ネットワーキング

AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービス

インターネットを経由せず AWS サービスにプライベート接続する。Gateway エンドポイントの無料活用とエンドポイントサービスの構築を紹介します。

約 1 分で読めます

PrivateLink の概要

PrivateLinkVPC から AWS サービスや SaaS にプライベート接続を提供するサービスです。インターネットゲートウェイや NAT Gateway を経由せず、AWS のプライベートネットワーク内で通信が完結します。セキュリティ要件でインターネットアクセスを禁止している環境でも AWS サービスを利用できます。

エンドポイントの種類

インターフェースエンドポイントは ENI (Elastic Network Interface) をサブネットに作成し、プライベート IP アドレスで AWS サービスにアクセスします。時間課金とデータ処理課金が発生します。ゲートウェイエンドポイントは S3 と DynamoDB 専用で、ルートテーブルにプレフィックスリストを追加する方式です。無料で利用でき、S3 への大量アクセスがある場合はゲートウェイエンドポイントが推奨です。エンドポイントポリシーで特定の S3 バケットのみにアクセスを制限し、意図しないバケットへのデータ流出を防止します。

エンドポイントサービスの構築

自社のサービスを PrivateLink 経由で他のアカウントに公開するには、 NLB または GWLB の背後にサービスを配置し、エンドポイントサービスを作成します。許可プリンシパルで接続を許可するアカウントや IAM プリンシパルを制御し、接続リクエストの手動承認または自動承認を設定します。コンシューマー側はインターフェースエンドポイントを作成し、プライベート DNS 名でサービスにアクセスします。プライベート DNS 名を設定すると、コンシューマーの VPC 内で DNS 解決がエンドポイントの ENI に向けられ、アプリケーションコードの変更なしでプライベート接続に切り替えられます。エンドポイントポリシーで特定の API アクションやリソースへのアクセスを制限し、データ流出を防止します。 VPC エンドポイントに関する詳しい解説はAmazon の関連書籍でも確認できます。

PrivateLink の料金と設計指針

インターフェースエンドポイントは AZ ごとに時間課金 (約 0.01 ドル/時) とデータ処理料金 (約 0.01 ドル/GB) が発生します。マルチ AZ 構成では AZ 数分のコストがかかるため、可用性要件に応じて配置する AZ 数を決定します。Gateway エンドポイント (S3、DynamoDB) は無料で、NAT Gateway 経由のトラフィックを削減する最も効果的なコスト最適化策です。大量のデータ転送がある場合、PrivateLink のデータ処理料金と NAT Gateway のデータ処理料金を比較し、コスト効率の高い方を選択します。VPC エンドポイントの利用状況は CloudWatch メトリクスで監視でき、未使用のエンドポイントを特定して削除することでコストを削減します。

まとめ

PrivateLink は VPC からのプライベート接続を提供し、インターネットを経由しないセキュアな通信を実現するサービスです。Gateway エンドポイントで S3/DynamoDB への無料プライベート接続を確立し、インターフェースエンドポイントで 100 以上の AWS サービスにプライベートアクセスします。エンドポイントポリシーでアクセスを制限し、エンドポイントサービスで自社サービスを他アカウントに安全に公開します。

関連するサービス

AWS PrivateLinkVPC からインターネットを経由せずに AWS サービスやサードパーティサービスにプライベート接続するサービスAmazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAmazon S3スケーラブルなオブジェクトストレージサービス

関連する記事

Amazon VPC Lattice によるサービスネットワーキング - マイクロサービス間通信の簡素化Envoy プロキシ不要の L7 サービスネットワーキングで、クロス VPC・クロスアカウントのマイクロサービス間通信を簡素化する。IAM 認証と App Mesh との使い分けを紹介します。Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。

内容が近い記事・サービス

AWS PrivateLinkVPC 内からインターネットを経由せずに AWS サービスやサードパーティサービスにプライベート接続するネットワーク機能Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。AWS の API エンドポイントはなぜリージョンごとに異なるのか - グローバルサービスとリージョナルサービスの設計ec2.us-east-1.amazonaws.com のようなリージョナルエンドポイントと iam.amazonaws.com のようなグローバルエンドポイントが分かれている設計理由、デュアルスタックエンドポイント、FIPS エンドポイントの存在を解説します。NAT Gateway の料金が高い本当の理由 - データ処理料金の仕組みと回避策NAT Gateway の時間料金とデータ処理料金が高額になるメカニズムを分解し、VPC エンドポイント、NAT インスタンス、IPv6 への移行など、コストを削減する実践的な回避策を解説します。