AWS PrivateLinkとは？AWS PrivateLinkのメリット3つなど紹介

AWS PrivateLinkとは？

AWS PrivateLinkとは、独自のアプリケーションとAWS上のサービス群をよりセキュアに接続する仕組みのことです。

AWSにおいてWebアプリケーションを作成する際、Amazon VPC（Amazon Virtual Private Cloud）上で割り当てられた仮想ネットワーク上に構築されます。

通常であれば、そのようにして作成されたWebアプリケーションはAWSでホストになり他のサービス、オンプレミス間で通信する場合、一度公開されたインターネットを経由してデータをやり取りします。

AWS PrivateLink を利用すると、VPC およびサービス間のすべての通信を Amazon ネットワーク内で完結させるため、多くの規制・法令に対するセキュリティ要件を満たすことが可能になります。

VPC エンドポイントとは？

VPC エンドポイントとは、Amazon PrivateLinkを利用したサービスとAmazon内でのプライベートな接続を可能にするための仮想デバイスのことです。

また、通信はプライベートなネットワークで行われるためインターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connectといったものは不要です。

独自のアプリケーションにVPC エンドポイントを設置すると、複雑な設定はなく接続先のエンドポイントサービス名を指定することでAWS PrivateLinkを利用できます。

VPC エンドポイントの種類

VPC エンドポイントは全部で3つです。設置の際はAWSのVPC Management Console上で操作します。

クライアント側かサービス提供側で設置するVPCエンドポイントの種類が違いますが、きちんと項目で分けられているため設置の際は意識せずに作業できるようになっています。

Amazon内のプライベートIPアドレスを持つ仮想ネットワークインターフェイスであり、これらのエンドポイントを通過する通信は全てAWS PrivateLinkを使用します。

インターフェイスエンドポイント

インターフェイスゲートポイントはAWSでホストされたサービスを宛先とする通信のエントリポイントとして機能します。

VPC Management Consoleから「エンドポイント」の項目を選択して設置でき、独自のアプリケーションの他、AWSのサービスやAWS Marketplaceのサービスを指定できます。

AWSのサービスから検索する場合、「AWS サービス」を検索し、検索結果一覧上でタイプが「Interface」と表示されている「com.amazonaws.リージョン名.サービス名」を選択すると設置できます。

「サービスを名前で検索」の場合は「com.amazonaws.リージョン名.サービス名」（DynamoDBとs3除く）で検索、「ご使用の AWS Marketplace サービス」の場合は表示される全てがインターフェイスエンドポイントとなります。

ゲートウェイエンドポイント

ゲートウェイエンドポイントとは「Amazon S3」および「DynamoDB」のが宛先の通信のルートテーブルで、ルートのターゲットとして機能するものです。

こちらはその名の通りインターネットゲートウェイとして動作します。

VPC Management Consoleから「エンドポイント」の項目を選択して「AWS サービス」を検索し、検索結果一覧上でタイプが「Gateway」と表示されている「com.amazonaws.リージョン名.dynamodb」もしくは「com.amazonaws.リージョン名.s3」を選択すると設置できます。

「サービスを名前で検索」の場合は「com.amazonaws.リージョン名.DynamoDB」もしくは「com.amazonaws.リージョン名.s3」で検索しましょう。

ゲートウェイロードバランサーエンドポイント

ゲートロードバランサーエンドポイントは宛先への通信をインターセプトし、ゲートウェイロードバランサーを使用して各サービスに振り分けるためのエントリポイントとして機能します。

VPC Management Consoleから「エンドポイントサービス」の項目を選択して設置できます。

こちらは独自のアプリケーションを公開する際の宛先としてエンドポイントサービスを構成できます。

ただし、エンドポイントサービスを構成するには事前にAmazon EC2コンソールでNetwork Load Balancerを作成しておく必要があります。

AWS PrivateLinkのメリット3つ

AWS PrivateLinkには「通信の保護」「ネットワーク管理の簡素化」「クラウド移行が簡単に可能」といったメリットがあります。

それぞれの項目について、詳しく見ていきましょう。

通信の保護

AWS PrivateLinkを使用した通信はインターネット上に公開されることはなく、VPC エンドポイントを通過する通信は外部から干渉されません。

そのため、AWS PrivateLinkを使用しているアプリケーション同士の通信においては盗聴、改竄やAPIを利用したブルートフォース攻撃、DDoS攻撃といった外部からの脅威から保護されます。

更に、エンドポイントポリシーを設定することでサービスにアクセスできるユーザを正確に制御することでよりセキュリティを向上させることが可能です。

ネットワーク管理の簡素化

AWS PrivateLinkは通信がAmazonネットワーク内で完結するため、インターネット通信を前提とした場合に必要な多くの設定が不要になります。

クライアントとしてはサービス名から検索して使いたいサービスを設定するだけで独自のアプリケーションとAWSでホストされているサービス群とセキュアな接続を確立できます。

サービス提供者としてはエンドポイントサービスに対するリクエストは承諾するまで有効にならないため、アクセスしていいユーザか調査できます。

クラウド移行が簡単に可能

まず、前述で述べたようにAWS PrivateLinkを利用するとネットワーク管理が簡素になります。

クライアントとしては更にAWSでホストされている多くのサービス群があり、その中から最適なSaaS製品を検索できます。

サービス提供者としては新しいユーザがエンドポイント紐づけリクエストを送ってくる承諾するだけでセキュアな通信を確立できます。

クラウド上でありながら重要なデータの通信を「Amazonネットワーク内で完結できる」ということがクラウド移行を簡単に可能にしています。

AWS PrivateLinkの利用法

AWS PrivateLinkを利用するには、まず独自のアプリケーションをAmazon VPC上に作成する必要があります。

独自のアプリケーション構築方法については、ハンズオンが多くあるので参考にしてください。

エンドポイントを設置する場合

Amazon API Gateway、Amazon EC2、AWS Lambda等、68のサービスと他の AWS アカウントによってホストされるエンドポイントサービスおよびサポートされる AWS Marketplace パートナーサービスでAmazon PrivateLinkが利用可能となっています(2021/01時点)。

これらはVPC Management Consoleでエンドポイントとして指定できるサービスなので、用途に合ったサービスを探す、エンドポイントサービス設置者にサービス名を提供してもらう、もしくは独自のエンドポイントサービス用アプリケーションを作成してエンドポイントを作成しましょう。

エンドポイントの作成が完了するとサービス提供者にサービスの紐付けリクエストが届き、承諾されることでAWS PrivateLinkを利用して通信することが可能になります。

ゲートウェイエンドポイントを設置する場合

ゲートウェイエンドポイントはDynamoDBおよびS3のみで提供されています。

各サービスを選択してエンドポイントを作成するとすぐに使用可能です。

エンドポイントサービスを設置する場合

独自のアプリケーションにエンドポイントサービスを設置して公開するには、EC2で作成したNetwork Load Balancerを指定します。

エンドポイントサービスの作成に成功するとサービス名が発行され、準備完了です。

サービス名をクライアントに提供した後、クライアント側のエンドポイント作成が完了するとエンドポイント接続の一覧にサービスの紐づけリクエストが表示されるので、承諾すると当該クライアントと独自のアプリケーション間でAWS PrivateLinkの利用が開始されます。

AWS PrivateLinkを利用してよりセキュアなAWSサービスを構築しましょう！

AWS PrivateLinkを利用することでオンプレミスからクラウド環境への移行はより簡単に、安全を確保したまま可能になりました。

クラウド上にあるにもかかわらず通信が「Amazonのネットワーク内で完結する」というのはAWSという大きなサービスならではの強みです。

ハンズオンは無料の範囲で最後まで作成可能なものがあるので、是非一度試してみてください。