AWS Direct Connect
ユーザーガイド

AWS Identity and Access Management を使用した AWS Direct Connect へのアクセスコントロール

AWS Identity and Access Management の機能を使用して、ユーザーが AWS アカウントで実行できる AWS Direct Connect アクションを指定できます。たとえば、IAM ポリシーを作成して、組織内の一部のユーザーだけに AWS Direct Connect 接続に関するデータを取得する DescribeConnections アクションの使用許可を付与できます。

IAM を使用して付与する許可には、AWS Direct Connect で使用するすべての AWS リソースが含まれます。IAM を使用して、特定の AWS リソースへのアクセス (リソースレベルのアクセス許可とも呼ばれます) を制御することはできません。たとえば、特定の仮想インターフェイスのみを指定して、データへのアクセス許可をユーザーに付与することはできません。

AWS Direct Connect アクション

IAM ポリシーでは、AWS Direct Connect が提供する一部またはすべてのアクションを指定できます。アクション名には、小文字のプレフィックス directconnect: を含める必要があります。例: directconnect:DescribeConnectionsdirectconnect:CreateConnectiondirectconnect:* (すべての AWS Direct Connect アクションの場合)。アクションのリストについては、「AWS Direct Connect API Reference」を参照してください。

AWS Direct Connect リソース

AWS Direct Connect はリソースレベルのアクセス許可をサポートしていません; そのため、特定の AWS Direct Connect リソースへのアクセスは管理できません。AWS Direct Connect アクションに対するアクセスをコントロールするポリシーを記述する場合は、アスタリスク (*) を使用してリソースを特定してください。

AWS Direct Connect キー

AWS Direct Connect には以下のポリシーキーが実装されています。

  • aws:CurrentTime (日時条件)

  • aws:EpochTime(日付をエポックつまり UNIX 時間で表したもの。日時条件で使用)

  • aws:SecureTransport (リクエストが SSL を使用して送信されたかどうかを示すブール値)

  • aws:SourceIp(IP アドレス条件で使用するための、リクエスタの IP アドレス)

  • aws:UserAgent(文字列条件で使用するための、リクエスタのクライアントアプリケーションに関する情報)

aws:SourceIp を使用した場合、Amazon EC2 インスタンスからのリクエストでは、インスタンスのパブリック IP アドレスを使用してアクセスを許可するかどうかが判断されます。

Amazon Relational Database Service や Amazon Route 53 など、SSL のみを使用するサービスでは、aws:SecureTransport キーは何の意味も持ちません。

詳細については、IAM ユーザーガイド の「条件」を参照してください。

AWS Direct Connect のポリシー例

次のポリシーの例では、AWS Direct Connect に読み取りアクセス権限が付与されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

次のポリシーの例では、AWS Direct Connect にフルアクセス権限が付与されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

IAM ポリシーの記述については、IAM ユーザーガイド の「IAM ポリシー」を参照してください。