AWS認定 クラウドプラクティショナー(CLF-C02)で最大配点のドメイン3(34%)。その中でも初心者がつまずきやすいのがネットワーク(VPC)です。この記事では「VPC・サブネット・Route 53とは」という素朴な疑問を出発点に、AWSのネットワークの骨組みを図でイメージできるように解説します。細かい設定は不要、試験で問われる「何のための部品か」だけをつかめばOKです。全体像は CLF対策トップ、出題範囲は シラバスマップ へ。

VPCとは:クラウドの中の「自分専用の区画」
VPC(Virtual Private Cloud)は、AWSクラウドの中に用意する自分専用の仮想ネットワークです。広いAWSの敷地の中に「自社だけが使う土地」を区切るイメージで、この中にサーバー(EC2)やデータベース(RDS)などを配置します。VPCの外や他の利用者からは隔離されているので、安全に自分のシステムを組み立てられる土台になります。VPCの利用自体は無料で、AWSでシステムを動かすときの“最初の区画取り”にあたります。
サブネットとゲートウェイ:区画を部屋に分けて、外とつなぐ
VPCという区画は、そのまま使うのではなくサブネットという小部屋に分けて使います。サブネットは大きく2種類あり、インターネットに公開するか/しないかで使い分けます。
- パブリックサブネット:インターネットからアクセスできる部屋。Webサーバーなど“外に見せたいもの”を置く
- プライベートサブネット:インターネットから直接は入れない部屋。データベースなど“隠したいもの”を置く
そして区画を外の世界とつなぐのがゲートウェイ(出入口)です。試験では次の2つを押さえましょう。
| 部品 | 役割 | たとえ |
|---|---|---|
| インターネットゲートウェイ(IGW) | VPCとインターネットをつなぐ正面玄関 | 建物の表玄関 |
| NATゲートウェイ | プライベートサブネットから“外に出るだけ”を許す出口(外からは入れない) | 従業員用の通用口(出るのはOK・入るのはNG) |
ポイント:外に見せたいものはパブリックサブネット+IGW、隠したいけどソフト更新などで外に出たいものはプライベートサブネット+NATゲートウェイ、という組み合わせが定番です。
VPC内のセキュリティ:セキュリティグループとネットワークACL
VPCの中の通信を守る“2段構えの見張り”がセキュリティグループ(SG)とネットワークACLです。どちらも「どの通信を通すか」を決めるルールですが、守る対象の広さが違います。

- セキュリティグループ:インスタンス(サーバー)1台ごとに付く護衛。EC2などに直接適用する
- ネットワークACL:サブネット(部屋)全体の入口をまとめてチェックする門番
Route 53:AWSのDNS(ドメイン名の案内係)
Amazon Route 53は、AWSのDNS(ドメインネームシステム)サービスです。DNSは「人が覚えやすいドメイン名(例:example.com)」を「コンピューターが使うIPアドレス」に変換する“案内係”のこと。利用者がサイト名を入力すると、Route 53が「その名前のサーバーはこの住所(IP)ですよ」と案内してくれます。

Route 53はドメイン名の変換(名前解決)に加えて、ドメインの新規取得や、複数の場所にトラフィックを振り分けるルーティング、さらにサーバーの生死を見張るヘルスチェックもできます。試験では細部よりも「Route 53=AWSのDNSサービス」という一言をまず押さえましょう。
エッジ配信と外部接続:さらに速く・安全につなぐ
VPCの周辺には、通信を“速く・安全に”するサービスもあります。CLFでは概要だけ知っておけば十分です。
- Amazon CloudFront:世界中のエッジロケーションから利用者の近くでコンテンツを配信するCDN。表示を高速化する(詳しくは グローバルインフラの記事へ)
- AWS Global Accelerator:AWSの高速ネットワーク経由で世界中からの接続を安定・高速化する
- VPN/AWS Direct Connect:会社の拠点とVPCを専用線や暗号化トンネルで安全につなぐハイブリッド接続。VPNはインターネット経由の暗号トンネル、Direct Connectは物理専用線で、より安定・低遅延
確認クイズ
Q1. Amazon VPCを最もよく表しているのはどれですか?
Q2. データベースサーバーをインターネットから直接アクセスされないように置きたい。適切な配置は?
Q3. セキュリティグループとネットワークACLの説明として正しいのは?
Q4. ドメイン名(例:example.com)を対応するIPアドレスに変換する、AWSのDNSサービスはどれ?
よくある質問(FAQ)
Q. VPCとサブネットの違いは何ですか?
A. VPCが大きな区画(自分専用のネットワーク全体)、サブネットはその中を分けた小部屋です。VPCをパブリック/プライベートのサブネットに分け、外に見せたいものと隠したいものを置き分けます。
Q. Route 53の「53」は何の数字ですか?
A. DNSの通信で使われるポート番号53にちなんだ名前です。試験では番号の由来より「Route 53=AWSのDNSサービス(ドメイン名をIPアドレスに変換)」という役割を押さえれば十分です。
Q. セキュリティグループとネットワークACL、CLFではどこまで覚える?
A. CLF-C02では「セキュリティグループ=インスタンス(サーバー)単位」「ネットワークACL=サブネット単位」という守備範囲の違いをまず押さえればOKです。許可・拒否ルールの細かい挙動の違いは上位資格向けで、別記事で扱います。
まとめ
- VPC=AWSクラウド内の「自分専用の仮想ネットワーク(区画)」
- 区画をサブネット(パブリック/プライベート)に分け、ゲートウェイで外とつなぐ
- 通信の見張りはセキュリティグループ(サーバー単位)とネットワークACL(サブネット単位)
- Route 53=AWSのDNS。ドメイン名をIPアドレスに変換する案内係
- ➡ 関連:グローバルインフラ(リージョン・AZ・エッジ)(CloudFrontのエッジ配信もこちら)
- ➡ 関連:コンピューティング(EC2・コンテナ・サーバーレス)(VPCの中で動かすサーバー)
- ➡ 関連:責任共有モデル(ネットワーク設定は利用者の責任)
- ➡ CLF-C02シラバスマップで出題範囲を確認
- ➡ CLF対策トップに戻る
※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。



コメント