AWSアカウントから異なるAWSアカウントの異なるリージョンのプライベート REST API Gatewayへアクセスする時関連ネットワークの設定

0

AWS アカウントのLambdaから異なるAWS アカウントの異なるリージョンにあるプライベート REST API Gatewayへアクセスする場合関連ネットワークの設定はご教授ください。 例えば: Account A、region:東京のLambdaから Account B、region:フランクフルト、Private REST API Gateway へアクセスする

1回答
0
承認された回答

概要

VPCピアリング[1]を使用することで、異なるアカウントかつ異なるリージョンのプライベートAPIを実行いただけます。

設定方法

ここでは、Account A(東京リージョン)のLambda関数から、Account B(フランクフルトリージョン)のプライベートAPIを呼び出すことを想定して各種設定を行います。

Account B(フランクフルトリージョン)の設定

1.VPC内のサブネットにAPI Gateway用のVPCエンドポイントを作成します[2]

2.プライベートAPIを作成し[3]、リソースポリシーを設定します[4]

Account A(東京リージョン)の設定

1.VPCを有効化したLambda関数を作成します[5]

2.VPCピアリング接続の設定を行います[6]

ピアリング接続の作成後、Account Bに承諾リクエストが届くのでリクエストを承諾します。
リクエストを承諾すると、VPCピアリング接続が確立されます。

Account Aのルートテーブルの設定

ルートテーブルに以下のルートを追加し、サブネットに関連付けます[7]

  • 送信先:<Account BのVPCのIP v4 CIDR>
  • ターゲット:ピアリング接続:<作成したピアリング接続のID>

Account Bのルートテーブルの設定

ルートテーブルに以下のルートを追加し、サブネットに関連付けます[7]

  • 送信先:<Account AのVPCのIP v4 CIDR>
  • ターゲット:ピアリング接続:<作成したピアリング接続のID>

以上の設定を行うことで、Account AのLambda関数からAccount BのプライベートAPIを実行いただけます。

補足事項

Account AとAccount BのVPCのCIDRブロックが重複する場合、VPCピアリング接続は作成できないことにご留意くださいませ[8]

参考文献

[1]VPC ピア機能とは
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/what-is-vpc-peering.html

[2]ステップ 1: API Gateway 用の VPC エンドポイントを VPC に作成する - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-create-interface-vpc-endpoint

[3]ステップ 2: プライベート API を作成する - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-create-using-console

[4]ステップ 3: プライベート API のリソースポリシーをセットアップする - プライベート API の作成
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-private-api-create.html#apigateway-private-api-set-up-resource-policy

[5]AWS アカウント の Amazon VPC への Lambda 関数のアタッチ - Lambda 関数に Amazon VPC 内のリソースへのアクセスを許可する
https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/configuration-vpc.html#configuration-vpc-attaching

[6]異なるアカウントの異なるリージョンにある VPC を使用して作成する - VPC ピアリング接続の作成または削除
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/create-vpc-peering-connection.html#different-account-different-region

[7]VPC ピアリング接続のルートテーブルを更新する
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/vpc-peering-routing.html

[8]VPC ピアリングの制限事項 - VPC ピアリングのプロセス、ライフサイクル、制限
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/vpc-peering-basics.html#vpc-peering-limitations

重複する CIDR ブロック

  • IPv4 または IPv6 CIDR ブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。
  • 複数の IPv4 CIDR ブロックがある場合、いずれかの CIDR ブロックが重複しているときは、重複していない CIDR ブロックのみ、または IPv6 CIDR ブロックのみを使用する場合でも、VPC ピアリング接続を作成できません。
AWS
サポートエンジニア
回答済み 2ヶ月前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン