[AWS 네트워크] VPC 엔드포인트 완전 정리 (Interface vs Gateway)

AWS에서 Private Subnet 환경을 구성하다 보면 인터넷 없이 S3, SSM, CloudWatch 같은 서비스에 접근해야 하는 경우가 자주 발생한다.
이럴 때 사용하는 것이 바로 VPC 엔드포인트(VPC Endpoint)이다.
오늘은 실무에서 자주 쓰는 VPC 엔드포인트의 종류와 사용 이유, 구성 방식을 정리해본다.

 

✅ VPC 엔드포인트란?

VPC Endpoint는 VPC 내부에서 인터넷 게이트웨이(NAT, IGW) 없이도 AWS 서비스에 접근할 수 있도록 해주는 구성 요소다.
종류는 두 가지다:

---

🔹 1. Interface Endpoint (인터페이스 엔드포인트)

• VPC의 서브넷 안에 ENI(Elastic Network Interface) 형태로 생성됨
• Private IP를 가진 네트워크 인터페이스가 생기고, 이를 통해 AWS 서비스와 통신
• AWS API 서비스(S3 제외)에 사용됨
• 내부 DNS 도메인으로 접근 (예: https://ssm.ap-northeast-2.vpce.amazonaws.com)

🔧 사용 예시

• SSM → EC2 인스턴스에 명령 전송
• Lambda → ECR 이미지 다운로드
• CloudWatch Logs → 로그 업로드

---

🔹 2. Gateway Endpoint (게이트웨이 엔드포인트)

• 라우팅 테이블(Route Table)에 명시적으로 추가
• 트래픽이 NAT 게이트웨이나 인터넷 게이트웨이를 거치지 않고 직접 서비스로 라우팅됨
• 현재 지원하는 서비스:
  S3 / DynamoDB (딱 두 개만 가능)

특징

• NAT 비용 없음
• 전용 경로라 속도가 빠르고 보안상 유리
• 인터페이스 엔드포인트와 달리 ENI는 생성되지 않음

 

✅ 왜 VPC 엔드포인트를 써야 할까?

상황	이유
EC2, Lambda → S3 접근	NAT 없이 퍼블릭 인터넷 차단된 상태에서 S3 접근 가능
EC2 → SSM	SSM 명령 수신을 위한 Interface Endpoint 필요
보안 제어 강화	보안 그룹, NACL 등으로 서비스별 트래픽 제어 가능
AWS API 통신 제한	VPC 내부에서만 동작하는 서비스들이 안전하게 AWS에 접근

 

✅ S3용 Gateway Endpoint 구성 팁

주요 용어 및 개념

• Prefix List ID (pl-xxxx)
  → AWS에서 관리하는 S3 퍼블릭 IP CIDR 목록을 의미
• Endpoint ID (vpce-xxxx)
  → 실제로 VPC에 생성한 Gateway Endpoint 자원의 ID

pl-xxxx (Prefix List)에는 다음과 같은 S3 IP 범위가 포함되어 있음:
- 3.5.140.0/22
- 3.5.144.0/23
- 3.5.184.0/21
- 52.219.144.0/22
- 52.219.148.0/23
- 52.219.202.0/23
- 52.219.204.0/22
- 52.219.56.0/22
- 52.219.60.0/23

구성 방법

1. VPC Endpoint Gateway 생성 (서비스: com.amazonaws.region.s3)
2. 원하는 서브넷을 선택
3. 해당 서브넷의 라우팅 테이블에 Destination: pl-xxxx → Target: vpce-xxxx 설정

 

✅ 마무리

VPC 엔드포인트는 단순히 인터넷 없이 접근하는 방법이 아니라,
비용 최적화, 보안성 향상, 성능 개선을 위한 매우 중요한 구성 요소다.

개발 환경과 운영 환경의 보안 요구 수준에 따라
Interface vs Gateway 중 적절한 방식을 선택하여 구성하는 것이 핵심이다