エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する - Amazon Virtual Private Cloud
考慮事項デフォルトのエンドポイントポリシーインターフェイスエンドポイントのポリシーゲートウェイエンドポイントのプリンシパルVPC エンドポイントポリシーを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する

エンドポイントポリシーは、VPC エンドポイントにアタッチするリソースベースのポリシーで、エンドポイントを使用して にアクセスできる AWS プリンシパルを制御します AWS のサービス。

エンドポイントポリシーは、アイデンティティベースのポリシーやリソースベースのポリシーを上書き、または置き換えません。例えば、Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御することもできます。

考慮事項

  • エンドポイントポリシーは、IAM ポリシー言語を使用する JSON ポリシードキュメントです。エンドポイントポリシーには、プリンシパル要素を含める必要があります。エンドポイントポリシーのサイズは 20,480 文字 (空白を含む) を超えることはできません。

  • のインターフェイスまたはゲートウェイエンドポイントを作成する場合 AWS のサービス、エンドポイントに 1 つのエンドポイントポリシーをアタッチできます。いつでもエンドポイントポリシーの更新ができます。エンドポイントポリシーをアタッチしない場合、デフォルトのエンドポイントポリシーがアタッチされます。

  • すべての がエンドポイントポリシー AWS のサービス をサポートしているわけではありません。 AWS のサービス がエンドポイントポリシーをサポートしていない場合は、サービスの任意のエンドポイントへのフルアクセスを許可します。詳細については、「エンドポイントポリシーのサポートを表示する」を参照してください。

  • AWS のサービス 以外のエンドポイントサービスの VPC エンドポイントを作成すると、エンドポイントへのフルアクセスが許可されます。

デフォルトのエンドポイントポリシー

デフォルトのエンドポイントポリシーでは、エンドポイントへのフルアクセスが許可されています。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

インターフェイスエンドポイントのポリシー

のエンドポイントポリシーの例については AWS のサービス、「」を参照してくださいAWS のサービス と統合する AWS PrivateLink。表の最初の列には、各 の AWS PrivateLink ドキュメントへのリンクが含まれています AWS のサービス。がエンドポイントポリシー AWS のサービス をサポートしている場合、そのドキュメントにはエンドポイントポリシーの例が含まれています。

ゲートウェイエンドポイントのプリンシパル

ゲートウェイエンドポイントでは、aws:PrincipalArn 条件キーを使用してプリンシパルへのアクセスを許可する必要があります。

次のいずれかの形式でプリンシパルを指定すると、アカウントのすべてのユーザーとロールではなく、 AWS アカウントのルートユーザー のみにアクセスが許可されます。

"AWS": "account_id"
"AWS": "arn:aws:iam::account_id:root"

プリンシパルに Amazon リソースネーム (ARN) を指定すると、ポリシーの保存時に ARN は一意のプリンシパル ID に変換されます。

ゲートウェイエンドポイントのエンドポイントポリシーの例については、次を参照してください。

VPC エンドポイントポリシーを更新する

次の手順を使用して、 AWS のサービス のエンドポイントポリシーを更新します。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。

コンソールを使用してエンドポイントポリシーを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. VPC エンドポイントを選択します。

  4. [Actions] (アクション)、[Manage policy] (ポリシーを管理) の順に選択します。

  5. [Full Access] (フルアクセス) を選択してサービスへのフルアクセスを許可するか、[Custom] (カスタム) を選択してカスタムポリシーをアタッチします。

  6. [保存] を選択します。

コマンドラインを使用してエンドポイントポリシーを変更するには