S3使われるインターフェース型のエンドポイントとゲートウェイ型エンドポイントについて整理してみました。
S3にアクセスするためにゲートウェイ型のエンドポイントが使われますがもう一つのエンドポイントがあります。
それがインターフェース型のエンドポイント。
この二つのエンドポイントのメリットデメリットを理解してどのような使い方をするのかをまとめてみました。
結論から言うと、他のAWSアカウント、データセンター側からアクセスするときはインターフェース型のエンドポイントを使用する。
内部でアクセスしたいならゲートウェイ型のエンドポイントを使用します。
それぞれのエンドポイントの特徴
-
インターフェース型のエンドポイント
・VPCのプライベートIPアドレスを使用してS3にアクセスする
・オンプレミスからのアクセスを許可する
・VPCのピアリング、Transit Gatewayを使用する別のAWSリージョンにあるVPCからのアクセスを許可する
・課金あり -
ゲートウェイ型のエンドポイント
・S3パブリックIPアドレスを使用する
・オンプレミスからのアクセスを許可しない
・別のAWSリージョンからのアクセスを許可しない
・課金なし
他にもありますが詳しくは下の参照記事のリンクにある公式ドキュメントに記載されています。
インターフェース型のエンドポイントを使用するとき
特徴を見てもらえればわかると思いますがデータセンターからアクセスをするとき、そして他のAWSアカウントからアクセスをするときに利用します。
イメージでいうとざっくりこんな感じです。
データセンターからアクセスするときはDirectConnectからTransit Gatewayを通りS3エンドポイントからS3へといった流れです。
またエンドポイントはプライベートサブネットに設置します。
ゲートウェイ型のエンドポイントを使用するとき
オンプレミスからアクセスが不要な場合、外部からのアクセスが必要がない場合に利用します。
エンドポイントはVPCに紐づいています。
これを見てみると外部からアクセスができないように見えますが専用のバケットポリシーなどを使用して外から入れるように設定することはできます。
またどこかでバケットポリシーについて書きたいと思います。
他にもこんな記事を書いています!
参照記事
Amazon S3 用の AWS PrivateLink
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/privatelink-interface-endpoints.html
S3エンドポイント(Interface型)を使用してVPN経由でS3にアクセスする
https://wellknowledge.org/s3-endpoint-interface/