翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ゲートウェイエンドポイント
<a name="gateway-endpoints"></a>

ゲートウェイ VPC エンドポイントは、VPC にインターネットゲートウェイや NAT デバイスを必要とせずに、Amazon S3 および DynamoDB への信頼性の高い接続を提供します。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり AWS PrivateLink、 を使用しません。

Amazon S3 と DynamoDB は、ゲートウェイエンドポイントとインターフェイスエンドポイントの両方をサポートしています。オプションの比較については、以下を参照してください。
+ [Amazon S3 の VPC エンドポイントのタイプ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)
+ [Amazon DynamoDB の VPC エンドポイントのタイプ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)

**料金**  
ゲートウェイエンドポイントは追加料金なしで使用できます。

**Topics**
+ [概要](#gateway-endpoint-overview)
+ [ルーティング](#gateway-endpoint-routing)
+ [セキュリティ](#gateway-endpoint-security)
+ [IP アドレスタイプ](#gateway-endpoint-ip-address-type)
+ [DNS レコード IP タイプ](#gateway-endpoint-dns-record-ip-type)
+ [Amazon S3 におけるエンドポイント](vpc-endpoints-s3.md)
+ [DynamoDB のエンドポイント](vpc-endpoints-ddb.md)

## 概要
<a name="gateway-endpoint-overview"></a>

Amazon S3 と DynamoDB には、パブリックサービスエンドポイントまたはゲートウェイエンドポイントを通じてアクセスできます。この概要では、これらの方法を比較します。

**インターネットゲートウェイ経由でアクセスする**  
次の図は、インスタンスがパブリックサービスエンドポイントを通じて Amazon S3 および DynamoDB にアクセスする方法を示しています。パブリックサブネットのインスタンスから Amazon S3 または DynamoDB へのトラフィックは、VPC のためにインターネットゲートウェイにルーティングされ、その後にサービスにルーティングされます。定義上、プライベートサブネットにはインターネットゲートウェイへのルートがないため、プライベートサブネットのインスタンスは Amazon S3 や DynamoDB にトラフィックを送信できません。プライベートサブネットのインスタンスが Amazon S3 または DynamoDB にトラフィックを送信できるようにするには、パブリックサブネットに NAT デバイスを追加し、プライベートサブネットのトラフィックを NAT デバイスにルーティングする必要があります。Amazon S3 または DynamoDB へのトラフィックがインターネットゲートウェイを通過する間、 AWS ネットワークから出ることはありません。

![トラフィックはインターネットゲートウェイを介して VPC を離れますが、 AWS ネットワーク内にとどまります。](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/without-gateway-endpoints.png)


**ゲートウェイエンドポイント経由でアクセスする**  
次の図は、インスタンスがゲートウェイエンドポイントを通じて Amazon S3 および DynamoDB にアクセスする方法を示しています。VPC から Amazon S3 または DynamoDB へのトラフィックは、ゲートウェイエンドポイントにルーティングされます。各サブネットルートテーブルには、サービスのプレフィックスリストを使用して、サービス宛てのトラフィックをゲートウェイエンドポイントに送信するルートが必要です。詳細については、「*Amazon VPC ユーザーガイド*」の「[AWSマネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)」を参照してください。

![VPC からのトラフィックは、ゲートウェイエンドポイントにルーティングされます。](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/gateway-endpoints.png)


## ルーティング
<a name="gateway-endpoint-routing"></a>

ゲートウェイエンドポイントを作成するときは、有効にするサブネットの VPC ルートテーブルを選択します。次のルートは、選択した各ルートテーブルに自動的に追加されます。送信先は が所有するサービスのプレフィックスリスト AWS であり、ターゲットはゲートウェイエンドポイントです。


| ルーティング先 | ターゲット | 
| --- | --- | 
| {{prefix\_list\_id}} | {{gateway\_endpoint\_id}} | 

**考慮事項**
+ ルートテーブルに追加されたエンドポイントルートは確認できますが、変更または削除できません。エンドポイントルートをルートテーブルに追加するには、それをゲートウェイエンドポイントに関連付けます。ルートテーブルとゲートウェイエンドポイントの関連付けを解除するか、ゲートウェイエンドポイントを削除すると、エンドポイントルートが削除されます。
+ ゲートウェイエンドポイントに関連付けられたルートテーブルに関連付けられたサブネットのすべてのインスタンスは、ゲートウェイエンドポイントを使用してサービスにアクセスします。これらのルートテーブルに関連付けられていないサブネット内のインスタンスは、ゲートウェイエンドポイントではなくパブリックサービスエンドポイントを使用します。
+ ルートテーブルには、Amazon S3 へのエンドポイントルートと DynamoDB へのエンドポイントルートの両方を含めることができます。同じサービス (Amazon S3 または DynamoDB) へのエンドポイントルートを複数のルートテーブルに含めることができます。1 つのルートテーブルに同じサービス (Amazon S3 または DynamoDB) への複数のエンドポイントルートを持つことはできません。
+ 当社は、トラフィックと一致する最も具体的なルートを使用して、トラフィックをルーティングする方法を決定します (最長プレフィックス一致)。エンドポイントルートのあるルートテーブルの場合、これは次のことを意味します。
  + すべてのインターネットトラフィック (0.0.0.0/0) をインターネットゲートウェイに送信するルートがある場合、現在のリージョンのサービス (Amazon S3 または DynamoDB) 宛てのトラフィックでエンドポイントルートが優先されます。別の 宛てのトラフィックは、インターネットゲートウェイ AWS のサービス を使用します。
  + プレフィックスリストはリージョンに固有であるため、別のリージョンのサービス (Amazon S3 または DynamoDB) 宛てのトラフィックはインターネットゲートウェイに送信されます。
  + 同じリージョンにサービス (Amazon S3 または DynamoDB) の正確な IP アドレス範囲を指定するルートがある場合は、そのルートがエンドポイントルートよりも優先されます。

## セキュリティ
<a name="gateway-endpoint-security"></a>

インスタンスがゲートウェイエンドポイントを介して Amazon S3 または DynamoDB にアクセスする場合、インスタンスはパブリックエンドポイントを使用してサービスにアクセスします。これらのインスタンスのセキュリティグループは、サービスとの間のトラフィックを許可する必要があります。以下は、アウトバウンドルールの例です。サービスの[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)の ID を参照します。


| 目的地 | プロトコル | ポート範囲 | 
| --- | --- | --- | 
| {{prefix\_list\_id}} | TCP | 443 | 

これらのインスタンスのサブネットにおけるネットワーク ACL でも、サービスとの間のトラフィックを許可する必要があります。以下は、アウトバウンドルールの例です。ネットワーク ACL ルールでプレフィックスリストを参照することはできませんが、プレフィックスリストからサービスの IP アドレス範囲は取得できます。


| 目的地 | プロトコル | ポート範囲 | 
| --- | --- | --- | 
| {{service\_cidr\_block\_1}} | TCP | 443 | 
| {{service\_cidr\_block\_2}} | TCP | 443 | 
| {{service\_cidr\_block\_3}} | TCP | 443 | 

## IP アドレスタイプ
<a name="gateway-endpoint-ip-address-type"></a>

ルートテーブルにどのプレフィックスリストが関連付けられるかは、IP アドレスタイプによって決まります。

**ゲートウェイエンドポイントで IPv6 を有効にするための要件**
+ 以下の説明にあるとおり、ゲートウェイエンドポイントの IP アドレスタイプには、ゲートウェイエンドポイントのサブネットとの互換性がある必要があります。
  + **[IPv4]** – ルートテーブルにサービスの IPv4 プレフィックスリストを追加します。
  + **[IPv6]** – ルートテーブルにサービスの IPv6 プレフィックスリストを追加します。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。
  + **[デュアルスタック]** – ルートテーブルにサービスの IPv4 プレフィックスリストと IPv6 プレフィックスリストを追加します。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。

## DNS レコード IP タイプ
<a name="gateway-endpoint-dns-record-ip-type"></a>

デフォルトでは、ゲートウェイエンドポイントは、呼び出したサービスエンドポイントに基づいて DNS レコードを返します。などの IPv4 サービスエンドポイントを使用してゲートウェイエンドポイントを作成すると`s3.us-east-2.amazonaws.com`、Amazon S3 はクライアントに A レコードを返し、ルートテーブル内のすべてのサブネットは IPv4 を使用します。

対照的に、 などのデュアルスタックサービスエンドポイントを使用してゲートウェイエンドポイントを作成すると`s3.dualstack.us-east-2.amazonaws.com`、Amazon S3 は A レコードと AAAA レコードの両方をクライアントに返し、ルートテーブルのサブネットは IPv4 と IPv6 を使用します。

**注記**  
ディレクトリバケットまたは S3 Express One Zone の場合、データプレーンのゲートウェイエンドポイント`s3express-use2-az1.dualstack.us-east-2.amazonaws.com`はそれぞれ `s3express-use2-az1.us-east-2.amazonaws.com`および になります。

DNS レコードの IP タイプは、トラフィックがクライアントにルーティングされる方法に影響します。IPv4 サービスエンドポイントを使用してゲートウェイエンドポイントを作成し、デュアルスタックサービスエンドポイントを呼び出すと、AAAA レコードを使用するトラフィックはゲートウェイエンドポイント経由でルーティングされません。IPv6-compatibleパスが存在する場合、トラフィックはドロップまたはルーティングされます。サービス定義の DNS レコード IP タイプを使用する場合は、サービスが複数のサービスエンドポイントからの可変呼び出しを処理できることを確認してください。

[サービス定義](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptionsSpecification.html)のデフォルトの DNS レコード IP タイプ設定の代わりに、DNS レコード IP タイプをカスタマイズして、特定のエンドポイントに返されるレコードを選択できます。以下の表には、サポートされている DNS レコード IP タイプと返されるレコードタイプが記載されています。


| DNS レコード IP タイプ | 返されるレコードタイプ | 
| --- | --- | 
| IPv4 | A | 
| IPv6 | AAAA | 
| デュアルスタック | A および AAAA | 
| サービス定義 | レコードはサービスエンドポイントによって異なります。 | 

DNS レコードの IP タイプを選択するには、エンドポイントサービスに互換性のある IP アドレスタイプを使用する必要があります。次の表は、ゲートウェイエンドポイントの各 IP アドレスタイプでサポートされている DNS レコード IP タイプを示しています。


| IP アドレスタイプ | サポートされる DNS レコード IP タイプ | 
| --- | --- | 
| IPv4 | IPv4、サービス定義\* | 
| IPv6 | IPv6、サービス定義\* | 
| デュアルスタック | IPv4、IPv6、デュアルスタック、サービス定義\* | 

\*デフォルトの DNS レコード IP タイプを表します。

**注記**  
 Gateway エンドポイントにサービス定義以外の DNS レコード IP タイプを使用するには、VPC 設定で `enableDnsSupport`および `enableDnsHostnames` 属性を許可する必要があります。

DynamoDB ゲートウェイエンドポイントの DNS レコード IP タイプを変更することはできません。DynamoDB は、サービス定義の DNS レコード IP タイプのみをサポートします。

インターフェイスエンドポイントでは、DNS レコード IP タイプの動作が異なります。詳細については、「[インターフェイスエンドポイントの DNS レコード IP タイプ](privatelink-access-aws-services.md#aws-services-dns-record-ip-type)」を参照してください。