はじめに
こんにちは、技術3課の紅林です。
先日のAWS re:Invent 2016で発表されたAmazon Lightsailについて、既に弊社の丸山が「超便利そうなAmazon Lightsail の落とし穴を確認してみる」と題したエントリを掲載していますが、最近わたしもようやくLishgtsailを触ってみましたので、その他の点で気づいたことをまとめてみます
Amazon Lightsail これはできる・できない
VPC Peeringの利用が可能だが、デフォルトVPCのみ
AWSのその他のリソースに接続したい場合、VPC Peeringを用いることが可能です(そもそもAmazon Lightsailのインスタンスは所有アカウントのVPCとは別のVPCに作成される)。ただし、接続するVPCは選択出来るわけではなく、(現在は)Amazon Lightsailを利用しているアカウントのバージニア北部リージョンのデフォルトVPCのみに限定されますので注意が必要です。
参考: Set up Amazon VPC peering to work with AWS resources outside of Amazon Lightsail
IAMロールの利用は不可
IAMロールを割り当ててインスタンスの作成することは出来ません。したがって、APIを用いたAWSリソースの操作はIAMユーザのCredentialsをインスタンスに格納して利用する必要があります。
DNSレコードのマネジメントも可能。ただし、所有済のドメインの委任が必要
Amazon LightsailではDNSレコードのマネジメントが可能です。これにより、Amazon LightsailのサービスのみでVPSに用いるDNSレコードの管理が可能になります。しかし、ドメインの取得はAmazon Lightsailのサービスでは出来ないので、Route 53等、ドメインの管理を扱う別のサービスでドメインを取得し、Amazon Lightsailに委任するよう、NSレコードを設定する必要があります。
ファイアウォールはインバウンドのみ設定可
Amazon LightsailもセキュリティグループやネットワークACLのようにファイアウォールのサービスが利用可能です。ただし、設定できるのは、インバウンドを許可するTCP/UDP等の通信タイプとポート番号の指定のみです。アウトバウンドの設定やIPアドレスの設定はできません。イメージとしては、アウトバウンドが全て許可されたセキュリティグループでインバウンドのポートのみ管理するようなイメージになると思います。
おわりに
Amazon Lightsailは非常に手軽に利用可能ですが、上述のようにEC2を利用するイメージとはまた違った利用形態となります。実導入の前にはできること、できないことをしっかり確認して、検討する必要がありそうです。