AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
AWSサービスの一つであるAmazon VPCはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-プロフェッショナル(SAP)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
Amazon VPC (Amazon Virtual Private Cloud)は、仮想ネットワーク環境をAWS上に作成するサービスで、ユーザーが自由にネットワーク構成(IPアドレス範囲、サブネット、ルーティングなど)を定義できる点が特徴です。 オンプレミスのように細かなルールでセキュリティや接続構成を管理したい場合でも、VPCで独立したネットワーク空間を構築し、プライベート通信を実現できます。
主なユースケースとして、社内システムをクラウドへ移行する際の安全なネットワーク環境構築や、WebサーバとDBサーバを異なるサブネットに分離してセキュリティを高める設計、VPC Peering/Transit Gatewayを使った複数VPC間通信などが挙げられます。
2. 主な特徴と機能
2.1 カスタムIPアドレス範囲
VPC作成時にプライベートIPアドレス範囲(CIDRブロック)を指定でき、10.0.0.0/16のようにオンプレミスとの重複を回避しつつ柔軟に構成できます。 必要に応じてサブネットに分割し、AZごとに高可用性を確保できます。
2.2 サブネット(Public/Private)
VPC内のサブネットは、インターネットゲートウェイへのルートがある場合“Publicサブネット”になり、外部からアクセス可能です。 一方、ゲートウェイを持たない“Privateサブネット”は閉じた環境で、EC2インスタンスなどをセキュアに運用できます。
2.3 ルーティングとゲートウェイ
インターネットゲートウェイ(IGW)をアタッチすることで、Publicサブネットから外部ネットワークへ通信できるようになります。
また、NATゲートウェイを用いてPrivateサブネットのリソースからインターネットへアウトバウンド接続することが可能。
さらに、Virtual Private Gatewayや
2.4 セキュリティグループとネットワークACL
セキュリティグループはステートフルな仮想ファイアウォールとして機能し、インスタンスごとにポートやプロトコルを制御。 ネットワークACLはサブネット単位のステートレスルールで、細かい許可・拒否を設定できます。両方を組み合わせることで多層防御が可能です。
2.5 柔軟な拡張性と統合
VPCは他のAWSサービス(EC2、RDS、ECS、Lambda (VPCエンドポイント) など)と密接に連携します。 スケーラビリティの高いネットワーク設計を実現しながら、S3やDynamoDBなどに対してもプライベートリンクを使った安全なアクセスが可能です。
3. アーキテクチャおよび技術要素
- VPC作成時にCIDRブロックを指定(例: 10.0.0.0/16)
- 複数AZに跨ってサブネットを作成(PublicサブネットとPrivateサブネットを分離)
- IGWをVPCにアタッチし、ルートテーブルでインターネット経路を設定(Publicサブネット)
- NATゲートウェイを配置し、Privateサブネットのアウトバウンド通信をサポート
- セキュリティグループ/ネットワークACLで通信制御
- 必要に応じてVPC PeeringやVPN/Direct Connectで外部ネットワークと接続
このように、論理的なネットワークセグメントを自由に設計することで、オンプレ同様のセキュアかつ拡張性の高いネットワークをAWS上で構築できます。
4. セキュリティと認証・認可
VPCのセキュリティを確保するためには以下のポイントが重要です:
- ネットワーク分割: Public/Privateサブネットを適切に分離し、公開が必要なリソースのみパブリック側に配置
- セキュリティグループ: ステートフルなインバウンド/アウトバウンドルールでインスタンス単位の通信を制御
- ネットワークACL: サブネット単位のステートレスフィルタとして、より詳細なIP/ポート制限を追加
- VPCエンドポイント: S3やDynamoDB等へインターネット経由ではなくプライベート接続でアクセスし、セキュリティを強化
- 監査ログ: VPC Flow Logsを活用してトラフィックログを取得し、CloudWatch Logsなどで分析
5. 料金形態
VPC自体の作成や利用に対しては追加料金はありません。 ただし、以下の場合はコストが発生します:
- NATゲートウェイ: 時間単位とデータ処理量に応じた課金
- VPCエンドポイント: ゲートウェイ/インターフェイスエンドポイントの時間単位課金(インターフェイスエンドポイントの場合)
- VPN接続: Site-to-Site VPNでトンネル維持費用が時間従量で発生
- Transit Gateway: アタッチやデータ転送量に応じた課金
- VPC Flow Logs: CloudWatch LogsやS3へのログ保存コスト
6. よくあるアーキテクチャ・設計パターン
VPCは基盤となるサービスのため、さまざまなパターンがありますが、代表例として:
- Public/Privateサブネット分割: WebサーバをPublicサブネット、DBサーバをPrivateサブネットに配置する基本構成
- VPC Peering: 複数VPC間を直接接続し、アプリケーション間通信を安全に行う
- Transit Gateway: 大規模環境で多VPC・オンプレミスネットワークを一括接続してガバナンスを効率化
- セキュアなS3アクセス: S3 VPCエンドポイントでデータ転送をプライベートに行う
- Site-to-Site VPNやDirect Connect: オンプレミスとのハイブリッドクラウド実装
7. 設定・デプロイ手順(ハンズオン例)
- AWSコンソールで「VPC」を検索し、「VPCの作成」をクリック
- CIDRブロック(例: 10.0.0.0/16)を指定し、VPC名を入力して作成
- 「サブネットの作成」で複数のAZに対し、Public/Privateサブネットを設定
- 「インターネットゲートウェイ」を作成し、VPCへアタッチ。Publicサブネットのルートテーブルに0.0.0.0/0 → IGWルートを追加
- PrivateサブネットでNATゲートウェイ利用なら、NATゲートウェイを作成し、Privateサブネットルートテーブルに0.0.0.0/0 → NATルートを設定
- セキュリティグループやネットワークACLを調整し、EC2インスタンスを起動して動作確認
8. 試験で問われやすいポイント
8.1 PublicサブネットとPrivateサブネットの違い
- Publicサブネット: IGWへルートがあるサブネットで、インターネットからアクセス可能
- Privateサブネット: IGWへルートがなく、NATゲートウェイやVPN等を経由しないと外部通信できない
8.2 NATゲートウェイとNATインスタンス
- NATゲートウェイ: 高可用性かつスケーラブルなAWSマネージドNAT
- NATインスタンス: 自己管理が必要で、スケーリングも手動。NATゲートウェイへの移行が推奨される
8.3 セキュリティグループ vs. ネットワークACL
- セキュリティグループ: インスタンス単位、ステートフル
- ネットワークACL: サブネット単位、ステートレス
- 使い分け: SGで主要制御し、さらにNACLで補強する二重防御
8.4 VPC PeeringとTransit Gateway
- VPC Peering: 1対1の接続、トランジットできない
- Transit Gateway: 多数のVPC/オンプレ接続を集中管理、トランジットが可能
8.5 VPCエンドポイント
- ゲートウェイ型: S3やDynamoDBへのプライベートアクセスに使用
- インターフェイス型: 他のAWSサービス(EC2 API、SNSなど)へのVPC内プライベート接続
8.6 試験で頻出となる具体的な問われ方と答え
- Q: Publicサブネットの要件は?
A: ルートテーブルにデフォルトルート(0.0.0.0/0)がIGWを指している。 - Q: PrivateサブネットのEC2からインターネットにアクセスする方法は?
A: NATゲートウェイ(またはNATインスタンス)を介し、PrivateサブネットのルートをNATへ向ける。 - Q: セキュリティグループでステートフルとは?
A: インバウンドが許可されると、対応するアウトバウンドは自動的に許可される仕組み。 - Q: VPC同士を接続したいがトランジットも必要な場合は?
A: Transit Gatewayを使用し、複数VPC・オンプレを一元管理。 - Q: S3とプライベート通信をしたいがインターネットに出したくない。方法は?
A: S3ゲートウェイエンドポイントを作成し、VPC内から直接S3へプライベート接続する。