VPCエンドポイントは PrivateLink対応のサービスおよび、S3やDynamoとAWSネットワーク内で接続するためのエンドポイント。 インターネットに出ない分セキュアでゲートウェイへの負荷も抑えられる。 料金は時間あたりとトラフィック量による。

VPCエンドポイントを使うためにアプリケーション側に手を入れる必要はなく、 S3とDynamoがサポートしているGatewayのエンドポイントではルートテーブルによって、 その他多くのサービスがサポートしているInterfaceのエンドポイントでは名前解決の時点で向き先が変わるようになっている。

まずVPCのDNS ResolutionとDNS HostnamesをtrueにしてPrivate DNSで名前解決されるようにしておく必要がある。 エンドポイントを作成する際の設定項目は対象サービスと、VPCとSubnet、SGとサービスによってはPolicy。 サービスと1:1対応しているわけではなく、例えばECSの場合は次の3つのエンドポイントが必要。

com.amazonaws.region.ecs-agent
com.amazonaws.region.ecs-telemetry
com.amazonaws.region.ecs

作成するとSubnet内にエンドポイントとそれに紐づくENIが立ち、インターネットゲートウェイなしでもAPIが叩けるようになった。