VPC Endpoints

Définition :

• Les VPC Endpoints permettent de se connecter à des services AWS en utilisant un réseau privé (AWS) à la place d’Internet.
• Cela retire le besoin d’avoir une Internet Gateway (IGW), NAT Gateway pour accéder aux services AWS.
• Les VPC Endpoints sont hautement disponibles, redondants, scallables horizontallement, sans contrainte de bande passante.

Ces VPC Endpoints peuvent être de deux types :

• Interface Endpoint : provisionne une ENI (private IP dans une/des AZ), beaucoup de services et NLB
• Gateway Endpoint : utilise le routage pour accéder au services AWS (S3 ou DynamoDB)

Quand on utilise un VPC Endpoints de type Gateway il faut utiliser les prefix-lists fournies par AWS (prefix-lists régionales) dans la table de routage vers le VPC endpoint de type gateway comme target.
Il faut aussi penser à les utiliser dans les Security Groups en destinations en HTTP/HTTPS.

La sécurité :

En plus des policies qui peuvent être placées sur les ressources (S3, …), il est possible de mettre des VPC endpoints policy.
La policy par défaut permet un accès total vers la ressource AWS.
Il est possible de lui affecter un Security Group. Si le VPC endpoints interface pour un service custom n’est pas dans le compte courant AWS, il faut autoriser le VPC du client.

DNS :

La résolution DNS publique du service va être résolu avec le FQDN du VPC Endpoint local.
Il faut activer le “Enable DNS Hostnames” & “Enable DNS Support”.
La résolution DNS :

• Service : athena.us-east-1.amazonaws.com (private DNS name)
• Regional : vpce-xxxxxx.athena.us-east-1.vpce.amazonaws.com
• Zonal : vpce-xxxxxx-us-eats-1a.athena.us-east-1.vpce.amazonaws.com
• Zonal : vpce-xxxxxx-us-eats-1b.athena.us-east-1.vpce.amazonaws.com

Résolution DNS d’un VPC Endpoint:

Résolution DNS avec Private DNS disabled:

Résolution DNS avec Private DNS enabled:

Accès distant :

Une interface VPC Endpoint peut être accéder à travers:

• Direct Connect
• AWS Managed VPN
• VPC peering