Amazon EC2 とインターフェイス VPC エンドポイント - Amazon Elastic Compute Cloud

Amazon EC2 とインターフェイス VPC エンドポイント

インターフェイス VPC エンドポイントを使用するように Amazon EC2 を設定することで、VPC のセキュリティ体制を強化できます。インターフェイスエンドポイントは AWS PrivateLink を使用し、VPC および Amazon EC2 が Amazon ネットワーク間ですべてのネットワークトラフィックを制限することにより、非公開で Amazon EC2 API にアクセスできる技術です。インターフェイスエンドポイントでは、インターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイも必要ありません。

AWS PrivateLink の設定は要件ではありませんが、推奨されます。 AWS PrivateLink および VPC エンドポイントの詳細については、「インターフェイス VPC エンドポイント ( AWS PrivateLink )」を参照してください。

インターフェイス VPC エンドポイントを作成する

以下のサービス名を使用して、Amazon EC2 のエンドポイントを作成します。

  • com.amazonaws.region.ec2 — Amazon EC2 API アクションのエンドポイントを作成します。

詳細については、Amazon VPC ユーザーガイドの「インターフェイスエンドポイントの作成」を参照してください。

インターフェイス VPC エンドポイントポリシーの作成

Amazon EC2 API へのアクセスをコントロールするために VPC エンドポイントにポリシーをアタッチすることができます。このポリシーでは以下の内容を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

重要

デフォルト以外のポリシーが Amazon EC2 のインターフェイス VPC エンドポイントに適用されると、RequestLimitExceeded からの失敗したリクエストなど、特定の失敗した API リクエストが AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。

詳細については、Amazon VPC ユーザーガイドVPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

次の例は、暗号化されていないボリュームを作成したり、暗号化されていないボリュームでインスタンスを起動したりするアクセス許可を拒否する VPC エンドポイントポリシーを示しています。このポリシー例では、他のすべての Amazon EC2 のアクションを実行するアクセス許可も付与しています。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }