PrivateLink

【VPC内リージョンサービス】

PrivateLink は、VPCからAWSサービスやサービス提供VPC（自社SaaS／他社SaaS）へプライベートIPで安全に接続する仕組みです。

プライベート接続 により、インターネットやNATを介さず、ENI（Elastic Network Interface） を通じてサービスに到達できます。通信はAWSバックボーン内で完結するため、データ越境やファイアウォール通過のリスクを最小化できます。

VPC Peering や Transit Gateway との違いとして、PrivateLinkは unidirectional access（一方向アクセス） であり、VPC間を直接ルーティングするのではなく、特定のサービス単位で安全に公開・利用 できる点が特徴です。そのため、ネットワーク共有範囲を最小化しつつ、柔軟かつセキュアな連携を実現します。

Service Provider VPC（サービス提供側のVPC） は、NLB（Network Load Balancer） を利用して VPC Endpoint Services を公開します。一方、Service Consumer VPC（サービス利用側のVPC） は、自身のVPC内に VPC Endpoint（インターフェイス型：Interface Endpoint） を作成し、そのエンドポイント経由で Service Provider VPC のサービスに安全にアクセスします。

Private DNS を利用することで、既存のドメイン名をPrivateLink経由のエンドポイントに紐付け、アプリケーションの設定変更なしでプライベート通信を透過的に実現できます。

アクセス制御は、SG（Security Group） や IAMポリシー により細粒度で管理でき、どのVPC・アカウント・ユーザーからの通信を許可するかを厳密に制御できます。これにより、セキュリティ境界が明確化され、運用ガバナンスの向上にもつながります。

重要用語

ユースケース

SaaS/自社サービスのプライベート公開	外部や別アカウントのVPCに対して、インターネットを経由せずに利用できるプライベートエンドポイントとしてサービスを提供する。
VPC間のセキュアなサービス共有	VPCピアリングの代わりに、Producer VPCのサービスをConsumer VPCからエンドポイント経由で参照し、ルーティングをシンプルに保つ。
オンプレミスからのプライベートAPI利用	Direct ConnectやVPNでつながった社内ネットワークから、インターネットに出ずにPrivateLink経由でAWS上のAPIやサービスを利用する。

ベストプラクティス

インターフェイスエンドポイントの利用	SaaSや自社サービスへインターネットを介さずにプライベート接続する。
エンドポイントポリシー制御	許可する操作やサービスをポリシーで制限し、最小権限を徹底する。
DNS統合の適切な設定	エンドポイント向けプライベートDNSを有効にし、アプリの変更を最小化する。

高可用性・バックアップ・リトライ

高可用性・バックアップ・リトライ設計のポイント
マルチAZ（エンドポイント）

セキュリティ

関連サービス	設定内容
CloudTrail（操作履歴の記録・監査・追跡）	【自動記録】 作成・更新・削除・設定変更は自動記録される。（コントロールプレーンAPI） データ操作は追跡できない（データプレーンAPI）
Config（リソースの構成状態・設定変更を記録）	【Configが有効な場合】 エンドポイント/ポリシーの設定変更履歴・公開設定の準拠評価
GuardDuty（脅威を自動検出）	【GuardDutyが有効な場合】 VPCエンドポイント設定変更のAPI異常検知

ログ・監視

標準メトリクス

メトリクス名	説明

制限値（固定値／ハードリミット／ソフトリミット）

固定値	制限値
サブネット数/エンドポイント	複数AZ対応

ハードリミット	制限値
同時接続数/エンドポイント	255

ソフトリミット	制限値
VPCエンドポイント数/VPC	20（Gateway）、50（Interface）
エンドポイントサービス数/アカウント	50

AWS CLIのサンプルコード

CloudFormationのサンプルコード

Terraformのサンプルコード

料金計算

課金項目	説明
VPCエンドポイント	VPCエンドポイントの時間課金
データ処理	エンドポイント経由のデータ処理量

公式ページ

AWSドキュメント PrivateLink