった ・CloudFrontを経由しない入り口を作る ・広いIPアドレスレンジへの通信を許可する＆CloudFrontのIPアドレス変更に追随 今回のアップデートによりCloudFrontのIPアドレスが固定できるようになっ

    たため、上記のようなケースに対応できるようになった ※ただし、利用には月額3,000USDかかるため、 どうしても固定する必要があるかの検討は必要そう

13.  実際に触ってみた（お金は払えないので設定画面のみ） ③ CloudFrontがAnycast静的IPアドレスに対応 ①こちらを選択 ② リクエストを送信 ③ Static IPsが確保できたらディス

    トリビューションの設定側で指定 価格クラスで「すべてのエッジロケーションを使用する」を選択する、IPv6はオフにするなど、前提となる 設定があるため、詳しくはDeveloper Guideを確認してください。

14.  14:00～AWS目黒オフィスでのオフライン開催です  LT枠もまだ空いているので、興味のある方はご参加お願いします！  エスコート枠（女性参加者1名につき男性も参加できる制度）であれば男性も参加可能です！ 1/25（土）にクラウド女子会でre:Capイベントやります connpass URL