Servicio administrado que permite a instancias en subredes privadas acceder a internet (para descargar parches, por ejemplo) sin ser accesibles desde internet. Reside en subred pública y traduce las IPs privadas.
En SAA-C03 es esencial. Patrón: EC2 en subred privada → NAT Gateway (subred pública) → IGW → Internet. Diferencia con IGW: IGW permite tráfico bidireccional; NAT solo permite tráfico saliente iniciado desde la subred privada.