Step Functions 用の Amazon VPCエンドポイントの作成

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、Amazon VPCと AWS Step Functions ワークフロー間の接続を確立できます。公開インターネットと交差せずに、この Step Functions ワークフローとの接続を使用できます。Amazon VPCエンドポイントは、標準ワークフロー、Express ワークフロー、および同期 Express ワークフローでサポートされています。

Amazon VPC では、カスタム仮想ネットワークで AWS リソースを起動できます。を使用して、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定をVPC制御できます。の詳細についてはVPCs、「Amazon ユーザーガイドVPC」を参照してください。

Amazon VPCを Step Functions に接続するには、まずインターフェイスVPCエンドポイント を定義する必要があります。これにより、 VPCを他の AWS サービスに接続できます。エンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または 接続を必要とせずに、信頼性が高くスケーラブルなVPN接続を提供します。詳細については、「Amazon VPCユーザーガイド」の「インターフェイスVPCエンドポイント (AWS PrivateLink）」を参照してください。

エンドポイントを作成する

AWS Step Functions エンドポイントは、、 (AWS CLI） AWS Management Console、、 AWS Command Line Interface AWS SDK、 AWS Step Functions APIまたは VPCを使用して に作成できます AWS CloudFormation。

Amazon VPCコンソールまたは を使用してエンドポイントを作成および設定する方法については AWS CLI、「Amazon ユーザーガイド」の「インターフェイスエンドポイントの作成VPC」を参照してください。

注記

エンドポイントを作成するときは、VPC接続先のサービスとして Step Functions を指定します。Amazon VPCコンソールでは、サービス名は AWS リージョンによって異なります。例えば、米国東部 (バージニア北部) を選択した場合、Standard ワークフロー と Express ワークフロー のサービス名は com.amazonaws.us-east-1.states であり、同期 Express ワークフロー のサービス名は com.amazonaws.us-east-1.sync-states です。

注記

プライベート DNSSDKを介して のVPCエンドポイントを上書きせずにエンドポイントを使用できます。ただし、同期 Express ワークフローSDKの のエンドポイントを上書きする場合は、DisableHostPrefixInjection設定を に設定する必要がありますtrue。例 (Java SDK V2):

SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

を使用してエンドポイントを作成および設定する方法については AWS CloudFormation、「 ユーザーガイド」のAWS「：EC2:::VPCEndpoint リソースAWS CloudFormation 」を参照してください。

Amazon VPC エンドポイントポリシー

Step Functions への接続アクセスを制御するには、Amazon エンドポイントの作成時に AWS Identity and Access Management （IAM) VPCエンドポイントポリシーをアタッチします。複数のエンドポイントポリシーをアタッチすることで、複雑なIAMルールを作成できます。詳細については、以下を参照してください。

• Step Functions 用 Amazon Virtual Private Cloud エンドポイントのポリシー

• Step Functions で管理者以外のユーザーに対するきめ細かなアクセス許可を作成する

• VPCエンドポイントによる サービスへのアクセスの制御

Step Functions 用 Amazon Virtual Private Cloud エンドポイントのポリシー

以下を指定する Step Functions の Amazon VPCエンドポイントポリシーを作成できます。

• アクションを実行できるプリンシパル。

• 実行可能なアクション。

• このアクションを実行できるリソース。

次の例は、あるユーザーがステートマシンを作成することを許可し、他のすべてのユーザーにステートマシンを削除するアクセス許可を拒否する Amazon VPCエンドポイントポリシーを示しています。またこのサンプルポリシーでは、すべてのユーザーに対して実行許可を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

エンドポイントポリシーの作成の詳細については、以下を参照してください。

• Step Functions で管理者以外のユーザーに対するきめ細かなアクセス許可を作成する

• VPCエンドポイントを使用した サービスへのアクセスの制御