Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Search
SUZUKI Masashi
November 21, 2025
Technology
0
230
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
社内勉強会で発表したVPC Endpointの説明資料
SUZUKI Masashi
November 21, 2025
Tweet
Share
More Decks by SUZUKI Masashi
See All by SUZUKI Masashi
2026-03-03 Jagu'e'r Tech Writer Meetup #19 登壇のネタ作りについて
masasuzu
0
29
2026-02-24 月末 Tech Lunch Online #10 Cloud Runのデプロイの課題から考えるアプリとインフラの境界線
masasuzu
0
110
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
masasuzu
2
1.1k
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
masasuzu
0
380
2025-09-19 クラウドにおけるシークレット管理
masasuzu
0
540
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
masasuzu
0
60
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
masasuzu
2
800
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
masasuzu
0
820
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
masasuzu
0
2.2k
Other Decks in Technology
See All in Technology
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
zigorou
1
240
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
44k
Serverless Agent Architecture on Azure / serverless-agent-on-azure
miyake
1
120
「使いにくい」も「運用疲れ」も卒業する UIデザイナーとエンジニアが創る持続可能な内製開発
nrinetcom
PRO
1
770
バクラクにおける Document Understanding の挑戦:書類の「読取」から「意思決定」へ / document-understanding-in-bakuraku-2026
yuya4
0
190
全自動で回せ!Claude Codeマーケットプレイス運用術
yukyu30
3
150
Secure Boot 2026 - Aggiornamento dei certificati UEFI e piano di adozione in azienda
memiug
0
130
AI活用を"目的"にしたら、データの本質が見えてきた - Snowflake Intelligence実験記 / chasing-ai-finding-data
pei0804
0
870
なぜAIは組織を速くしないのか 令和の腑分け
sugino
83
53k
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.4k
Claude Cowork Plugins を読む - Skills駆動型業務エージェント設計の実像と構造
knishioka
0
230
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
95k
Featured
See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
280
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
80
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
140
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
470
The Mindset for Success: Future Career Progression
greggifford
PRO
0
270
Raft: Consensus for Rubyists
vanstee
141
7.3k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
60
42k
It's Worth the Effort
3n
188
29k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
117
110k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
380
Java REST API Framework Comparison - PWX 2021
mraible
34
9.2k
Transcript
改めて理解するVPC Endpoint Copyright © 3-shake, Inc. All Rights Reserved. 2025-11-21
スリーシェイクエンジニア勉強会 (社内) 株式会社スリーシェイク すずきまさし
Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •
すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部シニアアーキテクト • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ▪ Google Cloud Partner Top Engineer 2026 ◦ Terraform
• VPC Endpointってなに? • どんな種類があるの? • どういう仕組みなの? • なんで必要なの? •
まとめ Copyright © 3-shake, Inc. All Rights Reserved. 目次 3
VPC EndpointにはVPC外のリソースに対して接続する役割があり、 いろいろなサービスと接続できます。 今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。 Copyright © 3-shake, Inc. All
Rights Reserved. おことわり 4
Copyright © 3-shake, Inc. All Rights Reserved. VPC Endpointってなに? 01
5
今回はPrivate SubnetからS3バケットにア クセスする例を考えます。 S3バケットはパブリックネットワークにある ので、何かしらの方法でVPC外部通信をす る必要があります。 Copyright © 3-shake, Inc.
All Rights Reserved. VPC Endpointってなに? 6
Public SubnetにNAT Gatewayを配置し て、パブリックネットワーク経由でアクセスす るのが無難な方法ではあります。 しかしながら、インターネットに接続ができて しまうので、VPC内のリソースが余計なアウ トバウンド通信ができてしまう懸念がありま す。 Copyright
© 3-shake, Inc. All Rights Reserved. NAT Gatewayの利用 7
VPC Endpointを使うことによって閉域網の ままで、AWSサービスに対してのアクセスを 提供できるようになります。 Copyright © 3-shake, Inc. All Rights
Reserved. そこでVPC Endpointですよ 8
VPCからVPC外のリソースにアクセスする 際のエンドポイント。 特にInterface EndpointはPrivate Linkの一 部として機能します。 Copyright © 3-shake, Inc.
All Rights Reserved. つまりVPC Endpointとは 9
Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 02 10
以下の3つの種類があります。 • Interface Endpoint • Gateway Endpoint • Gateway Load
Balancer Endpoint(今回は触れない) Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 11
• 対応サービスが多い • オンプレミスから接続可能 • Security Groupでアクセス制御可能 • DNSを利用してトラフィック制御 ◦
Interface EndpointのIPアドレスにサービスの DNS名を登録 • サブネットにENIを接続 • 課金単位はENIの時間単価と転送量 Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 12
• 歴史が古くS3とDynamoDBのみ対応している • ルーティングを利用してEndpointへのトラフィックを制御している ◦ サービスのIPアドレスをprefixlistに登録 ◦ Route TableにprefixlistのNext HopをGateway
Endpointに設定 • 追加料金なし ◦ S3とDynamoDBを使っているなら使わない理由がない Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 13
Copyright © 3-shake, Inc. All Rights Reserved. どういう仕組みなの? 03 14
Interface EndpointとGateway Endpointの動作の違いについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの? 15
名前解決の仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからInterface EndpointのPrivate IPアドレスを取得 3. Interface
Endpointにアクセス Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 16
ルーティングの仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからS3サービスの Public IPアドレスを取得 3. Route
Tableを参照する a. S3 prefixlistにIPアドレスが含まれているの でNext Hopに指定されているGateway Endpointにフォワード Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 17
オンプレミスからアクセスする際は Interface Endpointを利用します。 名前解決に関してはオンプレのDNSサー バとRoute53 Inbound Endpontを連携し ます。 Copyright ©
3-shake, Inc. All Rights Reserved. 参考: オンプレミスからAWSサービスにアクセスする場合 18
Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 04 19
説明済みの部分もありますが改めて以下のところがあるかと思います • 完全閉域で使いたいとき ◦ 余計なアウトバウンドアクセスをさせたくない ◦ AWS外(オンプレなど)からAWSサービスにアクセスさせたい • ポリシーを適用させたいとき ◦
ex 特定のS3バケットのみアクセスを許可したい ◦ ex 特定のVPC Endpointからのアクセスのみ許可したい • 通信料が多いとき ◦ NAT Gatewayは通信料が高い ◦ ex 大量のログが流れる ◦ ex コンテナイメージのpullが多い Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 20
ポリシーが設定できる場所は3箇所 • IAM Policy ◦ ex アクセス許可を与える • Endpoint Policy
◦ ex 特定のRoleのみ許可を与える • Bucket Policy ◦ ex 特定のVPCEからのみ許可を与える Copyright © 3-shake, Inc. All Rights Reserved. ポリシーを適用させたい 21
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance" }, "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Endpoint Policy例 22 特定のRoleのみ使わせたい
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*",
"Action": "s3:*", "Resource": [ "arn:aws:s3:::YOUR-BUCKET-NAME", "arn:aws:s3:::YOUR-BUCKET-NAME/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Bucket Policy例 23 特定のVPC Endpointのみ許可する
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ たらと思います。 • VPC Endpoint ◦ 利用料 USD 0.014/hour
◦ 転送量 ▪ 最初の 1 PB 0.01 USD/GB ▪ 次の 4 PB 0.006 USD/GB ▪ 5 PB 以上のもの 0.004 USD/GB • NAT Gateway ◦ 利用料 USD 0.062/hour ◦ 転送量 USD 0.062/GB Copyright © 3-shake, Inc. All Rights Reserved. 通信料が多い 24
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 25
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。 特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。 特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。 よいVPC Endpointライフを! Copyright © 3-shake, Inc.
All Rights Reserved. まとめ 26
masasuzu
zigorou
safie_recruit
miyake
nrinetcom
yuya4
yukyu30
memiug
pei0804
sugino
sansan33
knishioka
oracle4engineer
panda_program
reverentgeek
davidcarrasco
.png){kind=avatar}
helenjbeal
baasie
greggifford
vanstee
rkaga
3n
twada
mraible
