AWS認定資格 WEB問題集&徹底解説

クラウドプラクティショナー

AWS PrivateLink の概要と試験出題ポイントは?

AWSサービスの一つであるAWS PrivateLinkはどんな内容なのでしょうか?また、AWS認定資格のクラウドプラクティショナー(CLF)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS PrivateLink 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS PrivateLinkは、VPCとAWSサービス(またはサードパーティサービス)をインターネットを経由せずにプライベートに接続するテクノロジーです。トラフィックはAWSのプライベートネットワーク内に留まり、インターネットゲートウェイ・NAT・パブリックIPが不要です。

PrivateLinkは主にVPCエンドポイントとして実装されており、インターフェース型(ENIベース)とゲートウェイ型(ルートテーブルベース)の2種類があります。

2. 主な特徴と機能

2.1 インターフェースエンドポイント(Interface Endpoint)

  • VPCサブネット内にENI(Elastic Network Interface)を作成してAWSサービスまたはエンドポイントサービスへのプライベートアクセスを提供。
  • 対応サービス: S3(インターフェース型も選択可)・SQS・SNS・EC2 API・CloudWatch・KMS・Secrets Manager・Lambda・API Gatewayプライベートエンドポイント等、200以上のAWSサービス。
  • サービスごとにプライベートDNS名が提供され(例: ec2.ap-northeast-1.amazonaws.com)、既存のコードを変更せずにVPC経由でアクセス可能。
  • セキュリティグループを適用してエンドポイントへのアクセスを制御可能。

2.2 ゲートウェイエンドポイント(Gateway Endpoint)

  • S3・DynamoDBにのみ対応する無料のエンドポイントタイプ。
  • VPCルートテーブルにルートエントリを追加してS3/DynamoDBへのトラフィックをAWSプライベートネットワーク経由に変更。
  • ENIを作成せずルートテーブル経由のため、プライベートサブネットからNAT Gateway不要でS3/DynamoDBに接続可能。コスト削減効果が大きい。

2.3 エンドポイントサービス(Endpoint Service)

自社サービス(NLBの背後にあるアプリ)をPrivateLink経由で他のVPC(他アカウント含む)に公開できます。VPCピアリングやTransit Gatewayを使わずに、他のVPCから自社サービスにプライベートアクセスを提供。SaaSプロバイダーがAWS Marketplaceでサービスを提供する際にも利用。

2.4 オンプレミスからのPrivateLink接続

Direct Connect(プライベートVIF)またはSite-to-Site VPN → VPC内のインターフェースエンドポイント経由でオンプレミスからAWSサービスにプライベートアクセス可能。

3. アーキテクチャおよび技術要素

  1. インターフェースエンドポイント: VPCコンソールで「エンドポイントの作成」→サービスを選択(例: com.amazonaws.ap-northeast-1.s3)→サブネットを選択→セキュリティグループを設定→ENIが作成される。
  2. ゲートウェイエンドポイント: S3/DynamoDBを選択→関連付けるルートテーブルを指定→ルートテーブルに自動的にプレフィックスリストエントリが追加される。
  3. プライベートDNS有効化時: 既存のAWSサービスのDNS名(s3.amazonaws.com等)がVPC内でエンドポイントのIPに自動解決される。

4. セキュリティと認証・認可

  • エンドポイントポリシー: インターフェース/ゲートウェイエンドポイントにIAMリソースポリシーを付与。特定のS3バケットへのアクセスのみ許可等の細かい制御が可能。
  • セキュリティグループ: インターフェースエンドポイントのENIにSGを適用して送受信トラフィックを制御。
  • インターネットからの遮断: ゲートウェイエンドポイント利用時にS3バケットポリシーで「aws:sourceVpce条件」を使ってVPCエンドポイント経由のアクセスのみ許可(インターネットからのアクセスをSCPレベルで遮断)。

5. 料金形態

  • ゲートウェイエンドポイント(S3/DynamoDB): 無料(NAT Gatewayのデータ転送料金が不要になるためコスト削減効果大)。
  • インターフェースエンドポイント: エンドポイントのAZ時間課金+データ処理料金(GB)。
  • エンドポイントサービス: エンドポイントのAZ時間課金+データ処理料金(GB)。

6. よくあるアーキテクチャ・設計パターン

  • プライベートサブネットからS3アクセス(コスト最適化): ゲートウェイエンドポイントをS3に設定→プライベートサブネットのEC2/LambdaがNAT Gateway経由なしにS3に直接アクセス。NAT Gatewayのデータ転送コストを削減。
  • セキュアなSaaS提供(エンドポイントサービス): NLBの背後にアプリを配置→PrivateLinkエンドポイントサービスを作成→顧客VPCからインターフェースエンドポイントで接続。インターネット公開なしのセキュアなサービス提供。
  • オンプレ→AWSセキュアアクセス: Direct Connect → VPC内のインターフェースエンドポイント(KMS/Secrets Manager等)でオンプレアプリからAWSサービスにプライベートアクセス。

7. 設定・デプロイ手順(ハンズオン例)

  1. VPCコンソール→「エンドポイント」→「エンドポイントの作成」。
  2. サービスカテゴリ: 「AWSサービス」→サービス名でS3を検索→ゲートウェイ型を選択(無料)。
  3. VPCとルートテーブルを選択→「エンドポイントの作成」。
  4. ルートテーブルにプレフィックスリストエントリ(pl-xxxxxxxx → vpce-xxxxxxxx)が自動追加されることを確認。
  5. プライベートサブネットのEC2から aws s3 ls コマンドでS3にアクセスできることを確認。

8. 試験で問われやすいポイント

8.1 インターフェース型 vs ゲートウェイ型

  • Q: VPCエンドポイントのインターフェース型とゲートウェイ型の違いは?
    A: ゲートウェイ型はS3とDynamoDBのみ対応(無料・ルートテーブルにエントリ追加)。インターフェース型はほぼ全AWSサービスに対応(有料・ENIを作成・SGで制御・プライベートDNS)。

8.2 NAT Gatewayのコスト削減

  • Q: プライベートサブネットのEC2からS3へのアクセスでNAT Gatewayのコストを削減するには?
    A: S3のゲートウェイエンドポイントを作成(無料)。NAT Gatewayのデータ転送料金($0.045/GB)を回避できる。

8.3 エンドポイントサービス

  • Q: VPCピアリングなしに他のVPC(他アカウント)から自社サービスにプライベートアクセスさせるには?
    A: PrivateLinkのエンドポイントサービス(NLBの背後にサービスを配置してPrivateLinkで公開)。推移的ルーティングが不要でスケーラブル。

8.4 エンドポイントポリシー

  • Q: VPCエンドポイント経由でアクセスできるS3バケットを特定のバケットのみに制限するには?
    A: ゲートウェイエンドポイントにエンドポイントポリシーを設定(Resource: arn:aws:s3:::specific-bucket/*のみ許可)。またはS3バケットポリシーにaws:sourceVpce条件を追加。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報