🧩 はじめに
AWSには非常に多くの接続方式が存在し、名前や機能も似ているため、「この接続ってどれを使えばいいの?」と混乱することが少なくありません。
そこで、本記事ではそれらを用途ごとに整理し、違いや使いどころをまとめました。
AWSの資格試験でもこれらの違いを問われることが多いので、試験勉強の参考にしていただければ幸いです!
① 「外部」との接続:インターネットやオンプレミスと繋ぐ
AWS内のリソースと社外のネットワークをつなぐためには、さまざまな接続方式があります。
インターネットを通じた公開や、オンプレミスとのセキュアな閉域接続、社員端末やIoT機器の接続など、ユースケースごとに適切なサービスを選ぶ必要があります。
以下は、代表的な「外部との接続」手段です。
| 接続手段 | 接続対象 | 主な特徴・用途 |
|---|---|---|
| インターネットゲートウェイ(+ パブリックIP / Elastic IP) | インターネット | EC2 や ALB を直接インターネットに公開。VPCに IGW のアタッチが必要。 |
| API Gateway | インターネット | REST/HTTP/WebSocket API をセキュアに公開。Lambda 等と連携可能。 |
| CloudFront(+ S3 / ALB) | インターネット | 静的・動的コンテンツの高速配信。キャッシュ・WAF・TLS 統合にも対応。 |
| Site-to-Site VPN | オンプレミス | IPsec VPN による拠点接続。仮想プライベートゲートウェイと連携。冗長化可能。 |
| AWS Direct Connect | オンプレミス | 専用線による閉域接続。高帯域・低遅延・高可用性が求められるケースに最適。 |
| Client VPN | リモートユーザー端末 | 社員などの端末から VPC へセキュアなアクセスを提供。 |
| PrivateLink(+ VPC エンドポイント) | SaaS / 他VPC | サービス単位でプライベート接続を提供。インターネットや NAT を経由しない。 |
| AWS IoT Core | IoTデバイス | IoTデバイスとのセキュアな接続が可能。 |
② VPC同士の接続
大規模な構成やマルチアカウント運用では複数のVPCを接続する必要が出てきます。
ここでは、VPC間の接続方式とその違い、用途に応じた使い分けについて紹介します。
| 接続方法 | 特徴・制限 | 用途例 |
|---|---|---|
| VPC Peering | VPC同士を一対一で接続 | 少数のVPC間接続 |
| Transit Gateway | 多対多接続が可能なハブ構成。大規模ネットワークに対応 | 複数VPCやオンプレミス接続 |
| VPC Endpoint(Interface) | プライベート接続でサービス利用(PrivateLink) | 他VPCやSaaSへの接続 |
| VPC Endpoint(Gateway) | S3/DynamoDB用に特化。経路テーブルで制御 | S3アクセスのインターネット回避 |
| AWS Resource Access Manager (RAM) | 複数アカウント間でVPCやエンドポイントを共有 | 組織内アカウント共有 |
③ 接続方法のユースケース
実際に設計・構築を行う上で、「どの接続方式を使えばよいのか?」は悩みどころです。
以下は、ユースケースごとに最適な接続方法をまとめました。
資格試験でもよく聞かれる部分です。
| ユースケース | 最適な接続方式 |
|---|---|
| オンプレミスのデータセンターとAWSを安全に繋ぐ | Site-to-Site VPN / Direct Connect |
| 複数のVPCを効率的につなぐ(大規模) | AWS Transit Gateway |
| VPC間を1対1で接続(少数構成) | VPC Peering |
| 外部ユーザーにAPIを提供したい | API Gateway + Lambda or ALB |
| SaaSとセキュアに接続したい | AWS PrivateLink |
| ユーザーの端末(社員など)からAWSへアクセス | AWS Client VPN |
| S3/DynamoDBへインターネットを介さずアクセス | VPC Endpoint (Gateway型) |
④ 混同しやすいAWSサービスの対比表
混同しがちなサービスの、それぞれの違いと選定ポイントです。
| 比較対象 | 違い/注意点 |
|---|---|
| VPC Peering vs Transit Gateway | Peeringはシンプル・小規模向け。Transit Gatewayは多対多・管理効率化。 |
| PrivateLink vs VPC Peering | PrivateLinkはサービス単位の接続、PeeringはVPC全体を接続。 |
| API Gateway vs ALB | API管理・認証・課金機能はAPI Gateway、HTTPルーティングはALB向け。 |
| Client VPN vs Site-to-Site VPN | 個人端末向けがClient VPN、拠点接続はSite-to-Site VPN。 |
⑤ Transit Gatewayを使ってオンプレミスと複数VPCを繋ぐ方法
AWS SAPの資格試験の勉強をしていると、Transit Gatewayを使ってオンプレミスと複数VPCを繋ぐ問題が結構多かったので、こちらもご紹介します。
Site-to-Site VPN(またはDirect Connect)と Transit Gatewayを使ってオンプレミスと複数VPCを繋ぐ方法
AWSでハイブリッドクラウド構成を実現する際、オンプレミス環境と複数のVPCを効率よく接続するには、Transit Gateway(TGW)とSite-to-Site VPNの組み合わせが有効です。
この構成は、複雑になりがちなVPC間ルーティングや拠点間接続を、1つの集約ポイント(TGW)に集めてシンプルに管理できる点が最大のメリットです。
Site-to-Site VPNの代わりに Direct Connectを使用すると、オンプレミスとTransit Gateway間の接続をよりセキュアにすることも可能です。
▼
(画像出典:AWS公式サイト)
https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-transit-gateway-vpn.html
また、Transit Gatewayはリージョナルサービスのため、別リージョンのVPCと接続したい場合はそれぞれのリージョンでTransit Gatewayを作成し、それらをピアリング接続するか、Direct Connectなどで接続する必要があります。
▼
(画像出典:AWS公式サイト)
https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-aws-transit-gateway.html
こちらの例ではリージョン毎にTransit Gatewayを作成し、Direct Connect Gatewayで繋いでいます。
🧩 おわりに
AWSの接続方式は本当に種類が多く、最初はどれを使えばいいのか迷ってしまいますよね。
私自身も資格試験の勉強を進める中で、「この違い、ちゃんと整理しておきたいな」と思ってこの記事をまとめました。
もし、この記事が同じように学習中の方の参考になればとても嬉しいです。
一緒に頑張っていきましょう!