AWS re:Invent 2024参加レポート#3 AWS re:Invent 2024で発表されたネットワークサービス注目アップデート3選

本記事は、AWS re:Invent 2024で発表された注目アップデートを解説する連載の第3弾です。今回はネットワーク分野について、筆者の独断で3つに厳選してご紹介します。

前回のブログ記事はこちらです。

今回取り上げるアップデートは、以下のいずれかの軸に当てはまるものとして選定しました。

また、初めてAWS re:Inventについて知る方は、以下の記事も参考になりますのでぜひご覧ください。

1つ目は、AWS PrivateLinkに関するアップデートです。まず、AWS PrivateLinkの概要をおさらいし、その後、具体的なアップデート内容とそのメリットを解説します。

AWS PrivateLinkはAmazon VPC からAWSサービス、AWS Marketplaceのパートナーサービス、またはオンプレミスネットワークとの接続を、パブリックインターネットにトラフィックを公開することなく確立できるサービスです。

具体的な活用例としては以下が挙げられます:

従来、Amazon VPC 内の任意のリソースをAWS PrivateLinkに対応させるには、エンドポイントサービスとNetwork Load Balancerまたは Gateway Load Balancerを組み合わせて構成する必要がありました。AWS PrivateLinkの接続先で負荷分散が必要な場合は、これらのロードバランサーを活用することで容易に要件を満たせる一方、接続先が1つだけの場合でもロードバランサー経由が必須となり、不要なコストが発生する場合がありました。

図1.AWS PrivateLinkのアップデート前の構成イメージ

今回のアップデートにより、新たにResource GatewayとResource Configurationを活用することで、Network Load BalancerやGateway Load Balancerを使用せずにPrivateLinkを介してVPC内のリソースにアクセスできるようになりました。

この新しい仕組みのポイントは以下の通りです。

また、AWS RAMを利用して別のアカウントが所有するリソースを共有できます。

以下の画像は、別のアカウントが所有するリソースへ、アップデート後のAWSPrivateLinkとAWS RAMを介してアクセスする際の構成図を示しています。

図2.AWS PrivateLinkのアップデート後の構成イメージ

出典:Access VPC resources through AWS PrivateLink
https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html#resource-endpoint-overview
引用日付：2025/2/21

今回のアップデートは、以下のメリットを提供します。

コスト削減

2つ目は、AWS Verified Accessに関するアップデートです。こちらも概要を確認したうえで、具体的な内容とメリットをご紹介します。

AWS Verified Accessは、ゼロトラストアーキテクチャに基づき、特定のアプリケーションへのセキュアなアクセスを提供するサービスです。VPNを必要とせずに、AWS IAM や外部IDプロバイダー (IdP) を活用して、デバイスの状態やユーザーの認証情報を基にアクセス制御を実施できます。

具体的な活用例としては以下のようなものが挙げられます:

これまで、AWS Verified AccessはHTTP(S)プロトコルを利用したアプリケーションのみに対応していましたが、今回のアップデートにより、TCP、RDP、SSHなどの非HTTP(S)プロトコルにも対応しました。

この新機能は東京リージョンを含む18のAWSリージョンで一般提供（GA）されています。

図3.AWS Verified Accessのアップデート後の構成イメージ

今回のアップデートは、以下のメリットを提供します。

VPNを使用せずに非HTTP(S)リソースへのセキュアなアクセスを実現

個別のアクセス・接続ソリューションの管理負担を削減

最後は、VPCのセキュリティ強化に関するアップデートです。まずは、この機能が登場する以前のAmazon VPCでの代表的な通信制御方法を簡単に振り返ります。その後、新機能であるAmazon VPC Block Public Accessのアップデート概要とメリットをご紹介します。

Amazon VPC内のリソースの通信制御には、従来からAWS Security GroupやNetwork ACL などの代表的なサービスが利用されていました。

Amazon VPC Block Public Access（※1）は、Amazon VPC内のリソースに対するインバウンド通信とアウトバウンド通信のアクセスについて、一元的な双方向ブロックを可能とする新機能です。（※2）双方向のブロックに加えてインバウンド通信のみをブロックすることも可能です。

そのため、NAT GatewayやEgress-Only Internet Gateway（EIGW）を利用したアウトバウンド通信を許可しながら、外部からのアクセスを遮断する構成を簡単に実現できます。

さらには、Amazon VPC やサブネット単位での除外設定もサポートされているため、一部のリソースに対してのみ特定のインターネット通信を許可するなど、柔軟な制御を行うことができます。なお、本機能はリージョン単位で適用可能であり、今後は AWS Organizationsを利用した管理もサポートされています。

現在は、東京リージョンを含む全てのAWSリージョンで一般提供（GA）されています。

（※1）Amazon VPC Block Public AccessはAWS re:Invent 2024の直前に発表されました。

（※2）本番ワークロードでAmazon VPC Block Public Accessを導入する際は、インターネットの遮断による影響を受ける通信がないことを事前に確認することが推奨されています。

図4.Amazon VPC Block Public Accessの構成イメージ

図5.AWS Management ConsoleのAmazon VPC Block Public Access表示画面

今回のアップデートは、以下のメリットを提供します。

セキュリティリスクの低減

この記事では、AWS re:Invent 2024で発表されたネットワーク分野の注目アップデート3選をご紹介しました。いずれのアップデートも、ネットワーク設計や運用において大きなメリットをもたらす内容でしたね。

ネットワークサービスをはじめとして、AWSサービスを導入・活用する際には、設計や構築の段階で適切な知識が必要です。また、ネットワークの設定ミスやアクセス制御の不備によるセキュリティリスクを防ぐためには、事前に十分に検討を行うことが求められます。

アシストでは、ネットワーク構築に関する技術的なご相談をはじめ、AWSサービスの導入支援にも対応しています。ネットワークに関する課題やAWS導入に関するお悩みがございましたら、ぜひお気軽にご相談ください。

次の連載記事ではデータベースのアップデートについて取り上げています。こちらの記事もご確認ください！