目次
VPCエンドポイントとVPCエンドポイントサービスの違いのまとめ
| 作る側 | 主な用途 | 接続先 | |
|---|---|---|---|
| VPCエンドポイント (Gateway型) |
サービスを利用する側 | 利用側:サービスを使う | S3、DynamoDB |
| VPCエンドポイント (Interface型) |
サービスを利用する側 | 利用側:サービスを使う | KMS,CloudWatch,Systems Manager,Lambda,Athena他 |
| VPCエンドポイントサービス | サービスを提供する側 | 提供側:サービスを公開するPrivateLink 経由で公開 | 独自アプリやAPI |
インターネットを経由せずにVPC内部から直接アクセスできる仕組みです。
VPCエンドポイント(Gateway型)
VPC内から特定のサービスへプライベート接続するための入口です。
利用者側が作成します。
- サブネット非所属
- ルートテーブルへの関連付けが必要
- ENI / IP アドレス / セキュリティグループは持たない
- 料金は無料
- VPCエンドポイントはリージョンをまたいで使えない
使用例
- S3へのアクセスをVPC内部だけにする
- DynamoDBアクセスをプライベート化
- RedshiftとS3間の高速連携
- EC2とS3間の高速連携
VPCエンドポイント(Interface型)
VPC内から特定のサービスへプライベート接続するための入口です。
利用者側が作成します。
- サブネット所属
- ルートテーブルに関連付けるだけ
- ENI / プライベートIP アドレスを持つ
- セキュリティグループの設定必須
- 通信量&時間で課金される
- DNS名をオフにするとサービス名の解決ができなくなる
- VPCエンドポイントはリージョンをまたいで使えない
使用例
- Secrets Managerを安全に使う
- PrivateLinkでSaaSサービス接続
- VPC内のLambda関数からSQS/SNSにアクセス
- CloudWatch Logsへのプライベート送信
VPCエンドポイントの導入メリット
- セキュリティ強化(インターネット公開不要、IAM+セキュリティグループで制御)
- 通信速度・安定性向上(AWS内部ネットワーク経由)
- コスト削減(NAT Gateway経由通信コストを大幅に削減できる場合あり)
- ただし、全AWSサービスがエンドポイントに対応しているわけではない
VPCエンドポイントサービス
自分のVPC内のNLB (Network Load Balancer) を指定して、PrivateLink経由で外部にサービスを公開できます。
サービスを提供するための公開窓口です。
特徴
- インターネットを通らない
- AWSアカウント間通信に最適 (APIを別アカウントに安全に公開したい)
- 必要なポートだけを公開できる
- セキュリティが強い (Security Groupによる細かい制御も可能)
よくある用途
- SaaS提供企業が顧客へPrivateLink接続を提供する
- VPC間接続をサービス単位にしたい
関連の記事