にほんブログ村
例えば、S3 や DynamoDB などといったサービスは、インターネットから直接利用できる、VPC 外の AWS サービスとなります。
これらへのアクセスは、VPC 内の AWS リソースからインターネットゲートウェイを経由して通信します。つまり、通信がインターネットに一度出ます。
セキュリティーを考えると、インターネットには出したくないというケースもあるでしょう。そこで VPC エンドポイントです。
VPC エンドポイントとは
VPC エンドポイントは、セキュリティ上の制約でインターネットとの通信が制限されているプライベートサブネット内の AWS リソースから、インターネットゲートウェイを経由せずに、VPC 外の AWS サービスへアクセス可能にする機能です。
VPC エンドポイントの種類と特徴
VPC エンドポイントには 3種類があり、それぞれ利用できるAWS サービスが異なります。
1. ゲートウェイエンドポイント(ゲートウェイ型)
ゲートウェイエンドポイントは、Amazon S3 または DynamoDB のみ対応しています。
S3 や DynamoDB へ接続したいリソースが配置されている VPC に VPC エンドポイントを割り当て、ルートテーブルにターゲットが VPC エンドポイントのルーティングを設定します。
DynamoDB はゲートウェイ型のみ利用できますが、S3 はゲートウェイ型と PrivateLink の両方で利用可能です。
ゲートウェイエンドポイントは料金なしで使用できます。
2. インターフェイスエンドポイント(AWS PrivateLink(インターフェイス型))
インターフェイスエンドポイントは AWS PrivateLink を使用し、サービスを送信先とするトラフィックのためのポイントとして Elastic Network Interface (ENI) を使用します。
サービスへ接続したいリソースが配置されているサブネットにプライベートIPアドレスを持つENIを作成し、ENIとサービスをリンクさせます。
数多くの AWS サービスに対応しています。
AWS PrivateLinkと統合できる AWS のサービス
プライベート IP アドレスを使用して、VPC 内、オンプレミス、または VPC ピアリングや AWS リージョン を使用する別の AWS Transit Gateway にある VPC から Amazon S3 にリクエストをルーティングすることにより、ゲートウェイエンドポイントの機能を拡張します。
時間単位の使用料金とデータ処理料金が課金されます。
ゲートウェイ型とインターフェース型の比較
3. Gateway Load Balancer エンドポイント
ゲートウェイロードバランサーのエンドポイントは AWS PrivateLink を使用し、サービスを送信先とするトラフィックのためのポイントとして Elastic Network Interface (ENI) を使用します。
時間単位の使用料金とデータ処理料金が課金されます。
VPC エンドポイントポリシー
エンドポイントの作成時、または変更時にエンドポイントにアタッチする IAM リソースポリシーのことです。
注意点は、以下の通りです
- エンドポイントの作成時にポリシーを適用しない場合、サービスへのフルアクセスを許可するデフォルトのポリシーが適用
- サービスがエンドポイントポリシーをサポートしていない場合、エンドポイントはサービスへのフルアクセスを許可
エンドポイントポリシーは、IAM ユーザーポリシーやサービス固有のポリシー (S3 バケットポリシーなど) を上書き、または置き換えません。これは、エンドポイントから、指定されたサービスへのアクセスを制御するための別のポリシーであるためです。
また、1つのエンドポイントに複数のポリシーを関連付けることはできません。
ポリシーはいつでも変更可能です。
おもしろかったら、フォローしてください!
最近の人気ブログ TOP 10:
- 夢の国で起きた悲劇 ~ディズニーリゾートで心中した一家~
- 新潟県六日町トンネル内灯油焼殺事件 ~16歳と19歳の恋愛に嫉妬した三十路の暴力団組員~
- 知られざる女子高生コンクリ詰め殺人発覚当時の報道(後編)
- 仙台アルバイト女性集団暴行殺人
- 犬鳴峠リンチ焼殺事件 ~超凶悪少年犯罪~
- 浜田省吾 – 聖地巡礼情報 –
- 浜田省吾ファンからの広島旅行のおすすめ
- 未成年に踏みにじられた25歳の純情 ―実録・おやじ狩り被害―
- R40「城東工業高校のテル」はいま
- 高崎山の王・ベンツ ~ミスターニホンザルの生涯~
関連する記事:
- AWSを学ぶ(1)VPCを理解しよう
- AWSを学ぶ(2)VPCを作ってみよう
- AWSを学ぶ(3)ゲートウェイとセキュリティーについて
- AWSを学ぶ(4)EC2を理解しよう
- AWSを学ぶ(5)EC2の性能とコストの考え方
- AWSを学ぶ(6)EC2 を使ってみよう
- AWSを学ぶ(7)Route 53 について
- AWSを学ぶ(8)CloudFront って何だろう
- AWSを学ぶ(9)ELB を使ってみよう
- AWSを学ぶ(10)RDSとは
- AWSを学ぶ(11)ストレージサービス
- AWSを学ぶ(12)EC2のイメージ取得と起動
- AWSを学ぶ(13)VPC、EC2、ELB、Route 53 を使ってみる
- AWSを学ぶ(14)S3とは
- AWSを学ぶ(15)Glacier とは何か?どの様に使うのか?
- AWSを学ぶ(16)IAMについて
- AWS を学ぶ(17)CloudWatch を使ってみる
- AWS を学ぶ(18)CloudFront を使ってみる
- AWS を学ぶ(19)AWS の暗号化サービス
- AWS を学ぶ(20)AWS Certificate Manager を使ってみる
- AWS を学ぶ(21)Elastic Beanstalk って何だろう?
- AWS を学ぶ(24)3つのメッセージングサービス
- パブリッククラウドを学ぶ
- MS Azure を学ぶ (0) 用語比較
- AWSを学ぶ(25)VPCエンドポイントを理解しよう
最近の記事:
- 列島を凍り付かせた未成年たちの凶行~ 1988年・名古屋アベック殺人事件~ 第一話
- 最近の推し新人アーティスト
- 1990年・ドラクエ Ⅳ 放火事件 ~ドラクエ熱で焼けた家~
- 目指せ!暴力団構成員 ~1973年・現役ヤクザが熱血指導!~ “暴力団組員養成塾”
- Linux で iSCSI イニシエーター設定 (Ubuntu 編)
- 1954年・日光参道で修学旅行生同士が乱闘 ~広島県立山陽高校vs.青森市立第一高校~
- 1962年・岐阜抗争
- サンバのリズムにキレた男 2016年・杉並サンバ祭り会場火炎瓶事件
- 愚か者たちが夢の跡「福ちゃん荘」~1969年・大菩薩峠事件~
- 神秘の世界をのぞいた代償~女子トイレをのぞいた元少年の懺悔~
