翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インターフェイスエンドポイント (AWS PrivateLink) AWS Certificate Manager を使用した へのアクセス
を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS Certificate Manager。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように ACM にアクセスできます。VPC 内のインスタンスは、ACM にアクセスするためにパブリック IP アドレスを必要としません。
このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、ACM 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。
詳細については、「 AWS PrivateLink ガイド」の「Access AWS のサービス through AWS PrivateLink」を参照してください。
ACM に関する考慮事項
ACM のインターフェイスエンドポイントを設定する前に、「 AWS PrivateLink ガイド」の「考慮事項」を参照してください。
ACM AWS PrivateLink で を使用する場合の考慮事項を次に示します。
-
ACM は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。
-
ACM からリクエストされたパブリック証明書は、Amazon Trust Services
から取得および発行されます。ACM と Amazon Trust Services 間の通信は、パブリックインターネットを介して行われ、ACM はこれらの証明書を受け取ります。
ACM のインターフェイスエンドポイントを作成する
ACM のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「 AWS PrivateLink ガイド」の「インターフェイスエンドポイントの作成」およびAWS Certificate Manager 「 のエンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。
次のサービス名を使用して ACM のインターフェイスエンドポイントを作成します。
com.amazonaws.region.acm
インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して ACM に API リクエストを行うことができます。例えば、acm.us-east-1.amazonaws.com。
インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して ACM へのフルアクセスを許可します。VPC から ACM に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
-
アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、AWS PrivateLink ガイドのControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。
例: ACM アクションの VPC エンドポイントポリシー
以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている ACM アクションへのアクセスが許可されます。
