ネットワーク ・
VPC Endpoint とは?Gateway 型・Interface 型の違いとコスト削減
VPC Endpoint は VPC から AWS サービス(S3 / DynamoDB / Lambda 等)へインターネットを経由せず接続する機能。NAT Gateway やパブリック IP 不要で、AWS 内部の高速・安全な経路で通信できる。コスト削減(NAT GW ...
VPC からインターネットを経由せず AWS サービスにプライベート接続する機能。
1. 概要(端的に)
VPC Endpoint は VPC から AWS サービス(S3 / DynamoDB / Lambda 等)へインターネットを経由せず接続する機能。NAT Gateway やパブリック IP 不要で、AWS 内部の高速・安全な経路で通信できる。コスト削減(NAT GW 経由のデータ処理料金を回避)と セキュリティ向上(インターネット非経由)の両面で重要。
2. 何ができるか
- AWS サービスへのプライベート接続:S3 / DynamoDB / Lambda / SQS / SNS 他 100+ サービス
- NAT GW 不要:プライベートサブネットからも AWS サービスに到達
- セキュリティ向上:VPC 内に閉じた通信
- コスト削減:NAT GW のデータ処理料金回避(特に S3 / DynamoDB)
2 種類のエンドポイント
| 種類 | 対応サービス | 仕組み |
|---|---|---|
| Gateway 型 | S3 / DynamoDB のみ | ルートテーブルにエントリ追加 |
| Interface 型(PrivateLink) | 100+ サービス | VPC に ENI 配置、プライベート IP 提供 |
3. 特徴
Gateway 型
| 観点 | 特徴 |
|---|---|
| 対応 | S3 / DynamoDB のみ |
| 追加料金 | 無料 |
| 設定 | ルートテーブルにエントリ追加 |
| アクセス | 既存の S3 / DynamoDB エンドポイントに自動で迂回 |
| クロスリージョン | 同一リージョン内のみ |
Interface 型(PrivateLink)
| 観点 | 特徴 |
|---|---|
| 対応 | 100+ AWS サービス + サードパーティ + 自社サービス |
| 追加料金 | $0.01/h × ENI 数 + データ処理 $0.01/GB |
| 設定 | VPC 内に ENI が配置される |
| アクセス | プライベート DNS 名で透過アクセス |
| AZ 配置 | 各 AZ に ENI(高可用性) |
4. 仕組み
Gateway 型の動作
プライベート EC2
↓ 0.0.0.0/0 → NAT? いや、S3 プレフィックスリストに該当
↓ pl-xxx → Gateway Endpoint
↓ AWS 内部経路
[S3]ルートテーブルに自動追加されるエントリにより、S3 / DynamoDB へのトラフィックがエンドポイント経由になる。インターネットを通らない。
Interface 型の動作
プライベート EC2
↓ DNS 解決:servicename.region.amazonaws.com
↓ プライベート DNS で ENI の IP に変換
↓ ENI 経由
[AWS サービス]VPC 内に作成された ENI 経由でアクセス。プライベート DNS により、コードを変更せずに使える。
コスト削減効果
[従来]
プライベート EC2 → NAT GW → IGW → S3
→ NAT GW データ処理 $0.062/GB
[VPC Endpoint]
プライベート EC2 → Gateway Endpoint → S3
→ Gateway 型なら追加料金ゼロ
→ 大量転送なら劇的なコスト削減エンドポイントポリシー
- VPC Endpoint 経由でアクセス可能なリソースを制限可能
- 例:「特定の S3 バケットのみアクセス可」
5. ユースケース
ユースケース 1:プライベート EC2 からの S3 アクセス
NAT GW 回避でコスト削減 + セキュリティ向上。
ユースケース 2:プライベート Lambda からの DynamoDB
VPC Lambda + Gateway Endpoint で高速・安全。
ユースケース 3:オンプレからの AWS サービス利用
Direct Connect → VPC → Interface Endpoint → S3 等。
ユースケース 4:金融・医療の規制対応
インターネットを通さない AWS サービス利用。
ユースケース 5:ECR 経由のコンテナ pull
NAT GW を経由せず ECR からイメージ取得。
6. 関連用語
- VPC — Endpoint の基盤
- S3 / DynamoDB — Gateway 型対応
- NAT-Gateway — 代替・コスト比較対象
- PrivateLink — Interface 型の基盤技術
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | プライベート接続の概念 |
| SAA | 高 | コスト最適化・セキュリティ向上 |
| DVA | 高 | Lambda VPC からの S3 / DynamoDB 接続 |
| SOA | 高 | NAT GW 料金削減運用 |