目次
AWSのS3エンドポイントの概要
AWSのS3エンドポイントは、VPC内からインターネットを経由せずにS3にアクセスできるようにする仕組みです。
VPCごとに作成します。
作成したリージョンのS3に対してのみ有効です。
例:東京リージョン用のS3エンドポイントが1つあれば、東京リージョンの任意のバケットにアクセス可能です。
実際の動作イメージ
通常(エンドポイントなし)
→ EC2(VPC) → インターネット → S3
S3エンドポイントあり
→ EC2(VPC) → VPC Endpoint(内部) → S3
使用する利点
| 利点 | 説明 |
|---|---|
| セキュリティ強化 | パブリックインターネットを経由せずにS3へアクセスできる |
| コスト削減 | NAT Gatewayなどインターネット経由の料金を節約 |
| アクセス制御 | エンドポイントポリシーでアクセス元VPCやIAM条件の制限が可能 |
| 信頼性向上 | AWSネットワーク内の通信で安定性が高い |
セキュリティ機能
エンドポイントポリシーに記述
アクセスを制限するためのIAMポリシー形式のルールが記述可能です。
S3バケットポリシーに記述
VPCエンドポイントからのアクセスのみを許可する設定が可能です。
例:
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::your-bucket-name/*",
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-xxxxxxxx"
}
}
}
S3エンドポイントの上限
AWSの S3エンドポイント(Gateway型エンドポイント) の上限は、VPCごとに最大 20 個です(デフォルト上限)。
上限の引き上げ(Service Quota)は可能です。
関連の記事