Open2
S3 の VPC エンドポンイト
shellingford概要
インターネットゲートウェイを経由せず S3 などの VPC 外の AWS サービスにアクセスできる VPC エンドポイント。
VPC エンドポイントにはゲートウェイ型とインターフェイス型の 2 種類がある。
ゲートウェイ型エンドポイント
名前の通りゲートウェイとして動作し、サブネットに紐づいているルートティングによりゲートウェイを通る。つまり、ゲートウェイ型の VPC エンドポイントを設定すると、ルーティングテーブルに変更が加わる。
ルーティングに S3 のエンドポイントである com.amazonaws.ap-northeast-1.s3 などのいくつかのグローバル IP へのルーティングが追加されている。
それ故にプライベートサブネットのネットワーク ACL でローカルアドレスのみに限定すると、S3 へのアクセス出来なくなる。
しかし、対応しているサービスが S3 と DynamoDB のみ対応。
インターフェイス型エンドポイント
インターフェイス型の場合は、ENI を利用して VPC 内部にサービスのエンドポイントが発行される。
参考
shellingfordゲートウェイ型 VS インターフェイス型
| ゲートウェイ型 | インターフェイス型 |
|---|---|
| S3 のパブリック IP アドレスを使用 (com.amazonaws.ap-northeast-1.s3) |
VPC のプライベート IP アドレスを使用 |
| 同じ Amazon S3 DNS 名を使用 (com.amazonaws.ap-northeast-1.s3) |
エンドポイント固有の Amazon S3 DNS 名を使用 ({id}.s3.us-east-1.vpce.amazonaws.com) |
| 別リージョンからのアクセスを許可しない | VPC Peering または Transit Gateway を使用する別リージョンにある VPC からのアクセスを許可 |
| 課金されない | 追加課金される |