- 新しい順
- 投票が多い順
- コメントが多い順
概要
VPCピアリング[1]を使用することで、異なるアカウントかつ異なるリージョンのプライベートAPIを実行いただけます。
設定方法
ここでは、Account A(東京リージョン)のLambda関数から、Account B(フランクフルトリージョン)のプライベートAPIを呼び出すことを想定して各種設定を行います。
Account B(フランクフルトリージョン)の設定
1.VPC内のサブネットにAPI Gateway用のVPCエンドポイントを作成します[2]。
2.プライベートAPIを作成し[3]、リソースポリシーを設定します[4]。
Account A(東京リージョン)の設定
1.VPCを有効化したLambda関数を作成します[5]。
2.VPCピアリング接続の設定を行います[6]。
ピアリング接続の作成後、Account Bに承諾リクエストが届くのでリクエストを承諾します。
リクエストを承諾すると、VPCピアリング接続が確立されます。
Account Aのルートテーブルの設定
ルートテーブルに以下のルートを追加し、サブネットに関連付けます[7]。
- 送信先:<Account BのVPCのIP v4 CIDR>
- ターゲット:ピアリング接続:<作成したピアリング接続のID>
Account Bのルートテーブルの設定
ルートテーブルに以下のルートを追加し、サブネットに関連付けます[7]。
- 送信先:<Account AのVPCのIP v4 CIDR>
- ターゲット:ピアリング接続:<作成したピアリング接続のID>
以上の設定を行うことで、Account AのLambda関数からAccount BのプライベートAPIを実行いただけます。
補足事項
Account AとAccount BのVPCのCIDRブロックが重複する場合、VPCピアリング接続は作成できないことにご留意くださいませ[8]。
参考文献
[1]VPC ピア機能とは
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/what-is-vpc-peering.html
[2]ステップ 1: API Gateway 用の VPC エンドポイントを VPC に作成する - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-create-interface-vpc-endpoint
[3]ステップ 2: プライベート API を作成する - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-create-using-console
[4]ステップ 3: プライベート API のリソースポリシーをセットアップする - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-set-up-resource-policy
[5]AWS アカウント の Amazon VPC への Lambda 関数のアタッチ - Lambda 関数に Amazon VPC 内のリソースへのアクセスを許可する
https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/configuration-vpc.html#configuration-vpc-attaching
[6]異なるアカウントの異なるリージョンにある VPC を使用して作成する - VPC ピアリング接続の作成または削除
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/create-vpc-peering-connection.html#different-account-different-region
[7]VPC ピアリング接続のルートテーブルを更新する
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/vpc-peering-routing.html
[8]VPC ピアリングの制限事項 - VPC ピアリングのプロセス、ライフサイクル、制限
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/vpc-peering-basics.html#vpc-peering-limitations
重複する CIDR ブロック
- IPv4 または IPv6 CIDR ブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。
- 複数の IPv4 CIDR ブロックがある場合、いずれかの CIDR ブロックが重複しているときは、重複していない CIDR ブロックのみ、または IPv6 CIDR ブロックのみを使用する場合でも、VPC ピアリング接続を作成できません。
関連するコンテンツ
- AWS公式更新しました 2年前