Slide 1
Slide 1 text
改めて理解するVPC Endpoint
Copyright © 3-shake, Inc. All Rights Reserved.
2025-11-21
スリーシェイクエンジニア勉強会
(社内)
株式会社スリーシェイク すずきまさし
Slide 2
Slide 2 text
Copyright © 3-shake, Inc. All Rights Reserved.
おまえだれよ
2
● すずきまさし/masasuzu/@masasuz
● 株式会社スリーシェイクSreake事業部シニアアーキテクト
● クラウドインフラなんでも屋さんをしてます
○ お客様の外部から
■ 設計、運用、構築等の技術支援を行います。
○ お客様の内部から
■ インフラチームの一員として内製化支援も行います。
● 得意領域
○ AWS
■ AWS Community Builder Cloud Operation Since 2024
■ 2025 Japan All AWS Certifications Engineers
○ Google Cloud
■ Google Cloud Partner Top Engineer 2026
○ Terraform
Slide 3
Slide 3 text
● VPC Endpointってなに?
● どんな種類があるの?
● どういう仕組みなの?
● なんで必要なの?
● まとめ
Copyright © 3-shake, Inc. All Rights Reserved.
目次
3
Slide 4
Slide 4 text
VPC EndpointにはVPC外のリソースに対して接続する役割があり、
いろいろなサービスと接続できます。
今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。
Copyright © 3-shake, Inc. All Rights Reserved.
おことわり
4
Slide 5
Slide 5 text
Copyright © 3-shake, Inc. All Rights Reserved.
VPC Endpointってなに?
01
5
Slide 6
Slide 6 text
今回はPrivate SubnetからS3バケットにア
クセスする例を考えます。
S3バケットはパブリックネットワークにある
ので、何かしらの方法でVPC外部通信をす
る必要があります。
Copyright © 3-shake, Inc. All Rights Reserved.
VPC Endpointってなに?
6
Slide 7
Slide 7 text
Public SubnetにNAT Gatewayを配置し
て、パブリックネットワーク経由でアクセスす
るのが無難な方法ではあります。
しかしながら、インターネットに接続ができて
しまうので、VPC内のリソースが余計なアウ
トバウンド通信ができてしまう懸念がありま
す。
Copyright © 3-shake, Inc. All Rights Reserved.
NAT Gatewayの利用
7
Slide 8
Slide 8 text
VPC Endpointを使うことによって閉域網の
ままで、AWSサービスに対してのアクセスを
提供できるようになります。
Copyright © 3-shake, Inc. All Rights Reserved.
そこでVPC Endpointですよ
8
Slide 9
Slide 9 text
VPCからVPC外のリソースにアクセスする
際のエンドポイント。
特にInterface EndpointはPrivate Linkの一
部として機能します。
Copyright © 3-shake, Inc. All Rights Reserved.
つまりVPC Endpointとは
9
Slide 10
Slide 10 text
Copyright © 3-shake, Inc. All Rights Reserved.
どんな種類があるの?
02
10
Slide 11
Slide 11 text
以下の3つの種類があります。
● Interface Endpoint
● Gateway Endpoint
● Gateway Load Balancer Endpoint(今回は触れない)
Copyright © 3-shake, Inc. All Rights Reserved.
どんな種類があるの?
11
Slide 12
Slide 12 text
● 対応サービスが多い
● オンプレミスから接続可能
● Security Groupでアクセス制御可能
● DNSを利用してトラフィック制御
○ Interface EndpointのIPアドレスにサービスの DNS名を登録
● サブネットにENIを接続
● 課金単位はENIの時間単価と転送量
Copyright © 3-shake, Inc. All Rights Reserved.
Interface Endpoint
12
Slide 13
Slide 13 text
● 歴史が古くS3とDynamoDBのみ対応している
● ルーティングを利用してEndpointへのトラフィックを制御している
○ サービスのIPアドレスをprefixlistに登録
○ Route TableにprefixlistのNext HopをGateway Endpointに設定
● 追加料金なし
○ S3とDynamoDBを使っているなら使わない理由がない
Copyright © 3-shake, Inc. All Rights Reserved.
Gateway Endpoint
13
Slide 14
Slide 14 text
Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの?
03
14
Slide 15
Slide 15 text
Interface EndpointとGateway Endpointの動作の違いについて説明します。
Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの?
15
Slide 16
Slide 16 text
名前解決の仕組みを利用します
1. S3サービスの名前解決
2. Route53 ResolverからInterface
EndpointのPrivate IPアドレスを取得
3. Interface Endpointにアクセス
Copyright © 3-shake, Inc. All Rights Reserved.
Interface Endpoint
16
Slide 17
Slide 17 text
ルーティングの仕組みを利用します
1. S3サービスの名前解決
2. Route53 ResolverからS3サービスの
Public IPアドレスを取得
3. Route Tableを参照する
a. S3 prefixlistにIPアドレスが含まれているの
でNext Hopに指定されているGateway
Endpointにフォワード
Copyright © 3-shake, Inc. All Rights Reserved.
Gateway Endpoint
17
Slide 18
Slide 18 text
オンプレミスからアクセスする際は
Interface Endpointを利用します。
名前解決に関してはオンプレのDNSサー
バとRoute53 Inbound Endpontを連携し
ます。
Copyright © 3-shake, Inc. All Rights Reserved.
参考: オンプレミスからAWSサービスにアクセスする場合
18
Slide 19
Slide 19 text
Copyright © 3-shake, Inc. All Rights Reserved.
なんで必要なの?
04
19
Slide 20
Slide 20 text
説明済みの部分もありますが改めて以下のところがあるかと思います
● 完全閉域で使いたいとき
○ 余計なアウトバウンドアクセスをさせたくない
○ AWS外(オンプレなど)からAWSサービスにアクセスさせたい
● ポリシーを適用させたいとき
○ ex 特定のS3バケットのみアクセスを許可したい
○ ex 特定のVPC Endpointからのアクセスのみ許可したい
● 通信料が多いとき
○ NAT Gatewayは通信料が高い
○ ex 大量のログが流れる
○ ex コンテナイメージのpullが多い
Copyright © 3-shake, Inc. All Rights Reserved.
なんで必要なの?
20
Slide 21
Slide 21 text
ポリシーが設定できる場所は3箇所
● IAM Policy
○ ex アクセス許可を与える
● Endpoint Policy
○ ex 特定のRoleのみ許可を与える
● Bucket Policy
○ ex 特定のVPCEからのみ許可を与える
Copyright © 3-shake, Inc. All Rights Reserved.
ポリシーを適用させたい
21
Slide 22
Slide 22 text
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance"
},
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance"
}
}
}
]
}
Copyright © 3-shake, Inc. All Rights Reserved.
Endpoint Policy例
22
特定のRoleのみ使わせたい
Slide 23
Slide 23 text
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::YOUR-BUCKET-NAME",
"arn:aws:s3:::YOUR-BUCKET-NAME/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
Copyright © 3-shake, Inc. All Rights Reserved.
Bucket Policy例
23
特定のVPC Endpointのみ許可する
Slide 24
Slide 24 text
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ
たらと思います。
● VPC Endpoint
○ 利用料 USD 0.014/hour
○ 転送量
■ 最初の 1 PB 0.01 USD/GB
■ 次の 4 PB 0.006 USD/GB
■ 5 PB 以上のもの 0.004 USD/GB
● NAT Gateway
○ 利用料 USD 0.062/hour
○ 転送量 USD 0.062/GB
Copyright © 3-shake, Inc. All Rights Reserved.
通信料が多い
24
Slide 25
Slide 25 text
Copyright © 3-shake, Inc. All Rights Reserved.
まとめ
04
25
Slide 26
Slide 26 text
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。
特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。
特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。
よいVPC Endpointライフを!
Copyright © 3-shake, Inc. All Rights Reserved.
まとめ
26