S3 の VPC エンドポイントとは?
VPC のプライベートサブネット内から、NATインスタンスを介さずにS3にアクセスできるようになる仕組み。VPC内にエンドポイントを作成すると、サブネットから S3 へのアクセスはそのエンドポイントに転送されるようルーティングテーブルに設定され、そのエンドポイントを介してS3にアクセスできる。
なお、EC2インスタンスと同一リージョンのS3のみにアクセス可能であることに注意。
使ってみた
以下は、AWS コンソールからの設定。
Endpoint の作成
VPC の画面の「Endpoint」メニューから作成する。その際に、エンドポイントと紐付けるプライベートサブネットを指定する。すると、ルーティングテーブルに次のようなエントリが追加される。
最低限必要な設定はこれだけ。
プライベートサブネットからS3へのアクセス
パブリックサブネットにある踏み台インスタンスを経由して、プライベートサブネットのインスタンスにログイン。
ローカルのPCがWindowsなので、やり方はこのあたりを参照:
外部から踏み台サーバ経由の多段SSH接続をWindowsクライアントから行う
すると、aws cli を使って S3 にアクセスできるようになっている。
# バケットの一覧取得
$ aws s3 ls
2015-03-09 23:49:02 <MyBucket1>
2015-05-16 23:45:14 <MyBucket2>
...
# ファイル(適当なテキスト)をアップロード
$ vi test.txt
$ aws s3 cp test.txt s3://<MyBucket1>
upload: ./test.txt to s3://<MyBucket1>/test.txt
エンドポイントの今後
現時点ではS3のエンドポイントしか作成できないが、今後は他のサービス用のエンドポイントも作成できるようになるとのこと。
Amazon S3のVPCエンドポイント
将来的には他のAWSサービスのVPCエンドポイントも作成できるようになります。