タグ付けされた質問 Amazon VPC

プライベートEC2からエンドポイント型S3への接続テスト EC2インスタンスをパブリックサブネットに立てパブリック経由よりプライベートサブネットにあるEC2インスタンスに接続しています。 プライベートEC2インスタンスからエンドポイント型のS3に問題なく接続出来ているか確認したいです。 接続確認できる方法ありますでしょうか。 OSはwindows2019になります。lg...

お世話になります。 ・マルチAZ構成でNLBを用いた場合にドメイン名と1:1で対応するような代表IPアドレスを用いることはできないのでしょうか？ NLBは固定IPを紐づけることができますが、これはサブネットごとのため、たとえば3つのAZをまたがるマルチAZ構成で冗長化している場合には、3つの固定IPアドレスを割り振らないといけない認識です。 NLBのドメイン名でCNAMEレコード登録するのであれば、この点は問題にならないのですが、CNAMEレコードは非常に制限が多いため、要件を満たさず使用できません。 AWS内で完結するシステムではないため、Route53のエイリアス機能も用いることはできません。 そこでAレコード登録でNLBにトラフィックを転送したい場合、上記の3つのIPアドレスをAレコード登録するような形となり、これはDNSラウンドロビンにはなっておりますがNLBのフローレベルのロードバランシングにはなっていない認識でおります。 Global Accelerator(GA)を用いてエッジ用の固定IPを作成し、エンドポイントとしてNLBを紐づけることで解決可能かと思っていたのですが、NLBとGAを併用すると、クライアントIPが保持されない(X-Forwarded-ForなどのHTTPヘッダに本来のwebクライアントのIPが表示されなくなる)といった問題があり、これもまた、要件的に採用できません。 同じ問題に困っている方がおられそうだと思っているのですが、 この件に関しまして、何かしら知見などお持ちの方おられましたら、ご教授いただけたりしませんでしょうか？lg...

接続先のレイヤーの違いや、構成の違いが良く分からないので教えて頂きたいです。lg...

今回のAWS使用するにあたり、VPCを構築しまして、オンプレのデータセンタをInternetVPNで接続しました。 オンプレのほうからVPCに構築しましたEC2とはsshやpingなどは接続可能ですが、AWSのVPCのEC2から通信ができくて困っております。 考えられる原因等をご教示頂けますでしょうか。 Tunnel StatusはTunnel1、2ともUPになっております。 サイト間VPNの静的ルートは172.16.0.0/12 (対向側)が設定されていて、 EC2があるサイトのルーティングテーブルは 192.168.64.0/18 local 172.16.0.0/12 vgw-XXXXX 0.0.0.0/0 nat-gateway EC2に割り当てているセキュリティグループのアウトバウンドはport範囲すべて、送信先0.0.0.0/0 を設定し、適切に設定されていると考えております。 ネットワークACLはいじってません。 対向側のFW（Fortigate）は切り分けのためにVPNのInterFace#1,#2、ともにAWS側からのすべてをアクセスルールを許可をしました。 EC2のほうからオンプレ側にpingやncatを打ってもTimeoutしてしまいます。 pingを打つ先(オンプレ側)はもちろんfirewalldなどは解除してます。 オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因をご教示頂けますでしょうか。lg...

お世話になっております。 RDSの証明書設定変更に関して不明点があるため、ご相談させていただきます 現状は、RDSの証明書の設定変更が完了してこれまで通り疎通はできているのですが、プラットフォームの理解が不足しており、3月5日以降も正しく動作するという確証が持てない状況です。 詳細は以下の通りです ■システムの構成 EC2（AmazonLinux）・RDS(PostgreSQL) EC2とRDSは、同一VPC・同一セキュリティグループ内に存在 ■現状 ・公式ドキュメント等を参考にRDSの設定を2019年版の証明書に変更し、RDSの再起動を行って設定変更の適用が完了している https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html ・RDSの設定変更後に、以下の3つの方法で、SSL接続ができている事を確認済 ・・アプリケーションを操作してDBに接続されている事を確認 ・・EC2インスタンスからpsqlで接続した場合もSSL接続される事を確認 ・・以下を参考に、pg_stat_ssl・pg_stat_activityでも、SSLで接続されている事を確認 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html#ssl-certificate-rotation-postgresql.determining-server ■不明点・不安点 ・今回のRDSの設定変更において、EC2側のCA証明書の設定変更などは一切行っていない ・アプリケーション側の設定や、EC2インスタンス上のCA証明書に関する設定は調べた限りではない（ただしアプリケーションの開発およびAWSの設定をした開発担当者はいないため、未知の設定が存在する可能性はゼロではない） 上記による可能性としては以下の2通りの解釈が可能だと思っています。 ①同一VPCのセキュリティグループにあるRDSに対しては、内部的に自動でSSLによる接続が行われる仕様となっている。そのためSSLの接続情報や証明書がなくてもSSL接続となる ②RDSの設定変更後も、依然として何らかの未知の接続情報が有効になっており、3/5以降に接続が無効となる ①に該当するドキュメントが見当たらなかったため推測の域を出ておらず、②の可能性が排除できないです。 そのため作業を完了とみなして良いのか判断できず困っております。 ご教示いただけると幸いです Edited by: tunemage on Jan 20, 2020 10:21 PMlg...

以下のサイトを参考に、AWS Client VPNを利用しようとしています。 http://xp-cloud.jp/blog/2018/12/20/4498/ 以下のコマンドを打つと、エラーがでます。 # aws acm importexport-certificate --certificate file://server.crt --region ap-northeast-1a usage: aws \[options] <command> <subcommand> \[parameters] aws: error: argument command: Invalid choice, valid choices are: これはどうしたら解決できるでしょうか？lg...

VPN接続用のVPC内に、Linux インスタンスがあります。 このインスタンスに対して、メンテナンスのために外部からSSHによる接続を行いたいのですが、このインスタンスはinternet gateway に繋がっていないために、Elastic IP を割り当てることができません。 Network vpc-xxxxxxxx is not attached to any internet gateway VPNでつながるカスタマーネット側から入れればよいのですが、そちらは別管轄となっており、そちらは利用できない状態です。 逆に、default VPC 内に作成したインスタンスを、VPN接続用VPCに所属させられればそれでも良いのですが、 何か対策はあるでしょうか。lg...

VPC内のEC2サービスに対するDDoS対策について確認したいと思います。 まず、Shield Standardによる基本的なDDoS防御は、EC2インスタンスに割り当てられたグローバルIPにも適用されている認識です。 参考：https://forums.aws.amazon.com/thread.jspa?messageID=758266 この場合、Shield StandardによるDDoS防御は、ネットワークACLやセキュリティグループより内側で働く認識で間違いないでしょうか？ Edited by: matsushy on Mar 21, 2018 8:52 PM Edited by: matsushy on Mar 22, 2018 1:34 AMlg...

お世話になっております。 １日前ぐらいから、ログインすると、「windowsのラインセン認証を１日以内におこなってください。」　といいうメッセージが表示されるようになりました。 ライセンス認証後を実行すると、エラー「0xC004F074」と表示れます。 フォーラムの過去ログなどひとおとり調べ https://forums.aws.amazon.com/thread.jspa?messageID=516377&#516377; や 「"Windows のライセンス認証ができません"」 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/common-messages.html#activate-windows など試してみたのですが、ダメでした。 KMSサーバーへtelnet 169.254.169.250 1688 など確認してみたのですが、疎通できてないようです。 インスタンスはVPC上にあり、 Windows 2008 Datacenter インスタンスID：i-01fc91cdd1e7e79d5 です。 ちょうど、１日前くらいに時計がずれていたので、時刻の同期をNTPサーバーへ手動で行いましたが、これが原因でしょうか？ 他に何か試した方がよいことがあれば、ご教示いただけますでしょうか。 ラインセン認証が１日以内・・・となっているので、明日になったらどうなるか不安ですので、出来ましたら、急ぎですと助かります。 宜しくお願い致します。 Edited by: 4suta on Jan 24, 2018 1:36 AMlg...

最近VPCフローログを設定したところ、cloudtrailに以下（一番下）が出力されるようになりました。 cloudtrailに想定しない操作があった場合（発信元IPが不明とか）はアラートするよう監視ツールで設定しているのですが、以下が疑問です。 １）vpc-flow-logging+8xxxxxxxxxxx　は誰なのか？ ２）発信者IP（"sourceIPAddress"）の "54.240.200.68"ってAWS側のアドレスでよいのか（利用者ではなく）？ 上記共にAWS側のユーザ、IPアドレスと認識しているのですが、その記載がAWSDocumentを探し回っても、見当たらず。 特にIPアドレスは一定していないように見えるので、無視していいアドレスか確認できなくて困っています。 どなたか、AWS側のアドレスだから無視できると判断できる情報の記載箇所を教えていただけると大変助かります。 ＃他のAWSサービス（ELBとか）でも、AWS側からの自動処理と思われる操作があるのですが、同様にIPアドレス、ユーザが不明で困っています。 ＃AWSサービス提供側による自動実行処理を、「AWS側」と私は表現しています。 ■補足 以下URLにAWS全体のIPRANGEが記載されていますが、これって利用者のIP含んでるんですよね？ だとしたらそのままでは使えない（セキュリティ的な意味で無視できない）と思っています。 http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html ■cloudtrailコンソール { "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AROAZZZZZZZZZZZZZZZZZ:vpc-flow-logging+8xxxxxxxxxxx", "arn": "arn:aws:sts::8xxxxxxxxxxx:assumed-role/flowlogsRole/vpc-flow-logging+8xxxxxxxxxxx", "accountId": "8xxxxxxxxxxx", "accessKeyId": "ASIAZZZZZZZZZZZZZZZZZ", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-11-07T13:52:55Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAZZZZZZZZZZZZZZZZZ", "arn": "arn:aws:iam::8xxxxxxxxxxx:role/flowlogsRole", "accountId": "8xxxxxxxxxxx", "userName": "flowlogsRole" } } }, "eventTime": "2017-11-07T14:09:54Z", "eventSource": "logs.amazonaws.com", "eventName": "CreateLogStream", "awsRegion": "ap-northeast-1", "sourceIPAddress": "54.240.200.68", "userAgent": "aws-vpc-flow-logs, aws-internal/3", "requestParameters": { "logGroupName": "flowlogs-loggroup", "logStreamName": "eni-cf563ac0-accept" }, "responseElements": null, "requestID": "53d57134-c3c5-11e7-9fc1-7370821a1dfe", "eventID": "dc10a380-d2ee-4787-9093-0f89b0217a75", "eventType": "AwsApiCall", "apiVersion": "20140328", "recipientAccountId": "8xxxxxxxxxxx" } Edited by: keep-eye-on-Ad3 on Nov 8, 2017 8:14 PMlg...

いつもお世話になっております。 オンプレに構築したサーバAからハードウェアVPN経由で VPC Endpointを使用してS3にアクセスすることは可能でしょうか？ https://forums.aws.amazon.com/thread.jspa?messageID=689651&#689651 を拝見しまして、プロキシーサーバ経由での通信は可能なことは分かるのですが、プロキシーサーバを介さない場合に通信を可能でにする方法はありますでしょうか？ 不可だと思っておりますが、なかなかそれを明示した資料が見つからず、確認させていただきたく投稿させて頂きました。 よろしくお願い致します。lg...