S3 ゲートウェイ VPC エンドポイントでプライベートに S3 へアクセスする

このラボでは、インターネットゲートウェイも NAT ゲートウェイも持たない完全プライベートな VPC を構築し、その中のプライベートサブネットに置いた EC2 から Amazon S3 へアクセスします。最初はあえて S3 への経路が無い状態を作り、アクセスが失敗することを体験したうえで、S3 ゲートウェイ VPC エンドポイントを作成してルートテーブルに関連付けると、インターネットを一切経由せずに S3 へアクセスできるようになる、という変化を実機で確認します。

ゲートウェイエンドポイントは S3 と DynamoDB 専用の仕組みで、ルートテーブルにルートを追加するだけで機能し、追加料金もかかりません。NAT ゲートウェイを使わずに S3 へ安全かつ低コストにアクセスする、実務でも頻出のパターンを身につけます。EC2 への接続は SSH ではなく Session Manager（SSM） を使うため、キーペアや踏み台サーバー、インバウンドポートの開放は不要です。

学習目標

• インターネット経路を持たないプライベート VPC とサブネットを構築できる
• ゲートウェイエンドポイント（S3/DynamoDB 用）とインターフェイスエンドポイント（その他サービス用）の違いを説明できる
• S3 ゲートウェイ VPC エンドポイントを作成し、ルートテーブルへ正しく関連付けできる
• 明示的なルートテーブル関連付けが無いサブネットが、VPC のメインルートテーブルを暗黙的に使うことを理解し、メインルートテーブルを ID で特定できる
• ゲートウェイエンドポイントがルートテーブルに「S3 プレフィックスリスト → vpce」のルートを追加する仕組みを理解できる
• NAT/IGW を使わず、インターネットを経由せずに S3 へアクセスできることを EC2 上で検証できる
• Session Manager を使って、SSH ポートを開けずにプライベート EC2 へ接続できる

前提

• federated console に cloud_user ロールで既にサインイン済みであること
• すべての操作を アジアパシフィック(東京) ap-northeast-1 リージョンで行うこと（IAM などのグローバルサービスを除く）
• AWS の VPC・サブネット・ルートテーブル・EC2 の基本用語をある程度理解していること（未経験でも手順どおり進めれば完了できます）
• 利用できるリソースはサンドボックスのガードレール内（EC2 は t3.micro 等、最小構成）に収まります

このラボで作る構成（完成イメージ）

• VPC: lab-s3ep-vpc（CIDR 10.20.0.0/16）— IGW も NAT も持たない
• プライベートサブネット: lab-s3ep-private-a（10.20.1.0/24, ap-northeast-1a）— 明示的なルートテーブル関連付けは行わず、メインルートテーブルを暗黙的に使う
• EC2: lab-s3ep-ec2（t3.micro / パブリック IP なし / SSM ロール付き、SG は lab-s3ep-sg）
• インターフェイスエンドポイント: ssm / ssmmessages / ec2messages（SSM 接続用、SG は lab-s3ep-vpce-sg）
• ゲートウェイエンドポイント: lab-s3-gateway-ep（S3 用、本ラボの主役。VPC のメインルートテーブルに関連付ける）
• S3 バケット: lab-s3ep-...（東京リージョン、検証用）