4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@zawminhtay(ティン ゾーミン)in株式会社イースト・コースト・ワン

【AWS】VPCエンドポイントを深く理解してみた(Gateway / Interface / PrivateLink 徹底整理)

4
Last updated at Posted at 2026-02-24

はじめに

VPCエンドポイントは単なる「NATの代わり」ではありません。

本質は、

AWSサービスへの通信経路を、インターネットを介さずAWS内部に固定する仕組み

です。

本記事では以下を整理します。

  • Gateway型(S3 / DynamoDB)
    • ※S3にはInterface型も存在する
  • Interface型(ほぼ全サービス対応)
  • PrivateLink(Interfaceの拡張概念)
  • それぞれのユースケース

1. Gateway型エンドポイント(S3 / DynamoDB)

概要

Gateway型は「ルートテーブル制御型」です。

ルートテーブルに AWS 管理の Prefix List が追加され、
対象サービス宛の通信が専用経路へ送られます。

特徴

  • 対象:S3 / DynamoDB
  • ENIは作成されない
  • セキュリティグループ制御不可
  • 追加料金なし
  • ルートレベル(L3)で制御

ユースケース

① プライベートサブネットからS3へアクセス

  • アプリログをS3へ保存
  • バックアップ保存
  • アプリケーションデータ保存

→ NATを使わず、閉域通信を実現

② コスト最適化

  • NAT Gatewayのデータ転送料金を削減
  • シンプル構成

→ S3 / DynamoDBのみ利用なら最適解

注意点

  • オンプレミス(Direct Connect経由)からは利用不可
  • セキュリティグループで制御できない

■ NAT経由(従来構成)

■ Gateway型利用時

2. ※S3にはInterface型も存在する

S3は例外的に、

  • Gateway型
  • Interface型(PrivateLink)

の両方をサポートしています。

S3 Interface型が必要になるケース

  • オンプレ → Direct Connect → S3 を閉域接続したい
  • セキュリティグループでアクセス制御したい
  • ルーティングを統一したい

通常はGateway型で十分ですが、
企業ネットワーク統合設計ではInterface型が必要になることがあります。

■ オンプレ → Direct Connect → S3 Interface型

3. Interface型エンドポイント(ほぼ全サービス)

概要

Interface型は「ENI作成型」です。

各AZにPrivate IPを持つENIが作成されます。

特徴

  • ENIが作成される
  • セキュリティグループ制御可能
  • Private DNS対応
  • 時間課金+データ課金
  • L4接続点を作るイメージ

■ Interface型

ユースケース

① SSMで踏み台不要構成

  • インターネット接続なし
  • 完全閉域EC2運用

② Secrets Manager / KMSアクセス

  • セキュアなAPIアクセス
  • VPC内限定通信

③ オンプレミス連携(S3 Interface含む)

  • Direct Connect経由でAWS API利用
  • 閉域構成の企業環境

4. PrivateLink(Interfaceの拡張概念)

PrivateLinkは、

Interface型をVPC間/アカウント間接続に拡張した仕組み

です。

■ Consumer VPC → Provider VPC

ユースケース

① マルチアカウント構成

  • 共通サービスVPCを提供
  • 各アカウントからPrivate接続

② SaaS接続

  • SaaSサービスへ閉域接続
  • インターネット経由不要

③ セキュアなサービス公開

  • インターネット公開せずにAPI提供
  • 社内専用サービス公開

5. 3つの違いまとめ

項目 Gateway型 Interface型 PrivateLink
制御方式 ルート ENI ENI + NLB
主対象 S3 / DynamoDB ほぼ全AWSサービス VPC間 / SaaS
SG制御 不可 可能 可能
オンプレ接続 不可 可能 可能
コスト 無料 有料 有料

6. 設計判断の指針

S3 / DynamoDBのみなら

→ Gateway型

API系サービス利用

→ Interface型

VPC間やSaaS連携

→ PrivateLink

オンプレ閉域連携

→ Interface型(S3含む)

まとめ

VPCエンドポイントは3つの概念で整理できます。

  • Gateway型(S3 / DynamoDB)
  • Interface型(ほぼ全サービス)
  • PrivateLink(Interfaceの拡張)

そして重要なのは、

S3はGatewayとInterfaceの両方を持つ例外的サービス

設計時は、

  • どの層で制御するのか(ルート or ENI)
  • オンプレ接続はあるか
  • セキュリティグループ制御が必要か
  • コスト要件

を基準に選択すると整理しやすくなります。

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?