VPC Endpoint (especificamente Gateway Endpoint) permite conectar uma VPC diretamente a serviços da AWS como S3 e DynamoDB sem usar Internet Gateway, NAT ou VPN. O tráfego permanece na rede AWS, é gratuito (sem cobrança por uso) e é a solução mais econômica para este cenário.

O Pilar de Otimização de Custos foca especificamente em evitar custos desnecessários, compreender e controlar onde o dinheiro está sendo gasto, selecionar os tipos e quantidades corretas de recursos, e analisar gastos ao longo do tempo. Identificar e remover recursos não utilizados é um dos princípios fundamentais deste pilar.

AWS Transit Gateway atua como um hub central que conecta VPCs e redes on-premises. Com Transit Gateway, cada VPC precisa de apenas uma conexão ao gateway, simplificando drasticamente o gerenciamento. Suporta roteamento transitivo e pode conectar VPCs através de regiões usando Transit Gateway Peering. Esta é a solução recomendada pela AWS para topologias de rede complexas.

IAM Roles são a melhor prática recomendada pela AWS. Quando associadas a uma instância EC2, as credenciais temporárias são automaticamente fornecidas e rotacionadas pelo serviço de metadados da instância. Não há necessidade de gerenciar chaves de longo prazo, eliminando o risco de exposição de credenciais. Todas as ações são registradas no CloudTrail para auditoria.

AWS Direct Connect fornece uma conexão de rede dedicada e privada com baixa latência e alta largura de banda. Implementar duas conexões Direct Connect em locais diferentes (por exemplo, diferentes Direct Connect Locations) garante redundância e alta disponibilidade, atendendo plenamente aos requisitos de performance e resiliência. | Uma arquitetura comum e recomendada pela AWS é usar VPN Site-to-Site como conexão de backup para Direct Connect. Isso fornece redundância adicional e failover automático caso a conexão Direct Connect falhe, garantindo continuidade do negócio com custo menor que uma segunda conexão Direct Connect.

IAM Role com AssumeRole é a solução ideal para acesso temporário. O desenvolvedor externo pode assumir a role usando credenciais temporárias (via STS - Security Token Service) que expiram automaticamente. Não requer criação de usuário IAM permanente e segue as melhores práticas de segurança da AWS para acesso temporário.

Esta é a arquitetura correta. NAT Gateway deve ser implantado em uma subnet pública (que tem rota para Internet Gateway). A tabela de rotas da subnet privada deve ter uma rota apontando o tráfego de internet (0.0.0.0/0) para o NAT Gateway. Isso permite que instâncias em subnets privadas iniciem conexões de saída para a internet, mas impede conexões de entrada iniciadas externamente, pois NAT Gateway só permite tráfego de resposta.