はじめに
この章では、本ドキュメントの目的と読み方を丁寧に説明します。
本書の目的
本ドキュメントは、AWSのVPCエンドポイントのうちゲートウェイエンドポイントに焦点を当て、基礎から実務で役立つ設計・運用のポイントまで体系的に解説します。具体的には、ゲートウェイエンドポイントを使うことでプライベートサブネットからS3やDynamoDBへインターネットを経由せず安全にアクセスできる仕組みを理解し、設計や運用にそのまま活かせることを目指します。
想定する読者
クラウド環境のネットワーク設計を担当するエンジニア、セキュリティ担当者、またはVPCを使い始めたばかりの方を想定します。基礎知識があれば読み進められる構成にしています。
本ドキュメントの構成と読み方
第2章でVPCエンドポイントの全体像を説明し、第3章でゲートウェイエンドポイントの仕組みと設定、第4章でゲートウェイとインターフェースエンドポイントの比較を扱います。まずは第2章から順に読むと理解が深まりますが、必要な章だけ参照しても活用できます。
次章から具体的な技術解説に入ります。実例と図で分かりやすく説明しますので、気軽に読み進めてください。
第1章 VPCエンドポイントとは何か?
概要
VPCエンドポイントは、VPC(仮想プライベートクラウド)内のリソースがインターネットを経由せずにAWSのマネージドサービスへ接続できる仕組みです。たとえば、プライベートサブネットのEC2からS3へアクセスする場合、通常はインターネットゲートウェイやNATゲートウェイが必要になります。VPCエンドポイントを使うと通信がAWSネットワーク内で完結し、外部に出ることがありません。
種類と特徴(簡単な手引き)
- ゲートウェイエンドポイント:S3とDynamoDB専用で、ルートテーブルに経路を追加する方式です。通信料は無料です。
- インターフェースエンドポイント:各サービ��にENI(Elastic Network Interface)を作成して接続します。多くのサービスに対応しますが、利用料が発生します。
- Gateway Load Balancerエンドポイント:セキュリティアプライアンスなどのトラフィックを透過的に送る用途に使います。
利点と利用例
- セキュリティ向上:トラフィックがインターネットに出ないため、出口での露出を減らせます。
- シンプルな構成:NATやパブリックIPを使わずにサービスへ接続できます。たとえば、バックアップ処理でプライベートEC2からS3へ直接アップロードできます。
- 制御性:エンドポイントポリシーでアクセス先を制限できます。
基本的な仕組みイメージ
ゲートウェイエンドポイントはルートテーブルに経路を追加してサービス宛の通信を捕まえます。一方、インターフェースエンドポイントはサブネット内にENIを作り、そこへプライベートIPで接続します。
注意点
- エンドポイントの設定はリージョン単位です。アクセス制御やコスト(インターフェース)は確認してください。
第2章 ゲートウェイエンドポイントの基本と仕組み
概要
ゲートウェイエンドポイントは、VPCのルートテーブルにS3やDynamoDBへの経路を追加し、通信をAWS内部ネットワークに向ける仕組みです。プライベートIPのままパブリックインターネットを経由せずにアクセスできます。対応サービスはS3とDynamoDBのみで、追加料金は不要です。ENI(仮想NIC)を作らずにルート制御だけで動作するため構成がシンプルです。
動作の仕組み
プライベートサブネット内のEC2がS3に接続を試みると、ルートテーブルのエントリがその送信先をゲートウェイエンドポイントに向けます。トラフィックはAWSのバックボーンネットワーク内でルーティングされ、目的のS3バケットやDynamoDBテーブルに到達します。これにより、パブリックIPやNAT Gatewayを用意する必要がありません。
特徴と利点
- サービス対応が限定(S3、DynamoDB)で分かりやすい
- 無料で利用できる(データ転送料金は別途発生する場合があります)
- ENIを作らないので管理が簡単
- サブネット単位で利用可否を制御できる(ルートテーブルの割当で制御)
- エンドポイントポリシーでアクセス先のバケットやアクションを制限できる
制限と注意点
- 対応サービスはS3とDynamoDBのみです。他のAWSサービスには使えません。
- エンドポイントはルートテーブル単位で効くため、サブネットのルート設計を間違えると通信経路が期待と異なる場合があります。
- データ転送料金やアクセス許可は通常どおり考慮してください。
設定上のポイント
- ルートテーブルに正しいプレフィックスリストまたはサービスルートを追加する
- 使用するサブネットのルートテーブルがエンドポイントを参照するようにする
- 必要があればエンドポイントポリシーでアクセス制御を行う
利用例(簡単なイメージ)
プライベートサブネットのEC2 → ルートテーブルの経路でゲートウェイエンドポイントへ → AWSバックボーン経由でS3バケットへ
(この章ではまとめは省略します)
第3章 ゲートウェイ vs インターフェースエンドポイントの比較と使い分け
概要
ゲートウェイエンドポイントとインターフェースエンドポイントは、接続先や仕組み、料金、制御の方法が異なります。用途に応じて使い分けると効率的です。
主な違い
- 対応サービス:ゲートウェイはS3とDynamoDB専用。インターフェースは多くのAWSサービスに対応します。
- 通信方式:ゲートウェイはルートテーブルで経路を制御。インターフェースはENI(仮想ネットワークカード)を使ってIP経由で接続します。
料金と規模
ゲートウェイは無料で大量アクセスに向きます。インターフェースはエンドポイントごとに課金され、小規模や細かい制御向きです。
セキュリティと制御
インターフェースはセキュリティグループや個別のIP制御が可能で細かなアクセス制御に適します。ゲートウェイはネットワーク単位での制御が中心です。
使い分けの指針
- S3やDynamoDBのみ:ゲートウェイを推奨します。大量データ転送やコスト節約に有利です。
- 多様なサービスや細かなアクセス制御が必要:インターフェースを選んでください。例としてCloudWatch LogsやSecrets Managerはインターフェースが一般的です。
具体例
- バックアップ先がS3で大量アップロードする場合はゲートウェイ。
- アプリが複数サービスと安全にやり取りする場合はインターフェースが便利です。
