AWSでは、プライベートサブネットからAWSサービスやインターネットへアクセスする方法として、「NAT Gateway」「Gateway Endpoint」「Interface Endpoint」があります。
| 項目 | NAT Gateway | Gateway Endpoint | Interface Endpoint |
|---|---|---|---|
| 通信先 | インターネット経由で到達できる宛先(AWSパブリックエンドポイント、外部サイトなど) | Amazon S3、Amazon DynamoDB | 多くのAWSサービス(SQS、SNS、Secrets Managerなど) |
| インターネット経由 | 必要 | 不要 | 不要 |
| Internet Gateway | 必要 | 不要 | 不要 |
| ENI | あり(AWSが自動作成・管理) | なし | あり(VPC内に作成) |
| 主な用途 | 外部サイトやAWSサービスへのアクセス | S3・DynamoDBへのプライベートアクセス | AWSサービスへのプライベートアクセス |
簡潔なまとめ
- S3・DynamoDB → Gateway Endpoint(基本はこちらを選択)
- SQS・SNS・Secrets Manager・CloudWatch・KMSなど → Interface Endpoint(AWS PrivateLink)
- インターネット上のサービスやAWSパブリックエンドポイント → NAT Gateway
補足
Amazon S3とAmazon DynamoDBは、Gateway EndpointだけでなくInterface Endpoint(AWS PrivateLink)でもプライベート接続できます。ただし、Gateway Endpointは追加料金がかからず構成もシンプルなため、特別な要件がない限りこちらが選択されるのが一般的です。