Amazon Virtual Private Cloud (VPC) の Block Public Access (BPA) 機能がリリースされましたので、早速検証してみました。
アップデート概要
VPCの準備
VPCを作成し、パブリックサブネットを1つ配置します。
今回は、このパブリックサブネットにApache2が稼働しているEC2インスタンスを起動しておきます。
EC2インスタンスにインターネットから接続できることを確認しておきます。
Block Public Access (BPA) の設定
VPC画面の一番下に「設定」があり、ここから設定を行います。
「パブリックアクセス設定を編集」を押下します。
「[パブリックアクセスをブロック]をオンにする」にチェックを入れます。
Bidirectionalは送受信の両方をブロック、Ingress-onlyは受信のみブロックであり、今回はIngress-onlyを選択します。
設定はこれで完了です。
試しに、先ほどのEC2インスタンスにインターネットから接続するとタイムアウトになり、想定通りブロックされていることが確認できます。
まとめ
従来から、機密性の高いリソースはプライベートサブネットに配置することが定石でした。
BPSは必須ではありませんが、設定ミスなどの運用上のリスクをさらに低減するために、設定の検討をしてみると良いと思います。
