ネットワークACL
- ネットワークアクセスをサブネットごとに制御するファイアウォール
- IPアドレスを元に許可ルールと拒否ルールの両方を設定可能
- ステートレスなファイアウォール
- ルールはユーザーが付与したルール番号の順に評価される
- ルール間で矛盾がある場合は小さい数字のルールが適用される
CIDR
- VPCのCIDRに指定できるプレフィックス長は /16~/28
- AWSが推奨するIPv4アドレス範囲は以下
- 10.0.0.0 ~ 10.255.255.255
- 172.16.0.0 ~ 172.31.255.255
- 192.168.0.0 ~ 192.168.255.255
Egress-Onlyインターネットゲートウェイ
- NATGWとIGWの特徴を併せ持つIPv6専用の機能
- VPCからインターネットの接続開始要求は通すが、インターネットからVPCへの接続開始要求は通さない
- 利用するには、プライベートサブネットのルートテーブルに、送信先が「::/0」、ターゲットが「Egress-Onlyインターネットゲートウェイ」となるルートを追加する
ルートテーブル
- どのネットワークへデータを転送するかを定義する機能
- サブネットは1つのルートテーブルを関連付けることができる
- ルートテーブルが関連付けられていないサブネットは、VPC全体に適用されるメインルートテーブルにしたがってルーティングされる
VPCエンドポイントポリシー
- VPCエンドポイントからの接続先を制限する機能
- ゲートウェイ型、インターフェイス型の両方で利用できる
NATゲートウェイ
- プライベートサブネットからインターネットへ通信したいときに利用するIPv4専用の機能
- AWSによってAZ内で冗長化されている
- AZ障害時は利用できなくなるため、可用性を確保するには複数のAZにNATGWを配置する