CloudShellがVPC内で実行できるようになりました

記事タイトルとURLをコピーする

こんにちは、エンタープライズクラウド部の大浪です。

CloudShellで嬉しいアップデートがあったため紹介させてもらいます。

docs.aws.amazon.com

アップデート前の課題

アップデート以前、CloudShellはインターネットを経由してアクセスするため、セキュリティポリシーが厳しい企業やネットワーク制限のある環境では使用が困難でした。

特に専用のIPアドレス範囲を要求するネットワーク環境では、CloudShellの利用が事実上不可能でした。

アップデートによるメリット

このアップデートにより、VPC内でCloudShellを使用できるようになりました。

これはインターネットを経由せずにCloudShellを利用できる事を意味するため、厳しいセキュリティポリシーが求められる環境や特定のIPアドレス範囲での利用が求められる環境でもCloudShellの利用が選択肢になり得ます。

構成イメージ

サブネット内にCloudShellが使用するENIが作成されます。

ENIを使ってCloudShellの通信が行われるため、VPC内からCloudShellを使用している状態になります。

ENIにはセキュリティグループも設定します。

使い方

CloudShellの「アクション」メニューから「Create VPC environment (max 2)」を選択

①にCloudshellのタブの名前を入力、②にVPC・サブネット・セキュリティグループを設定

①の名前の新しいタブが開けば成功

不要になったら削除操作をする

VPC内で使用するCloudShellは同時に2つまでしか作れません。

また、CloudShellの画面を消したり、CloudShell内のタブを消しただけでは設定は残っていますので、明示的に削除の操作が必要になります。

具体的にはCloudShell内のタブを選択した状態で「アクション」メニューから「delete」を選択します。

確認のポップアップが表示されますので「delete」を入力して「削除」ボタンを選択します。

考慮点

CloudShellの通信先の制限はセキュリティグループのアウトバウンドで設定

CloudShellからの通信先を制限したい場合は、ENIに設定しているセキュリティグループのアウトバウンドルールを制限したい内容に設定します。

パブリックサブネットからインターネット通信をする場合はENIにEIPの設定が必要

パブリックサブネットにCloudShellを作った場合、ENIがグローバルIPが持っておらずそのままではインターネット通知ができませんでした。

ENIにEIPを設定することでインターネット通信が出来るようになります。

EIPは常時課金に変わっていますのでご注意ください。

blog.serverworks.co.jp

以上、嬉しいアップデートの紹介でした。

大浪 範能 (記事一覧)

エンタープライズクラウド部クラウドリライアビリティ課所属

2022年10月にサーバーワークスに入社

好きなAWSサービスはCloudFront