Amazon Virtual Private Cloud
ユーザーガイド

VPC エンドポイント

VPC エンドポイント では、PrivateLink を使用する AWS サービスや VPC エンドポイントサービスに VPC をプライベートに接続できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続は必要ありません。VPC のインスタンスは、サービスのリソースと通信するためにパブリック IP アドレスを必要としません。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れません。

エンドポイントは仮想デバイスです。エンドポイントは、VPC のインスタンスとサービスの間で通信を可能にする VPC コンポーネントであり、冗長性と高可用性を備え、水平にスケールされます。ネットワークトラフィックに対する可用性のリスクや帯域幅の制約はありません。

VPC エンドポイントには 2 種類あります。インターフェイスエンドポイントゲートウェイエンドポイントです。サポートされるサービスにより要求される VPC エンドポイントを作成します。

インターフェイスエンドポイント (AWS PrivateLink を使用)

インターフェイスエンドポイントは、サポートされるサービスを宛先とするトラフィックのエントリポイントとなるプライベート IP アドレスを持つ Elastic Network Interface です。以下のサービスがサポートされています。

ゲートウェイエンドポイント

ゲートウェイエンドポイントは、ルートテーブルの指定されたルートのターゲットであるゲートウェイです。サポートされる AWS のサービスを宛先とするトラフィックに使用します。以下の AWS のサービスがサポートされています。

  • Amazon S3

  • DynamoDB

VPC エンドポイント の使用の管理

デフォルトでは、IAM ユーザーにはエンドポイントを使用するためのアクセス権限がありません。エンドポイントを作成、変更、説明、削除するアクセス権限をユーザーに付与する IAM ユーザーポリシーを作成できます。現在、いずれの ec2:*VpcEndpoint* API アクションに対しても、ec2:DescribePrefixLists アクションに対しても、リソースレベルのアクセス権限はサポートされていません。特定のエンドポイントまたはプレフィックスリストを使用するアクセス許可をユーザーに付与する IAM ポリシーを作成することはできません。次に例を示します。

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }