2020年4月7日 / 最終更新日 : 2020年7月10日 AcroEditUser AWS

AWS PrivateLinkについて

はじめに

皆さん、「AWS PrivateLink」という言葉は聞いたことはないでしょうか? IT業界に携わっている多くの方は聞いたことがあるかもしれませんね。この記事では、「AWS PrivateLink」とはなんなのかという基本的なことから、VPCエンドポイントやどのような場面で使用すればいいのかについてわかりやすく解説していきます。

「AWS PrivateLink」とは

まずは、「AWS PrivateLink」についてです。読みは「AWS PrivateLink( エーダブリューエスプライベイトリンク )」です。どのようなサービスなのかというと、AWSへのAPIアクセスをインターネット経由せずに行えるインターフェイスタイプのVPCエンドタイプを作成するものです。インターネットを経由する必要がないので、IGW( Internet Gate Way:VPCと外部ネットワーク間で行う際の出入り口の事 )やNATデバイス( Network Address Translation:グローバルITとプライベートITを紐づけて変換する技術 )、VPNコネクション( Virtual Private Network:様々なリスクから身を守りながら安全に情報通信ができる技術 )、パブリックIP( 世界中で割り当てられている重複のないIPアドレスの事 )などの導入や設定が不要となり環境設定が必要なものを減らすことが出来ます。

そもそもVPCエンドポイントとはなんなのか

先ほどの説明をもう少しかみ砕きます。VPCエンドポイントとか言われても何のことなのかわからない方もいるでしょう。VPCエンドポイントとは、インターネットゲートウェイやNATゲートウェイ、NATインスタンスといったものを経由することなく、VPCと他のAWSサービスとプライベート接続することが可能なAWSのサービスの事です。つまり仮想デバイスの事ですね。VPCエンドポイントは2種類提供されています。インターフェイスタイプとゲートウェイタイプの2つです。この2つの違いは、インスタンスとサービス間での通信経路と制限が違うので簡単に以下に記載しておきます。

対応サービス

ゲートウェイ:S3、DynamoDB
インターフェイス:S3、DynamoDB以外のAWSサービス

NACL( Network Access Control List:サブネットのトラフィックを制御するファイアウォールとして提供される任意のセキュリティの事 )

ゲートウェイ:アウトバウンドルールでプレフィックスリストIDを指定してアウトバウンドトラフィック( ネットワークを流れるデータの内、中から外に出ていくデータの事)を制御することが出来ない。
インターフェイス:エンドポイントを作成したサブネットのCIDR( Classless Inter Domain Routing:の頭文字をとってCIDR、サイダーと読みます。アドレスクラスの概念を取り払った仕組みです。 ) ブロックに出入りするトラフィックを許可する適切なルールを追加する。

セキュリティグループ

ゲートウェイ:エンドポイントにアクセスするインスタンスのアウトバウンドルールにpl-idを指定することで制御する。
インターフェイス:VPCエンドポイント自体にセキュリティグループを関連付けることによって、イン/アウトを制御可能。

接続の延長

ゲートウェイ:VPN、VIPCピアリング、AWS Direct Connect接続を使ってのアクセスは不可。
インターフェイス:AWS Direct Connect接続を使ったアクセスは可能だが、VPN、VIPCピアリングを使っての接続は不可。

作成単位

ゲートウェイ:VPC単位。
インターフェイス:サブネット単位。

ポリシー

ゲートウェイ:設定可能であり、デフォルトではすべてのリソースへのフルアクセスが可能。
インターフェイス:設定不可であり、フルアクセスが許可されている状態から変更は不可。

帯域

ゲートウェイ:記載なし
インターフェイス:10Gbps

トラフィック

ゲートウェイ:IPv4のみ
インターフェイス:TCP IPv4のみ

クロスリージョン

ゲートウェイ:不可
インターフェイス:不可

タグ

ゲートウェイ:使用不可
インターフェイス:使用不可

数の上限[/VPC]

ゲートウェイ:20( 255まで引き上げ可能 )
インターフェイス:20( 上限引き上げは不可 )

AWS PrivateLinkはどういう場面で使えばいいのか

独自のサービスにクローズドな環境で通信したい場合は「AWS PrivateLink」が適しているでしょう。サービスがマーケットプレイスのエンドポイントサービスとして提供されている場合は「AWS PrivateLink」を使用しましょう。Direct Connect接続経由のエッジツーエッジルーティングを行いたい場合は、VPCピアリング接続では行うことが出来ないので、この場合も「AWS PrivateLink」を使用するべきです。また、VPCのCIDRブロックが重複している場合でもVPCピアリングでの接続ができないので、この場合も「AWS PrivateLink」を使用するべきですね。

まとめ

本記事では「AWS PrivateLink」とはなんなのか、「VPCエンドポイント」なんなのか、「AWS PrivateLink」は、どういう場面で使用すればよいのかを紹介させていただきました。本記事に書いてあるのは最低限の情報なので、まだまだ色々な特徴があります。「AWS PrivateLink」に興味を持っていただけた方は、本記事に書いてある事をよく読んでいただき、実際に使用してみて理解を深めるのもいいでしょうね。

カテゴリー
AWS比較

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

AWS

前の記事

AWS Data Pipelineの基礎知識
2020年4月7日
Fargate

次の記事

AWS Fargateを使いこなそう!〜AWS Fargateの概要・使い方について〜
2020年4月7日