218-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント+プライベートGateway

type

status

date

slug

summary

理論

1. API Gatewayのエンドポイントタイプ

API Gatewayには異なるエンドポイントタイプがありますが、セキュリティ要件に応じて選択できます。

インターネットエクスポーズ型 (Regional & Edge-Optimized): パブリックインターネットからアクセス可能。

プライベートエンドポイント: API GatewayをVPC内に制限し、インターネットからのアクセスを防ぎます。VPCエンドポイントを使うことで、セキュアな通信が可能となります。

2. VPCエンドポイント

VPCエンドポイントは、AWSサービスとVPC内のリソース間でトラフィックをインターネットを通さずに転送するためのものです。

インターフェースVPCエンドポイントを使用することで、プライベートIPアドレスでAPI Gatewayに接続できます。これにより、インターネットからのアクセスを遮断し、セキュリティを確保できます。

3. リソースポリシー

API Gatewayにはリソースポリシーが設定可能で、特定のIPアドレスやVPCエンドポイントからのみアクセスを許可できます。これにより、アクセス元を厳密に制御できます。

4. セキュアなデータ通信

VPCエンドポイントを利用すると、インターネットを経由せずにAWSのリソースと安全に通信ができます。API Gatewayへのアクセスもプライベートに保たれ、企業の機密データがインターネットに流れることを防げます。

まとめ

プライベートAPI Gateway: VPCエンドポイントを使ってインターネットからのアクセスを防ぎ、セキュリティを強化。

リソースポリシー: アクセス元をVPCや特定のエンドポイントに制限することで、APIのセキュリティを向上させる。

API GatewayとVPCの組み合わせにより、セキュアでスケーラブルなプライベートAPIが実現可能です。

実践

略

一問道場

会社はAWSクラウドでアプリケーションを実行しています。このアプリケーションは、複数のアベイラビリティゾーンにまたがるAmazon EC2インスタンスのフリートの背後にあるアプリケーションロードバランサーで実行されるマイクロサービスで構成されています。会社は最近、Amazon API Gatewayで実装された新しいREST APIを追加しました。古いマイクロサービスのいくつかは、この新しいAPIを呼び出す必要があります。会社は、APIがインターネットからアクセスされないこと、また専有データがインターネットを通過しないことを望んでいます。

解決策アーキテクトは、これらの要件を満たすために何をすべきですか？

A. VPCとAPI Gatewayの間にAWS Site-to-Site VPN接続を作成します。API Gatewayを使用して各マイクロサービス用に一意のAPIキーを生成します。APIメソッドを構成して、キーを必要とします。

B. API Gateway用にインターフェースVPCエンドポイントを作成し、エンドポイントポリシーを設定して特定のAPIへのアクセスのみを許可します。API Gatewayにリソースポリシーを追加して、VPCエンドポイントからのアクセスのみを許可します。API Gatewayのエンドポイントタイプを「プライベート」に変更します。

C. API GatewayをIAM認証を使用するように変更します。EC2インスタンスに割り当てられたIAMロールのIAMポリシーを更新して、API Gatewayへのアクセスを許可します。API Gatewayを新しいVPCに移動し、トランジットゲートウェイを展開してVPCを接続します。

D. AWS Global Acceleratorでアクセラレーターを作成し、アクセラレーターをAPI Gatewayに接続します。すべてのVPCサブネットのルートテーブルを更新して、作成したGlobal AcceleratorエンドポイントIPアドレスへのルートを追加します。各サービスが認証に使用するAPIキーを追加します。