AWS Storage Gateway のファイルインターフェイス (ファイルゲートウェイ) と Amazon Simple Storage Service (Amazon S3) の間にプライベートネットワーク接続を設定したいと考えています。ゲートウェイがインターネット経由で AWS のサービスと通信することは望んでいません。その方法を教えてください。
簡単な説明
Amazon Virtual Private Cloud (Amazon VPC) 内で、ファイルゲートウェイと Amazon S3 間のプライベートネットワーク接続をセットアップでき、ゲートウェイアプライアンスが内部プライベートネットワーク経由でサービスエンドポイントと接続します。VPC 内でこのプライベート接続を設定するには、次の手順を実行します。
- Amazon S3 の VPC ゲートウェイエンドポイントまたはインターフェイスエンドポイントを作成します。
- VPC エンドポイントを使用してファイルゲートウェイを作成します。
Amazon S3 ファイルゲートウェイは 2 つの Amazon S3 エンドポイントをサポートしています。ただし、ユースケースに基づいて 1 種類のエンドポイントのみ作成する必要があります。
注意:Amazon S3 ゲートウェイエンドポイントは、オンプレミスのゲートウェイでは使用できません。Amazon S3 ゲートウェイエンドポイントは、Amazon EC2 インスタンスベースのゲートウェイで使用されます。Amazon S3 インターフェイスエンドポイントは、オンプレミスと EC2 インスタンスベースのゲートウェイの両方で使用できます。
解決方法
Amazon S3 の VPC ゲートウェイエンドポイントを作成する
- Amazon VPC コンソールを開きます。
- ナビゲーションペインから [エンドポイント] を選択します。
- [エンドポイントを作成] を選択します。
- [サービスカテゴリ] で、[AWS のサービス] を選択します。
- [サービス名] では、[s3] で終わり、[タイプ] が [ゲートウェイ] である [サービス名] を選択します。
- [VPC] では、Storage Gateway にアクセスするときに使用したい VPC を選択します。
- [ルートテーブルの設定] では、設定する [ルートテーブル ID] を選択します。
- [Create endpoint] (エンドポイントの作成) を選択します。
ゲートウェイ VPC エンドポイントを使用する場合、VPC エンドポイントポリシーを使用してアクセスを制限し、許可されたユーザーからの S3 バケットへのリクエストのみを許可します。さらに、特定の VPC からアクセスできるバケットを制御できます。これは、同じリージョンの VPC から S3 にアクセスするためのベストプラクティスモデルです。オンプレミスのアプリケーションから Gateway VPC エンドポイントを使用するか、別の AWS リージョンの VPC から S3 にアクセスするには、VPC にプライベート IP アドレスを持つプロキシサーバーのフリートを設定しておく必要があります。これにより、オンプレミスのアプリケーションに変更が加えられ、リクエストがプロキシサーバーに送信され、VPC エンドポイントを介して S3 に転送されます。
Amazon S3 の VPC インターフェイスエンドポイントを作成する
- Amazon VPC コンソールを開きます。
- ナビゲーションペインから [エンドポイント] を選択します。
- [エンドポイントを作成] を選択します。
- [サービスカテゴリ] で、[AWS のサービス] を選択します。
- [サービス名] で、[S3] で終わり、[タイプ] が [インターフェイス] であるサービス名を選択します。
- [VPC] では、Storage Gateway にアクセスするときに使用したい VPC とサブネットを選択します。
- [セキュリティグループ] で、ポート 443 が開いているセキュリティグループを選択します。
- [エンドポイントを作成] を選択します。
VPC エンドポイントを使用してファイルゲートウェイを作成する
VPC エンドポイントを使用してファイルゲートウェイを作成するには、Storage Gateway の VPC エンドポイントを作成し、ファイルゲートウェイを作成して設定してから、VPC でゲートウェイをアクティブ化する必要があります。
注: AWS とのプライベート接続を使用してオンプレミスの Storage Gateway を使用している場合は、Amazon Elastic Compute Cloud (Amazon EC2) のプロキシなしで動作する Amazon S3 のインターフェイスエンドポイントを使用できます。
Amazon S3 の VPC インターフェイスエンドポイントを使用してファイル共有を作成する
Amazon S3 File Gateway では、Network File System (NFS) プロトコルまたは Server Message Block (SMB) プロトコルのいずれかを使用してアクセス可能なファイル共有を作成できます。ファイル共有の作成の詳細については、ファイル共有の作成を参照してください。
ネットワーク接続をテストする
注: 接続をテストすると、Storage Gateway アプライアンスが必要な TCP ポート経由でサービスエンドポイントに接続できるかどうかを確認できます。
- SSH を使用して、ファイルゲートウェイの Amazon EC2 ホストインスタンスに接続します。
- SSH セッションで「3」と入力して、[3: ネットワーク接続のテスト] を選択します。
- ネットワーク接続に成功すると、テストは [PASSED] を返します。
関連情報
ユースケース (AWS PrivateLink と VPC エンドポイント)
Performing maintenance tasks on the local console (ローカルコンソールでのメンテナンスタスクの実行)
Secure hybrid access to Amazon S3 using AWS PrivateLink (AWS PrivateLink を使用して Amazon S3 へのハイブリッドアクセスを保護する)