目次
VPCエンドポイントとVPCエンドポイントサービスの違いのまとめ
| 作る側 | 主な用途 | 代表例 | |
|---|---|---|---|
| VPCエンドポイント | サービスを利用する側 | AWSサービスや他アカウントのサービスにプライベート接続 | S3への Gateway Endpoint 外部サービスへの Interface Endpoint |
| VPCエンドポイントサービス | サービスを提供する側 | 自分のサービスを PrivateLink 経由で公開 | 独自アプリやAPIを PrivateLink 経由で提供 |
VPCエンドポイント = 利用する側の接続口
VPCエンドポイントサービス = 提供する側の公開窓口(NLBを紐付け)
インターネットを経由せずにVPC内部から直接アクセスできる仕組みです。
VPCエンドポイント
VPC内から特定のサービスへプライベート接続するための入口です。
利用者側が作成します。
種類
インターフェイス型 (Interface)
→ ENI(Elastic Network Interface)が作成され、PrivateLink 経由で接続
ゲートウェイ型 (Gateway)
→ ルートテーブルにエントリ追加(S3, DynamoDB 専用)
導入メリット
- セキュリティ強化(インターネット公開不要、IAM+セキュリティグループで制御)
- 通信速度・安定性向上(AWS内部ネットワーク経由)
- コスト削減(NAT Gateway経由通信コストを大幅に削減できる場合あり)
使用例
- S3へのアクセスをVPC内部だけにする
- Secrets Managerを安全に使う
- RedshiftやS3間の高速連携
- PrivateLinkでSaaSサービス接続
- DynamoDBアクセスをプライベート化
- VPC内のLambda関数からSQS/SNSにアクセス
- CloudWatch Logsへのプライベート送信
注意点
- Interface型エンドポイントは通信量&時間で課金される
- Interface型はセキュリティグループの設定必須
- Gateway型エンドポイントはルートテーブルの変更が必要
- DNS名をオフにするとサービス名の解決ができなくなる
- 全AWSサービスがエンドポイントに対応しているわけではない
- VPCエンドポイントはリージョンをまたいで使えない
- 他アカウントからの接続許可はポリシー設定が必要
VPCエンドポイントサービス
自分のVPC内のNLB (Network Load Balancer) を指定して、PrivateLink経由で外部にサービスを公開できます。
サービスを提供するための公開窓口です。
他のアカウントが「VPCエンドポイント」を作成することで、そのサービスにプライベートに接続できます。
アクセス制御も可能(承認制、ホワイトリスト方式など)です。
関連の記事