Amazon Rekognition が PrivateLink をサポート!よりセキュアな環境で画像および動画分析が出来るようになりました

Amazon Rekognition が PrivateLink をサポート!よりセキュアな環境で画像および動画分析が出来るようになりました

Amazon RekognitionがPrivateLinkのサポートを発表しました。ネットワークトラフィックをAWSネットワーク内に保持することにより、Amazon Rekognitionを簡単かつセキュアに利用できるようになりました。
#AWS PrivateLink
#Amazon Rekognition
#AWS
丸毛篤史

丸毛篤史

facebook logohatena logotwitter logo
Clock Icon2019.09.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

公式のリリースからちょっと時間が経ってしまいましたが、Amazon Rekognition で PrivateLink がサポートされましたのでご紹介します。

従来はパブリックエンドポイントにアクセスする必要がありましたので、IGW や NATGW などインターネットにアクセスする手段が必要がありましたが、PrivateLink のサポートによって VPC 内のアクセスだけで Rekognition が利用できるようになりました。

さっそく試してみる

環境としては以下のような図になります。

VPC エンドポイントの作成

[VPC ダッシュボード] - [エンドポイント] から エンドポイントの作成 をクリック。サービス名から com.amazonaws.ap-northeast-1.rekognition を選択します。

VPC やサブネット、DNS は環境に合わせて選択。セキュリティグループ は事前に作成していた以下のようなルールのものを利用しました。

タイプ プロトコル ポート範囲 ソース
HTTPS TCP 443 (VPC CIDR)

[エンドポイントの作成] をクリックして完了です。

プライベート環境からのアクセスを試す

S3 に解析用の画像を入れておく必要があるので、手持ちの写真から以下をアップロードしておきました。

(ny.jpg)

それでは、プライベート環境の EC2 から Rekognision を利用してみます。

$ aws rekognition detect-labels --image "S3Object={Bucket=cm-rekognition,Name=ny.jpg}"  --region ap-northeast-1
{
    "Labels": [
        {
            "Instances": [],
            "Confidence": 99.82121276855469,
            "Parents": [
                {
                    "Name": "Transportation"
                },
                {
                    "Name": "Vehicle"
                }
            ],
            "Name": "Automobile"
        },
        {
            "Instances": [],
            "Confidence": 99.82121276855469,
            "Parents": [],
            "Name": "Transportation"
        },
        {
            "Instances": [],
            "Confidence": 99.82121276855469,
            "Parents": [
                {
                    "Name": "Transportation"
                }
            ],
            "Name": "Vehicle"
        },
(以下、省略)

プライベートな環境から正常にリクエストが投げれて、レスポンスが得られることを確認できましたね。以下のように Rekognition のエンドポイントを名前解決すると、PrivateLink に登録したサブネットが返ってきています。

$ dig rekognition.ap-northeast-1.amazonaws.com

; <<>> DiG 9.9.4-RedHat-9.9.4-74.amzn2.1.2 <<>> rekognition.ap-northeast-1.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42121
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;rekognition.ap-northeast-1.amazonaws.com. IN A

;; ANSWER SECTION:
rekognition.ap-northeast-1.amazonaws.com. 60 IN	A 192.168.3.150
rekognition.ap-northeast-1.amazonaws.com. 60 IN	A 192.168.2.171

簡単ではありますが、検証は以上です。

さいごに

ネットワークトラフィックを AWS ネットワーク内に保持することにより、Amazon Rekognition を簡単かつセキュアにアクセスできるようになりました。AWS のアーキテクチャは日進月歩です。一度作って終わりではなく、定期的にアーキテクチャを見直し、最適なアーキテクチャを検討していくことが大切ですね。

以上!大阪オフィスの丸毛(@marumo1981)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

[登壇レポート] VPC間の接続方法を整理してみた #自治体クラウド勉強会

[登壇レポート] VPC間の接続方法を整理してみた #自治体クラウド勉強会

User avatar
のんピ
2024.11.01
Datadog で AWS PrivateLink を使ったプライベートネットワーク接続をやってみた

Datadog で AWS PrivateLink を使ったプライベートネットワーク接続をやってみた

User avatar
Shiina
2024.10.30
[小ネタ] API Gateway のプライベート API とプライベート統合の違い

[小ネタ] API Gateway のプライベート API とプライベート統合の違い

User avatar
hato
2024.08.22
外部公開している NLB 1 台だけでプライベートなアクセス経路も確保する

外部公開している NLB 1 台だけでプライベートなアクセス経路も確保する

User avatar
平木佳介
2024.04.04
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.