AWS S3エンドポイントとは

目次

AWSのS3エンドポイントの概要

AWSのS3エンドポイントは、VPC内からインターネットを経由せずにS3にアクセスできるようにする仕組みです。

VPCごとに作成します。

作成したリージョンのS3に対してのみ有効です。

例:東京リージョン用のS3エンドポイントが1つあれば、東京リージョンの任意のバケットにアクセス可能です。

 

実際の動作イメージ

通常(エンドポイントなし)
→ EC2(VPC) → インターネット → S3

S3エンドポイントあり
→ EC2(VPC) → VPC Endpoint(内部) → S3

 

使用する利点

利点 説明
セキュリティ強化 パブリックインターネットを経由せずにS3へアクセスできる
コスト削減 NAT Gatewayなどインターネット経由の料金を節約
アクセス制御 エンドポイントポリシーでアクセス元VPCやIAM条件の制限が可能
信頼性向上 AWSネットワーク内の通信で安定性が高い

 

セキュリティ機能

エンドポイントポリシーに記述

アクセスを制限するためのIAMポリシー形式のルールが記述可能です。

S3バケットポリシーに記述

VPCエンドポイントからのアクセスのみを許可する設定が可能です。

例:

{
  "Effect": "Deny",
  "Principal": "*",
  "Action": "s3:*",
  "Resource": "arn:aws:s3:::your-bucket-name/*",
  "Condition": {
    "StringNotEquals": {
      "aws:SourceVpce": "vpce-xxxxxxxx"
    }
  }
}

 

S3エンドポイントの上限

AWSの S3エンドポイント(Gateway型エンドポイント) の上限は、VPCごとに最大 20 個です(デフォルト上限)。

上限の引き上げ(Service Quota)は可能です。

 

    関連の記事

    AWS CLIのコマンド (S3のファイルの一覧/コピー/移動)

    △上に戻る