VPC エンドポイント Gateway 型と Interface 型の違い
Gateway 型は S3・DynamoDB 専用で、ルートテーブルにエントリを追加する仕組みです。追加料金なしで使えますが、オンプレミスや他リージョンの VPC からはアクセスできません。Interface 型は AWS PrivateLink を使い、サブネット内に ENI(Elastic Network Interface)を作成します。対応サービスが多く、オンプレミスや VPC ピアリング経由でも到達できますが、時間単位の利用料とデータ処理料金が発生します。
仕組みの比較
主な違いの一覧
| 項目 | Gateway 型 | Interface 型 |
|---|---|---|
| 技術基盤 | ルートテーブルへのエントリ追加 | AWS PrivateLink(ENI) |
| 対応サービス | S3・DynamoDB のみ | 100 以上の AWS サービス |
| コスト | 無料 | 時間料金 + データ処理料金 |
| プライベート IP | なし | あり(サブネット CIDR から割り当て) |
| オンプレミスからのアクセス | 不可 | 可(VPN / Direct Connect 経由) |
| VPC ピアリング / Transit Gateway 経由 | 不可(同一リージョンの同一 VPC のみ) | 可 |
| セキュリティグループ | 適用不可(エンドポイントポリシーで制御) | ENI にセキュリティグループを設定可 |
| DNS | 変更不要(ルートで転送) | プライベート DNS 名でエンドポイントに解決 |
Gateway 型の仕組み
Gateway 型は VPC のルートテーブルに「宛先が S3 や DynamoDB の IP プレフィックスリスト(pl-xxxxx)の場合はこのエンドポイントへ」というルートエントリを自動追加します。インターネットゲートウェイや NAT ゲートウェイを経由せずにトラフィックが AWS バックボーン内で完結します。
構成例(S3 向け Gateway エンドポイントを作成すると自動追加されるルート):
Destination Target
pl-61a54008 vpce-0123456789abcdef0 ← S3 のプレフィックスリストInterface 型の仕組み
Interface 型は指定したサブネットに ENI を作成し、サービスのプライベート IP アドレスを割り当てます。AWS PrivateLink によってトラフィックは AWS ネットワーク内に閉じられます。エンドポイント用の DNS 名(例: vpce-xxxx.s3.us-east-1.vpce.amazonaws.com)が発行され、「プライベート DNS 名」を有効にすると標準の S3 ドメイン名でもエンドポイントに解決されます。
どちらを使うべきか
S3 や DynamoDB へのアクセスを同一 VPC 内だけで完結させる場合は、無料の Gateway 型が最初の選択肢です。オンプレミスや別リージョンの VPC からもアクセスする必要がある場合、または S3・DynamoDB 以外のサービス(例: EC2 API、SSM、Secrets Manager)に使う場合は Interface 型を選択します。S3 と DynamoDB は両タイプに対応しているため、アクセス元の範囲と追加コストの許容度で判断します。