qiita.com

基本的には上記の通り、ECSとELBへのアクセスを厳密にAPI Gatewayからのみに制限したい（ELB直を不可にしたい）場合にPrivate Subnetに置いたNLBとVPC Linkで隠すのがセオリーだけど、「ECSもPrivateに置いてNATと（imageをpullする際の費用低減のための）ECR用のVPCエンドポイント」というのはやらずに「ECSはPublic Subnetに置いてセキュリティグループで同一VPC以外のinboundを遮断して守る」でも良いのではなかろうかという気がしてきたのでメモ。

要はAPI Gatewayからのアクセスはどこから来るのか判別できないのでVPC Linkにお願いするほかないけど、一旦NLBに来たらセキュリティグループの文脈に収まるのでそこそこ自由に構成できるのではなかろうかと。