想像しているのとちょっと違うかも!?AWSマネジメントコンソールへのプライベートアクセス(2023/5/10 GA)
本日、GAされた「AWSマネジメントコンソールへのプライベートアクセス」が、アップデート文面だけを見ると誤解している人がいるかもと思い、まとめてみました。
プライベートアクセスの詳細
ドキュメントまで読むと、以下が書かれています。
マネジメントコンソールの静的コンテンツを取得するために「インターネット接続は必要」
https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access-security-controls.html各AWSサービスを操作するためには「インターネット経由」か「各AWSサービスのVPCエンドポイント」が必要 https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/required-endpoints-dns-configuration.html
「想像どおりです」という方は以上で大丈夫です。ここまで読んでいただきありがとうございました。
こんな想像していませんでしたか?
万能なVPCエンドポイント1つでマネジメントコンソールの操作が全てできるような、閉域網おじさんがよろこぶ機能ではありません。
じゃあユースケースは?
※以下、実機検証はまだで、ドキュメントを参考に机上で考えただけなので間違っていたらごめんなさい
代表的なユースケースは「組織が管理していないAWSアカウントへのアクセスを防ぐ」です。
コンソールへのログインをVPCエンドポイント経由にし、そのVPCエンドポイントに「エンドポイントポリシーをかけられるようになった」ので、「接続先のAWSアカウントを限定する」といった制御ができるようになります。
今回の機能でVPCエンドポイント経由にできるようになったのは、コンソールへのログインやコンソール自体の操作だけです。
「静的コンテンツの取得はインターネット経由、AWSサービスの操作はインターネットor各サービスのVPCエンドポイント経由のまま」です。
この構成であれば、VPCのインターネットゲートウェイから静的コンテンツやAWSサービスを操作するため、その通信はグローバルIPアドレスの通信ですが「AWSのネットワークの外には出ない」というメリットもあると思います(今回の機能には依らない話ですが)
閉域網おじさんも少しは溜飲を下げてくれるかなぁと。
参考:AWSのグローバルIPの空間はインターネットなのか? - NRIネットコムBlog
AWSサービスにはVPCエンドポイント経由でアクセスすることもできると言えばできます。
ただ、メリットはないかなぁと。
どうせ静的コンテンツの取得にインターネット接続が必要ですし、VPCエンドポイントはサービスごとに必要なのでエンドポイントの時間料金や通信料もかさみます。
まとめ
今回の機能は「コンソールアクセスについてもVPCエンドポイントで制御をかけられる」という言い方が近いんじゃないかなと思います。 もし、誤解されていた方はイメージアップにつながっていれば幸いです。
以上