【AWS Certified Cloud Practitioner】インターネット公開EC2に必要な設定をVPC・サブネット・IGW・ルートで整理

2026年4月8日

はじめに

AWS Certified Cloud Practitioner では、「インターネットに公開したいサーバーを AWS 上に置くには何が必要か」を問う問題がよく出ます。特に Amazon EC2、Amazon VPC、サブネット、Internet Gateway、ルートテーブル、Security Group の関係を正しく理解していないと、似た選択肢で迷いやすくなります。

この記事では、リージョン内にインターネット公開したいサーバーインスタンスを設置する場合に、どのサービスや設定が必要で、どの順番で考えればよいかを、試験対策向けに分かりやすく整理します。

まず結論：公開EC2の最小構成

インターネットからアクセスできる EC2 インスタンスを作るには、次の要素をそろえる必要があります。

Amazon VPC
パブリックサブネット
Internet Gateway（IGW）
ルートテーブルのデフォルトルート（通常は 0.0.0.0/0 → IGW）
EC2 のパブリック IPv4 アドレス、または Elastic IP
必要な通信を許可する Security Group

この組み合わせがそろって初めて、外部の利用者がインターネット経由で EC2 に到達できます。

それぞれの役割を短く整理

Amazon VPC

AWS 上で自分専用の仮想ネットワークを作るサービスです。EC2 をどのネットワークに置くかの土台になります。

サブネット

VPC の中を分割したネットワーク区画です。試験では「パブリックサブネット」と「プライベートサブネット」の違いが重要です。

パブリックサブネット：Internet Gateway への直接ルートを持つサブネット
プライベートサブネット：Internet Gateway への直接ルートを持たないサブネット

つまり、サブネットの種類は名前ではなくルーティングで決まる、というのがポイントです。

Internet Gateway（IGW）

VPC とインターネットを接続するための VPC コンポーネントです。これがないと、VPC 内のリソースはインターネットと直接通信できません。

ルートテーブル

通信先に応じて、どこへパケットを送るかを決める設定です。公開サーバーでは、インターネット向け通信を IGW に流すルートが必要です。

パブリック IPv4 / Elastic IP

EC2 がインターネット上で到達可能になるためのアドレスです。パブリックサブネットに置いただけでは足りず、インスタンス自体にもパブリックな到達先が必要です。

Security Group

EC2 などに関連付ける仮想ファイアウォールです。たとえば Web サーバーなら 80 番ポートや 443 番ポートの受信許可が必要です。

公開サーバーを作るときの考え方を順番で整理

1. VPC を用意する

まず EC2 を配置するネットワークとして VPC を用意します。Cloud Practitioner では、VPC はネットワークの入れ物だと理解しておけば十分です。

2. パブリックサブネットを用意する

次に、EC2 を置くサブネットを用意します。ここで大事なのは、そのサブネットが Internet Gateway へ直接ルーティングされることです。これがパブリックサブネットの基本条件です。

3. Internet Gateway を VPC にアタッチする

IGW を作成し、対象 VPC にアタッチします。IGW は VPC 単位の設定であり、サブネットに直接付けるものではありません。

4. ルートテーブルで 0.0.0.0/0 を IGW に向ける

パブリックサブネットに関連付けるルートテーブルに、インターネット向けのデフォルトルートを追加します。典型例は次のとおりです。

送信先：0.0.0.0/0
ターゲット：Internet Gateway

この設定があることで、インターネット向け通信が IGW に流れます。

5. EC2 にパブリック IPv4 または Elastic IP を持たせる

ここは試験で非常に問われやすいポイントです。パブリックサブネットに置くだけでは、インスタンスは自動的に外部公開されるわけではありません。 EC2 にパブリック IPv4 アドレス、または Elastic IP を関連付ける必要があります。

Elastic IP は固定のパブリック IPv4 アドレスとして扱えます。再起動や入れ替えを考えると、固定 IP が欲しい場合に有効です。

6. Security Group で必要な受信を許可する

最後に Security Group で到達させたい通信を許可します。代表例は次のとおりです。

HTTP 公開：TCP 80
HTTPS 公開：TCP 443
SSH 管理：TCP 22
RDP 管理：TCP 3389

ただし、SSH や RDP を 0.0.0.0/0 に開けるのは実運用では好ましくありません。試験では「必要最小限のアクセスに絞る」という考え方も押さえておくと安全です。

図でイメージするとこうなる

最小構成の考え方は、次の流れで覚えると整理しやすくなります。

インターネット → Internet Gateway → パブリックサブネット → EC2

ただし実際には、途中で次の条件も満たしていなければ通信は成立しません。

サブネットのルートテーブルが IGW を向いている
EC2 にパブリック IPv4 または Elastic IP がある
Security Group が必要ポートを許可している

試験で引っかかりやすいポイント

パブリックサブネットに置いただけでは不十分

多くの初学者が混同しやすいのがここです。パブリックサブネットは「インターネットへのルートがあるサブネット」ですが、EC2 が本当に外から到達可能になるには、インスタンス側のパブリック IP も必要です。

Internet Gateway があるだけでも不十分

IGW が VPC にアタッチされていても、サブネットのルートテーブルが IGW を向いていなければ、通信は外へ出ません。IGW とルートテーブルはセットで考える必要があります。

NAT Gateway は公開サーバー用ではない

NAT Gateway は、主にプライベートサブネット内のインスタンスが外向きに通信するための仕組みです。インターネット側からの新規接続を受ける用途ではありません。

そのため、「インターネットからアクセスされる Web サーバー」を作りたい場面で NAT Gateway を選ぶのは不適切です。これは試験で頻出の引っかけです。

Default VPC とカスタム VPC の違い

Default VPC では、各デフォルトサブネットがパブリックサブネットとして構成されており、EC2 起動時にパブリック IPv4 が付くケースがあります。一方で、カスタム VPC では自分でルーティングや IP 割り当てを意識して設定する必要があります。

試験では「Default VPC では動くのに、カスタム VPC では公開できない」という形で出題されることがあります。

本番に近い構成として知っておきたいこと

Cloud Practitioner では最小構成をまず覚えれば十分ですが、実務寄りの構成としては、EC2 を直接公開する代わりに Application Load Balancer（ALB） をインターネット向けに公開し、その背後に EC2 を置く構成もあります。

この場合、インターネットから見えるのは ALB 側であり、バックエンドの EC2 は必ずしもパブリック IP を持つ必要がありません。試験で「安全性や可用性を高めた公開構成」として出ることがあります。

試験向けの整理表

項目	役割	試験での見分け方
VPC	ネットワーク全体の土台	まず必要
パブリックサブネット	IGW へ直接ルートを持つ配置場所	公開サーバーはここに置く
Internet Gateway	VPC とインターネットの接続	これがないと外部公開できない
ルートテーブル	通信の行き先を決める	0.0.0.0/0 → IGW が重要
パブリック IPv4 / Elastic IP	EC2 に外部から到達するためのアドレス	サブネットだけでは足りない
Security Group	必要ポートだけ許可する	80/443/22 などの受信制御
NAT Gateway	プライベートサブネットの外向き通信	外部公開用ではない

直前復習用の一文まとめ

公開EC2 = パブリックサブネット + IGW へのルート + パブリック IP または Elastic IP + Security Group の受信許可

この一文を軸にすると、試験の選択肢をかなり整理しやすくなります。

参考にしたAWS公式情報

よかったらシェアしてね！

URLをコピーしました！

URLをコピーしました！