インバウンドルールが設定されていないVPC内のLambdaにAPI Gatewayでアクセスできるのはなぜか

Question

# 前提
現在`AWS`を学習中で、`VPC`を構築してその中に配置した`Lambda`関数に対して`API Gateway`をトリガーして`REST API`を作っています。

※この後のステップとして`VPC`内で`Lambda`関数と`RDS`を接続する予定です。
※いずれもコンソールではなく`AWS CLI`から作成、設定を行う想定です。

`VPC`を作成し、その中に`Lambda`を配置、さらに`API Gateway`との紐付けもでき、実際にブラウザや`curl`から`REST API`が実行できる(モックだが、正しいレスポンスが返る)ところまでは確認できています。

# わからないこと
`VPC`のセキュリティグループを、コンソールから参照すると「インバウンドルール」に何も設定されていません。

自分の理解では、「インバウンドルール」に設定をしてあげないと`VPC`に外部からアクセスができないはずです。

しかしながら現状
1. `API Gateway`から`VPC`内の`Lambda`
2. 外部のクライアントから`API Gateway`経由で`VPC`内の`Lambda`

のいずれのアクセスもできているように思えます。

1はそれぞれ`AWS`内のサービスなので、設定をしなくても導通してくれるのはそういう仕様なのだとも思えますが、2ができてしまっているので、もしかしたら`VPC`が外部から丸見えになっているのでは・・・？と考えてしまいます。

お聞きしたいのは、インバウンドルールの設定がないにも関わらず上記の1,2が「なぜできているか」、あるいは「できるのは仕様で、自分の理解の中で何が間違っているか」です。

`AWS`に触れて日が浅いので、そもそも的外れなことを書いているかもしれませんが、回答のほど宜しくお願い致します。

Accepted Answer

AWSのことを忘れたとしても、1が可能なのであれば、API GatewayにさえアクセスできればAPI Gatewayを経由してVPC内のリソースにアクセスをすることが可能、ということになると思いますが…。
API GatewayがVPC内のリソースにアクセス可能なら、API Gatewayを経由すればアクセスできる、とただそれだけのことですね。
API GatewayはVPCと関係のないリソースなのでセキュリティグループは関係がありません。
アクセスしているのはあくまでAPI Gatewayであって、VPCではないです。

通常は外部からアクセスが不可能にしているリソースをAPI Gatewayを経由することでアクセスさせている、ということですね。
もちろん何にアクセスさせてどのようなレスポンスを返すのかについてはきちんと考える必要があります。

前提

わからないこと

関連した質問