amazon virtual private cloud - docs.aws.amazon.com · vpc ピア機能とは amazon virtual private...

Amazon Virtual Private CloudVPC ピアリング接続

Amazon Virtual Private Cloud VPC ピアリング接続

Amazon Virtual Private Cloud: VPC ピアリング接続Copyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsVPC ピア機能とは .............................................................................................................................. 1

VPC ピア機能の基本 ................................................................................................................... 2VPC ピアリング接続のライフサイクル .................................................................................. 2複数の VPC ピアリング接続 ................................................................................................. 4VPC ピアリング接続の料金 .................................................................................................. 4VPC ピア機能の制限事項 ..................................................................................................... 4

VPC ピア接続の操作 ........................................................................................................................... 6作成と使用 ................................................................................................................................ 6

アカウント内の別の VPC との VPC ピアリング接続を作成する ................................................. 6別の AWS アカウントの VPC との VPC ピアリング接続を作成する ........................................... 7VPC ピアリング接続を承認する ............................................................................................ 9VPC ピアリング接続の表示 .................................................................................................. 9

拒否 ........................................................................................................................................ 10ルートテーブルの更新 ............................................................................................................... 10ピア VPC セキュリティグループの参照 ........................................................................................ 12

参照されるセキュリティグループの確認 ............................................................................... 13古いセキュリティグループルールの操作 ............................................................................... 13

ピアオプションの変更 ............................................................................................................... 15VPC ピアリング接続の DNS 解決サポートを有効化 ............................................................... 15

削除 ........................................................................................................................................ 16VPC ピア機能のシナリオ ................................................................................................................... 17

複数の VPC をピアリング接続してリソースにフルアクセスする ...................................................... 171 つの VPC にピアリング接続して一元管理されているリソースにアクセスする ................................. 17ClassicLink を使用したピアリング接続 ......................................................................................... 18

VPC ピア機能の設定 ......................................................................................................................... 19CIDR ブロック全体にルーティングする設定 ................................................................................. 19

2 つの VPC が相互にピアリング接続 ................................................................................... 191 つの VPC が 2 つの VPC とピアリング接続 ....................................................................... 213 つの VPC が相互にピアリング接続 ................................................................................... 231 つの VPC が複数の VPC とピアリング接続 ....................................................................... 26多数の VPC が相互にピアリング接続 ................................................................................... 30

特定のルートを使用する設定 ...................................................................................................... 382 つの VPC が 1 つの VPC の 2 つのサブネットにピアリング接続 ........................................... 391 個の VPC で特定の CIDR ブロックにピアリング接続された 2 つのVPC ................................. 431 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続 ............................................ 441 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続 ............................. 481 つの VPC がプレフィックス最長一致を使用して 2 つの VPC とピアリング接続 ....................... 50多重 VPC 設定 ................................................................................................................. 51

ClassicLink を使用した設定 ........................................................................................................ 53ClassicLink インスタンスとピア VPC 間の通信の有効化 ......................................................... 55

サポートされていない VPC ピア接続設定 ............................................................................................ 61重複する CIDR ブロック ............................................................................................................ 61推移的なピアリング接続 ............................................................................................................ 62ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティング ...................................... 62

Identity and Access Management ........................................................................................................ 65VPC ピア接続の作成 ................................................................................................................. 65VPC ピアリング接続を承認する .................................................................................................. 66VPC ピアリング接続を削除する .................................................................................................. 67特定のアカウントでの操作 ......................................................................................................... 67コンソールでの VPC ピアリング接続の管理 ................................................................................. 68

ドキュメント履歴 .............................................................................................................................. 69

iii


VPC ピア機能とはAmazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワーク内で AWS リソースを起動できます。

VPC ピアリング接続は、プライベート IPv4 アドレスまたは IPv6 アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。VPC ピアリング接続は、自分の AWS アカウントの VPC 間や、他の AWS アカウントの VPC との間に作成できます。VPC は複数の異なるリージョンに存在できます (これはリージョン間 VPC ピアリング接続とも呼ばれます)。

AWS では VPC の既存のインフラストラクチャを使用して VPC ピアリング接続を作成しています。これはゲートウェイでも VPN 接続でもなく、個別の物理ハードウェアに依存するものではありません。通信の単一障害点や帯域幅のボトルネックは存在しません。

VPC ピアリング接続を使用すると、データの転送が容易になります。たとえば、複数の AWS アカウントがある場合、これらのアカウント間で VPC をピアリングし、ファイル共有ネットワークを作成できます。また、VPC ピア接続を使用して、他の VPC からお客様のいずれかの VPC に存在するリソースへのアクセスを許可することもできます。

異なる AWS リージョンの VPC 間でピア関係を確立することもできます (リージョン間 VPC ピア接続とも呼ばれます)。これにより、異なる AWS リージョンで実行されている EC2 インスタンス、AmazonRDS データベース、Lambda 関数などの VPC リソースが、ゲートウェイ、VPN 接続、または個別のネットワークアプライアンスを必要とせずに、プライベート IP アドレスを使用して互いにやり取りできます。トラフィックはプライベート IP 空間に残ります。すべてのリージョン間トラフィックは暗号化され、単一障害点または帯域幅のボトルネックは存在しません。トラフィックは、常にグローバル AWS バックボーンにとどまり、パブリックインターネットを通過することがないため、一般的なエクスプロイトや DDoS攻撃などの脅威を減らすことができます。また、リージョン間 VPC ピア接続を利用すると、シンプルで費用対効果の高い方法により、リージョン間でリソースを共有したり、地理的な冗長性のためにデータをレプリケートしたりできます。

詳細については、以下を参照してください。

1

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピア機能の基本

• VPC ピア機能の基本 (p. 2)• VPC ピア接続の操作 (p. 6)• VPC ピア機能のシナリオ (p. 17)• CIDR ブロック全体にルーティングする設定 (p. 19)• 特定のルートを使用する設定 (p. 38)• サポートされていない VPC ピア接続設定 (p. 61)

VPC ピア機能の基本VPC ピアリング接続を確立するには、次の操作を行います。

1. リクエスタ VPC の所有者がアクセプタ VPC の所有者にリクエストを送信して、VPC ピアリング接続を作成します。アクセプタ VPC を所有できるのは、ユーザーまたは他の AWS アカウントです。また、アクセプタ VPC はリクエスタ VPC の CIDR ブロックと重複する CIDR ブロックを保持することはできません。

2. アクセプタ VPC の所有者は、VPC ピアリング接続リクエストを承認して VPC ピアリング接続を有効にします。

3. プライベート IP アドレスを使用して VPC 間でのトラフィックの流れを有効にするには、VPC ピアリング接続の各 VPC の所有者が、他の VPC (ピア VPC) の IP アドレス範囲を指すルートを 1 つ以上のVPC ルートテーブルに手動で追加する必要があります。

4. 必要に応じて、ピア VPC との間で送受信されるトラフィックが制限されることのないように、インスタンスに関連付けられているセキュリティグループのルールを更新します。両方の VPC が同じリージョンにある場合は、セキュリティグループルールの Ingress ルールまたは Egress ルールの送信元または送信先として、ピア VPC のセキュリティグループを参照できます。

5. デフォルトでは、VPC ピアリング接続のいずれかの側のインスタンスがパブリック DNS ホスト名を使用して互いをアドレスしている場合、ホスト名はインスタンスのパブリック IP アドレスに解決されます。この動作を変更するには、VPC 接続に対して DNS ホスト名解決を有効にします。DNS ホスト名解決を有効にした後、VPC ピアリング接続の両側のインスタンスがパブリック DNS ホスト名を使用して相互にアドレス指定する場合、ホスト名はインスタンスのプライベート IP アドレスに解決されます。

詳細については、「VPC ピア接続の操作 (p. 6)」を参照してください。

VPC ピアリング接続のライフサイクルVPC ピアリング接続は、リクエストが開始されたときから始まるさまざなステージで使用されます。それぞれのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC ピアリング接続はAmazon VPC コンソールと API またはコマンドライン出力に一定期間表示されます。

2

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピアリング接続のライフサイクル

• [Initiating-request]: VPC ピアリング接続のリクエストが開始されました。このステージでは、ピアリング接続は失敗する可能性があり、pending-acceptanceに移行する場合があります。

• [Failed]: VPC ピアリング接続のリクエストが失敗しました。この状態の間は、ピアリング接続が承認、却下、または削除されることはありません。失敗した VPC ピアリング接続は、リクエスタに 2 時間表示されます。

• [Pending-acceptance]: VPC ピアリング接続リクエストがアクセプタ VPC の所有者からの承認を待っています。このステージの間、リクエスタ VPC の所有者はリクエストを削除できます。アクセプタ VPCの所有者はリクエストを承認するか却下できます。リクエストに対するアクションがない場合、リクエストは 7 日後に有効期限が切れます。

• [Expired]: VPC ピアリング接続のリクエストが有効期限切れとなりました。どちらの VPC 所有者もアクションを実行することはできません。期限切れとなった VPC ピアリング接続は、両方の VPC 所有者に対して 2 日間表示されます。

• [Rejected]: アクセプタ VPC の所有者は、VPC ピアリング接続リクエストの pending-acceptance を却下しました。このステージの間は、リクエストを承認することはできません。却下された VPC ピアリング接続は、リクエスタ VPC の所有者に対して 2 日間表示され、アクセプタ VPC の所有者に対しては2 時間表示されます。リクエストが同じ AWS アカウント内で作成されている場合、却下されたリクエストは 2 時間表示されます。

• [Provisioning]: VPC ピアリング接続リクエストが承認され、間もなく active 状態に移行します。• [Active]: VPC ピアリング接続がアクティブであり、トラフィックは VPC 間を流れることができます (セ

キュリティグループとルートテーブルがトラフィックの流れを許可する場合)。このステージの間、どちらの VPC の所有者も VPC 接続を削除したり却下したりできません。

Note

VPC が存在するリージョンでイベントが発生し、トラフィックの流れが中断した場合、VPC ピアリング接続のステータスは Active のままとなります。

• [Deleting]: 削除中であるリージョン間 VPC ピアリング接続に適用されます。いずれかの VPC の所有者が active な VPC ピアリング接続を削除するリクエストを送信したか、リクエスタ VPC の所有者がpending-acceptance の VPC ピアリング接続リクエストを削除するリクエストを送信しました。

3

Amazon Virtual Private Cloud VPC ピアリング接続複数の VPC ピアリング接続

• [Deleted]: active な状態の VPC ピアリング接続がいずれかの VPC 所有者によって削除されたか、pending-acceptance な状態の VPC ピアリング接続リクエストがリクエスタ VPC の所有者によって削除されました。このステージの間、VPC ピアリング接続を承認または却下することはできません。VPC ピアリング接続は、それを削除した当事者に対して 2 時間表示され、その他の当事者に対しては 2 日間表示されます。VPC ピアリング接続が同じ AWS アカウント内で作成されている場合、削除されたリクエストは 2 時間表示されます。

複数の VPC ピアリング接続VPC ピアリング接続は、2 つの VPC 間の 1 対 1 関係です。自分の各 VPC に対して複数の VPC ピア接続を作成できますが、推移的なピア接続関係はサポートされません。自分の VPC と直接ピア関係にないVPC とのピア関係を作成することはできません。

次の図は、2 つの異なる VPC とピア関係にある VPC の例です。2 つの VPC ピアリング接続があり、VPCA は VPC B と VPC C の両方とピア関係にあります。VPC B と VPC C はピア関係にはありません。VPCB と VPC C との間のピアリング接続の中継データポイントとして VPC A を使用することはできません。VPC B と VPC C との間でトラフィックのルーティングを有効にしたい場合は、その VPC 間で一意のVPC ピアリング接続を作成する必要があります。

VPC ピアリング接続の料金VPC ピアリング接続の VPC が同じリージョン内にある場合、VPC ピアリング接続内でのデータ転送の料金は、アベイラビリティーゾーン間でのデータ転送の料金と同じです。VPC が異なるリージョンにある場合は、リージョン間データ転送の料金が適用されます。

詳細については、Amazon EC2 料金表を参照してください。

VPC ピア機能の制限事項別の VPC との間で VPC ピアリング接続を作成するには、以下の制限事項と規則を認識しておく必要があります。

• IPv4 または IPv6 CIDR ブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。Amazon VPC には、固有の IPv6 CIDR ブロックが必ず割り当てられます。IPv6 CIDR ブロックは固有だが、IPv4 ブロックは固有ではない場合、ピアリング接続を確立することはできません。

• VPC ごとに保持できる実行中および保留中の VPC ピア接続の数には上限があります。詳細については、Amazon VPC ユーザーガイドの「 Amazon VPC 制限」を参照してください。

4

http://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/amazon-vpc-limits.html

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピア機能の制限事項

• VPC ピアリングでは、推移的なピアリング関係がサポートされません。VPC ピアリング接続では、各自の VPC から、ピア VPC とピアリングされている可能性がある他の VPC にアクセスすることはできません。これは、自分の AWS アカウント内ですべてが完結する VPC ピアリング接続も含みます。サポートされないピア関係の詳細については、「サポートされていない VPC ピア接続設定 (p. 61)」を参照してください。サポートされているピア関係の例については、「VPC ピア機能のシナリオ (p. 17)」を参照してください。

• 同じ 2 つの VPC 間で同時に複数の VPC ピアリング接続を持つことはできません。• VPC ピアリング接続のユニキャストリバースパス転送 (uRPF) はサポートされていません。詳細につい

ては、「レスポンストラフィックのルーティング (p. 46)」を参照してください。• VPC ピア接続の一方のリソースが IPv6 経由で相互通信できるようにします。ただし、IPv6 通信は、自

動的に有効になりません。IPv6 CIDR ブロックを各 VPC と関連付け、IPv6 通信を行うために VPC のインスタンスを有効にし、ピアリング接続用の IPv6 トラフィックを VPC ピアリング接続にルーティングするルートをルートテーブルに追加する必要があります。詳細については、Amazon VPC ユーザーガイドの「VPC とサブネット」を参照してください。

• VPC ピアリング接続用に作成したタグは、作成元のアカウントまたはリージョンでのみ適用されます。• VPC ピア接続の VPC の IPv4 CIDR ブロックが、RFC 1918 で指定されたプライベート IPv4 アドレス範

囲外である場合、その VPC のプライベート DNS ホスト名をプライベート IP アドレスに解決することはできません。プライベート DNS ホスト名をプライベート IP アドレスに解決するには、VPC ピア接続の DNS 解決サポートを有効にできます。詳細については、「VPC ピアリング接続の DNS 解決サポートを有効化 (p. 15)」を参照してください。

• ピア VPC で Amazon DNS サーバーに接続したり、クエリを実行したりすることはできません。

リージョン間 VPC ピアリング接続には追加の制限があります。

• ピア VPC のセキュリティグループを参照するセキュリティグループルールを作成することはできません。

• VPC にリンクされている EC2-Classic インスタンスが ClassicLink 経由でピア VPC と通信するためのサポートを有効にすることはできません。

• VPC ピアリング接続の最大転送単位 (MTU) は 1500 バイトです (ジャンボフレームはサポートされていません)。

• ピアリング接続された VPC のプライベート DNS ホスト名をプライベート IP アドレスに解決するには、VPC ピアリング接に対して DNS 解決のサポートを有効にする必要があります。これは、VPC のIPv4 CIDR ブロックが、RFC 1918 で指定されたプライベート IPv4 アドレス範囲内にあっても同じです。

• 中国でのリージョン間ピアリングは、SINNET が運営する中国 (北京) リージョンと NWCD が運営する中国 (寧夏) リージョンとの間でのみ許可されています。

5

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html

http://www.faqs.org/rfcs/rfc1918.html

Amazon Virtual Private Cloud VPC ピアリング接続作成と使用

VPC ピア接続の操作Amazon VPC コンソールを使用して VPC ピア接続を作成、使用することができます。

タスク• VPC ピアリング接続の作成と使用 (p. 6)• VPC ピアリング接続を却下する (p. 10)• VPC ピアリング接続のルートテーブルを更新する (p. 10)• セキュリティグループの更新によるピア VPC グループの参照 (p. 12)• VPC ピアリング接続のオプションの変更 (p. 15)• VPC ピアリング接続を削除する (p. 16)

VPC ピアリング接続の作成と使用VPC ピアリング接続を作成するには、最初に別の VPC とのピアリング接続リクエストを作成します。アカウント内の別の VPC や、別の AWS アカウントの VPC との VPC ピアリング接続をリクエストできます。リージョン間 VPC ピアリング接続 (複数の異なるリージョンに VPC が存在する) では、リクエスタVPC のリージョンからリクエストを行う必要があります。

リクエストをアクティブ化するには、アクセプタ VPC の所有者がリクエストを承認する必要があります。リージョン間 VPC ピアリング接続では、アクセプタ VPC のリージョンでリクエストを承諾する必要があります。

開始する前に、VPC ピアリング接続の制限とルール (p. 4)を理解している必要があります。

タスク• アカウント内の別の VPC との VPC ピアリング接続を作成する (p. 6)• 別の AWS アカウントの VPC との VPC ピアリング接続を作成する (p. 7)• VPC ピアリング接続を承認する (p. 9)• VPC ピアリング接続の表示 (p. 9)

アカウント内の別の VPC との VPC ピアリング接続を作成するアカウント内の VPC との VPC ピアリング接続リクエストを作成するには、VPC ピアリング接続を作成する VPC の ID があることを確認します。接続をアクティブ化するには、VPC ピアリング接続リクエストを自分で作成し承認する必要があります。

VPC ピアリング接続は、同じリージョンまたは異なるリージョンの VPC との間で作成できます。

Important

VPC に重複している IPv4 CIDR ブロックがないことを確認します。重複している場合、VPC ピアリング接続のステータスが直ちに failed に移行します。この制限は、VPC に固有の IPv6CIDR ブロックがあっても適用されます。

6

Amazon Virtual Private Cloud VPC ピアリング接続別の AWS アカウントの VPC と

の VPC ピアリング接続を作成する

同じリージョンの VPC との間で VPC ピアリング接続を作成するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択し、[Create Peering Connection] を選択しま

す。3. 次の情報を設定し、完了したら [Create Peering Connection] を選択します。

• [Peering connection name tag]: オプションで VPC ピアリング接続に名前を付けることができます。これにより、Name というキーと指定した値を含むタグが作成されます。

• [VPC (Requester)]: VPC ピアリング接続を作成するアカウントの VPC を選択します。• [Select another VPC to peer with]: [My account] が選択されていることを確認し、別の VPC を選択

します。4. 確認のダイアログボックスで [OK] を選択します。5. 作成した VPC ピアリング接続リクエストを選択し、[Actions] で [Accept Request] を選択します。6. 確認のダイアログボックスで、[Yes, Accept] を選択します。2 番目の確認のダイアログボックスが表

示されるので、[Modify my route tables now] を選択してルートテーブルページに直接移動するか、または [Close] を選択して後で実行します。

異なるリージョンの VPC との間で VPC ピアリング接続を作成するには


す。3. 次の情報を設定し、完了したら [Create Peering Connection] を選択します。

• [Peering connection name tag]: オプションで VPC ピアリング接続に名前を付けることができます。これにより、Name というキーと指定した値を含むタグが作成されます。

• [VPC (Requester)]: VPC ピアリング接続をリクエストする先のアカウントのリクエスタ VPC を選択します。

• [Account]: [My account] が選択されていることを確認します。• [Region]: [Another region] を選択し、アクセプタ VPC があるリージョンを選択します。• [VPC (Accepter)]: アクセプタ VPC の ID を入力します。

4. 確認のダイアログボックスで [OK] を選択します。5. リージョンセレクタで、アクセプタ VPC のリージョンを選択します。6. ナビゲーションペインで [Peering Connections] を選択します。作成した VPC ピアリング接続リクエ

ストを選択し、[Actions] で [Accept Request] を選択します。7. 確認のダイアログボックスで、[Yes, Accept] を選択します。2 番目の確認のダイアログボックスが表

示されるので、[Modify my route tables now] を選択してルートテーブルページに直接移動するか、または [Close] を選択して後で実行します。

これで VPC ピアリング接続がアクティブ化されました。VPC のルートテーブルにエントリを追加して、ピア VPC 間にトラフィックが誘導されるようにする必要があります。詳細については、「VPC ピアリング接続のルートテーブルを更新する (p. 10)」を参照してください。

別の AWS アカウントの VPC との VPC ピアリング接続を作成する別の AWS アカウントにある VPC との VPC ピアリング接続をリクエストできます。開始する前に、AWSアカウント番号と、ピアリング接続を行なう VPC のVPC ID があることを確認します。リクエストを作成

7

https://console.aws.amazon.com/vpc/


Amazon Virtual Private Cloud VPC ピアリング接続別の AWS アカウントの VPC と

の VPC ピアリング接続を作成する

した後で、アクセプタ VPC の所有者は VPC ピアリング接続を承認してアクティブ化する必要があります。

VPC ピアリング接続は、同じリージョンまたは異なるリージョンの VPC との間で作成できます。

Important

VPC に重複する IPv4 CIDR ブロックがある場合や、アカウント ID と VPC ID が正しくないか、互いに対応していない場合、VPC ピアリング接続のステータスは直ちに failed になります。

同じリージョンの別のアカウントにある VPC との VPC ピアリング接続をリクエストするには


す。3. 以下のように情報を設定し、最後に [Create Peering Connection] を選択します。

• [Peering connection name tag]: オプションで VPC ピア接続に名前を付けることができます。これにより、Name というキーと指定した値を含むタグが作成されます。このタグはユーザーにのみ表示されます。ピア VPC の所有者は、VPC ピアリング接続の独自のタグを作成できます。

• [VPC (Requester)]: VPC ピア接続を作成するアカウントの VPC を選択します。• [Account]: [Another account] を選択します。• [Account ID]: アクセプタ VPC の所有者の AWS アカウント ID を入力します。• [VPC (Accepter)]: VPC ピアリング接続を作成する対象の VPC の ID を入力します。

4. 確認のダイアログボックスで [OK] を選択します。

異なるリージョンの別のアカウントにある VPC との VPC ピアリング接続をリクエストするには


す。3. 以下のように情報を設定し、最後に [Create Peering Connection] を選択します。

• [Peering connection name tag]: オプションで VPC ピア接続に名前を付けることができます。これにより、Name というキーと指定した値を含むタグが作成されます。このタグはユーザーにのみ表示されます。ピア VPC の所有者は、VPC ピアリング接続の独自のタグを作成できます。

• [VPC (Requester)]: VPC ピア接続を作成するアカウントの VPC を選択します。• [Account]: [Another account] を選択します。• [Account ID]: アクセプタ VPC の所有者の AWS アカウント ID を入力します。• [Region]: [Another region] を選択し、アクセプタ VPC があるリージョンを選択します。• [VPC (Accepter)]: VPC ピアリング接続を作成する対象の VPC の ID を入力します。

4. 確認のダイアログボックスで [OK] を選択します。

作成した VPC ピアリング接続が有効化されていません。接続をアクティブ化するには、アクセプタ VPCの所有者が VPC ピアリング接続リクエストを承認する必要があります。トラフィックがピア VPC に誘導されるようにするには、VPC のルートテーブルを更新します。詳細については、「VPC ピアリング接続のルートテーブルを更新する (p. 10)」を参照してください。

コマンドラインまたは API を使用して VPC ピアリング接続を作成するには

• 「create-vpc-peering-connection（AWS CLI）」• 「New-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」

8



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピアリング接続を承認する

• CreateVpcPeeringConnection (Amazon EC2 クエリ API)

VPC ピアリング接続を承認するpending-acceptance 状態にある VPC ピア接続は、有効化されるアクセプタ VPC の所有者が承認する必要があります。別の AWS アカウントに送信した VPC ピアリング接続リクエストを承認することはできません。同じ AWS アカウントで VPC ピアリング接続を作成する場合は、リクエストを自分で作成し承認する必要があります。

VPC が複数の異なるリージョンにある場合、リクエストはアクセプタ VPC のリージョンで承諾する必要があります。

Important

不明な AWS アカウントからの VPC ピアリング接続は承諾しないでください。悪意のあるユーザーが VPC ピアリング接続リクエストを送信して、VPC に対して不正なネットワークアクセスを行なう場合があります。これは、ピアフィッシングと呼ばれます。AWS アカウントまたは VPC についての情報にリクエスタがアクセスするリスクなしで、不要な VPC ピアリング接続リクエストを安全に却下できます。詳細については、「VPC ピアリング接続を却下する (p. 10)」を参照してください。リクエストを無視して有効期限が切れるのを待つこともできます。デフォルトでは、7 日後にリクエストの期限が切れます。

VPC ピアリング接続を承認するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. リージョンセレクタを使用して、アクセプタ VPC のリージョンを選択します。3. ナビゲーションペインで [Peering Connections] を選択します。4. 保留中の VPC ピアリング接続 (ステータスは pending-acceptance) を選択し、[Actions] で [Accept

Request] の順に選択します。

Note

保留中の VPC ピアリング接続が見つからない場合は、リージョンを確認します。リージョン間ピアリングリクエストは、アクセプタ VPC のリージョンで承諾する必要があります。

5. 確認のダイアログボックスで、[Yes, Accept] を選択します。2 番目の確認のダイアログボックスが表示されるので、[Modify my route tables now] を選択してルートテーブルページに直接移動するか、または [Close] を選択して後で実行します。

これで VPC ピアリング接続がアクティブ化されました。VPC のルートテーブルにエントリを追加して、ピア VPC にトラフィックが誘導されるようにする必要があります。詳細については、「VPC ピアリング接続のルートテーブルを更新する (p. 10)」を参照してください。

コマンドラインまたは API を使用して VPC ピアリング接続を使用するには

• 「accept-vpc-peering-connection（AWS CLI）」• 「Approve-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」• AcceptVpcPeeringConnection (Amazon EC2 クエリ API)

VPC ピアリング接続の表示Amazon VPC コンソールですべての VPC ピアリング接続を確認できます。デフォルトでは、最近削除または却下されたものを含むさまざまな状態にあるすべての VPC ピアリング接続がコンソールに表示されます。VPC ピア接続のライフサイクルの詳細については、「VPC ピアリング接続のライフサイクル (p. 2)」を参照してください。

9

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcPeeringConnection.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AcceptVpcPeeringConnection.html

Amazon Virtual Private Cloud VPC ピアリング接続拒否

VPC ピアリング接続を確認するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. すべての VPC ピアリング接続が一覧表示されます。検索バーのフィルタを使用して結果を絞り込みま

す。

コマンドラインまたは API を使用して VPC ピアリング接続を記述するには

• 「describe-vpc-peering-connections（AWS CLI）」• 「Get-EC2VpcPeeringConnections（AWS Tools for Windows PowerShell）」• DescribeVpcPeeringConnections (Amazon EC2 クエリ API)

VPC ピアリング接続を却下する受信した VPC ピア接続リクエストで pending-acceptance 状態にあるものを却下できます。既知で信頼できる AWS アカウントからの VPC ピア接続のみを承認するようにしてください。不要なリクエストは却下できます。

VPC ピアリング接続を却下するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピアリング接続を選択し、[アクション] で [リクエストの却下] を選択します。4. 確認のダイアログボックスで、[Yes, Reject] を選択します。

コマンドラインまたは API を使用して VPC ピアリング接続を却下するには

• 「reject-vpc-peering-connection（AWS CLI）」• 「Deny-EC2VpcPeeringConnection（AWS Tools for Windows PowerShell）」• RejectVpcPeeringConnection (Amazon EC2 クエリ API)

VPC ピアリング接続のルートテーブルを更新するローカルのインスタンスからピア VPC のインスタンスにプライベート IPv4 トラフィックを送信するには、インスタンスが存在するサブネットに関連付けられているルートテーブルに、そのためのルートを追加する必要があります。このルートは、VPC ピアリング接続のピア VPC の CIDR ブロック（またはCIDR ブロックの一部）へのルートとなり、VPC ピアリング接続をターゲットとして指定します。

同様に、VPC ピアリング接続の VPC に関連付けられている IPv6 CIDR ブロックがある場合は、ルートテーブルにルートを追加して、IPv6 を介したピア VPC との通信を有効にすることができます。

サブネットがルートテーブルに明示的に関連付けられていない場合、そのサブネットはデフォルトでメインルートテーブルを使用します。詳細については、『Amazon VPC ユーザーガイド』の「ルートテーブル」を参照してください。

ルートテーブルごとに追加できるエントリ数には制限があります。VPC の VPC ピアリング接続数が 1 つのルートテーブルのルートテーブルエントリ制限を超える場合は、それぞれがカスタムルートテーブルに関連付けられた複数のサブネットの使用を検討してください。

ピアリング接続されている他の VPC の所有者は、ローカルの VPC にトラフィックを戻すためのルールを、VPC ピアリング接続を通して自分のサブネットのルートテーブルに追加する必要もあります。VPC

10


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnections.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcPeeringConnections.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-RejectVpcPeeringConnection.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html


https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html

Amazon Virtual Private Cloud VPC ピアリング接続ルートテーブルの更新

ピアリング接続でサポートされているルートテーブルのその他の情報については、「VPC ピア機能の設定 (p. 19)」を参照してください。

pending-acceptance 状態にある VPC ピアリング接続のルートを追加できます。ただし、ルートにはblackhole 状態があり、VPC ピアリング接続が active 状態になるまで有効になりません。

Warning

IPv4 CIDR ブロックが重複または一致する複数の VPC にピアリング接続された VPC がある場合は、自分の VPC から間違った VPC にレスポンストラフィックを送信しないようにルートテーブルが設定されていることを確認します。AWS は現在、パケットのソース IP を確認してリプライパケットをソースにルーティングするユニキャストリバースパス転送 (uRPF) を VPC ピアリング接続でサポートしていません。詳細については、「レスポンストラフィックのルーティング (p. 46)」を参照してください。

VPC ピアリング接続に IPv4 ルートを追加するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで、[Route Tables] を選択します。3. インスタンスが存在するサブネットに関連付けられたルートテーブルを選択します。

Note

そのサブネットに関連付けられたルートテーブルがない場合は、VPC のメインルートテーブルを選択します。サブネットがこのルートをデフォルトで使用するためです。

4. [Routes]、[Edit]、[Add Route] の順に選択します。5. [Destination] に、VPC ピアリング接続のネットワークトラフィックを誘導する必要のある IPv4 アド

レスの範囲を入力します。ピア VPC の IPv4 CIDR ブロック全体、特定の範囲、または通信するインスタンスの IP アドレスのような個別の IPv4 アドレスを指定できます。たとえば、ピア VPC の CIDRブロックが 10.0.0.0/16 の場合、10.0.0.0/28 の部分、または特定の IP アドレス 10.0.0.7/32を指定できます。

6. [Target] から VPC ピアリング接続を選択し、[Save] を選択します。

VPC ピアリング接続の両方の VPC が同じリージョンに存在し、IPv6 CIDR ブロックがあって、VPC のリソースで IPv6 を使用できる場合は、IPv6 通信用のルートを追加できます。

VPC ピアリング接続に IPv6 ルートを追加するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで、[Route Tables] を選択後、使用するサブネットに関連付けられたルート

テーブルを選択します。3. [Routes] タブで、[Edit]、[Add another route] を選択します。4. [Destination] に、ピア VPC の IPv6 アドレス範囲を入力します。ピア VPC の IPv6 CIDR ブロック全

体、特定の範囲、または個別の IPv6 アドレスを指定できます。たとえば、ピア VPC の CIDR ブロックが 2001:db8:1234:1a00::/56 の場合、2001:db8:1234:1a00::/64 の部分、または特定の IPアドレス 2001:db8:1234:1a00::123/128 を指定できます。

11



Amazon Virtual Private Cloud VPC ピアリング接続ピア VPC セキュリティグループの参照

5. [ターゲット] から VPC ピアリング接続を選択し、[保存] を選択します。

詳細については、『Amazon VPC ユーザーガイド』の「ルートテーブル」を参照してください。

コマンドラインまたは API を使用してルートを追加または置換するには

• create-route（AWS CLI）• New-EC2Route（AWS Tools for Windows PowerShell）• CreateRoute (Amazon EC2 クエリ API)• replace-route（AWS CLI）• Set-EC2Route（AWS Tools for Windows PowerShell）• ReplaceRoute (Amazon EC2 クエリ API)

セキュリティグループの更新によるピア VPC グループの参照

VPC セキュリティグループのインバウンドルールまたはアウトバウンドルールを更新して、ピアリング接続 VPC のセキュリティグループを参照できます。これにより、トラフィックはピア VPC の参照されるセキュリティグループに関連付けられたインスタンスに出入りできます。

要件

• ピア VPC はアカウントの VPC とするか、別の AWS アカウントの VPC とすることができます。別のAWS アカウントのセキュリティグループを参照するには、[Source] (送信元) または [Destination] (送信先) にアカウント番号 (123456789012/sg-1a2b3c4d など) を含めます。

• 別のリージョンにあるピア VPC のセキュリティグループは参照できません。代わりに、ピア VPC のCIDR ブロックを使用します。

• ピア VPC でセキュリティグループを参照するには、VPC ピアリング接続の状態が active である必要があります。

コンソールを使用してセキュリティグループルールを更新するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで、[Security Groups] を選択します。3. セキュリティグループを選択した後、インバウンドルールを変更するには [インバウンドのルール] を

選択し、アウトバウンドルールを変更するには [アウトバウンドのルール] を選択します。4. [Edit]、[Add another rule] の順に選択します。5. 必要に応じてタイプ、プロトコル、およびポート範囲を指定します。[Source] (送信元) (アウトバウン

ドルールの場合は [Destination] (送信先)) に、ピア VPC が同じリージョンにある場合はピア VPC のセキュリティグループの ID を、別のリージョンにある場合はピア VPC の CIDR ブロックを入力します。

Note

ピア VPC のセキュリティグループは自動的に表示されません。6. [Save] を選択します。

コマンドラインを使用してインバウンドルールを更新するには

• authorize-security-group-ingress (AWS CLI)

12


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateRoute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ReplaceRoute.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html

Amazon Virtual Private Cloud VPC ピアリング接続参照されるセキュリティグループの確認

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)• revoke-security-group-ingress (AWS CLI)

コマンドラインを使用してアウトバウンドルールを更新するには

• authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)• revoke-security-group-egress (AWS CLI)

たとえば、セキュリティグループ sg-aaaa1111 を更新して、ピア VPC にある sg-bbbb2222 からHTTP を介したインバウンドアクセスを許可するには、次の AWS CLI コマンドを使用できます。

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222

セキュリティグループルールを更新したら、describe-security-groups コマンドを使って、セキュリティグループルールで参照されるセキュリティグループを確認します。

参照されるセキュリティグループの確認セキュリティグループがピア VPC のセキュリティグループのルールで参照されているかどうかを確認するには、アカウントの 1 つ以上のセキュリティグループに対して、次のいずれかのコマンドを使用します。

• describe-security-group-references (AWS CLI)• Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)• DescribeSecurityGroupReferences (Amazon EC2 Query API)

次の例では、応答はセキュリティグループ sg-bbbb2222 が VPC のセキュリティグループ vpc-aaaaaaaa で参照されていることを示します。

aws ec2 describe-security-group-references --group-id sg-bbbb2222

{ "SecurityGroupsReferenceSet": [ { "ReferencingVpcId": "vpc-aaaaaaaa", "GroupId": "sg-bbbb2222", "VpcPeeringConnectionId": "pcx-b04deed9" } ]}

VPC ピアリング接続が削除されたか、またはピア VPC の所有者が、参照されたセキュリティグループを削除した場合、セキュリティグループルールは古くなります。

古いセキュリティグループルールの操作古いセキュリティグループルールとは、VPC ピアリング接続が削除されたか、ピア VPC のセキュリティグループが削除されたピア VPC のセキュリティグループを参照するルールのことです。セキュリティグループルールは古くなっても、セキュリティグループから自動的に削除されません。手動で削除する必要

13

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeSecurityGroupReferences.html

Amazon Virtual Private Cloud VPC ピアリング接続古いセキュリティグループルールの操作

があります。VPC ピアリング接続を削除したためにセキュリティグループルールが古くなった場合、同じVPC との間で新しい VPC ピアリング接続を作成すると、これらは古いルールとしてマークされなくなります。

Amazon VPC コンソールを使用して、VPC の古くなったセキュリティグループルールを表示および削除できます。

古くなったセキュリティグループルールを表示および削除するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで、[Security Groups] を選択します。3. 右側の通知アイコンで [View your stale rules] を選択します (このアイコンは古くなったセキュリティ

グループルールがある場合にのみ表示されます)。4. 古くなったルールを削除するには、[Edit] を選択し、ルールを削除します。[Save Rules] を選択しま

す。VPC フィールドに VPC ID を入力することで、他の VPC で古いルールを確認できます。5. 完了したら、[Close] を選択します。

コマンドラインまたは API を使用して古いセキュリティグループルールを記述するには

• describe-stale-security-groups (AWS CLI)• Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)• DescribeStaleSecurityGroups (Amazon EC2 Query API)

次の例では、VPC A (vpc-aaaaaaaa) および VPC B がピア接続され、VPC ピア接続は削除されています。VPC A のセキュリティグループ sg-aaaa1111 は VPC B の sg-bbbb2222 を参照します。VPC に対して describe-stale-security-groups コマンドを実行すると、応答では、セキュリティグループsg-aaaa1111 に、sg-bbbb2222 を参照する古くなった SSH ルールがあることが示されます。

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa

{ "StaleSecurityGroupSet": [ { "VpcId": "vpc-aaaaaaaa", "StaleIpPermissionsEgress": [], "GroupName": "Access1", "StaleIpPermissions": [ { "ToPort": 22, "FromPort": 22, "UserIdGroupPairs": [ { "VpcId": "vpc-bbbbbbbb", "PeeringStatus": "deleted", "UserId": "123456789101", "GroupName": "Prod1", "VpcPeeringConnectionId": "pcx-b04deed9", "GroupId": "sg-bbbb2222" } ], "IpProtocol": "tcp" } ], "GroupId": "sg-aaaa1111", "Description": "Reference remote SG" } ]

14


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeStaleSecurityGroups.html

Amazon Virtual Private Cloud VPC ピアリング接続ピアオプションの変更

}

古くなったセキュリティグループルールを特定した後、revoke-security-group-ingress または revoke-security-group-egress コマンドを使用してそれらのルールを削除できます。

VPC ピアリング接続のオプションの変更VPC ピアリング接続を変更して次の操作を行えます。

• ClassicLink 経由で VPC にリンクされた 1 つ以上の EC2-Classic インスタンスがピア VPC のインスタンスと通信できるように、または、VPC のインスタンスがピア VPC のリンクされた EC2-Classic インスタンスと通信できるようにします。詳細については、「ClassicLink を使用した設定 (p. 53)」を参照してください。EC2-Classic インスタンスを有効にして、IPv6 を介してピア VPC のインスタンスと通信することはできません。

• ピア VPC のインスタンスからクエリを実行したときに、パブリック IPv4 DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC を有効にします。詳細については、「VPC ピアリング接続のDNS 解決サポートを有効化 (p. 15)」を参照してください。

VPC ピアリング接続の DNS 解決サポートを有効化ピア VPC のインスタンスからクエリを実行したときに、パブリック IPv4 DNS ホスト名がプライベートIPv4 アドレスに解決されるように VPC を有効にするには、ピアリング接続を変更する必要があります。

両方の VPC を、DNS ホスト名および DNS 解決に対して有効にする必要があります。

ピアリング接続の DNS 解決サポートを有効にするには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピアリング接続を選択し、[アクション] で [DNS 設定の編集] を選択します。4. ピア VPC からのクエリがローカル VPC のプライベート IP アドレスに解決されることを確認するに

は、ピア VPC からのクエリについて DNS 解決を有効にするオプションを選択します。5. ピア VPC が同じ AWS アカウントにある場合は、ローカル VPC からのクエリについて DNS 解決を

有効にするオプションを選択できます。これにより、ローカル VPC からのクエリがピア VPC のプライベート IP アドレスに解決されます。

6. [Save] を選択します。7. ピア VPC が異なる AWS アカウントにあるか、別のリージョンにある場合は、ピア VPC の所有者が

VPC コンソールにサインインし、ステップ 2 ～ 4 を実行して、[保存] を選択する必要があります。

コマンドラインまたは API を使用して DNS 解決を有効にするには

• modify-vpc-peering-connection-options (AWS CLI)• Edit-EC2VpcPeeringConnectionOption (AWS Tools for Windows PowerShell)• ModifyVpcPeeringConnectionOptions (Amazon EC2 クエリ API)

VPC ピアリング接続のリクエスタである場合はリクエスタの VPC ピアリング接続のオプションを変更する必要があります。また、VPC ピアリング接続のアクセプタである場合は、アクセプタの VPC ピアリング接続のオプションを変更する必要があります。describe-vpc-peering-connections または Get-EC2VpcPeeringConnections コマンドを使用して、VPC ピアリング接続のアクセプタおよびリクエスタである VPC を確認できます。リージョン間ピアリング接続では、リクエスタ VPC のリージョンを使用して

15

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcPeeringConnectionOptions.html




Amazon Virtual Private Cloud VPC ピアリング接続削除

リクエスタ VPC ピアリング接続オプションを変更し、アクセプタ VPC のリージョンを使用してアクセプタ VPC ピアリング接続オプションを変更する必要があります。

この例では、VPC ピアリング接続のリクエスタであるため、次のように AWS CLI を使用してピアリング接続のオプションを変更します。

aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id pcx-aaaabbbb --requester-peering-connection-options AllowDnsResolutionFromRemoteVpc=true

VPC ピアリング接続を削除するピアリング接続されている VPC の所有者は、どちらも VPC ピアリング接続をいつでも削除できます。リクエストした後でまだ pending-acceptance 状態にある VPC ピア接続も削除できます。

アクティブな VPC ピアリング接続の一部となっている Amazon VPC コンソールの VPC を削除すると、その VPC ピアリング接続も削除されます。別のアカウントにある VPC との VPC ピアリング接続をリクエストして、他の当事者がそのリクエストを承認する前に自分の VPC を削除した場合は、その VPC ピアリング接続も削除されます。別のアカウントの VPC からの pending-acceptance リクエストがある場合は、VPC を削除できません。最初に VPC ピア接続リクエストを却下する必要があります。

VPC ピア接続を削除するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピアリング接続を選択し、[アクション] で [VPC ピアリング接続の削除] を選択します。4. 確認ダイアログボックスで、[Yes, Delete] を選択します。

コマンドラインまたは API を使用して VPC ピアリング接続を削除するには

• 「delete-vpc-peering-connection（AWS CLI）」• 「Remove-EC2VpcPeeringConnection」（AWS Tools for Windows PowerShell）• DeleteVpcPeeringConnection (Amazon EC2 クエリ API)

16


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcPeeringConnection.html

Amazon Virtual Private Cloud VPC ピアリング接続複数の VPC をピアリング接続してリソースにフルアクセスする

VPC ピア機能のシナリオいくつかの理由で、お客様の VPC の間に、またはお客様の所有する VPC と別の AWS アカウントの VPCとの間に VPC ピア接続を設定することが必要になる場合があります。以下のシナリオは、どの設定がネットワーク要件に最適か判断するのに役立ちます。

シナリオ• 複数の VPC をピアリング接続してリソースにフルアクセスする (p. 17)• 1 つの VPC にピアリング接続して一元管理されているリソースにアクセスする (p. 17)• ClassicLink を使用したピアリング接続 (p. 18)

複数の VPC をピアリング接続してリソースにフルアクセスする

このシナリオでは、ピアリング接続してすべての VPC 間でリソースを完全に共有できるようにしたいVPC が複数あります。次に例をいくつか示します。

• 会社で財務部門用の VPC と、会計部門用の別の VPC を利用しています。財務部門は会計部門にあるすべてのリソースにアクセスする必要があり、会計部門は財務部門にあるすべてのリソースにアクセスする必要があります。

• 会社に IT 部門が複数あり、それぞれが独自の VPC を所有しています。同じ AWS アカウントに配置されている VPC もあれば、異なる AWS アカウントに配置されている VPC もあります。すべての VPCをピアリング接続して、各 IT 部門が互いのリソースにフルアクセスできるようにする必要があります。

このシナリオ用に VPC ピア接続とルートテーブルを設定する方法の詳細については、以下のドキュメントを参照してください。

• 2 つの VPC が相互にピアリング接続 (p. 19)• 3 つの VPC が相互にピアリング接続 (p. 23)• 多数の VPC が相互にピアリング接続 (p. 30)

Amazon VPC コンソールで VPC ピアリング接続を作成して作業する方法の詳細については、「VPC ピア接続の操作 (p. 6)」を参照してください。

1 つの VPC にピアリング接続して一元管理されているリソースにアクセスする

このシナリオでは、他の VPC と共有するリソースを持つ中央 VPC が存在しています。中央 VPC はピアVPC に対するフルアクセスまたは部分アクセスを必要とし、同様に、ピア VPC は中央 VPC に対するフルアクセスまたは部分アクセスを必要とします。次に例をいくつか示します。

• 会社の IT 部門がファイル共有用の VPC を保持しています。その中央 VPC に他の VPC をピアリング接続する必要がありますが、他の VPC が相互にトラフィックを送信する必要はありません。

17

Amazon Virtual Private Cloud VPC ピアリング接続ClassicLink を使用したピアリング接続

• 会社の VPC を顧客と共有しています。顧客はそれぞれ会社の VPC との VPC ピアリング接続を作成できますが、ピアリング接続されている他の VPC にトラフィックをルーティングすることはできず、他の顧客のルートも認識しません。

• 中央 VPC を Active Directory サービスで使用しています。ピア VPC の特定のインスタンスが ActiveDirectory サーバーにリクエストを送信し、中央 VPC に対するフルアクセスを必要としています。中央 VPC はピア VPC に対するフルアクセスを必要としません。特定のインスタンスにレスポンストラフィックをルーティングする必要があるだけです。

このシナリオの VPC ピアリング接続設定とルートテーブルのセットアップ方法の詳細については、次のトピックを参照してください。

• 1 つの VPC が 2 つの VPC とピアリング接続 (p. 21)• 1 つの VPC が複数の VPC とピアリング接続 (p. 26)• 2 つの VPC が 1 つの VPC の 2 つのサブネットにピアリング接続 (p. 39)• 1 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続 (p. 44)• 1 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続 (p. 48)• 1 つの VPC がプレフィックス最長一致を使用して 2 つの VPC とピアリング接続 (p. 50)

Amazon VPC コンソールで VPC ピアリング接続を作成して作業する方法の詳細については、「VPC ピア接続の操作 (p. 6)」を参照してください。

ClassicLink を使用したピアリング接続ClassicLink 経由でローカルの VPC にリンクされた 1 つ以上の EC2-Classic インスタンスがピア VPC のインスタンスと通信できるように、VPC ピアリング接続を変更できます。同様に、ローカルの VPC のインスタンスがピア VPC のリンクされた EC2-Classic インスタンスと通信できるように、VPC ピアリング接続を変更できます。

このシナリオの VPC ピアリング接続設定とルートテーブルのセットアップ方法の詳細については、「ClassicLink を使用した設定 (p. 53)」を参照してください。

18

Amazon Virtual Private Cloud VPC ピアリング接続CIDR ブロック全体にルーティングする設定

VPC ピア機能の設定以下のドキュメントでは、サポートされている VPC ピア接続設定について説明しています。各 VPC のCIDR ブロック全体の間でルーティングを許可する設定や、特定のサブネットまたは IP アドレスにルーティングを制限する設定が必要になる場合があります。

設定• CIDR ブロック全体にルーティングする設定 (p. 19)• 特定のルートを使用する設定 (p. 38)• ClassicLink を使用した設定 (p. 53)

CIDR ブロック全体にルーティングする設定ルートテーブルにピア VPC の CIDR ブロック全体へのアクセスが含まれるように、VPC ピア接続を設定できます。特定の VPC ピアリング接続設定が必要になる可能性があるシナリオの詳細については「VPCピア機能のシナリオ (p. 17)」を参照してください。Amazon VPC コンソールで VPC ピアリング接続を作成して作業する方法の詳細については、「VPC ピア接続の操作 (p. 6)」を参照してください。

設定• 2 つの VPC が相互にピアリング接続 (p. 19)• 1 つの VPC が 2 つの VPC とピアリング接続 (p. 21)• 3 つの VPC が相互にピアリング接続 (p. 23)• 1 つの VPC が複数の VPC とピアリング接続 (p. 26)• 多数の VPC が相互にピアリング接続 (p. 30)

2 つの VPC が相互にピアリング接続VPC A と VPC B の間で VPC ピアリング接続 (pcx-11112222) を行います。VPC は同じ AWS アカウントに存在し、重複している CIDR ブロックはありません。

互いのリソースへのアクセスを必要とする VPC が 2 つある場合に、このような設定を使用することがあります。たとえば、会計記録用の VPC A、財務記録用の VPC B をセットアップし、各 VPC が制限なしで互いのリソースにアクセスする場合です。

各 VPC のルートテーブルは、該当する VPC ピアリング接続を指し、ピア VPC の CIDR ブロック全体にアクセスします。

ルートテーブル送信先 Target

VPC A 172.16.0.0/16 ローカル

19

Amazon Virtual Private Cloud VPC ピアリング接続2 つの VPC が相互にピアリング接続


10.0.0.0/16 pcx-11112222

10.0.0.0/16 ローカルVPC B

172.16.0.0/16 pcx-11112222

ルートテーブルの更新の詳細については、「VPC ピアリング接続のルートテーブルを更新する (p. 10)」を参照してください。

2 つの VPC が IPv6 で相互にピアリング接続VPC ピア設定に上記と同一の VPC が 2 つあります。この例では、VPC A および VPC B のいずれも、IPv6 CIDR ブロックと関連付けられています。

各 VPC のルートテーブルは、該当する VPC ピアリング接続を指し、ピア VPC の IPv6 CIDR ブロック全体にアクセスします。


172.16.0.0/16 ローカル

2001:db8:1234:aa00::/56 ローカル

10.0.0.0/16 pcx-11112222

VPC A

2001:db8:5678:bb00::/56 pcx-11112222

10.0.0.0/16 ローカル

2001:db8:5678:bb00::/56 ローカル

172.16.0.0/16 pcx-11112222

VPC B

2001:db8:1234:aa00::/56 pcx-11112222

VPC 内の IPv6 の詳細については、Amazon VPC ユーザーガイドの「VPC とサブネット」を参照してください。

複数の CIDR が互いにピアリング接続された 2 つの VPCVPC に IPv4 CIDR ブロックを追加できます。この例では、VPC A および VPC B が、複数の IPv4 CIDRブロックと関連付けられています。

20


Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC が 2 つの VPC とピアリング接続

各 VPC のルートテーブルは、該当する VPC ピアリング接続を指し、ピア VPC のすべての IPv4 CIDR ブロックにアクセスします。


10.2.0.0/16 ローカル

10.4.0.0/16 ローカル

10.0.0.0/16 pcx-11112222

VPC A

10.3.0.0/16 pcx-11112222

10.0.0.0/16 ローカル

10.3.0.0/16 ローカル

10.2.0.0/16 pcx-11112222

VPC B

10.4.0.0/16 pcx-11112222

詳細については、Amazon VPC ユーザーガイドの「IPv4 CIDR ブロックの VPC への追加」を参照してください。

1 つの VPC が 2 つの VPC とピアリング接続中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-12121212)、VPC A と VPC C の間(pcx-23232323) で VPC ピアリング接続を行います。VPC はすべて、同じ AWS アカウントに存在し、重複する CIDR ブロックはありません。

21

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-resize

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC が 2 つの VPC とピアリング接続

サービスのリポジトリのように、他の VPC がアクセスする必要のあるリソースが中央 VPC に存在する場合に、この V 字型の設定を使用することがあります。他の VPC は、互いのリソースにアクセスする必要がありません。中央 VPC のリソースに対するアクセスのみが必要です。

Note

VPC B と VPC C は VPC A を経由して相互に直接トラフィックを送信することはできません。VPC ピア機能は推移的なピア関係もエッジツーエッジルーティングもサポートしていません。VPC B と VPC C の間で直接トラフィックをルーティングするには、両者間に VPC ピアリング接続を作成する必要があります。詳細については、「3 つの VPC が相互にピアリング接続 (p. 23)」を参照してください。サポートされないピア接続のシナリオの詳細については、「サポートされていない VPC ピア接続設定 (p. 61)」を参照してください。



172.16.0.0/16 ローカル

10.0.0.0/16 pcx-12121212

VPC A

192.168.0.0/16 pcx-23232323

10.0.0.0/16 ローカルVPC B

172.16.0.0/16 pcx-12121212

192.168.0.0/16 ローカルVPC C

172.16.0.0/16 pcx-23232323


IPv6 用に 1 つの VPC が 2 つの VPC とピアリング接続VPC ピア設定に上記と同一の VPC が 3 つあります。この例では、3 つの VPC はすべて、IPv6 CIDR ブロックと関連付けられています。

22




172.16.0.0/16 ローカル

2001:db8:1234:aa00::/56 ローカル

10.0.0.0/16 pcx-12121212

192.168.0.0/16 pcx-23232323

2001:db8:1234:bb00::/56 pcx-12121212

VPC A

2001:db8:1234:cc00::/56 pcx-23232323

10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル

172.16.0.0/16 pcx-12121212

VPC B

2001:db8:1234:aa00::/56 pcx-12121212

192.168.0.0/16 ローカル

2001:db8:1234:cc00::/56 ローカル

172.16.0.0/16 pcx-23232323

VPC C

2001:db8:1234:aa00::/56 pcx-23232323

3 つの VPC が相互にピアリング接続フルメッシュ設定で 3 つの VPC をピアリング接続します。VPC はすべて、同じ AWS アカウントに存在し、重複する CIDR ブロックはありません。

• VPC A は VPC ピアリング接続 pcx-aaaabbbb により VPC B にピアリング接続しています。• VPC A は VPC ピアリング接続 pcx-aaaacccc により VPC C にピアリング接続しています。• VPC B は VPC ピアリング接続 pcx-bbbbcccc により VPC C にピアリング接続しています。

23


VPC 間で制限なしで相互にリソースを共有する必要がある場合に、このフルメッシュ設定を使用することがあります。たとえば、ファイル共有システムの場合です。



172.16.0.0/16 ローカル

10.0.0.0/16 pcx-aaaabbbb

VPC A

192.168.0.0/16 pcx-aaaacccc

10.0.0.0/16 ローカル


VPC B

192.168.0.0/16 pcx-bbbbcccc

192.168.0.0/16 ローカル


VPC C



IPv6 で 3 つの VPC をピアリング接続VPC ピア設定に上記と同一の VPC が 3 つあります。この例では、VPC A および VPC B のいずれも、IPv6 CIDR ブロックと関連付けられています。VPC C は、IPv6 CIDR ブロックと関連付いていません。

24


VPC A と VPC B のルートテーブルには、VPC ピアリング接続を指すルート pcx-aaaabbbb が含まれており、ピア VPC の IPv6 CIDR ブロックにアクセスします。VPC A と VPC B は、VPC ピアリング接続を介して IPv6 経由で通信できます。VPC C は、 IPv6 を経由しても、VPC A または VPC B のいずれとも通信できません。


172.16.0.0/16 ローカル

2001:db8:1234:aa00::/56 ローカル



VPC A

2001:db8:1234:bb00::/56 pcx-aaaabbbb

10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル



VPC B

2001:db8:1234:aa00::/56 pcx-aaaabbbb

192.168.0.0/16 ローカル


VPC C


VPC C の所有者は、IPv6 CIDR ブロックを VPC (2001:db8:1234:cc00::/56) と関連付けています。VPC C は、既存の VPC ピアリング接続を用いて、IPv6 経由で VPC A と VPC B の両方と通信できるようになりました。このように通信するには、以下のルートを既存のルートテーブルに追加する必要があります。

25

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC が複数の VPC とピアリング接続


VPC A 2001:db8:1234:cc00::/56 pcx-aaaacccc

VPC B 2001:db8:1234:cc00::/56 pcx-bbbbcccc

2001:db8:1234:aa00::/56 pcx-aaaaaccccVPC C

2001:db8:1234:bb00::/56 pcx-bbbbcccc

VPC 内の IPv6 の詳細については、Amazon VPC ユーザーガイドの「VPC とサブネット」を参照してください。

1 つの VPC が複数の VPC とピアリング接続中央 VPC (VPC A) が次の VPC とピアリング接続されています。

• VPC B は pcx-aaaabbbb で• VPC C は pcx-aaaacccc で• VPC D は pcx-aaaadddd で• VPC E は pcx-aaaaeeee で• VPC F は pcx-aaaaffff で• VPC G は pcx-aaaagggg で

VPC A は、他のすべての VPC とピアリング接続していますが、他の VPC は相互にピアリング接続していません。VPC はすべて、同じ AWS アカウントに存在し、重複する CIDR ブロックはありません。

Note

他の VPC はどれも、VPC A を経由して相互に直接トラフィックを送信することはできません。VPC ピア機能は推移的なピア関係もエッジツーエッジルーティングもサポートしていません。他の VPC との間で直接トラフィックをルーティングするには、他の VPC との間に VPC ピアリング接続を作成する必要があります。詳細については、「多数の VPC が相互にピアリング接続 (p. 30)」を参照してください。サポートされないピア接続のシナリオの詳細については、「サポートされていない VPC ピア接続設定 (p. 61)」を参照してください。

26



サービスのリポジトリのように、他の VPC がアクセスする必要のあるリソースが中央 VPC に存在する場合に、このスポーク型の設定を使用することがあります。他の VPC は、互いのリソースにアクセスする必要がありません。中央 VPC のリソースに対するアクセスのみが必要です。



172.16.0.0/16 ローカル



10.2.0.0/16 pcx-aaaadddd

10.3.0.0/16 pcx-aaaaeeee

172.17.0.0/16 pcx-aaaaffff

VPC A

10.4.0.0/16 pcx-aaaagggg

10.0.0.0/16 ローカルVPC B


VPC C 192.168.0.0/16 ローカル

27




10.2.0.0/16 ローカルVPC D


10.3.0.0/16 ローカルVPC E


172.17.0.0/16 ローカルVPC F


10.4.0.0/16 ローカルVPC G



IPv6 用に 1 つの VPC が複数の VPC とピアリング接続VPC ピア設定に上記と同一の VPC があります。VPC はすべて、IPv6 CIDR ブロックを関連付けています。

28




172.16.0.0/16 ローカル

2001:db8:1234:aa00::/56 ローカル




2001:db8:1234:cc00::/56 pcx-aaaacccc


2001:db8:1234:dd00::/56 pcx-aaaadddd


VPC A

2001:db8:1234:ee00::/56 pcx-aaaaeeee

29

Amazon Virtual Private Cloud VPC ピアリング接続多数の VPC が相互にピアリング接続



2001:db8:1234:ff00::/56 pcx-aaaaffff


2001:db8:1234:7700::/56 pcx-aaaagggg

10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル


VPC B


192.168.0.0/16 ローカル

2001:db8:1234:cc00::/56 ローカル


VPC C

2001:db8:1234:aa00::/56 pcx-aaaacccc

10.2.0.0/16 ローカル

2001:db8:1234:dd00::/56 ローカル


VPC D

2001:db8:1234:aa00::/56 pcx-aaaadddd

10.3.0.0/16 ローカル

2001:db8:1234:ee00::/56 ローカル


VPC E

2001:db8:1234:aa00::/56 pcx-aaaaeeee

172.17.0.0/16 ローカル

2001:db8:1234:ff00::/56 ローカル


VPC F

2001:db8:1234:aa00::/56 pcx-aaaaffff

10.4.0.0/16 ローカル

2001:db8:1234:7700::/56 ローカル


VPC G

2001:db8:1234:aa00::/56 pcx-aaaagggg

多数の VPC が相互にピアリング接続フルメッシュ設定で 7 つの VPC をピアリング接続します。

30


VPC VPC ピアリング接続

A と B pcx-aaaabbbb

A と C pcx-aaaacccc

A と D pcx-aaaadddd

A と E pcx-aaaaeeee

A と F pcx-aaaaffff

A と G pcx-aaaagggg

B と C pcx-bbbbcccc

B と D pcx-bbbbdddd

B と E pcx-bbbbeeee

B と F pcx-bbbbffff

B と G pcx-bbbbgggg

C と D pcx-ccccdddd

C と E pcx-cccceeee

C と F pcx-ccccffff

C と G pcx-ccccgggg

D と E pcx-ddddeeee

D と F pcx-ddddffff

D と G pcx-ddddgggg

E と F pcx-eeeeffff

E と G pcx-eeeegggg

F と G pcx-ffffgggg

VPC はすべて、同じ AWS アカウントに存在し、重複する CIDR ブロックはありません。

31


制限なしで相互のリソースにアクセスする必要のある VPC が多数ある場合に、このフルメッシュ設定を使用することがあります。たとえば、ファイル共有ネットワークの場合です。



172.16.0.0/16 ローカル






VPC A


10.0.0.0/16 ローカル


VPC B


32



10.2.0.0/16 pcx-bbbbdddd

10.3.0.0/16 pcx-bbbbeeee

172.17.0.0/16 pcx-bbbbffff

10.4.0.0/16 pcx-bbbbgggg

192.168.0.0/16 ローカル



10.2.0.0/16 pcx-ccccdddd

10.3.0.0/16 pcx-cccceeee

172.17.0.0/16 pcx-ccccffff

VPC C

10.4.0.0/16 pcx-ccccgggg

10.2.0.0/16 ローカル




10.3.0.0/16 pcx-ddddeeee

172.17.0.0/16 pcx-ddddffff

VPC D

10.4.0.0/16 pcx-ddddgggg

10.3.0.0/16 ローカル





172.17.0.0/16 pcx-eeeeffff

VPC E

10.4.0.0/16 pcx-eeeegggg

172.17.0.0/16 ローカル





VPC F


33



10.4.0.0/16 pcx-ffffgggg

10.4.0.0/16 ローカル






VPC G


ルートテーブルの更新の詳細については、VPC ピアリング接続のルートテーブルを更新する (p. 10) を参照してください。

複数の VPC が IPv6 で相互にピアリング接続VPC ピア設定に上記と同一の VPC があります。VPC はすべて、IPv6 CIDR ブロックを関連付けています。

34




172.16.0.0/16 ローカル

2001:db8:1234:aa00::/56 ローカル




2001:db8:1234:cc00::/56 pcx-aaaacccc


2001:db8:1234:dd00::/56 pcx-aaaadddd

VPC A


35



2001:db8:1234:ee00::/56 pcx-aaaaeeee


2001:db8:1234:ff00::/56 pcx-aaaaffff


2001:db8:1234:7700::/56 pcx-aaaagggg

10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル




2001:db8:1234:cc00::/56 pcx-bbbbcccc


2001:db8:1234:dd00::/56 pcx-bbbbdddd


2001:db8:1234:ee00::/56 pcx-bbbbeeee


2001:db8:1234:ff00::/56 pcx-bbbbffff


VPC B

2001:db8:1234:7700::/56 pcx-bbbbgggg

192.168.0.0/16 ローカル

2001:db8:1234:cc00::/56 ローカル


2001:db8:1234:aa00::/56 pcx-aaaacccc


2001:db8:1234:bb00::/56 pcx-bbbbcccc


2001:db8:1234:dd00::/56 pcx-ccccdddd


2001:db8:1234:ee00::/56 pcx-cccceeee


VPC C

2001:db8:1234:ff00::/56 pcx-ccccffff

36




2001:db8:1234:7700::/56 pcx-ccccgggg

10.2.0.0/16 ローカル

2001:db8:1234:dd00::/56 ローカル


2001:db8:1234:aa00::/56 pcx-aaaadddd


2001:db8:1234:bb00::/56 pcx-bbbbdddd


2001:db8:1234:cc00::/56 pcx-ccccdddd


2001:db8:1234:ee00::/56 pcx-ddddeeee


2001:db8:1234:ff00::/56 pcx-ddddffff


VPC D

2001:db8:1234:7700::/56 pcx-ddddgggg

10.3.0.0/16 ローカル

2001:db8:1234:ee00::/56 ローカル


2001:db8:1234:aa00::/56 pcx-aaaaeeee


2001:db8:1234:bb00::/56 pcx-bbbbeeee


2001:db8:1234:cc00::/56 pcx-cccceeee


2001:db8:1234:dd00::/56 pcx-ddddeeee


2001:db8:1234:ff00::/56 pcx-eeeeffff


VPC E

2001:db8:1234:7700::/56 pcx-eeeegggg

VPC F 172.17.0.0/16 ローカル

37

Amazon Virtual Private Cloud VPC ピアリング接続特定のルートを使用する設定


2001:db8:1234:ff00::/56 ローカル


2001:db8:1234:aa00::/56 pcx-aaaaffff


2001:db8:1234:bb00::/56 pcx-bbbbffff


2001:db8:1234:cc00::/56 pcx-ccccffff


2001:db8:1234:dd00::/56 pcx-ddddffff


2001:db8:1234:ee00::/56 pcx-eeeeffff


2001:db8:1234:7700::/56 pcx-ffffgggg

10.4.0.0/16 ローカル

2001:db8:1234:7700::/56 ローカル


2001:db8:1234:aa00::/56 pcx-aaaagggg


2001:db8:1234:bb00::/56 pcx-bbbbgggg


2001:db8:1234:cc00::/56 pcx-ccccgggg


2001:db8:1234:dd00::/56 pcx-ddddgggg


2001:db8:1234:ee00::/56 pcx-eeeegggg


VPC G

2001:db8:1234:ff00::/56 pcx-ffffgggg

特定のルートを使用する設定VPC ピア接続を設定して、CIDR ブロックの一部、特定の CIDR ブロック (VPC に複数の CIDR ブロックがある場合)、またはピア VPC 内の特定のインスタンスへのアクセスを許可できます。この例では、中央VPC は CIDR ブロックが重複する複数の VPC にピアリング接続されます。特定の VPC ピアリング接続設

38

Amazon Virtual Private Cloud VPC ピアリング接続2 つの VPC が 1 つの VPC の 2 つ

のサブネットにピアリング接続

定が必要になる可能性があるシナリオの例については、「VPC ピア機能のシナリオ (p. 17)」を参照してください。VPC ピアリング接続を作成して作業する方法の詳細については、「VPC ピア接続の操作 (p. 6)」を参照してください。ルートテーブルの更新の詳細については、「VPC ピアリング接続のルートテーブルを更新する (p. 10)」を参照してください。

設定• 2 つの VPC が 1 つの VPC の 2 つのサブネットにピアリング接続 (p. 39)• 1 個の VPC で特定の CIDR ブロックにピアリング接続された 2 つのVPC (p. 43)• 1 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続 (p. 44)• 1 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続 (p. 48)• 1 つの VPC がプレフィックス最長一致を使用して 2 つの VPC とピアリング接続 (p. 50)• 多重 VPC 設定 (p. 51)

2 つの VPC が 1 つの VPC の 2 つのサブネットにピアリング接続中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC A は、サブネットを VPC ピアリング接続ごとに 1つ、計 2 つ持ちます。

サブネットが異なりリソースセットも異なる中央 VPC がある場合に、このような設定を使用することがあります。その他の VPC はリソースの一部にアクセスする必要がありますが、すべてのリソースにアクセスする必要はありません。

39



サブネット X のルートテーブルは、VPC B の CIDR ブロック全体にアクセスする VPC ピアリング接続pcx-aaaabbbb を指します。VPC B のルートテーブルは、VPC A のサブネット X のみの CIDR ブロックにアクセスする pcx-aaaabbbb を指します。同様に、サブネット Y のルートテーブルは、VPC C のCIDR ブロック全体にアクセスする VPC ピアリング接続 pcx-aaaacccc を指します。VPC C のルートテーブルは、VPC A のサブネット Y のみの CIDR ブロックにアクセスする pcx-aaaacccc を指します。


172.16.0.0/16 ローカルVPC A のサブネット X


172.16.0.0/16 ローカルVPC A のサブネット Y


10.0.0.0/16 ローカルVPC B


10.0.0.0/16 ローカルVPC C


同様に、中央の VPC (VPC A) は複数の CIDR ブロックを持つことができ、VPC B および VPC C は各CIDR ブロックのサブネットへの VPC ピアリング接続を持つことができます。

40




10.2.0.0/16 ローカル

10.3.0.0/16 ローカル

VPC A のサブネット X


10.2.0.0/16 ローカル

10.3.0.0/16 ローカル

VPC A のサブネット Y


10.0.0.0/16 ローカルVPC B


10.0.0.0/16 ローカルVPC C



2 つの VPC が 1 つの IPv6 用 VPC の 2 つのサブネットにピアリング接続上記と同じ VPC ピア設定があります。VPC A と VPC B は IPv6 に対して有効になっているため、VPC にはいずれも、IPv6 CIDR ブロックが関連付けられています。VPC のサブネット X には、IPv6 CIDR ブロックが関連付けられています。

41




VPC ピアリング接続を使用して、IPv6 を介して VPC A のサブネット X と VPC B との通信を有効にできます。これを行うには、VPC A のルートテーブルに VPC B の IPv6 CIDR ブロックの宛先ルートを追加し、VPC B のルートテーブルに VPC A のサブネット X の IPv6 CIDR の宛先ルートを追加します。

ルートテーブル送信先 Target コメント

172.16.0.0/16 ローカル

2001:db8:abcd:aa00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。



2001:db8:1234:bb00::/56 pcx-aaaabbbb VPC B の IPv6 CIDRブロックへのルートです。

VPC A のサブネット Y 172.16.0.0/16 ローカル

42

Amazon Virtual Private Cloud VPC ピアリング接続1 個の VPC で特定の CIDR ブロックにピアリング接続された 2 つのVPC




10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。


VPC B

2001:db8:abcd:aa00::/64 pcx-aaaabbbb VPC A の IPv6 CIDRブロックへのルートです。

10.0.0.0/16 ローカル VPC C


1 個の VPC で特定の CIDR ブロックにピアリング接続された 2 つのVPC中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC A は、CIDR ブロックを VPC ピアリング接続ごとに 1 つ、計 2 つ持ちます。


172.16.0.0/16 ローカル




2001:db8:1234:bb00::/56 pcx-aaaabbbb VPC B の IPv6 CIDRブロックへのルートです。

172.16.0.0/16 ローカル


VPC A のサブネット Y


43

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続


10.0.0.0/16 ローカル

2001:db8:1234:bb00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。


VPC B

2001:db8:abcd:aa00::/64 pcx-aaaabbbb VPC A の IPv6 CIDRブロックへのルートです。

10.0.0.0/16 ローカル VPC C



1 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A とVPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC B と VPC C はそれぞれサブネットを 2 つ持ち、それぞれ 1 つのみが VPC A とのピアリング接続に使用されます。

44



Active Directory サービスなど、他の VPC がアクセスする必要のある単一のリソースセットを持つ中央VPC がある場合に、このような設定を使用することがあります。中央 VPC は、ピアリング接続されたVPC にフルアクセスする必要はありません。

VPC A のルートテーブルは、VPC B および VPC C の特定のサブネットのみにアクセスする両方の VPCピアリング接続を指します。VPC B および VPC C のサブネットのルートテーブルは、VPC A のサブネットにアクセスする VPC ピアリング接続を指します。


172.16.0.0/16 ローカル


VPC A


10.0.0.0/16 ローカルVPC B のサブネットA


45



10.0.0.0/16 ローカルVPC C のサブネットB


レスポンストラフィックのルーティングCIDR ブロックが重複または一致する複数の VPC にピアリング接続された VPC がある場合は、自分のVPC から間違った VPC にレスポンストラフィックを送信しないようにルートテーブルが設定されていることを確認します。AWS は現在、パケットのソース IP を確認してリプライパケットをソースにルーティングするユニキャストリバースパス転送 (uRPF) を VPC ピアリング接続でサポートしていません。

たとえば、VPC A は VPC B と VPC C にピアリング接続されます。VPC B と VPC C は CIDR ブロックが一致し、そのサブネットは CIDR ブロックが一致しています。VPC B のサブネット B のルートテーブルは、VPC A のサブネットにアクセスする VPC ピアリング接続 pcx-aaaabbbb を指します。VPC A のルートテーブルは、10.0.0.0/16 トラフィックをピアリング接続 pcx-aaaaccccc に送信するように設定されています。


10.0.0.0/16 ローカルVPC B のサブネット B


172.16.0.0/24 ローカルVPC A


46


プライベート IP アドレスが 10.0.1.66/32 の VPC B のサブネット B のインスタンスが、VPC ピアリング接続 pcx-aaaabbbb を使用して VPC A の Active Directory サーバーにトラフィックを送信します。VPC A はレスポンストラフィックを 10.0.1.66/32 に送信します。ただし、VPC A ルートテーブルは、IP アドレスの 10.0.0.0/16 範囲内のすべてのトラフィックを、VPC ピアリング接続 pcx-aaaacccc に送信するよう設定されています。VPC C のサブネット B に 10.0.1.66/32 の IP アドレスを持つインスタンスがある場合、VPC A からレスポンストラフィックを受信します。VPC B のサブネットB は、VPC A へのリクエストに対するレスポンスを受信しません。

これを防ぐには、送信先を 10.0.1.0/24、ターゲットを pcx-aaaabbbb として特定のルートをVPC A のルートテーブルに追加できます。10.0.1.0/24 トラフィックのルートはより固有のため、10.0.1.0/24 IP アドレス範囲宛てのトラフィックは VPC ピアリング接続を経由します。pcx-aaaabbbb

または、次の例で、VPC A のルートテーブルには、各 VPC ピアリング接続の各サブネット用のルートがあります。VPC A は VPC B のサブネット B および VPC C のサブネット A と通信できます。このシナリ

47

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC のインスタンスが 2 つの

VPC のインスタンスにピアリング接続

オは、10.0.0.0/16 IP アドレス範囲内の別のサブネットとの別の VPC ピアリング接続を追加する必要があるときに便利です。その特定のサブネット用に別のルートを追加するだけです。

送信先 Target

172.16.0.0/16 ローカル



または、ユースケースに応じて、VPC B の特定の IP アドレスへのルートを作成して、トラフィックが正しいサーバーに戻されるようにします (ルートテーブルでは、プレフィックス最長一致を使用して、ルートの優先順位が決定されます)。

送信先 Target

172.16.0.0/16 ローカル



1 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A とVPC C の間 (pcx-aaaacccc) で VPC ピア接続を行います。VPC A にはサブネットが 1 つあり、ピアリング接続された VPC それぞれに 1 つのインスタンスがあります。特定のインスタンスに対するピアトラフィックを制限する場合に、このような設定を使用することがあります。

48

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC のインスタンスが 2 つの

VPC のインスタンスにピアリング接続

各 VPC のルートテーブルは、ピア VPC の単一の IP アドレス (つまり特定のインスタンス) にアクセスする該当する VPC ピアリング接続を指します。


172.16.0.0/16 ローカル


VPC A


10.0.0.0/16 ローカルVPC B


10.0.0.0/16 ローカルVPC C


49

Amazon Virtual Private Cloud VPC ピアリング接続1 つの VPC がプレフィックス最長一致

を使用して 2 つの VPC とピアリング接続

1 つの VPC がプレフィックス最長一致を使用して 2つの VPC とピアリング接続サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A とVPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC B および VPC C の CIDR ブロックが一致しています。VPC ピア接続 pcx-aaaabbbb を使用して VPC B の特定のインスタンスと VPC Aとのトラフィックをルーティングしようとしています。IP アドレスの範囲 10.0.0.0/16 が宛先であるその他のトラフィックはすべて、VPC A と VPC C の間の pcx-aaaacccc を経由してルーティングされます。

VPC のルートテーブルは、プレフィックス最長一致を使用して、目的の VPC ピアリング接続で最も具体的なルートを選択します。その他のすべてのトラフィックは、次に一致するルート、今回の場合は VPC ピアリング接続 pcx-aaaacccc を経由してルーティングします。


VPC A 172.16.0.0/16 ローカル

50

Amazon Virtual Private Cloud VPC ピアリング接続多重 VPC 設定




10.0.0.0/16 ローカルVPC B


10.0.0.0/16 ローカルVPC C


Important

VPC B の 10.0.0.77/32 以外のインスタンスが VPC A にトラフィックを送信すると、レスポンストラフィックが VPC B の代わりに VPC C にルーティングされる可能性があります。詳細については、「レスポンストラフィックのルーティング (p. 46)」を参照してください。

多重 VPC 設定この例の場合、中央 VPC (VPC A) はスポーク設定で多数の VPC とピアリング接続されています。この種の設定の詳細については、「1 つの VPC が複数の VPC とピアリング接続 (p. 26)」を参照してください。また、3 つの VPC (VPC M、N、P) がフルメッシュ設定で相互にピアリング接続されています。この種の設定の詳細については、「3 つの VPC が相互にピアリング接続 (p. 23)」を参照してください。

VPC C には、VPC M との VPC ピアリング接続も設定されています (pcx-ccccmmmm)。VPC A と VPC Mは CIDR ブロックが重複しています。これは、VPC A と VPC C の間のピアリングトラフィックが VPC Cの特定のサブネット (サブネット A) に制限されることを意味します。このため、VPC C が VPC A またはVPC M からリクエストを受け取った場合、正しい VPC にレスポンストラフィックが返されます。AWS は現在、パケットのソース IP を確認してリプライパケットをソースにルーティングするユニキャストリバースパス転送 (uRPF) を VPC ピアリング接続でサポートしていません。詳細については、「レスポンストラフィックのルーティング (p. 46)」を参照してください。

同様に、VPC C と VPC P は CIDR ブロックが重複しています。VPC M と VPC C の間のピアトラフィックは VPC C のサブネット B に制限され、VPC M と VPC P の間のピアトラフィックは VPC P のサブネット A に制限されます。これは、VPC M が VPC C または VPC P からピアトラフィックを受け取った場合に、正しい VPC にレスポンストラフィックを送り返すようにするためです。

51

Amazon Virtual Private Cloud VPC ピアリング接続多重 VPC 設定

VPC B、D、E、F、G のルートテーブルは、VPC A の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC A のルートテーブルは、VPC B、D、E、F、G それぞれの CIDR ブロック全体にアクセスする該当するピアリング接続を指します。ピアリング接続 pcx-aaaacccc の場合、VPC A のルートテーブルは VPC C のサブネット A (192.168.0.0/24) に対するトラフィックのみをルーティングし、VPC C のサブネット A のルートテーブルは VPC A の CIDR ブロック全体を指します。

VPC N のルートテーブルは VPC M と VPC P の CIDR ブロック全体にアクセスする該当するピアリング接続を指し、VPC P のルートテーブルは VPC N の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC P のサブネット A のルートテーブルは VPC M の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC M のルートテーブルは VPC C のサブネット B と VPC P のサブネット A にアクセスする該当するピアリング接続を指します。


172.16.0.0/16 ローカル





VPC A


52

Amazon Virtual Private Cloud VPC ピアリング接続ClassicLink を使用した設定



10.0.0.0/16 ローカルVPC B


192.168.0.0/16 ローカルサブネット Ain VPC C


192.168.0.0/16 ローカルVPC C のサブネットB

172.16.0.0/16 pcx-ccccmmmm

10.2.0.0/16 ローカルVPC D


10.3.0.0/16 ローカルVPC E


172.17.0.0/16 ローカルVPC F


10.4.0.0/16 ローカルVPC G


172.16.0.0/16 ローカル

192.168.1.0/24 pcx-ccccmmmm

10.0.0.0/16 pcx-mmmmnnnn

VPC M

192.168.0.0/24 pcx-mmmmpppp

10.0.0.0/16 ローカル

172.16.0.0/16 pcx-mmmmnnnn

VPC N

192.168.0.0/16 pcx-nnnnpppp

192.168.0.0/16 ローカル

10.0.0.0/16 pcx-nnnnpppp

VPC P

172.16.0.0/16 pcx-mmmmpppp

ClassicLink を使用した設定2 つの VPC 間に VPC ピア接続があり、ClassicLink を使用して 1 つまたは両方の VPC にリンクされた 1つ以上の EC2 Classic インスタンスが存在する場合は、VPC ピア接続を拡大して、EC2 Classic インスタンスと VPC ピアリング接続の他方の側の VPC のインスタンス間の通信を有効にすることができます。これにより、EC2-Classic インスタンスと VPC のインスタンスは、プライベート IP アドレスを使用して通信することができます。これを行うには、ローカル VPC がピア VPC でリンクされた EC2-Classic インス

53

Amazon Virtual Private Cloud VPC ピアリング接続ClassicLink を使用した設定

タンスと通信できるようするか、リンクされたローカル EC2-Classic インスタンスがピア VPC の VPC インスタンスと通信できるようにします。

ClassicLink で通信できるのは、VPC ピアリング接続の両方の VPC が同じリージョンにある場合に限ります。

Important

IPv6 の通信用に EC2-Classic インスタンスを有効にすることはできません。VPC ピアリング接続のいずれかで VPC インスタンスを有効にすると、IPv6 経由で相互通信できます。ただし、VPCに ClassicLink 接続されている EC2-Classic インスタンスは、IPv4 のみを経由して、VPC ピアリング接続のもう一方の VPC インスタンスと通信できます。

VPC ピアリング接続が、リンクされた EC2-Classic インスタンスと通信できるようにするには、VPC ピアリング接続のリクエスタである場合はリクエスタの VPC ピアリング接続のオプションを変更する必要があります。また、VPC ピアリング接続のアクセプタである場合は、アクセプタの VPC ピアリング接続のオプションを変更する必要があります。describe-vpc-peering-connections コマンドを使用して、VPC ピアリング接続のアクセプタおよびリクエスタである VPC を確認できます。

次のように VPC ピアリング接続のオプションを変更できます。

• ピア VPC と通信するために、ローカルにリンクしている EC2-Classic インスタンスを有効にします。

この場合、VPC ピアリング接続のオプションを変更して、ローカルの ClassicLink 接続から VPC ピアリング接続のもう一方の側のピア VPC へのアウトバウンド通信を有効にします。ピア VPC の所有者は、VPC ピアリング接続のオプションを変更して、ローカル VPC からリモート ClassicLink 接続へのアウトバウンド通信を有効にします。

• ピア VPC 内のリンクされた EC2-Classic インスタンスと通信するために、ローカル VPC を有効にします。

この場合、VPC ピアリング接続のオプションを変更して、ローカル VPC から VPC ピアリング接続のもう一方の側のリモート ClassicLink 接続へのアウトバウンド通信を有効にします。リンクされた EC2-Classic インスタンスがあるピア VPC の所有者は、VPC ピアリング接続のオプションを変更して、ローカルの ClassicLink 接続からリモート VPC へのアウトバウンド通信を有効にします。

ローカルのリンクされた EC2-Classic インスタンスがピア VPC のインスタンスと通信できるようにする場合は、ローカル VPC のメインルートテーブルへのルートを、送信先をピア VPC CIDR ブロック、ターゲットを VPC ピアリング接続として手動で追加する必要があります。リンクされた EC2-Classic インスタンスは、VPC のどのサブネットとも関連付けられず、ピア VPC との通信についてメインルートテーブルに依存します。

Important

VPC ピアリング接続のルートは、ピアリング接続への既存のルートがあるカスタムルートテーブルとは無関係に、メインルートテーブルに追加する必要があります。そうでない場合、EC2-Classic インスタンスはピア VPC と通信できません。

リモートの ClassicLink 接続を使用した通信用にローカル VPC を有効にすると、VPC のすべてのローカルルートテーブルに、送信先が 10.0.0.0/8 で、ターゲットが Local のルートが自動的に追加されます。これにより、リモートのリンクされた EC2-Classic インスタンスとの通信が有効になります。ルートテーブルで、10.0.0.0/8 IP アドレス範囲 (VPC ピアリング接続のルートを含む) に既存の静的ルートがある場合、ローカル VPC でリモート ClassicLink 接続との通信を有効にすることはできません。

リージョンのサポート

次のリージョンでは、VPC ピアリング接続オプションを変更できます:

• 米国東部（バージニア北部）

54


Amazon Virtual Private Cloud VPC ピアリング接続ClassicLink インスタンスとピア VPC 間の通信の有効化

• 米国西部 (北カリフォルニア)• 米国西部 (オレゴン)• 欧州 (アイルランド)• アジアパシフィック (東京)• アジアパシフィック (シンガポール)• 南米 (サンパウロ)• アジアパシフィック (シドニー)

ClassicLink インスタンスとピア VPC 間の通信の有効化以下のシナリオでは、VPC A は ClassicLink に対して有効であり、インスタンス A は ClassicLink を使用して VPC A にリンクされます。VPC B は別の AWS アカウントにあり、VPC ピア接続 pcx-aaaabbbbを使用して VPC A にピア接続されます。VPC ピアリング接続は VPC A によってリクエストされ、VPC Bによって承諾されます。インスタンス A がプライベート IP を介して VPC B と通信し、VPC B のインスタンスがプライベート IP を介してインスタンス A と通信するようにします。

Note

このシナリオでは、VPC B は EC2-Classic をサポートするアカウント、または EC2-VPC のみをサポートするアカウントの VPC となります。

VPC A のルートテーブルには、ローカルの VPC トラフィック用のルートと、リンクされた EC2-Classicインスタンスへの通信を有効にするルートが含まれます。VPC A のカスタムルートテーブルには、サブネットのインスタンスが VPC ピアリング接続を介してピア VPC と通信できるようにするルートと、すべてのインターネットトラフィックをインターネットゲートウェイにルーティングするルートが含まれます。VPC B のカスタムルートテーブルには、サブネットのインスタンスが VPC ピアリング接続を介してピア VPC と通信できるようにするルートが含まれます。

55



172.31.0.0/16 ローカル VPC A 用のデフォルトのローカルルート。

192.168.0.0/16 pcx-aaaabbbb VPC A と VPC B 間のピアリング接続用に手動で追加されたルート。

10.0.0.0/8 ローカル ClassicLink 通信を有効にするために自動的に追加されたルート (インスタンスを VPC A にリンクしたときに追加)。

VPC A カスタム

0.0.0.0/0 igw-11aa22bb インターネットゲートウェイにインターネットトラフィックをルーティングするために手動で追加されたルート。


VPC A メイン


192.168.0.0/16 ローカル VPC B 用のデフォルトのローカルルート。

VPC B カスタム


VPC A の所有者は、インスタンス A が VPC B と通信できるように VPC ピアリング接続を変更し、メインルートテーブルを更新する必要があります。VPC B の所有者は、VPC B がインスタンス A と通信できるように VPC ピアリング接続を変更する必要があります。

Note

一方の VPC が EC2-Classic のあるリージョンに存在し、もう一方の VPC が EC2-Classic のないリージョンに存在する場合、EC2-Classic のないリージョンに対して ClassicLink 設定を更新するオプションはコンソールで無効になります。そのため、AWS CLI を使用する必要があります。

タスク• VPC A の VPC ピアリング接続の変更 (p. 57)• VPC B の VPC ピアリング接続の変更 (p. 57)• VPC ピアリング接続の表示 (p. 59)

56


VPC A の VPC ピアリング接続の変更EC2-Classic インスタンスから VPC B への通信を有効にするには、VPC A の AWS アカウント所有者は、VPC ピアリング接続のオプションを変更して、ローカルの ClassicLink 接続でピア VPC のインスタンスにトラフィックを送信できるようにする必要があります。

コンソールを使用して VPC ピアリング接続を変更するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

VPC A の所有者はコンソールにサインインする必要があります。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピアリング接続リクエストを選択し、[Actions] で [Edit ClassicLink Settings] を選択します。4. ローカルのリンクされた EC2-Classic インスタンスとピア VPC との通信を許可するオプションを選

択し、[Save] を選択します。

AWS CLI を使用して VPC ピアリング接続を変更するには

modify-vpc-peering-connection-options コマンドを使用できます。この場合、VPC A は VPC ピアリング接続のリクエスタであったため、リクエスタのオプションを以下のように変更します。

aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id pcx-aaaabbbb --requester-peering-connection-options AllowEgressFromLocalClassicLinkToRemoteVpc=true

メインルートテーブルを更新するには

VPC B のルートテーブル、または VPC A のカスタムルートテーブルに変更はありません。VPC A の所有者は、リンクされた EC2-Classic インスタンスが VPC ピアリング接続経由で通信できるようにするメインルートテーブルを手動で追加する必要があります。

送信先 Target

172.31.0.0/16 ローカル

10.0.0.0/8 ローカル


ルートの追加の詳細については、『Amazon VPC ユーザーガイド』の「ルートテーブルでルートを追加および削除する」を参照してください。

VPC B の VPC ピアリング接続の変更次に、VPC B の AWS アカウントの所有者は、VPC B から EC2-Classic インスタンス A にトラフィックを送信できるように、VPC ピアリング接続のオプションを変更する必要があります。

コンソールを使用して VPC ピアリング接続を変更するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

VPC B の所有者はコンソールにサインインする必要があります。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピア接続リクエストを選択し、[Actions] で [Edit ClassicLink Settings] を選択します。

57


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#AddRemoveRoutes

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#AddRemoveRoutes



4. ローカルの VPC インスタンスとピア VPC の EC2-Classic インスタンスとの通信を許可するオプションを選択し、[Save] を選択します。

AWS CLI を使用して VPC ピアリング接続を変更するには

VPC B が VPC ピアリング接続を受け入れたため、以下のようにアクセプタのオプションを変更します。

aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id pcx-aaaabbbb --accepter-peering-connection-options AllowEgressFromLocalVpcToRemoteClassicLink=true

VPC A のルートテーブルに変更はありません。VPC B のインスタンスが VPC A のリンクされた EC2-Classic インスタンスと通信できるようにする新しいルートが、VPC B のルートテーブルに自動的に追加されます。





VPC A カスタム

0.0.0.0/0 igw-11aa22bb インターネットゲートウェイにインターネットトラフィックをルーティングするために手動で追加されたルート。



VPC A メイン

192.168.0.0/16 pcx-aaaabbbb リンクされた EC2-Classic インスタンスがVPC ピアリング接続を介して VPC B と通信するために、手動で追加されたルート。

192.168.0.0/16 ローカル VPC B 用のデフォルトのローカルルート。

VPC B カスタム


58



10.0.0.0/8 ローカル VPC A のリンクされたインスタンスとのClassicLink 通信を有効にするために自動的に追加されたルート。

VPC ピアリング接続の表示Amazon VPC コンソールまたは AWS CLI を使用して、アクセプタ VPC とリクエスタ VPC の VPC ピアリング接続のオプションを表示できます。

コンソールを使用して VPC ピアリング接続のオプションを表示するには

1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. VPC ピアリング接続を選択し、[ClassicLink] を選択します。有効または無効になっている VPC ピア

リング接続のオプションに関する情報が表示されます。

AWS CLI を使用して VPC ピアリング接続のオプションを表示するには

describe-vpc-peering-connections コマンドを使用できます。

aws ec2 describe-vpc-peering-connections --vpc-peering-connection-id pcx-aaaabbbb

{ "VpcPeeringConnections": [ { "Status": { "Message": "Active", "Code": "active" }, "Tags": [ { "Value": "MyPeeringConnection", "Key": "Name" } ], "AccepterVpcInfo": { "PeeringOptions": { "AllowEgressFromLocalVpcToRemoteClassicLink": true, "AllowEgressFromLocalClassicLinkToRemoteVpc": false, "AllowDnsResolutionFromRemoteVpc": false }, "OwnerId": "123456789101", "VpcId": "vpc-80cb52e4", "CidrBlock": "172.31.0.0/16" }, "VpcPeeringConnectionId": "pcx-aaaabbbb", "RequesterVpcInfo": { "PeeringOptions": { "AllowEgressFromLocalVpcToRemoteClassicLink": false, "AllowEgressFromLocalClassicLinkToRemoteVpc": true, "AllowDnsResolutionFromRemoteVpc": false }, "OwnerId": "111222333444", "VpcId": "vpc-f527be91",

59




"CidrBlock": "192.168.0.0/16" } } ]}

60

Amazon Virtual Private Cloud VPC ピアリング接続重複する CIDR ブロック

サポートされていない VPC ピア接続設定

以下の VPC ピア接続設定はサポートされていません。

VPC ピア機能の制限事項の詳細については、「VPC ピア機能の制限事項 (p. 4)」を参照してください。

無効な設定• 重複する CIDR ブロック (p. 61)• 推移的なピアリング接続 (p. 62)• ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティング (p. 62)

重複する CIDR ブロックIPv4 CIDR ブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。

VPC に複数の IPv4 CIDR ブロックがある場合、いずれかの CIDR ブロックが重複している場合は、VPCピアリング接続を作成できません (重複していない CIDR ブロック間の通信にのみ VPC ピアリング接続を使用するかどうかにかかわらず)。

この制限は、重複していない IPv6 CIDR ブロックがある VPC にも適用されます。IPv6 通信に対してのみ VPC ピアリング接続を使用する場合でも、IPv4 CIDR ブロックが一致するまたは重複する VPC にあるVPC ピアリング接続を作成することはできません。

61

Amazon Virtual Private Cloud VPC ピアリング接続推移的なピアリング接続

推移的なピアリング接続VPC ピアリングを使用する代わりに、ネットワークの中継ハブとして機能する AWS Transit Gateway を使用して、VPC とオンプレミスネットワークを相互接続することができます。transit gateway の詳細については、Amazon VPC トランジットゲートウェイの「What is a Transit Gateway? (トランジットゲートウェイとは)」を参照してください。

VPC A と VPC B の間 (pcx-aaaabbbb)、および、VPC A と VPC C の間 (pcx-aaaacccc) に VPC ピアリング接続が設定されています。VPC B と VPC C の間には VPC ピアリング接続がありません。VPC Aを経由して VPC B から VPC C にパケットを直接ルーティングすることはできません。

VPC B と VPC C の間でパケットを直接ルーティングするために、両者の間に別の VPC ピアリング接続を作成することができます (CIDR ブロックが重複していない場合)。詳細については、「3 つの VPC が相互にピアリング接続 (p. 23)」を参照してください。

ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティング

ピアリング接続の VPC に次のいずれかの関係がある場合、その接続にピア関係を拡張することはできません。

• 社内ネットワークに対する VPN 接続または AWS Direct Connect 接続• インターネットゲートウェイ経由のインターネット接続• NAT デバイス経由のプライベートサブネットのインターネット接続• AWS サービスへのゲートウェイ VPC エンドポイント（たとえば、Amazon S3 へのエンドポイント）。• (IPv6) ClassicLink 接続。リンクされた EC2-Classic インスタンスと VPC ピアリング接続の別の側の

VPC のインスタンス間で IPv4 通信を有効にすることができます。ただし、EC2-Classic では IPv6 はサポートされていないため、IPv6 通信用にこの接続を拡張することはできません。

たとえば、VPC A と VPC B がピアリング接続され、VPC A にこれらのいずれかの接続がある場合、VPCB のインスタンスはこの接続を使用して、接続の他方の側にあるリソースにアクセスすることはできません。同様に、接続の他方の側にあるリソースは、この接続を使用して VPC B にアクセスすることはできません。

例: VPN 接続または AWS Direct Connect 接続経由のエッジツーエッジルーティング

62

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

Amazon Virtual Private Cloud VPC ピアリング接続ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティング

VPC A と VPC B の間に VPC ピア接続が設定されています（pcx-aaaabbbb）。VPC A には社内ネットワークに対する VPN 接続または AWS Direct Connect 接続もあります。エッジツーエッジルーティングはサポートされていません。つまり、VPC A を利用して、VPC B と社内ネットワークの間にピア関係を拡張することはできません。たとえば、社内ネットワークからのトラフィックは、VPC A に対する VPN 接続または AWS Direct Connect 接続を使用して直接 VPC B にアクセスすることはできません。

例: インターネットゲートウェイ経由のエッジツーエッジルーティング

VPC A と VPC B の間に VPC ピアリング接続が設定されています (pcx-abababab)。VPC A にはインターネットゲートウェイがあり、VPC B にはありません。エッジツーエッジルーティングはサポートされていません。つまり、VPC A を利用して、VPC B とインターネットの間にピア関係を拡張することはできません。たとえば、インターネットからのトラフィックは、VPC A に対するインターネットゲートウェイ接続を使用して直接 VPC B にアクセスすることはできません。

同様に、VPC A にある NAT デバイスが VPC A のプライベートサブネットのインスタンスへのインターネットアクセスを提供している場合、VPC B のインスタンスはその NAT デバイスを使用してインターネットにアクセスすることはできません。

例: VPC ゲートウェイエンドポイント経由のエッジツーエッジルーティング

63

Amazon Virtual Private Cloud VPC ピアリング接続ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティング

VPC A と VPC B の間に VPC ピアリング接続が設定されています (pcx-aaaabbbb)。VPC A には、Amazon S3 に接続する VPC ゲートウェイエンドポイントがあります。エッジツーエッジルーティングはサポートされていません。つまり、VPC A を利用して、VPC B と Amazon S3 の間にピア関係を拡張することはできません。たとえば、VPC B は、VPC A に対する VPC ゲートウェイエンドポイント接続を使用して直接 Amazon S3 にアクセスすることはできません。

64

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピア接続の作成

VPC ピアリングの Identity andAccess Management

デフォルトでは、IAM ユーザーは VPC ピア接続を作成または変更することはできません。VPC ピアリングリソースへのアクセスを許可するには、IAM ポリシーを作成して次のいずれかにアタッチします。

• IAM ユーザーまたは• IAM ユーザーが属するグループ。

以下はVPC ピアリング接続を操作するための IAM ポリシーの例です。

Amazon VPC アクションのリストと、各アクションでサポートされているリソースと条件キーについては、IAM ユーザーガイドの「 Amazon EC2 のアクション、リソース、および条件キー」を参照してください。

目次• VPC ピア接続の作成 (p. 65)• VPC ピアリング接続を承認する (p. 66)• VPC ピアリング接続を削除する (p. 67)• 特定のアカウントでの操作 (p. 67)• コンソールでの VPC ピアリング接続の管理 (p. 68)

VPC ピア接続の作成次のポリシーにより、ユーザーは、Purpose=Peering というタグが付いている VPC のみを使用して VPC ピアリング接続リクエストを作成できます。最初のステートメントでは、条件キー(ec2:ResourceTag) が VPC リソースに適用されます。CreateVpcPeeringConnection アクションのVPC リソースは、常にリクエスタ VPC であることに注意してください。

2 番目のステートメントでは、VPC ピア接続リソースを作成するためのアクセス許可をユーザーに与えます。このため、特定のリソース ID の代わりにワイルドカード * が使用されます。

{"Version": "2012-10-17","Statement":[{ "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*" }

65

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピアリング接続を承認する

]}

次のポリシーにより、AWS アカウント 333333333333 のユーザーは、us-east-1 リージョン内の任意のVPC を使用して VPC ピアリング接続を作成できます。ただし、ピアリング接続を受け入れる VPC が特定のアカウント（777788889999）の特定の VPC（vpc-11223344556677889）である場合に限ります。

{"Version": "2012-10-17","Statement": [{ "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:us-east-1:333333333333:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:333333333333:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:777788889999:vpc/vpc-11223344556677889" } } } ]}

VPC ピアリング接続を承認する次のポリシーにより、ユーザーは、AWS アカウント 444455556666 からの VPC ピア接続リクエストを受け入れることができます。これにより、不明なアカウントから VPC ピア接続リクエストを受け入れることを防ぐことができます。最初のステートメントでは、これを適用するために ec2:RequesterVpc 条件キーが使用されます。

また、このポリシーでは、VPC に Purpose=Peering というタグが付いている場合にのみ VPC ピアリクエストを受け入れるアクセス権限をユーザーに与えます。

{"Version": "2012-10-17","Statement":[{ "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/*" } } }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ]

66

Amazon Virtual Private Cloud VPC ピアリング接続VPC ピアリング接続を削除する

}

VPC ピアリング接続を削除する次のポリシーにより、アカウント 444455556666 のユーザーは、同じアカウント内の指定された VPCvpc-11223344556677889 を使用する VPC ピアリング接続を除くすべての VPC ピアリング接続を削除できます。このポリシーでは、ec2:AccepterVpc 条件キーと ec2:RequesterVpc 条件キーの両方を指定しています。これは、VPC がリクエスタ VPC であるか、または元の VPC ピアリング接続リクエスト内のピア VPC である可能性があるためです。

{"Version": "2012-10-17","Statement": [{ "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:444455556666:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-11223344556677889", "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-11223344556677889" } } } ]}

特定のアカウントでの操作次のポリシーにより、ユーザーは特定のアカウント内で VPC ピアリング接続を完全に操作できます。ユーザーは、VPC ピア接続の表示、作成、受け入れ、拒否、および削除を実行できます（それらの接続がすべて AWS アカウント 333333333333 内の接続である場合）。

最初のステートメントでは、ユーザーはすべての VPC ピア接続を表示できます。この場合、Resource エレメントではワイルドカード * が必要になります。現時点では、この API アクション(DescribeVpcPeeringConnections) が、リソースレベルのアクセス権限をサポートしていないためです。

2 番目のステートメントでは、ユーザーは VPC ピア接続を作成でき、必要であれば、アカウント333333333333 内のすべての VPC へアクセスできます。

3 番目のステートメントでは、すべての VPC ピア接続アクションを許可するために、Action エレメントの一部としてワイルドカード * が使用されています。条件キーによって、アクションは、アカウント333333333333 の一部である VPC を使用した VPC ピア接続に対してのみ実行することができます。たとえば、アクセプタ VPC またはリクエスタ VPC のどちらかが別のアカウントに属する場合、ユーザーはVPC ピア接続を削除できません。ユーザーは、別のアカウントに属する VPC を使用して VPC ピアリング接続を作成することはできません。

{"Version": "2012-10-17","Statement": [{ "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, {

67

Amazon Virtual Private Cloud VPC ピアリング接続コンソールでの VPC ピアリング接続の管理

"Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:333333333333:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:333333333333:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:333333333333:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:333333333333:vpc/*" } } } ]}

コンソールでの VPC ピアリング接続の管理Amazon VPC コンソールへの VPC ピアリング接続を表示するには、ec2:DescribeVpcPeeringConnections アクションを使用するアクセス許可がユーザーに必要です。[Create Peering Connection (ピアリング接続の作成)] ページを使用するには、ユーザーはec2:DescribeVpcs アクションを使用する許可が必要です。これにより、VPC を表示および選択できます。ec2:DescribeVpcPeeringConnections を除くすべての ec2:*PeeringConnection アクションに、リソースレベルのアクセス権限を適用できます。

次のポリシーでは、ユーザーが VPC ピアリング接続を表示し、[Create VPC Peering Connection (VPC ピアリング接続の作成)] ダイアログボックスで、特定のリクエスト元の VPC (vpc-11223344556677889)のみを使用して VPC ピアリング接続を作成できます。ユーザーが別のリクエスト元の VPC を使用してVPC ピア接続を作成しようとすると、リクエストは失敗します。

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-11223344556677889", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ]}

68


ドキュメント履歴Amazon VPC Peering Guideの各リリースにおける重要な変更点の詳細については、Amazon VPC ユーザーガイドの「ドキュメント履歴」を参照してください。

69

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/WhatsNew.html

amazon virtual private cloud - docs.aws.amazon.com · vpc ピア機能とは amazon virtual private...

Documents