Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Search
SUZUKI Masashi
November 21, 2025
Technology
0
83
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
社内勉強会で発表したVPC Endpointの説明資料
SUZUKI Masashi
November 21, 2025
Tweet
Share
More Decks by SUZUKI Masashi
See All by SUZUKI Masashi
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
masasuzu
2
880
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
masasuzu
0
230
2025-09-19 クラウドにおけるシークレット管理
masasuzu
0
290
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
masasuzu
0
46
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
masasuzu
2
600
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
masasuzu
0
680
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
masasuzu
0
2k
2024-03-29 SRETT9 Cloud SQLの可用性について
masasuzu
0
540
2023-12-18 SRETT8 Terraform使いがPulumiに入門する
masasuzu
0
2.6k
Other Decks in Technology
See All in Technology
Identity Management for Agentic AI 解説
fujie
0
500
"人"が頑張るAI駆動開発
yokomachi
1
630
日本Rubyの会: これまでとこれから
snoozer05
PRO
6
250
投資戦略を量産せよ 2 - マケデコセミナー(2025/12/26)
gamella
0
500
テストセンター受験、オンライン受験、どっちなんだい?
yama3133
0
190
AIBuildersDay_track_A_iidaxs
iidaxs
4
1.4k
技術選定、下から見るか?横から見るか?
masakiokuda
0
120
MySQLのSpatial(GIS)機能をもっと充実させたい ~ MyNA望年会2025LT
sakaik
0
150
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
smartbank
9
15k
オープンソースKeycloakのMCP認可サーバの仕様の対応状況 / 20251219 OpenID BizDay #18 LT Keycloak
oidfj
0
200
2025-12-27 Claude CodeでPRレビュー対応を効率化する@機械学習社会実装勉強会第54回
nakamasato
4
1.2k
コールドスタンバイ構成でCDは可能か
hiramax
0
110
Featured
See All Featured
Un-Boring Meetings
codingconduct
0
170
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
230
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.1k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
270
What does AI have to do with Human Rights?
axbom
PRO
0
1.9k
Paper Plane (Part 1)
katiecoart
PRO
0
2.2k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
130
Abbi's Birthday
coloredviolet
0
3.9k
Technical Leadership for Architectural Decision Making
baasie
0
190
Rails Girls Zürich Keynote
gr2m
95
14k
Amusing Abliteration
ianozsvald
0
72
Bash Introduction
62gerente
615
210k
Transcript
改めて理解するVPC Endpoint Copyright © 3-shake, Inc. All Rights Reserved. 2025-11-21
スリーシェイクエンジニア勉強会 (社内) 株式会社スリーシェイク すずきまさし
Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •
すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部シニアアーキテクト • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ▪ Google Cloud Partner Top Engineer 2026 ◦ Terraform
• VPC Endpointってなに? • どんな種類があるの? • どういう仕組みなの? • なんで必要なの? •
まとめ Copyright © 3-shake, Inc. All Rights Reserved. 目次 3
VPC EndpointにはVPC外のリソースに対して接続する役割があり、 いろいろなサービスと接続できます。 今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。 Copyright © 3-shake, Inc. All
Rights Reserved. おことわり 4
Copyright © 3-shake, Inc. All Rights Reserved. VPC Endpointってなに? 01
5
今回はPrivate SubnetからS3バケットにア クセスする例を考えます。 S3バケットはパブリックネットワークにある ので、何かしらの方法でVPC外部通信をす る必要があります。 Copyright © 3-shake, Inc.
All Rights Reserved. VPC Endpointってなに? 6
Public SubnetにNAT Gatewayを配置し て、パブリックネットワーク経由でアクセスす るのが無難な方法ではあります。 しかしながら、インターネットに接続ができて しまうので、VPC内のリソースが余計なアウ トバウンド通信ができてしまう懸念がありま す。 Copyright
© 3-shake, Inc. All Rights Reserved. NAT Gatewayの利用 7
VPC Endpointを使うことによって閉域網の ままで、AWSサービスに対してのアクセスを 提供できるようになります。 Copyright © 3-shake, Inc. All Rights
Reserved. そこでVPC Endpointですよ 8
VPCからVPC外のリソースにアクセスする 際のエンドポイント。 特にInterface EndpointはPrivate Linkの一 部として機能します。 Copyright © 3-shake, Inc.
All Rights Reserved. つまりVPC Endpointとは 9
Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 02 10
以下の3つの種類があります。 • Interface Endpoint • Gateway Endpoint • Gateway Load
Balancer Endpoint(今回は触れない) Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 11
• 対応サービスが多い • オンプレミスから接続可能 • Security Groupでアクセス制御可能 • DNSを利用してトラフィック制御 ◦
Interface EndpointのIPアドレスにサービスの DNS名を登録 • サブネットにENIを接続 • 課金単位はENIの時間単価と転送量 Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 12
• 歴史が古くS3とDynamoDBのみ対応している • ルーティングを利用してEndpointへのトラフィックを制御している ◦ サービスのIPアドレスをprefixlistに登録 ◦ Route TableにprefixlistのNext HopをGateway
Endpointに設定 • 追加料金なし ◦ S3とDynamoDBを使っているなら使わない理由がない Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 13
Copyright © 3-shake, Inc. All Rights Reserved. どういう仕組みなの? 03 14
Interface EndpointとGateway Endpointの動作の違いについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの? 15
名前解決の仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからInterface EndpointのPrivate IPアドレスを取得 3. Interface
Endpointにアクセス Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 16
ルーティングの仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからS3サービスの Public IPアドレスを取得 3. Route
Tableを参照する a. S3 prefixlistにIPアドレスが含まれているの でNext Hopに指定されているGateway Endpointにフォワード Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 17
オンプレミスからアクセスする際は Interface Endpointを利用します。 名前解決に関してはオンプレのDNSサー バとRoute53 Inbound Endpontを連携し ます。 Copyright ©
3-shake, Inc. All Rights Reserved. 参考: オンプレミスからAWSサービスにアクセスする場合 18
Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 04 19
説明済みの部分もありますが改めて以下のところがあるかと思います • 完全閉域で使いたいとき ◦ 余計なアウトバウンドアクセスをさせたくない ◦ AWS外(オンプレなど)からAWSサービスにアクセスさせたい • ポリシーを適用させたいとき ◦
ex 特定のS3バケットのみアクセスを許可したい ◦ ex 特定のVPC Endpointからのアクセスのみ許可したい • 通信料が多いとき ◦ NAT Gatewayは通信料が高い ◦ ex 大量のログが流れる ◦ ex コンテナイメージのpullが多い Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 20
ポリシーが設定できる場所は3箇所 • IAM Policy ◦ ex アクセス許可を与える • Endpoint Policy
◦ ex 特定のRoleのみ許可を与える • Bucket Policy ◦ ex 特定のVPCEからのみ許可を与える Copyright © 3-shake, Inc. All Rights Reserved. ポリシーを適用させたい 21
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance" }, "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Endpoint Policy例 22 特定のRoleのみ使わせたい
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*",
"Action": "s3:*", "Resource": [ "arn:aws:s3:::YOUR-BUCKET-NAME", "arn:aws:s3:::YOUR-BUCKET-NAME/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Bucket Policy例 23 特定のVPC Endpointのみ許可する
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ たらと思います。 • VPC Endpoint ◦ 利用料 USD 0.014/hour
◦ 転送量 ▪ 最初の 1 PB 0.01 USD/GB ▪ 次の 4 PB 0.006 USD/GB ▪ 5 PB 以上のもの 0.004 USD/GB • NAT Gateway ◦ 利用料 USD 0.062/hour ◦ 転送量 USD 0.062/GB Copyright © 3-shake, Inc. All Rights Reserved. 通信料が多い 24
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 25
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。 特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。 特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。 よいVPC Endpointライフを! Copyright © 3-shake, Inc.
All Rights Reserved. まとめ 26
masasuzu
fujie
yokomachi
snoozer05
gamella
yama3133
iidaxs
masakiokuda
sakaik
smartbank
oidfj
nakamasato
hiramax
codingconduct
mfonobong
irinanazarova
jct
axbom
katiecoart
davetheseo
coloredviolet
baasie
gr2m
ianozsvald
62gerente
