エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する - Amazon Virtual Private Cloud
考慮事項デフォルトのエンドポイントポリシーインターフェイスエンドポイントのポリシーゲートウェイエンドポイントのプリンシパルVPC エンドポイントポリシーを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する

エンドポイントポリシーは、VPC エンドポイントにアタッチするリソースベースのポリシーで、 AWS どのプリンシパルがエンドポイントを使用してにアクセスできるかを制御します。 AWS のサービス

エンドポイントポリシーは、アイデンティティベースのポリシーやリソースベースのポリシーを上書き、または置き換えません。例えば、Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御することもできます。

考慮事項

  • エンドポイントポリシーは、IAM ポリシー言語を使用する JSON ポリシードキュメントです。エンドポイントポリシーには、プリンシパル要素を含める必要があります。エンドポイントポリシーのサイズは 20,480 文字 (空白を含む) を超えることはできません。

  • のインターフェイスまたはゲートウェイエンドポイントを作成すると AWS のサービス、エンドポイントに 1 つのエンドポイントポリシーをアタッチできます。いつでもエンドポイントポリシーの更新ができます。エンドポイントポリシーをアタッチしない場合、デフォルトのエンドポイントポリシーがアタッチされます。

  • AWS のサービス すべてがエンドポイントポリシーをサポートしているわけではありません。 AWS のサービス がエンドポイントポリシーをサポートしていない場合、サービスのすべてのエンドポイントへのフルアクセスを許可します。詳細については、「エンドポイントポリシーのサポートを表示する」を参照してください。

  • AWS のサービス 以外のエンドポイントサービスの VPC エンドポイントを作成すると、エンドポイントへのフルアクセスが許可されます。

デフォルトのエンドポイントポリシー

デフォルトのエンドポイントポリシーでは、エンドポイントへのフルアクセスが許可されています。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

インターフェイスエンドポイントのポリシー

のエンドポイントポリシーの例については AWS のサービス、を参照してくださいAWS のサービス と統合される AWS PrivateLink。表の最初の列には、 AWS PrivateLink それぞれのドキュメントへのリンクが含まれています AWS のサービス。 AWS のサービス がエンドポイントポリシーをサポートしている場合、ドキュメントにはエンドポイントポリシーの例が含まれます。

ゲートウェイエンドポイントのプリンシパル

ゲートウェイエンドポイントでは、Principal*エレメントをに設定する必要があります。プリンシパルを指定するには、aws:PrincipalArn条件キーを使用します。

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

プリンシパルを次の形式で指定した場合、アクセスはアカウントのすべてのユーザーおよびロールではなく、 AWS アカウントのルートユーザー のみに付与されます。

"AWS": "account_id"

ゲートウェイエンドポイントのエンドポイントポリシーの例については、次を参照してください。

VPC エンドポイントポリシーを更新する

次の手順を使用して、 AWS のサービス のエンドポイントポリシーを更新します。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。

コンソールを使用してエンドポイントポリシーを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. VPC エンドポイントを選択します。

  4. [Actions] (アクション)、[Manage policy] (ポリシーを管理) の順に選択します。

  5. [Full Access] (フルアクセス) を選択してサービスへのフルアクセスを許可するか、[Custom] (カスタム) を選択してカスタムポリシーをアタッチします。

  6. [保存] を選択します。

コマンドラインを使用してエンドポイントポリシーを変更するには