[新機能] ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました! #reinvent

VPC Network Access Analyzer がリリースされました。本機能を利用することで、意図した通りのネットワークアクセス設定となっているのかの確認が容易となります。
特集

yhana

2021.12.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS内のネットワークインターフェース間のパス(経路)を分析して出力してくれる Amazon VPC Network Access Analyzer がリリースされました。本機能を利用することで、意図していないネットワーク構成を特定するのに役立ちます。

AWSのブログでも紹介されています。

やってみた

早速使ってみました。

VPC の NETWORK ANALYSIS メニューに Network Access Analyzer があります。Reachability Analyzer に続き、2 つ目の Analyzer となります。

分析には、 AWS IAM Access Analyzer、 Amazon VPC Reachability Analyzer 同様に自動推論テクノロジー が利用されています。

開始方法は「使用を開始する」をクリックするのみです。簡単です。

有効化した後は、Amazon によって始めから作られている 4 パターンの Network Access Scopes が表示されます。

Network Access Scopes 一覧

Name Description
All-IGW-Ingress(Amazon が作成) インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特定します。
AWS-IGW-Egress(Amazon が作成) すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特定します。
AWS-VPC-Ingress(Amazon が作成) インターネットゲートウェイ、ピアリング接続、VPC サービスエンドポイント、VPN、トランジットゲートウェイから VPC への入力パスを特定します。
AWS-VPC-Egress(Amazon が作成) すべての VPC からインターネットゲートウェイ、ピアリング接続、VPC エンドポイント、VPN、トランジットゲートウェイへの出力パスを特定します。

分析を開始するには、Network Access Scopes から利用したいものを選択して「分析」をクリックするだけです。

私の環境の場合は、1 つの Network Access Scopes あたり数分で分析が完了しました。


All-IGW-Ingress の分析結果

まずは、インターネットゲートウェイからネットワークインターフェースへの入力パスである「All-IGW-Ingress」の分析結果です。

2 つの VPC にそれぞれ存在する EC2 インスタンスに紐付けている ENI までの経路が表示されました。

もし分析結果に意図していない ENI へのアクセス経路が表示されていれば、ネットーワークのアクセス要件を満たしていないことが分かります。

カテゴリ別にフィルタすることもできます。下図では 1 つの IGW (test-igw) でフィルタしています。

結果のパスを選択することで、ルートの詳細を確認できます。

過去の分析結果も確認することができます。


AWS-VPC-Ingress の出力結果

次に、インターネットゲートウェイ、ピアリング接続、VPC エンドポイント、VPN、トランジットゲートウェイからネットワークインターフェースへの入力パスである「AWS-VPC-Ingress」の分析結果です。

「All-IGW-Ingress」と異なり、VPC ピアリングも表示されています。

停止しているインスタンスも含まれています。

VPC ピアリングでフィルタした結果です。VPC ピアリング経由のアクセスが全て表示されます。


Network Access Scopes の作成

今回は、Amazon 提供の Network Access Scopes を利用しましたが、ユーザが Network Access Scopes を作成することもできます。

今回は作成までしませんが、いつか試してみたいと思います。冒頭で紹介したAWSのブログではやり方が紹介されています。


料金

Amazon VPC pricing で料金を確認できます。2021年12月2日時点では、英語のページで確認する必要がありました。

Network Access Analyzer によって評価された ENI 単位で課金され、 東京リージョンの場合は下記の料金となります。

Price per analysis processed by VPC Reachability Analyzer : $0.002

料金例も掲載されています。

Network Access Analyzer - pricing example Let’s say you run 5 network assessments using Network Access Analyzer, and each of those network assessments analyzed 1000 ENIs. You will be charged for each ENI that is analyzed.

5 network assessments x 1000 ENIs X $0.002 per ENI analysis = $10.

This will result in a charge of $10.


まとめ

意図しないネットワーク構成を特定に役立つ Network Access Analyzer の紹介でした。

構築後にネットワーク構成が要件通りか確認する際に役立つ機能でした。今回の検証環境では、VPC 数が少なかったですが、多数の VPC がある環境や Transit Gateway を利用している複雑な環境でさらに役立つサービスだと思います。

AWS

関連記事

[レポート] Amazon VPCのための多層ネットワークセキュリティの構築 #NIS373 #AWSreInforce

平木佳介

2024.06.12

AWS CDKでSubnetを作る場合のPRIVATE_WITH_EGRESSとPRIVATE_ISOLATEDを比較してみた

佐藤智樹

2024.06.10

AWS Summit Bangkok 2024: คู่มือ cloud networking สำหรับ developer

PeeraponBoonkaweenapanon

2024.06.07

ECS サービス作成後にネットワーク設定を変更する方法を教えてください

hato

2024.05.31