VPC エンドポイント
VPC のインスタンスは、サービスのリソースと通信するためにパブリック IP アドレスを必要としません。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れません。
インターフェイスエンドポイント
インターフェイスエンドポイントは、サポートされるサービスを宛先とするトラフィックのエントリポイントとして機能するサブネットの IP アドレス範囲のプライベート IP アドレスを持つ Elastic Network Interface です。インターフェイスエンドポイントは、プライベート IP アドレスを使用してサービスにプライベートにアクセスできるようにするテクノロジである AWS PrivateLink を使用します。
プライベート DNS を使用するには、VPC 属性のenableDnsHostnames および enableDnsSupport を true に設定する必要があります。
ゲートウェイエンドポイント
ゲートウェイエンドポイントは、サポートされる AWS のサービスを宛先とするトラフィックのルートテーブルで、ルートのターゲットとして指定するゲートウェイです。以下の AWS のサービスがサポートされています。
- S3
- DynamoDB
VPC エンドポイント によるサービスのアクセスコントロール
エンドポイントを作成するときは、接続先のサービスへのアクセスを制御するエンドポイントポリシーを、エンドポイントにアタッチできます。エンドポイントのポリシーは、JSON 形式で記述される必要があります。
VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。
デフォルトでは、特にアウトバウンドアクセスを制限していない限り、Amazon VPC セキュリティグループですべてのアウトバウンドトラフィックが許可されます。