こんにちはますのです。 S3バケットへのGet、Putをする際に、機密情報モリモリなS3バケットだけを内部的なプライベート接続に出来ないか?と思うことがありました。 今回は特定のS3バケットのみ内部通信を実現する方法がないか調べて実装しましたので紹介です。 実現したいこと 特定のS3バケットへのAWS CLIアクセスをプライベート接続にしたい プライベートサブネットに所属するEC2インスタンスのみ接続許可としたい パブリックサブネットに所属するEC2インスタンスは接続不可とする yumやdnfコマンドでAmazon Linuxリポジトリへのアクセスはパブリックでアクセスしたい なるべく費用はかけない 構成図 概要 パブリックサブネットからの通信はゲートウェイ型VPCエンドポイントのみ接続許可とする 名前解決はRoute53リゾルバ経由でプライベートホストゾーンを参照する 特定のS3バケット