いわさです。
今朝のアップデートで AWS Verified Access が遂に東京リージョンでも使えるようになりました。
AWS Verified Access は AWS 上のプライベートネットワーク上に配置した Web アプリケーションに対して、信頼したプロバイダーやデバイスからのみ外部からのアクセスを許可出来るサービスです。
日本ではなかなか需要がありそうなサービスなのではと個人的に思っていたのですが、これまで東京リージョンはサポートされていませんでしたが、ようやくサポートされました。
VPC コンソールからアクセス
東京リージョンの VPC コンソールに、先日までは表示されていなかった AWS Verified Access のメニューが...!
今回のアップデートで 2 つのリージョンが追加されており、シンガポールリージョンでも使えるようになってます。
ちなみに、大阪リージョンではまだ使えないです。
東京リージョンの IAM Identity Center を信頼プロバイダーとして構築してみる
今回は東京リージョンの IAM Identity Center をプロバイダーに、東京リージョンの VPC 内で稼働するプライベートな Web アプリケーション(ELB + EC2)に対して Verified Access を使って外部アクセス用のエンドポイントを生やしてみたいと思います。
IAM Identity Center がすでにセットアップ済みです。
Web アプリケーション環境は次の CloudFormation テンプレートを使ってセットアップします。
READM.ME に記載されているのですが、プライベートサブネット上で internal なロードバランサーと仮想マシンが実行されるものです。
こちらをデプロイすると、ロードバランサーへのアクセス可能なセキュリティグループがひとつ作成されるので、それを Verified Access エンドポイントで使用しますので、セキュリティグループ名や ID を確認しておきます。
構築の流れは過去にバージニア北部で構築した方法と全く同じです。
詳細は割愛しますが、いくつかの記事が存在しますので参考にしていただけると良いと思います。
次のように Verified Access 信頼プロバイダーを作成しました。
次のように Verified Access インスタンスを作成しました。
次のように Verified Access グループを作成しました。
グループポリシーは無条件でのアクセスを許可しています。
次のように Verified Access エンドポイントを作成しました。
なお、エンドポイントで使用する SSL 証明書は事前に ACM で発行しておきます。
Verified Access エンドポイントが作成出来たら、アプリケーションドメイン用の CNAME レコードを登録します。
アクセスしてみる
アプリケーションドメインへアクセスすると、信頼プロバイダーの認証が要求されます。
その後、ポリシーに従って認可され、プライベート ELB にアクセスすることが出来ました。
さいごに
本日は AWS Verified Access が東京リージョンで使えるようになったので早速使ってみました。
料金ページにも東京リージョンの価格が既に掲載されていますのでこちらも併せてご確認ください。バージニア北部とかよりはちょっと高めですね東京は。
実際に Verified Access の東京リージョンサポートを待っていた方がどれだけいるのか知らないのですけれども、国内需要ありそうなサービスだなーと個人的に思っていたので、今後は導入事例などにも注目したいです。
5
