AWSは先頃、Amazon S3のPrivateLinkが一般提供 (GA) になったことを発表した。Amazon S3のPrivateLinkを使用すると、顧客はAmazon S3にオンプレミスリソースを安全に接続できる。
昨年のAWS re:Inventで、Amazon S3のPrivateLinkの利用可能性を事前に発表したが、GAになった。この機能は、仮想ネットワークからのプライベートIPを使用して、Amazon Simple Storage Service (S3) とオンプレミスリソース間のプライベート接続を顧客に提供する。2015年以降、S3にはVPCエンドポイントが備わっている。ただし、これはAWSユーザがAWS Direct ConnectやAWS VPNなどの安全な接続を介してオンプレミスソリューションからS3にアクセスすることはできなかった。このため一部のユーザは、Amazon Web ServicesのプリンシパルアドボケイトのMartin Beeby氏のブログ投稿によれば、Amazon Virtual Private CloudにプライベートIPアドレスを使用したプロキシサーバをセットアップし、S3のゲートウェイエンドポイントを使用していた。
このソリューションは機能しますが、プロキシサーバは通常、パフォーマンスを制限し、障害点を追加し、運用の複雑さを増します。これらの欠点なしに顧客のためにこの問題を解決する方法を検討しまし、その結果、S3のPrivateLinkが実現しました。
S3のPrivateLinkを使用すると、ユーザはVirtual Private Cloudの新しいVPCエンドポイントインターフェイスを使用して、安全な仮想ネットワーク内のプライベートエンドポイントとしてS3に直接アクセスできるようになる。プライベートIPアドレスを使用してS3にアクセスできるようにすることで、既存のゲートウェイエンドポイントの機能を拡張する。オンプレミスアプリケーションからS3へのAPIリクエストとHTTPSリクエストは、インターフェースエンドポイントを介して自動的に送信される。さらに、ユーザはインターフェイスエンドポイントにセキュリティグループとアクセス制御ポリシーを設定できる。
出典: https://aws.amazon.com/blogs/aws/aws-privatelink-for-amazon-s3-now-available/
他のクラウドプロバイダも同様のサービスを提供しており、ユーザはオンプレミスでクラウドストレージサービスに接続できる。Microsoftは、2020年3月からAzure Storageのプライベートエンドポイントサポートを提供するAzure Private Linkを提供し、GoogleはCloud Storageを含むプライベートアクセスオプションをユーザに提供している。
Redditのスレッドの回答者は、S3のPrivateLinkが利用可能であることを歓迎した:
これは、オンプレミスで、ダイレクトコネクトを介してS3に直接プライベートルートが必要な特定のケース向けです。以前は、EC2プロキシにポイントして、既存のVPCエンドポイントを介して転送するのが最善でした.... が実際には理想的ではありませんでした。または、パブリックインターネットを介して.... これも実際には理想的ではありませんでした。
そして:
一部の組織は、ネットワークで分割ルーティングを構成できないため、ゲートウェイエンドポイントを使用できません。この方法で、PrivateLinkインターフェイスをそれに使用できます。
さらに、Trivadisのシニアコンサルタント兼トレーナであるDaniel Hillinger氏は、ツイートで次のように述べた:
昨夜、AWSによる素晴らしい発表があった - S3インターフェースエンドポイント! 特にセキュリティに縛られた顧客は、パブリックIPをホワイトリストに登録し、S3ゲートウェイエンドポイントのNACLで定期的に更新する必要があったため、これは待望されていました。
この機能は、ユーザがオンプレミスからS3にアクセスする必要がある場合にのみ役立つことに注意してください。それ以外の場合は、同じRedditスレッドで次のように述べられている:
オンプレミスからS3にアクセスする必要がない場合は、使用しないでください。S3ゲートウェイエンドポイントは無料ですが、これは高価になる可能性があります。
PrivateLinkは現在、すべてのAWSリージョンで、処理されたデータのGBあたりの料金と、インターフェースVPCエンドポイントの1時間あたりの料金で利用できる。