クロスアカウントによるS3へのアクセスはインターネット経由しないか

0

表題の通り、あるアカウントAでS3のバケットを作成しました。もう一つのアカウントBからそのS3にアクセスしたいです。S3バケットのアクセス許可タブから、バケットポリシーを追加しました。アカウントBからアカウントAのS3へのアクセスが確認できたが、その通信はインターネット経由しないかどうか知りたいです。リージョンは同じです。インターネット経由(HTTPS)でなければ、AWSのプライベートネットワーク経由でアクセスしたと考えていいでしょうか?

asahi
posta 4 mesi fa535 visualizzazioni
1 Risposta
1
Risposta accettata

以下のFAQを読む限りだとサービス間の通信になると思うのでAWS のプライベートネットワーク内での通信になっているのではないかと予想しています。
https://aws.amazon.com/jp/vpc/faqs/

2 つのインスタンスがパブリック IP アドレスを使用して通信する場合、またはインスタンスがパブリックな AWS のサービスエンドポイントと通信する場合、トラフィックはインターネットを経由しますか?
いいえ。パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベートネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョンとの間のトラフィックを除いて、AWS グ ローバルネットワークにとどまります。

さらに、データセンターとリージョンを相互接続する AWS グ ローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に、物理レイヤーで自動的に暗号化されます。すべての VPC クロスリージョンピアリングトラフィックや、カスタマーまたはサービス間のトランスポート層セキュリティ (TLS) 接続などといった追加の暗号化レイヤーもあります。

EC2から別アカウントにあるS3のエンドポイントへtracerouteしてみると以下のブログと同様の結果が得られました。
ただし、あくまでも個人レベルでの確認なので正確な情報はAWSにご確認いただくのがよいと思います。(AWS内部の情報なので回答してくれるかは不明です)
https://blog.jbs.co.jp/entry/2022/12/12/084349

今回検証した結果では予約 IP アドレスの詳細が不明なため、AWS リージョン間通信が AWS 内ネットワークのみ経由している事を確認する事はできませんでしたが、AWS 以外のネットワークを経由している事も確認できませんでした。

  • AWS 内のみ経由している → 確認できなかった
  • AWS 以外を経由している → 確認できなかった

ただ、予約 IP アドレスはインターネットとは言えませんのでインターネットを経由していないと考えられますし、予約 IP アドレスは通常利用できる IP アドレスではないため AWS 内で利用されている可能性が高いと考えられます。

tracerouteは以下のように行いました。

traceroute S3バケット名.s3.ap-northeast-1.amazonaws.com
profile picture
ESPERTO
con risposta 4 mesi fa
  • ご回答ありがとうございます。FAQの内容は自分で調べるときも見ましたが、質問のシナリオはそれに該当するか迷っています。現状アカウントBの特定ロールにアタッチされているEC2インスタンス以外はS3へのアクセスは不可能なので、ある程度お客様は安心できるじゃないかと考えています。引き続き調査します。アドバイス大変参考になりました。

Accesso non effettuato. Accedi per postare una risposta.

Una buona risposta soddisfa chiaramente la domanda, fornisce un feedback costruttivo e incoraggia la crescita professionale del richiedente.

Linee guida per rispondere alle domande