Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Search
SUZUKI Masashi
November 21, 2025
Technology
0
3
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
社内勉強会で発表したVPC Endpointの説明資料
SUZUKI Masashi
November 21, 2025
Tweet
Share
More Decks by SUZUKI Masashi
See All by SUZUKI Masashi
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
masasuzu
2
650
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
masasuzu
0
160
2025-09-19 クラウドにおけるシークレット管理
masasuzu
0
150
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
masasuzu
0
32
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
masasuzu
2
490
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
masasuzu
0
550
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
masasuzu
0
1.8k
2024-03-29 SRETT9 Cloud SQLの可用性について
masasuzu
0
520
2023-12-18 SRETT8 Terraform使いがPulumiに入門する
masasuzu
0
2.5k
Other Decks in Technology
See All in Technology
AIエージェントによるエンタープライズ向けスライド検索!
shibuiwilliam
4
590
新しい風。SolidFlutterで実現するシンプルな状態管理
zozotech
PRO
0
120
ABEJA FIRST GUIDE for Software Engineers
abeja
0
3.2k
Moto: Latent Motion Token as the Bridging Language for Learning Robot Manipulation from Videos
peisuke
0
150
"おまじない"はもう卒業! デバッガで探るSpring Bootの裏側と「学び方」の学び方
takeuchi_132917
0
190
その意思決定、まだ続けるんですか? ~痛みを超えて未来を作る、AI時代の撤退とピボットの技術~
applism118
0
650
なぜThrottleではなくDebounceだったのか? 700並列リクエストと戦うサーバーサイド実装のすべて
yoshiori
13
4.8k
FFMとJVMの実装から学ぶJavaのインテグリティ
kazumura
0
140
LINEギフト・LINEコマース領域の開発
lycorptech_jp
PRO
0
320
2ヶ月で新規事業のシステムを0から立ち上げるスタートアップの舞台裏
shmokmt
0
230
大規模モノレポの秩序管理 失速しない多言語化フロントエンドの運用 / JSConf JP 2025
shoota
0
270
AIを前提に、業務を”再構築”せよ IVRyの9ヶ月にわたる挑戦と未来の働き方 (BTCONJP2025)
yueda256
1
790
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
303
21k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Making the Leap to Tech Lead
cromwellryan
135
9.6k
Practical Orchestrator
shlominoach
190
11k
Making Projects Easy
brettharned
120
6.5k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
330
Building Adaptive Systems
keathley
44
2.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
Six Lessons from altMBA
skipperchong
29
4.1k
The Invisible Side of Design
smashingmag
302
51k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
24
1.6k
Transcript
改めて理解するVPC Endpoint Copyright © 3-shake, Inc. All Rights Reserved. 2025-11-21
スリーシェイクエンジニア勉強会 (社内) 株式会社スリーシェイク すずきまさし
Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •
すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部シニアアーキテクト • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ▪ Google Cloud Partner Top Engineer 2026 ◦ Terraform
• VPC Endpointってなに? • どんな種類があるの? • どういう仕組みなの? • なんで必要なの? •
まとめ Copyright © 3-shake, Inc. All Rights Reserved. 目次 3
VPC EndpointにはVPC外のリソースに対して接続する役割があり、 いろいろなサービスと接続できます。 今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。 Copyright © 3-shake, Inc. All
Rights Reserved. おことわり 4
Copyright © 3-shake, Inc. All Rights Reserved. VPC Endpointってなに? 01
5
今回はPrivate SubnetからS3バケットにア クセスする例を考えます。 S3バケットはパブリックネットワークにある ので、何かしらの方法でVPC外部通信をす る必要があります。 Copyright © 3-shake, Inc.
All Rights Reserved. VPC Endpointってなに? 6
Public SubnetにNAT Gatewayを配置し て、パブリックネットワーク経由でアクセスす るのが無難な方法ではあります。 しかしながら、インターネットに接続ができて しまうので、VPC内のリソースが余計なアウ トバウンド通信ができてしまう懸念がありま す。 Copyright
© 3-shake, Inc. All Rights Reserved. NAT Gatewayの利用 7
VPC Endpointを使うことによって閉域網の ままで、AWSサービスに対してのアクセスを 提供できるようになります。 Copyright © 3-shake, Inc. All Rights
Reserved. そこでVPC Endpointですよ 8
VPCからVPC外のリソースにアクセスする 際のエンドポイント。 特にInterface EndpointはPrivate Linkの一 部として機能します。 Copyright © 3-shake, Inc.
All Rights Reserved. つまりVPC Endpointとは 9
Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 02 10
以下の3つの種類があります。 • Interface Endpoint • Gateway Endpoint • Gateway Load
Balancer Endpoint(今回は触れない) Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 11
• 対応サービスが多い • オンプレミスから接続可能 • Security Groupでアクセス制御可能 • DNSを利用してトラフィック制御 ◦
Interface EndpointのIPアドレスにサービスの DNS名を登録 • サブネットにENIを接続 • 課金単位はENIの時間単価と転送量 Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 12
• 歴史が古くS3とDynamoDBのみ対応している • ルーティングを利用してEndpointへのトラフィックを制御している ◦ サービスのIPアドレスをprefixlistに登録 ◦ Route TableにprefixlistのNext HopをGateway
Endpointに設定 • 追加料金なし ◦ S3とDynamoDBを使っているなら使わない理由がない Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 13
Copyright © 3-shake, Inc. All Rights Reserved. どういう仕組みなの? 03 14
Interface EndpointとGateway Endpointの動作の違いについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの? 15
名前解決の仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからInterface EndpointのPrivate IPアドレスを取得 3. Interface
Endpointにアクセス Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 16
ルーティングの仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからS3サービスの Public IPアドレスを取得 3. Route
Tableを参照する a. S3 prefixlistにIPアドレスが含まれているの でNext Hopに指定されているGateway Endpointにフォワード Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 17
オンプレミスからアクセスする際は Interface Endpointを利用します。 名前解決に関してはオンプレのDNSサー バとRoute53 Inbound Endpontを連携し ます。 Copyright ©
3-shake, Inc. All Rights Reserved. 参考: オンプレミスからAWSサービスにアクセスする場合 18
Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 04 19
説明済みの部分もありますが改めて以下のところがあるかと思います • 完全閉域で使いたいとき ◦ 余計なアウトバウンドアクセスをさせたくない ◦ AWS外(オンプレなど)からAWSサービスにアクセスさせたい • ポリシーを適用させたいとき ◦
ex 特定のS3バケットのみアクセスを許可したい ◦ ex 特定のVPC Endpointからのアクセスのみ許可したい • 通信料が多いとき ◦ NAT Gatewayは通信料が高い ◦ ex 大量のログが流れる ◦ ex コンテナイメージのpullが多い Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 20
ポリシーが設定できる場所は3箇所 • IAM Policy ◦ ex アクセス許可を与える • Endpoint Policy
◦ ex 特定のRoleのみ許可を与える • Bucket Policy ◦ ex 特定のVPCEからのみ許可を与える Copyright © 3-shake, Inc. All Rights Reserved. ポリシーを適用させたい 21
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance" }, "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Endpoint Policy例 22 特定のRoleのみ使わせたい
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*",
"Action": "s3:*", "Resource": [ "arn:aws:s3:::YOUR-BUCKET-NAME", "arn:aws:s3:::YOUR-BUCKET-NAME/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Bucket Policy例 23 特定のVPC Endpointのみ許可する
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ たらと思います。 • VPC Endpoint ◦ 利用料 USD 0.014/hour
◦ 転送量 ▪ 最初の 1 PB 0.01 USD/GB ▪ 次の 4 PB 0.006 USD/GB ▪ 5 PB 以上のもの 0.004 USD/GB • NAT Gateway ◦ 利用料 USD 0.062/hour ◦ 転送量 USD 0.062/GB Copyright © 3-shake, Inc. All Rights Reserved. 通信料が多い 24
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 25
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。 特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。 特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。 よいVPC Endpointライフを! Copyright © 3-shake, Inc.
All Rights Reserved. まとめ 26
masasuzu
shibuiwilliam
zozotech
abeja
peisuke
takeuchi_132917
applism118
yoshiori
kazumura
lycorptech_jp
shmokmt
shoota
yueda256
lynnandtonic
sugarenia
cromwellryan
shlominoach
brettharned
erikaheidi
tammyeverts
keathley
marktimemedia
skipperchong
smashingmag
honnibal
