AWSのカスタマーエンドポイントとゲートウェイエンドポイント
AWSでは、VPC:Virtual Private Cloud内からAWSサービスにアクセスするためにエンドポイントを設定します。エンドポイントには主に以下の2種類があります。
- カスタマーエンドポイント(Interface Endpoint)
- ゲートウェイエンドポイント(Gateway Endpoint)
1. カスタマーエンドポイント(Interface Endpoint)
概要
- VPCエンドポイントとしてElastic Network Interface(ENI)を使用し、AWSサービスやカスタムサービスに接続するエンドポイントです。
- AWS PrivateLinkを基盤として動作します。
特徴
-
対応サービス:
- AWSの多くのサービス(例: CloudWatch、SNS、Secrets Managerなど)
- カスタムサービス(AWS PrivateLinkを利用)
-
構成方法:
- ENIがVPC内に作成され、サービスとのプライベート接続を実現。
-
コスト:
- 利用料金が発生(時間単位とデータ処理量)。
-
セキュリティ:
- セキュリティグループでトラフィック制御が可能。
ユースケース
- CloudWatch LogsやSNSなどのAWSサービスへのプライベート接続。
- AWS PrivateLinkを活用したカスタムサービスの公開・利用。
- 複数のVPC間でのプライベート通信。
2. ゲートウェイエンドポイント(Gateway Endpoint)
概要
- VPC内のリソースが、特定のAWSサービス(S3、DynamoDB)にアクセスするために使用するエンドポイントです。
- ゲートウェイ型で、VPCのルートテーブルを通じてトラフィックを管理します。
特徴
-
対応サービス:
- S3
- DynamoDB
-
構成方法:
- ルートテーブルにエントリを追加し、特定のトラフィックをゲートウェイエンドポイント経由で送信。
-
コスト:
- 無料(対象サービスの通常利用料金のみ)。
-
セキュリティ:
- エンドポイントポリシーでアクセス制御が可能。
ユースケース
- S3バケットへのプライベートアクセス(インターネットを介さずに通信)。
- DynamoDBをVPC内で利用する際のセキュリティ強化。
- コストを抑えたネットワーク構成。
3. カスタマーエンドポイントとゲートウェイエンドポイントの比較
| 特徴 | カスタマーエンドポイント | ゲートウェイエンドポイント |
|---|---|---|
| 対応サービス | 多くのAWSサービス、カスタムサービス | S3、DynamoDB |
| 接続方法 | ENIを使用したインターフェイス型 | ルートテーブルを使用したゲートウェイ型 |
| 料金 | 有料(時間単位 + データ処理料金) | 無料(サービスの通常料金のみ) |
| ネットワーク構成 | 複数のENIを作成するため柔軟だがやや複雑 | シンプル(ルートテーブルのみ設定) |
| セキュリティ制御 | セキュリティグループで制御 | エンドポイントポリシーで制御 |
| ユースケース | CloudWatch、SNS、カスタムサービスへの接続 | S3やDynamoDBへのプライベートアクセス |
4. どちらを選ぶべきか?
カスタマーエンドポイントが適している場合
- AWSサービス全般(例: SNS、Secrets Manager、CloudWatch Logs)やカスタムサービスをプライベート接続で利用したい場合。
- セキュリティグループで細かいアクセス制御を行いたい場合。
ゲートウェイエンドポイントが適している場合
- S3やDynamoDBへのアクセスをセキュアかつ低コストで構成したい場合。
- ネットワーク設計をシンプルにしたい場合。
5. まとめ
- カスタマーエンドポイントは、幅広いAWSサービスやカスタムサービスに対応し、柔軟性のある接続方法を提供しますが、料金が発生します。
- ゲートウェイエンドポイントは、S3やDynamoDBへの通信をインターネットを介さずに低コストで実現します。
参考
- chatgptの回答