背景

• EC2とS3が密に関係するソフトウェアを書いてるんですが、VPCエンドポイントの概念を知らなかったので、非常に悔やまれます。

資料

• Amazon Web Services ブログ: Amazon S3のVPCエンドポイント
• VPC エンドポイント - Amazon Virtual Private Cloud
• VPC Endpointを使ってS3にアクセスしてみる – サーバーワークスエンジニアブログ
• S3 VPCエンドポイントを利用するメリット
• https://www.bitclear.co.jp/vpcendpoint/

VPCエンドポイントが解決する問題

• EC2インスタンスなどVPC内のサービスから、S3を参照するさい、InternetGatewayやNATを通って一度インターネットに出る必要がある
• これを、VPCエンドポイントという概念を使って、インターネットに出ずに、AWSのネットワーク内でS3まで到達できるようになった
  • 具体的には、 S3のエンドポイントをDestinationとし、VPCエンドポイント（vpce-から始まるリソース）をTargetとするRouteをRouteTablesに追加することによって実現する
  • リージョンはまたげない
• NATの負荷軽減、セキュリティの強化が期待できる

使い方の概要

概念的なところ。

1. 確認用に、インターネットに出ていけないSubnetをつくる
   • のちにこれにsshして動作確認するので、必要なら、自宅なりオフィスのIPアドレスをDestinationとしInternetGatewayをTargetに持つRouteだけは、追加しておく
2. このSubnetの配下にEC2インスタンスを作成する
   • SecurityGroupはiptablesみたいなもので今回の検証とはレイヤーが違うので、検証環境からsshできるIn/Outを設定すればよい
3. このEC2インスタンスにsshする
   • あとで使うので、必要なら sudo yum install -y python-pip && pip install awscli とかしとく
4. ping google.comとかやって、インターネットに出ていけないことを確認する
5. aws s3 ls your-bucket などして無反応なことを確認する
   • なぜなら、EC2からS3は、デフォルトではインターネット経由だから
6. VPCエンドポイントを作成し、このSubnetと紐付ける（ ≒ RouteをRouteTablesに追加する）
7. やはり、ping google.com は通らない
8. しかし、aws s3 ls your-bucket は通る
   • なぜなら、EC2からS3への疎通はVPCエンドポイントが使われるようになったから

※ リージョン跨げないので、your-bucketはEC2と同リージョンである必要がある

DRYな備忘録として