T1-Q18/T3-Q46: S3はGateway Endpoint、SQSはInterface Endpointで閉域化する
AWSサービスへのプライベート接続を、VPC PeeringやTransit Gatewayではなくエンドポイント種別で選ぶ。
AWS SCS-C03 VPC Endpoint PrivateLink S3
対象誤答: T1 Q18 VPC ENDPOINTS S3 SQS
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | VPC Peeringや、インターフェイスエンドポイントへのアウトバウンド通信許可で解こうとした。 |
| 正答 | S3にはGateway VPC Endpoint、SQSにはInterface VPC Endpointを作成し、endpoint policyで必要なS3/SQSリソースだけ許可する。 |
| 誤答の引力 | VPC同士の接続方式と、VPCからAWSサービスへ閉域接続する方式を混同している。 |
| 判断軸 | S3/DynamoDBはGateway Endpointが基本。SQSなどPrivateLink対応サービスはInterface Endpoint。最小権限要件があるならendpoint policyまで見る。 |
この問題の芯
T1-Q18 と T3-Q46 は、EC2アプリから S3/SQS へプライベート接続し、最小権限も満たす問題。あなたの誤答は VPC Peering や、EC2ロールからインターフェイスエンドポイントへアウトバウンド許可する方向。正答は S3 に Gateway Endpoint、SQS に Interface Endpoint、そして endpoint policy で対象リソースだけ許可。
接続先で方式を選ぶ
| 接続したい相手 | 方式 |
|---|---|
| VPC内EC2 -> S3 | Gateway VPC Endpoint |
| VPC内EC2 -> DynamoDB | Gateway VPC Endpoint |
| VPC内EC2 -> SQS | Interface VPC Endpoint |
| VPC同士 | VPC Peering / Transit Gateway |
| オンプレからVPC | VPN / Direct Connect |
VPC Peering はVPC同士のルーティング。S3やSQSというAWSサービスのAPIへ閉域で出る主役ではない。
最小権限まで満たすには
エンドポイントを作るだけなら、経路は閉じられる。しかし問題に least privilege があるなら endpoint policy を絞る。
- S3 endpoint policyで対象バケットだけ許可
- SQS interface endpoint policyで対象キューだけ許可
- 必要ならS3 bucket policy側で
aws:sourceVpce条件を使う
次回の秒殺ルール
「AWSサービスへのプライベート接続」ならVPC endpoint。
S3/DynamoDBはGateway。SQS等はInterface。
「最小権限」が付いたらendpoint policyまでセットで選ぶ。
仕上げの一問一答
- この問題の主語は何か: VPC
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。