■ 問題
ある企業では、VPCにホストされている複数のEC2インスタンスを利用したアプリケーションを運用しています。 それらはプライベートサブネットでホストされています。 これらのEC2インスタンスは、Amazon S3に保存されているデータにアクセスする必要がありますが、 トラフィックはインターネットを通過してはいけません。
この要件を満たす、最適なAWSサービスを選択してください。
■ 選択肢
- VPCのプライベートサブネットにゲートウェイエンドポイントを設定して、ルートテーブルでルートを設定してアクセスする。
- VPCのプライベートサブネットにインターフェースエンドポイントを設定して、IPアドレス経由でアクセスする。
- VPCにインターフェースエンドポイントを設定して、IPアドレス経由でアクセスする。
- VPCにゲートウェイエンドポイントを設定して、IPアドレス経由でアクセスする。
これより先は正解と解説になります
■ 正解
✅ VPCのプライベートサブネットにインターフェースエンドポイントを設定して、IPアドレス経由でアクセスする。
■ 構成イメージ
VPC
┌────────────────────────────┐
│ プライベートサブネット │
│ │
│ EC2 │
│ │ │
│ ▼ │
│ インターフェースエンドポイント │
│(ENI / プライベートIP) │
└──────┬───────────────────┘
│ AWS内部ネットワーク
▼
Amazon S3■ 全体的な説明
✔ オプション2(正解)
VPCエンドポイントを利用することで、
EC2 → S3
(インターネット経由なし)
の通信が可能になります。
✔ インターフェースエンドポイントの特徴
・サブネットに配置
・ENI(IPアドレス)を持つ
・PrivateLink通信
👉 IPアドレス経由でアクセス
■ なぜこれが正解なのか
問題のキーワード👇
・プライベートサブネット
・インターネットを通らない
👉 解答は
VPCエンドポイント
■ ゲートウェイ型との違い(重要)
ゲートウェイ型
→ ルートテーブルで制御
→ S3 / DynamoDB専用
インターフェース型
→ ENI(IP)で接続
→ 多くのAWSサービス対応■ 不正解の理由
❌ オプション1
ゲートウェイエンドポイントは
サブネットに直接配置しない
👉 設定方法が誤り
❌ オプション3
インターフェースエンドポイント
→ サブネット指定必須
👉 不完全
❌ オプション4
ゲートウェイ型
→ IPアドレスではなくルート制御
👉 誤った理解
◾️VPCエンドポイント比較
| 項目 | ゲートウェイ型エンドポイント | プライベートリンク型(インターフェース型) |
|---|---|---|
| 接続方式 | ルートテーブルで制御 | ENI(プライベートIP)で接続 |
| 配置場所 | VPC(サブネット指定なし) | サブネットに配置 |
| 通信方法 | ルーティング | プライベートIP通信 |
| 対応サービス | S3 / DynamoDBがメイン | 多くのAWSサービス |
| IPアドレス | なし | あり(ENIに付与) |
| セキュリティ制御 | ルートテーブル | セキュリティグループ |
| AWS PrivateLink | ❌ 非対応 | ✅ 対応 |
| 主な用途 | 大量データアクセス(S3など) | APIアクセス、細かい制御 |
| コスト | 無料 | 有料(ENI + 通信) |
| 特徴 | シンプル・高速 | 柔軟・高セキュリティ |
■ 試験ポイントまとめ
インターネット使わない
→ VPCエンドポイント
IPで接続
→ インターフェース型
ルート制御
→ ゲートウェイ型■ 一発で覚える
S3接続
IPで行く → インターフェース
ルートで行く → ゲートウェイ■ まとめ
プライベートサブネットからS3へインターネットを介さずアクセスするには、インターフェースエンドポイントを利用する。
この問題は
👉 「VPCエンドポイント2択問題」
として非常に頻出です。
ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。
- 選考ではありません
- 履歴書不要
- 技術の話が中心
- 所要時間30分程度
- オンラインOK
