Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
SUZUKI Masashi
November 21, 2025
Technology
300
0
Share
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
社内勉強会で発表したVPC Endpointの説明資料
SUZUKI Masashi
November 21, 2025
More Decks by SUZUKI Masashi
See All by SUZUKI Masashi
2026-03-27 #terminalnight 変数展開とコマンド展開でターミナル作業をスマートにする方法
masasuzu
0
300
2026-03-23 Ops-JAWS Meetup39 Session Managerを使った セキュアなサーバーアクセス
masasuzu
2
110
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
masasuzu
2
440
2026-03-03 Jagu'e'r Tech Writer Meetup #19 登壇のネタ作りについて
masasuzu
0
110
2026-02-24 月末 Tech Lunch Online #10 Cloud Runのデプロイの課題から考えるアプリとインフラの境界線
masasuzu
0
150
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
masasuzu
2
1.2k
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
masasuzu
0
440
2025-09-19 クラウドにおけるシークレット管理
masasuzu
0
660
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
masasuzu
0
79
Other Decks in Technology
See All in Technology
Kubernetes基盤における開発者体験 とセキュリティの両⽴ / Balancing developer experience and security in a Kubernetes-based environment
chmikata
0
210
Cortex Codeでデータの仕事を全部Agenticにやりきろう!
gappy50
0
320
20260410 - CNTUG meetup #72 - DiskImage Builder 介紹:以 Kubespray CI 打造 RockyLinux 10 Cloud Image 為例
tico88612
0
110
AIを活用したアクセシビリティ改善フロー
degudegu2510
1
150
TanStack Start エコシステムの現在地 / TanStack Start Ecosystem 2026
iktakahiro
1
350
ZOZOTOWNリプレイスでのSkills導入までの流れとこれから
zozotech
PRO
4
3.1k
建設的な現実逃避のしかた / How to practice constructive escapism
pauli
4
290
【関西電力KOI×VOLTMIND 生成AIハッカソン】空間AIブレイン ~⼤阪おばちゃんフィジカルAIに続く道~
tanakaseiya
0
180
I ran an automated simulation of fake news spread using OpenClaw.
zzzzico
1
980
組織的なAI活用を阻む 最大のハードルは コンテキストデザインだった
ixbox
1
1.1k
AWS DevOps Agent or Kiro の使いどころを考える_20260402
masakiokuda
0
190
LLM とプロンプトエンジニアリング/チューターを定義する / LLMs and Prompt Engineering, and Defining Tutors
ks91
PRO
0
290
Featured
See All Featured
Designing Experiences People Love
moore
143
24k
Chasing Engaging Ingredients in Design
codingconduct
0
160
Utilizing Notion as your number one productivity tool
mfonobong
4
290
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
450
KATA
mclloyd
PRO
35
15k
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
Art, The Web, and Tiny UX
lynnandtonic
304
21k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
160
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.2k
Transcript
改めて理解するVPC Endpoint Copyright © 3-shake, Inc. All Rights Reserved. 2025-11-21
スリーシェイクエンジニア勉強会 (社内) 株式会社スリーシェイク すずきまさし
Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •
すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部シニアアーキテクト • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ▪ Google Cloud Partner Top Engineer 2026 ◦ Terraform
• VPC Endpointってなに? • どんな種類があるの? • どういう仕組みなの? • なんで必要なの? •
まとめ Copyright © 3-shake, Inc. All Rights Reserved. 目次 3
VPC EndpointにはVPC外のリソースに対して接続する役割があり、 いろいろなサービスと接続できます。 今回はその中でもAWSサービスに対して接続するVPC Endpointを対象とします。 Copyright © 3-shake, Inc. All
Rights Reserved. おことわり 4
Copyright © 3-shake, Inc. All Rights Reserved. VPC Endpointってなに? 01
5
今回はPrivate SubnetからS3バケットにア クセスする例を考えます。 S3バケットはパブリックネットワークにある ので、何かしらの方法でVPC外部通信をす る必要があります。 Copyright © 3-shake, Inc.
All Rights Reserved. VPC Endpointってなに? 6
Public SubnetにNAT Gatewayを配置し て、パブリックネットワーク経由でアクセスす るのが無難な方法ではあります。 しかしながら、インターネットに接続ができて しまうので、VPC内のリソースが余計なアウ トバウンド通信ができてしまう懸念がありま す。 Copyright
© 3-shake, Inc. All Rights Reserved. NAT Gatewayの利用 7
VPC Endpointを使うことによって閉域網の ままで、AWSサービスに対してのアクセスを 提供できるようになります。 Copyright © 3-shake, Inc. All Rights
Reserved. そこでVPC Endpointですよ 8
VPCからVPC外のリソースにアクセスする 際のエンドポイント。 特にInterface EndpointはPrivate Linkの一 部として機能します。 Copyright © 3-shake, Inc.
All Rights Reserved. つまりVPC Endpointとは 9
Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 02 10
以下の3つの種類があります。 • Interface Endpoint • Gateway Endpoint • Gateway Load
Balancer Endpoint(今回は触れない) Copyright © 3-shake, Inc. All Rights Reserved. どんな種類があるの? 11
• 対応サービスが多い • オンプレミスから接続可能 • Security Groupでアクセス制御可能 • DNSを利用してトラフィック制御 ◦
Interface EndpointのIPアドレスにサービスの DNS名を登録 • サブネットにENIを接続 • 課金単位はENIの時間単価と転送量 Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 12
• 歴史が古くS3とDynamoDBのみ対応している • ルーティングを利用してEndpointへのトラフィックを制御している ◦ サービスのIPアドレスをprefixlistに登録 ◦ Route TableにprefixlistのNext HopをGateway
Endpointに設定 • 追加料金なし ◦ S3とDynamoDBを使っているなら使わない理由がない Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 13
Copyright © 3-shake, Inc. All Rights Reserved. どういう仕組みなの? 03 14
Interface EndpointとGateway Endpointの動作の違いについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved.
どういう仕組みなの? 15
名前解決の仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからInterface EndpointのPrivate IPアドレスを取得 3. Interface
Endpointにアクセス Copyright © 3-shake, Inc. All Rights Reserved. Interface Endpoint 16
ルーティングの仕組みを利用します 1. S3サービスの名前解決 2. Route53 ResolverからS3サービスの Public IPアドレスを取得 3. Route
Tableを参照する a. S3 prefixlistにIPアドレスが含まれているの でNext Hopに指定されているGateway Endpointにフォワード Copyright © 3-shake, Inc. All Rights Reserved. Gateway Endpoint 17
オンプレミスからアクセスする際は Interface Endpointを利用します。 名前解決に関してはオンプレのDNSサー バとRoute53 Inbound Endpontを連携し ます。 Copyright ©
3-shake, Inc. All Rights Reserved. 参考: オンプレミスからAWSサービスにアクセスする場合 18
Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 04 19
説明済みの部分もありますが改めて以下のところがあるかと思います • 完全閉域で使いたいとき ◦ 余計なアウトバウンドアクセスをさせたくない ◦ AWS外(オンプレなど)からAWSサービスにアクセスさせたい • ポリシーを適用させたいとき ◦
ex 特定のS3バケットのみアクセスを許可したい ◦ ex 特定のVPC Endpointからのアクセスのみ許可したい • 通信料が多いとき ◦ NAT Gatewayは通信料が高い ◦ ex 大量のログが流れる ◦ ex コンテナイメージのpullが多い Copyright © 3-shake, Inc. All Rights Reserved. なんで必要なの? 20
ポリシーが設定できる場所は3箇所 • IAM Policy ◦ ex アクセス許可を与える • Endpoint Policy
◦ ex 特定のRoleのみ許可を与える • Bucket Policy ◦ ex 特定のVPCEからのみ許可を与える Copyright © 3-shake, Inc. All Rights Reserved. ポリシーを適用させたい 21
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {
"AWS": "arn:aws:iam::123456789012:role/SomeInstance" }, "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/SomeInstance" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Endpoint Policy例 22 特定のRoleのみ使わせたい
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*",
"Action": "s3:*", "Resource": [ "arn:aws:s3:::YOUR-BUCKET-NAME", "arn:aws:s3:::YOUR-BUCKET-NAME/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } Copyright © 3-shake, Inc. All Rights Reserved. Bucket Policy例 23 特定のVPC Endpointのみ許可する
特定のサービスで大量の通信がある場合、VPC Endpointの利用を検討していただけ たらと思います。 • VPC Endpoint ◦ 利用料 USD 0.014/hour
◦ 転送量 ▪ 最初の 1 PB 0.01 USD/GB ▪ 次の 4 PB 0.006 USD/GB ▪ 5 PB 以上のもの 0.004 USD/GB • NAT Gateway ◦ 利用料 USD 0.062/hour ◦ 転送量 USD 0.062/GB Copyright © 3-shake, Inc. All Rights Reserved. 通信料が多い 24
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 25
VPC Endpointの使い所と仕組みに関してなんとなくおわかりいただけたかと思います。 特に閉域利用やポリシー適用の厳密化などの要件などがある場合に利用できます。 特定サービスの通信料が多いときにも利用の検討をいただけたらと思います。 よいVPC Endpointライフを! Copyright © 3-shake, Inc.
All Rights Reserved. まとめ 26
masasuzu
chmikata
gappy50
tico88612
degudegu2510
iktakahiro
zozotech
pauli
tanakaseiya
zzzzico
ixbox
masakiokuda
ks91
moore
codingconduct
mfonobong
chikuwait
mclloyd
erikaheidi
bluesmoon
aki_iinuma
lynnandtonic
sabderemane
rmw
aleyda
