VPC とごみ箱の間にプライベート接続を作成する - Amazon EBS
ごみ箱のインターフェイス VPC エンドポイントを作成ごみ箱用の VPC エンドポイントポリシーを作成

VPC とごみ箱の間にプライベート接続を作成する

を利用したインターフェイス VPC エンドポイントを作成することで、VPC とごみ箱間にプライベート接続を設定できます。。AWS PrivateLinkインターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのようにごみ箱にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくてもごみ箱と通信できます。

インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。

詳細については、「AWS PrivateLink ガイド」の「AWS PrivateLink 経由で AWS のサービスにアクセスする」を参照してください。

ごみ箱のインターフェイス VPC エンドポイントを作成

Amazon VPC コンソールまたは AWS CLI を使用してごみ箱用の VPC エンドポイントを作成できます。詳細については、「AWS PrivateLink ガイド」の「Create a VPC endpoint」を参照してください。

以下のサービス名 com.amazonaws.region.rbin を使用して VPC エンドポイントを作成します。

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (rbin.us-east-1.amazonaws.com など) を使用して、ごみ箱へ API リクエストを実行できます。

ごみ箱用の VPC エンドポイントポリシーを作成

デフォルトで、エンドポイント経由でのごみ箱への完全なアクセスが許可されます。VPC エンドポイントポリシーを使用してインターフェイスエンドポイントへのアクセスを制御できます。VPC エンドポイントには、ごみ箱へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル

  • 実行可能なアクション

  • アクションを実行できるリソース

詳細については、Amazon VPC ユーザーガイドVPC エンドポイントによるサービスのアクセスコントロールを参照してください。

{
    "Statement": [ 
    {
        "Effect": "Allow",
        "Action": "rbin:*",        
        "Resource": "*", 
        "Principal": "*" 
    }, 
    {
        "Effect": "Deny",
        "Action": "rbin:DeleteRule",
        "Resource": "*", 
        "Principal": "*",
        "Condition": {
            "StringEquals" : {
                "rbin:Attribute/ResourceType": "EBS_SNAPSHOT"
            }
        }
    }] 
}