PR

AWS VPCエンドポイント:インターフェイス、ゲートウェイどちらを使うべき?

vpc-endpoint クラウド

AWSセキュリティを勉強していると、必ず出てくる「VPCエンドポイント」。なんとなくはわかるけど、結局どうしてこれを使うとセキュリティが強化されるの?そんな風に思ったことはありませんか?しかもどうやら種類もあるらしい・・・

そんな頼もしくも理解が難しいVPCエンドポイントについて、初心者の方にも分かりやすく解説していきます。

VPCエンドポイントとは?

VPCエンドポイントとは、VPC(Virtual Private Cloud)内のリソースとAWSサービスをインターネットを経由することなく、内部で接続するための機能です。通常はVPCの外のAWSリソースにアクセスする場合は、インターネット経由である必要がありますが、VPCエンドポイントを使用することにより直接接続できるようになります。

VPCエンドポイントの2つのタイプ

VPCエンドポイントには、主に2つのタイプがあります。

  1. インターフェイスVPCエンドポイント
  2. ゲートウェイVPCエンドポイント

それぞれについて詳しく説明していきますね。

インターフェイスVPCエンドポイント

インターフェイスVPCエンドポイントの概要

インターフェイスVPCエンドポイントは、Elastic Network Interface(ENI)を使用してAWSサービスに接続する形になります。VPC内からプライベートIPアドレスを通じてサービスにアクセスできるようになります。

インターフェイスVPCエンドポイントのユースケース

  • API GatewayやAWS Systems Managerなど、多種多様なAWSサービスへのアクセス
  • プライベートサブネットに配置されたEC2インスタンスからのマネージドAWSサービスへのアクセス
  • 社内ネットワークからのAWSサービスへのセキュアな接続

インターフェイスVPCエンドポイントのコスト

インターフェイスVPCエンドポイントはどのくらいのコストがかかるのでしょうか?課金される対象は以下の通りです。

  • 時間単位の料金:エンドポイントの稼働時間に応じて課金される
  • データ処理料金:エンドポイントを通過するデータ量に応じて課金される

インターフェイスVPCエンドポイントのコスト計算例

東京リージョンで3つのアベイラビリティーゾーン(AZ)にわたって5つのVPCエンドポイントを1ヶ月間使用する場合

  1. 時間単位の料金:
    • 料金: 0.014 USD/時間/エンドポイント
    • 計算: 0.014 USD × 24時間 × 30日 × 5エンドポイント = 50.4 USD
  2. データ処理料金:
    • 料金: 0.01 USD/GB
    • 仮に月間500 GBのデータを処理すると
    • 計算: 0.01 USD × 500 GB = 5 USD
  3. 合計コスト:
    • 50.4 USD + 5 USD = 55.4 USD/月

料金はリージョンやサービスによって異なるため、AWS公式サイトで最新の情報を確認してくださいね。

料金 - AWS PrivateLink | AWS
aws.amazon.com

インターフェイスVPCエンドポイントの設定方法

インターフェイスVPCエンドポイントの設定はマネコンで簡単にできます。以下はシンプルな設定方法になりますので、詳細設定は公式サイトを参照してくださいね。

  1. AWSマネジメントコンソールでVPCサービスに移動
  2. 「エンドポイント」を選択
  3. 「エンドポイントの作成」をクリック
  4. 接続したいサービスを選択
  5. 対象のVPCとサブネットを指定
  6. セキュリティグループを設定
  7. 「エンドポイントの作成」をクリック
インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする - Amazon Virtual Private Cloud
インターフェイスVPCエンドポイントを作成する方法について説明します。
docs.aws.amazon.com

ゲートウェイVPCエンドポイント

ゲートウェイVPCエンドポイントの概要

ゲートウェイVPCエンドポイントは、主にAmazon S3とAmazon DynamoDBへの接続に使用されます。ルートテーブルにエントリを追加することで、これらのサービスへのトラフィックをプライベートに転送します。

ゲートウェイVPCエンドポイントのユースケース

  • S3バケットへのプライベートアクセス(バックアップ、ログ保存など)
  • DynamoDBテーブルへのセキュアな接続
  • データ転送コストの削減(インターネット経由の通信が不要になるため)

ゲートウェイVPCエンドポイントのコスト

ゲートウェイVPCエンドポイントの使用自体は無料です。ただし、S3やDynamoDBの使用に関連する通常の料金は発生します。

例えば、対象のS3へのデータ転送が月間1 TBの場合

  • S3標準ストレージ料金: 0.025 USD/GB/月
  • 計算: 0.025 USD × 1,000 GB = 25 USD/月
料金 - Amazon S3 |AWS
Amazon S3 の料金は、実際に使用した分だけです。無料利用枠を使用することで、無料で開始いただけます。リージョンごとのストレージ料金やストレージマネジメント料金、リクエスト、データ転送、レプリケーション等の料金についてご覧いただけます...
aws.amazon.com
料金 - Amazon DynamoDB | AWS
AWS 無料利用枠を使って、Amazon DynamoDB NoSQL データベースを無料でお試しください。DynamoDB が提供するオンデマンドとプロビジョニングされたキャパシティーという 2 つの柔軟な料金設定で、費用を節約できます。
aws.amazon.com

ゲートウェイVPCエンドポイントの設定方法

ゲートウェイVPCエンドポイントの設定もマネコンで簡単にできます。こちらも同様に詳細設定は公式サイトを参照してくださいね。

  1. AWSマネジメントコンソールにログイン
  2. VPCダッシュボードに移動
  3. 「エンドポイント」を選択
  4. 「エンドポイントの作成」をクリック
  5. S3またはDynamoDBを選択
  6. VPCとルートテーブルを指定
  7. 「エンドポイントの作成」をクリック
ゲートウェイエンドポイント - Amazon Virtual Private Cloud
ゲートウェイエンドポイントを使用して Amazon S3 と Amazon DynamoDB に接続する方法について説明します。
docs.aws.amazon.com

VPCエンドポイントを簡単に比較

特徴インターフェイスVPCエンドポイントゲートウェイVPCエンドポイント
対応サービス多数のAWSサービスS3とDynamoDBのみ
コスト有料無料
設定の複雑さやや複雑比較的簡単
パフォーマンス標準的高速
セキュリティIAMポリシーとセキュリティグループで制御VPCエンドポイントポリシーで制御

VPCエンドポイントを使うメリット

  1. セキュリティ強化
    やはりこれが最大のメリットでしょう。インターネットを経由する構成と比べるとセキュアです。
  2. パフォーマンスの改善
    直接接続になるためレイテンシーが低下し、応答速度が向上が見込めます。
  3. コスト削減
    インターネットゲートウェイやNATゲートウェイを経由しない分のデータ転送コスト削減が見込めます。
  4. コンプライアンス対応
    データがAWSネットワーク内で完結するため、コンプライアンスへの対応が容易になります。

まとめ

VPCエンドポイントのタイプについて今回はまとめてみました。インターフェイスVPCエンドポイントとゲートウェイVPCエンドポイントの2つのタイプの違いについて理解が深まったのなら幸いです。

最後に簡単に2つのタイプについて簡単にまとめて、この記事を締めくくろうと思います。

  • インターフェイスVPCエンドポイント
    多様なAWSサービスへのプライベートアクセスが可能
  • ゲートウェイVPCエンドポイント
    S3とDynamoDBへの高速かつ無料のアクセスを実現