Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
SUZUKI Masashi
November 21, 2025
Technology
0
230
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
社内勉強会で発表したVPC Endpointの説明資料
SUZUKI Masashi
November 21, 2025
Tweet
Share
More Decks by SUZUKI Masashi
See All by SUZUKI Masashi
2026-03-03 Jagu'e'r Tech Writer Meetup #19 登壇のネタ作りについて
masasuzu
0
29
2026-02-24 月末 Tech Lunch Online #10 Cloud Runのデプロイの課題から考えるアプリとインフラの境界線
masasuzu
0
110
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
masasuzu
2
1.1k
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
masasuzu
0
380
2025-09-19 クラウドにおけるシークレット管理
masasuzu
0
540
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
masasuzu
0
60
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
masasuzu
2
800
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
masasuzu
0
820
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
masasuzu
0
2.2k
Other Decks in Technology
See All in Technology
サンタコンペ2025完全攻略 ~お前らの焼きなましは遅すぎる~
terryu16
1
570
全自動で回せ!Claude Codeマーケットプレイス運用術
yukyu30
3
150
LINEアプリ開発のための Claude Code活用基盤の構築
lycorptech_jp
PRO
1
1.3k
AI が Approve する開発フロー / How AI Reviewers Accelerate Our Development
zaimy
1
260
「使いにくい」も「運用疲れ」も卒業する UIデザイナーとエンジニアが創る持続可能な内製開発
nrinetcom
PRO
1
770
トラブルの大半は「言ってない」x「言ってない」じゃねーか!!
ichimichi
0
280
失敗できる意思決定とソフトウェアとの正しい歩き方_-_変化と向き合う選択肢/ Designing for Reversible Decisions
soudai
PRO
8
1.5k
社内でAWS BuilderCards体験会を立ち上げ、得られた気づき / 20260225 Masaki Okuda
shift_evolve
PRO
1
150
APMの世界から見るOpenTelemetryのTraceの世界 / OpenTelemetry in the Java
soudai
PRO
0
220
Raspberry Pi AI HAT+ 2 介紹(#49)
piepie_tw
PRO
0
150
Vertex AI Agent Engine で学ぶ「記憶」の設計
tkikuchi
0
120
1 年間の育休から時短勤務で復帰した私が、 AI を駆使して立ち上がりを早めた話
lycorptech_jp
PRO
0
210
Featured
See All Featured
My Coaching Mixtape
mlcsv
0
63
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
220
The Pragmatic Product Professional
lauravandoore
37
7.2k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
Designing Powerful Visuals for Engaging Learning
tmiket
0
250
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Documentation Writing (for coders)
carmenintech
77
5.3k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
430
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
WENDY [Excerpt]
tessaabrams
9
36k
Transcript
改めて理解するVPC Endpoint Copyright © 3-shake, Inc. All Rights Reserved. 2025-11-21
スリーシェイクエンジニア勉強会 (社内) 株式会社スリーシェイク すずきまさし
Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •
すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部シニアアーキテクト • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ▪ Google Cloud Partner Top Engineer 2026 ◦ Terraform
• VPC Endpointってなに? • どんな種類があるの? • どういう仕組みなの? • なんで必要なの? •
まとめ Copyright © 3-shake, Inc. All Rights Reserved. 目次 3
VPC EndpointにはVPC外のリソースに対して接続する役割があり、 いろいろなサービスと接続できます。 今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。 Copyright © 3-shake, Inc. All
Rights Reserved. おことわり 4
Copyright © 3-shake, Inc. All Rights Reserved. VPC Endpointってなに? 01
5
今回はPrivate SubnetからS3バケットにア クセスする例を考えます。 S3バケットはパブリックネットワークにある ので、何かしらの方法でVPC外部通信をす る必要があります。 Copyright © 3-shake, Inc.
All Rights Reserved. VPC Endpointってなに? 6
Public SubnetにNAT Gatewayを配置し て、パブリックネットワーク経由でアクセスす るのが無難な方法ではあります。 しかしながら、インターネットに接続ができて しまうので、VPC内のリソースが余計なアウ トバウンド通信ができてしまう懸念がありま す。 Copyright
© 3-shake, Inc. All Rights Reserved. NAT Gatewayの利用 7
VPC Endpointを使うことによって閉域網の ままで、AWSサービスに対してのアクセスを 提供できるようになります。 Copyright © 3-shake, Inc. All Rights
Reserved. そこでVPC Endpointですよ 8
VPCからVPC外のリソースにアクセスする 際のエンドポイント。 特にInterface EndpointはPrivate Linkの一 部として機能します。 Copyright © 3-shake, Inc.
All Rights Reserved. つまりVPC Endpointとは 9
Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 02 10
以下の3つの種類があります。 • Interface Endpoint • Gateway Endpoint • Gateway Load
Balancer Endpoint(今回は触れない) Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 11
• 対応サービスが多い • オンプレミスから接続可能 • Security Groupでアクセス制御可能 • DNSを利用してトラフィック制御 ◦
Interface EndpointのIPアドレスにサービスの DNS名を登録 • サブネットにENIを接続 • 課金単位はENIの時間単価と転送量 Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 12
• 歴史が古くS3とDynamoDBのみ対応している • ルーティングを利用してEndpointへのトラフィックを制御している ◦ サービスのIPアドレスをprefixlistに登録 ◦ Route TableにprefixlistのNext HopをGateway
Endpointに設定 • 追加料金なし ◦ S3とDynamoDBを使っているなら使わない理由がない Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 13
Copyright © 3-shake, Inc. All Rights Reserved. どういう仕組みなの? 03 14
Interface EndpointとGateway Endpointの動作の違いについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの? 15
名前解決の仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからInterface EndpointのPrivate IPアドレスを取得 3. Interface
Endpointにアクセス Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 16
ルーティングの仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからS3サービスの Public IPアドレスを取得 3. Route
Tableを参照する a. S3 prefixlistにIPアドレスが含まれているの でNext Hopに指定されているGateway Endpointにフォワード Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 17
オンプレミスからアクセスする際は Interface Endpointを利用します。 名前解決に関してはオンプレのDNSサー バとRoute53 Inbound Endpontを連携し ます。 Copyright ©
3-shake, Inc. All Rights Reserved. 参考: オンプレミスからAWSサービスにアクセスする場合 18
Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 04 19
説明済みの部分もありますが改めて以下のところがあるかと思います • 完全閉域で使いたいとき ◦ 余計なアウトバウンドアクセスをさせたくない ◦ AWS外(オンプレなど)からAWSサービスにアクセスさせたい • ポリシーを適用させたいとき ◦
ex 特定のS3バケットのみアクセスを許可したい ◦ ex 特定のVPC Endpointからのアクセスのみ許可したい • 通信料が多いとき ◦ NAT Gatewayは通信料が高い ◦ ex 大量のログが流れる ◦ ex コンテナイメージのpullが多い Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 20
ポリシーが設定できる場所は3箇所 • IAM Policy ◦ ex アクセス許可を与える • Endpoint Policy
◦ ex 特定のRoleのみ許可を与える • Bucket Policy ◦ ex 特定のVPCEからのみ許可を与える Copyright © 3-shake, Inc. All Rights Reserved. ポリシーを適用させたい 21
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance" }, "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Endpoint Policy例 22 特定のRoleのみ使わせたい
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*",
"Action": "s3:*", "Resource": [ "arn:aws:s3:::YOUR-BUCKET-NAME", "arn:aws:s3:::YOUR-BUCKET-NAME/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Bucket Policy例 23 特定のVPC Endpointのみ許可する
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ たらと思います。 • VPC Endpoint ◦ 利用料 USD 0.014/hour
◦ 転送量 ▪ 最初の 1 PB 0.01 USD/GB ▪ 次の 4 PB 0.006 USD/GB ▪ 5 PB 以上のもの 0.004 USD/GB • NAT Gateway ◦ 利用料 USD 0.062/hour ◦ 転送量 USD 0.062/GB Copyright © 3-shake, Inc. All Rights Reserved. 通信料が多い 24
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 25
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。 特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。 特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。 よいVPC Endpointライフを! Copyright © 3-shake, Inc.
All Rights Reserved. まとめ 26
masasuzu
terryu16
yukyu30
lycorptech_jp
zaimy
nrinetcom
ichimichi
soudai
shift_evolve
piepie_tw
tkikuchi
mlcsv
reverentgeek
lauravandoore
keithpitt
tmiket
stephaniewalter
carmenintech
tanoku
marktimemedia
geoffreycrofte
aarron
tessaabrams
