クロスアカウントでDirect Connect GatewayにVGWを接続してみた
2025.08.23AWS Direct Connect は、企業の専用線接続を提供する重要なサービスですが、日常的に設定変更を行うことが少ないかと思います。
先日、クロスアカウント接続で既存のダイレクトコネクトとつなぐ設定を行ったため、その設定手順をご紹介しようと思います。
アーキテクチャ概要
前提条件
- オンプレミスおよびアカウントAで既に構築済みのDirect Connect Gateway(DXGW)が存在すること
今回の構成では、アカウントAにあるDXGWとアカウントBのVGWを関連付けて、クロスアカウント接続を実現します。
今回設定済みとしている部分の構築手順は以下のブログが分かりやすいです。
仮想プライベートゲートウェイ(VGW)の作成
接続先アカウント(アカウントB)での作業
VPCサービスから仮想プライベートゲートウェイを作成します。
名前、カスタムASN、カスタムASNの値は「Direct Connect Gateway」と同じものを設定します。
作成した仮想プライベートゲートウェイを選択し、VPCへアタッチします。
アタッチするVPCを選択します。
Direct Connect Gatewayとの関連付け設定
接続先アカウント(アカウントB)での作業
DXGW側アカウント(アカウントA)のDXGWで以下の情報を確認します。
サービス Direct Connect を開いて確認します。
- Direct Connect Gateway ID
- アカウントID
次にアカウントBで設定していきます。
サービス Direct Connect を開いて、先程つくった仮想プライベートゲートウェイを選択して、詳細を確認するを選択します。
※サービスは VPC からではなく Direct Connect からでないと、DXGW との関連付けができない
Direct Connect ゲートウェイの関連付けを選択します。
別のアカウント、先程確認した Direct Connect Gateway ID、アカウントAのID、許可されたプレフィックスにはアカウントBのVPCが持つネットワークをルート広告する範囲を指定することができます。
範囲を指定しない場合は、VPC全体を広告することになります。
保留中の Direct Connect ゲートウェイ提案で状態が「requested」になればOKです。
この時点では、まだ接続は確立されていません。
関連付け提案の承諾
DXGW側アカウント(アカウントA)での作業
サービス Direct Connect にアクセスし、接続提案をした Direct Connect ゲートウェイを選択し、詳細を確認するを選択します。
関連付けの提案で提案された仮想プライベートゲートウェイを選択し、承諾するを選択します。
接続先アカウント(アカウントB)の仮想プライベートゲートウェイで関連付けを確認します。
サービス Direct Connect を開いて確認します。
状態が「associated」となれば、接続が成功です。
ルート伝播の設定
接続先アカウント(アカウントB)での作業
最後にアカウントBのVPCで Direct Connect の先(オンプレミス)のルーティング情報を受け取るように設定します。
サービス VPC でオンプレミスとつなぐサブネットに紐づいているルーティングを選択します。
ルートを確認すると、現時点では VPC 内のインターナルルートのみが設定されていることが確認できます。
ルート伝播の編集を選択します。
有効化をします。
ほぼ即時で仮想プライベートゲートウェイがターゲットになっていて、伝播済みとなったルートの学習が反映されました!
これで、Direct Connect との接続とオンプレミスへのルート設定ができました。
まとめ
AWS Direct Connectにおけるクロスアカウント接続は、以下の手順で実現できます:
- ✅ VGW作成:接続先アカウントでASNを適切に設定して作成
- ✅ 関連付け提案:DXGWとの関連付けを提案として送信
- ✅ 提案承諾:DXGW側アカウントで提案を承諾
- ✅ ルート設定:ルート伝播を有効化して自動ルート学習を実現
同様の設定が必要となった時に参照していただければ幸いです。
参考ブログ
仮想プライベートゲートウェイと VPC のルーティングとの関係性を理解するのに非常に参考になりました。
その他にも、複数パスのBGP制御の仕組みなども学習できる大変良いブログですので、併せてご覧ください。
