ClamAVをインターネットに接続できないEC2で稼働させる

やりたいことは、Internet GatewayとNAT Gatewayのどちらも使えない VPCサブネットから ClamAVを動かすこと。動かすEC2のOSは Amazon Linux2。

ECのインスタンスプロファイルに適用する IAMロールを作成する。EC2インスタンスにSSMでアクセスするので付与する権限はマネージドポリシーの AmazonSSMManagedInstanceCore だけ。

サブネットにVPCエンドポイントを作る。必要なエンドポイントは AWS System Managerのユーザガイドにある通り。東京リージョンなら下の6つを設定した。今回はKMSを使わない。

1. com.amazonaws.ap-northeast-1.s3
2. com.amazonaws.ap-northeast-1.ssm
3. com.amazonaws.ap-northeast-1.ec2messages
4. com.amazonaws.ap-northeast-1.ec2
5. com.amazonaws.ap-northeast-1.ssmmessages
6. com.amazonaws.ap-northeast-1.logs

com.amazonaws.ap-northeast-1.s3 は Gateway型を使う。Inteface型だと、この後の yum で詰む。

VPCエンドポイントにアクセスできるように、 セキュリティグループとネットワークACLで通信を許可する。

S3を除いた インターフェイス型は 同じサブネットにENIが作られるので、それとの通信を許可する。インバウンドとアウトバウンドの両方を全てのポートを許可する。

S3は ゲートウェイのIPアドレスを調べる。