gateway de internet AWS VPC e serviços da AWS

Am I doing something wrong or is the AWS VPC ec2 instances not able to reach any of the AWS managed services (s3/sns/sqs) without a public route to the Internet Gateway in the routetable?

Está correto. Se você precisar usar esses serviços, suas instâncias precisarão de EIPs ou IPs públicos ou você precisará de um host NAT em seu VPC. Uma VPC é verdadeiramente privada e opera da mesma maneira que uma rede corporativa bem mantida: permitindo apenas o tráfego que você permite explicitamente.

Vale a pena notar: serviços gerenciados como RDS, Elasticache, Redshift, etc, podem funcionar na sua VPC.

A AWS adicionou endpoints da VPC para vários serviços, incluindo S3 (2015), EC2 (2017) e SNS (2018), que permite usar esses serviços sem acesso público à Internet.

• Novo - Ponto de extremidade VPC para o Amazon S3 (Blog da AWS)
• Novo - AWS PrivateLink para AWS Services: Kinesis, Catálogo de serviços, Gerenciador de sistemas EC2, APIs do Amazon EC2 e APIs ELB em seu VPC (Blog da AWS)
• Serviço de Notificação Simples da Amazon (SNS) agora Suporta AWS PrivateLink (O que há de novo na AWS)
• Guia do usuário do AWS VPC: pontos de extremidade de VPC

Ainda não sei de nenhum cronograma para quando os pontos de extremidade VPC do SQS estarão disponíveis.

VPC com sub-redes públicas e privadas (NAT)

A configuração deste cenário inclui uma nuvem virtual privada (VPC) com uma sub-rede pública e uma sub-rede privada. Recomendamos esse cenário se você deseja executar um aplicativo da Web voltado ao público, mantendo servidores back-end que não são acessíveis publicamente. Um exemplo comum é um site multicamada, com os servidores da Web em uma sub-rede pública e os servidores de banco de dados em uma sub-rede privada. Você pode configurar a segurança e o roteamento para que os servidores da Web possam se comunicar com os servidores de banco de dados.

As instâncias na sub-rede pública podem receber tráfego de entrada diretamente da Internet, enquanto as instâncias na sub-rede privada não podem. As instâncias na sub-rede pública podem enviar o tráfego de saída diretamente para a Internet, enquanto as instâncias na sub-rede privada não podem. Em vez disso, as instâncias na sub-rede privada podem acessar a Internet usando um gateway de conversão de endereço de rede (NAT) que reside na sub-rede pública. Os servidores de banco de dados podem se conectar à Internet para atualizações de software usando o gateway NAT, mas a Internet não pode iniciar conexões com os servidores de banco de dados.

Nota

Você também pode usar o assistente do VPC para configurar um VPC com uma instância do NAT; no entanto, recomendamos que você use um gateway NAT. Para mais informações, consulte Gateways NAT.

Normalmente, a função Lambda não pode acessar redes privadas dentro de VPCs. Mas eles podem ser configurados para acessar a rede privada. Definindo as funções do Lambda para poder acessar uma VPC privada

Depois, com o seguinte método, você pode usar o Lambda como um proxy para o que estiver dentro da rede privada. Dessa forma, você não precisa fornecer acesso público aos seus recursos. Você gera um gateway de API público e ele por meio dos proxies do Lambda fornece acesso aos recursos privados internos.

Definindo o Lambda como um proxy do Gateway de API

Também é importante lembrar que, mesmo quando você tem uma rede pública com um gateway público, você limita o tráfego em cada um dos seus recursos usando grupos de segurança e ACLs de rede. Então você acaba com menos com uma configuração que é bem controlada.