インターフェイスエンドポイントとゲートウェイエンドポイントは、AWS VPC内から特定のAWSサービスにインターネットを介さずにアクセスするためのVPCエンドポイントの2つの種類です。どちらもAWSリソースへのプライベートアクセスを提供しますが、対応するサービスや接続方法が異なります。
1. インターフェイスエンドポイント (Interface Endpoint)
インターフェイスエンドポイントは、VPC内からAWSサービスに接続するために**ENI(Elastic Network Interface)**を使用するタイプのエンドポイントです。
- 対応サービス: 多くのAWSサービス(例:Amazon EC2、AWS Systems Manager、Amazon SNS、S3のクロスリージョン複製など)に対応しています。特にAPIを使用するサービスに適しています。
- 動作の仕組み: サブネットごとにENIが作成され、サービスへの通信がこのENIを介して行われます。
- セキュリティ制御: 各ENIにはセキュリティグループが設定可能で、細かくアクセス制御ができます。
-
利点:
- AWSプライベートリンク(PrivateLink)を利用し、インターネットを介さずにプライベートIPでAWSサービスにアクセス。
- サービスとの双方向通信が可能で、ENIにセキュリティグループを適用することで細かなアクセス制御が可能。
2. ゲートウェイエンドポイント (Gateway Endpoint)
ゲートウェイエンドポイントは、VPCのルートテーブルにエントリを追加することで、特定のAWSサービス(主にストレージ系)にプライベートにアクセスできるタイプのエンドポイントです。
- 対応サービス: Amazon S3およびDynamoDBのみ対応。
- 動作の仕組み: VPCのルートテーブルにエントリを追加し、そのルートを経由して対象サービスへプライベートにアクセスします。
- セキュリティ制御: ルートテーブルやIAMポリシーによってアクセス制御が行われます。セキュリティグループの設定はありません。
-
利点:
- インターネットゲートウェイやNATゲートウェイが不要で、データ転送料金が節約される。
- 他のエンドポイントよりも低コストで、アクセスが簡素。
比較まとめ
| 特性 | インターフェイスエンドポイント (Interface Endpoint) | ゲートウェイエンドポイント (Gateway Endpoint) |
|---|---|---|
| 対応サービス | 多くのAWSサービス | Amazon S3、DynamoDB |
| 通信方法 | ENIを利用(プライベートリンク経由) | ルートテーブルにエントリを追加して通信 |
| セキュリティ制御 | セキュリティグループ適用可能 | IAMポリシーおよびルートテーブルで制御 |
| 利点 | 広範囲のサービスに対応、細かいアクセス制御 | コスト効率が高い、ストレージアクセスに最適 |
まとめ
- インターフェイスエンドポイントは、さまざまなAWSサービスとENIを介して接続でき、セキュリティグループによる制御が可能です。
- ゲートウェイエンドポイントは、S3やDynamoDBのみに対応し、ルートテーブルを使用してコスト効率よくアクセスを提供します。
このように、接続先のサービスやアクセス制御の必要性によって、どちらのエンドポイントを使用するかを選択します。