エンドポイントサービスのアクセス権限を追加または削除する - Amazon Virtual Private Cloud

エンドポイントサービスのアクセス権限を追加または削除する

エンドポイントサービス設定の作成後に、どのサービスコンシューマーがサービスへのインターフェイスエンドポイントまたは Gateway Load Balancer エンドポイントを作成できるかを制御できます。サービスコンシューマーは、IAM プリンシパル (IAM ユーザー、IAM ロール、および AWS アカウント) です。プリンシパルのアクセス権限を追加または削除するには、Amazon リソースネーム (ARN) が必要です。

  • AWS アカウント (およびアカウントのすべてのプリンシパル) の場合、ARN の形式は arn:aws:iam::aws-account-id:root です。

  • 特定の IAM ユーザーの場合、ARN の形式は arn:aws:iam::aws-account-id:user/user-name です。

  • 特定の IAM ロールの場合、ARN の形式は arn:aws:iam::aws-account-id:role/role-name です。

注記

アクセス許可を [anyone can access] (誰でもアクセス可能) に設定し、承諾モデルを [accept all requests] (すべてのリクエストを受け入れる) に設定すると、ロードバランサーを公開したことになります。AWS アカウントは簡単に取得できるため、パブリック IP アドレスがない場合でも、ロードバランサーにアクセスできるユーザーについて実質的な制限はありません。

Console

エンドポイントサービスの許可を追加または削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoint Services (エンドポイントサービス)] を選択します。

  3. エンドポイントサービスを選択し、[アクション][プリンシパルを許可] の順に選択します。

  4. アクセス権限を追加する先のプリンシパルの ARN を指定します。さらにプリンシパルを追加するには、[プリンシパルを追加] を選択します。プリンシパルを削除するには、エントリの横にある [削除] を選択します。

    すべてのプリンシパルにアクセス権限を追加するには、* を指定します。これにより、すべての AWS アカウントのすべてのプリンシパルで、エンドポイントサービスへのエンドポイントを作成できます。

  5. [プリンシパルを許可] を選択します。

AWS CLI

エンドポイントサービスの許可を追加するには

modify-vpc-endpoint-service-permissions コマンドを使用します。プリンシパルに 1 つ以上の ARN を追加するための --add-allowed-principals パラメータを指定します。

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

エンドポイントサービスに追加した許可を表示するには

describe-vpc-endpoint-service-permissions コマンドを使用します。

aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3

以下は出力例です。

{ "AllowedPrincipals": [ { "PrincipalType": "Account", "Principal": "arn:aws:iam::123456789012:root" } ] }

エンドポイントサービスの許可を削除するには

modify-vpc-endpoint-service-permissions コマンドを使用します。プリンシパルの 1 つ以上の ARN を削除するための --remove-allowed-principals パラメータを指定します。

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'
Tools for Windows PowerShell

エンドポイントサービスの許可を追加または削除するには

Edit-EC2EndpointServicePermission を使用します。

API

エンドポイントサービスの許可を追加または削除するには

ModifyVpcEndpointServicePermissions を使用します。