エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する - Amazon Virtual Private Cloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する

エンドポイントポリシーは、VPC エンドポイントにアタッチして、エンドポイントを使用して にアクセスできる AWS プリンシパルを制御するリソースベースのポリシーです AWS のサービス。

エンドポイントポリシーは、アイデンティティベースのポリシーやリソースベースのポリシーを上書き、または置き換えません。例えば、Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御することもできます。

考慮事項

  • エンドポイントポリシーは、IAM ポリシー言語を使用する JSON ポリシードキュメントです。エンドポイントポリシーには、プリンシパル要素を含める必要があります。エンドポイントポリシーのサイズは 20,480 文字 (空白を含む) を超えることはできません。

  • のインターフェイスまたはゲートウェイエンドポイントを作成する場合 AWS のサービス、エンドポイントに 1 つのエンドポイントポリシーをアタッチできます。いつでもエンドポイントポリシーの更新ができます。エンドポイントポリシーをアタッチしない場合、デフォルトのエンドポイントポリシーがアタッチされます。

  • すべての がエンドポイントポリシー AWS のサービス をサポートしているわけではありません。 AWS のサービス がエンドポイントポリシーをサポートしていない場合は、サービスの任意のエンドポイントへのフルアクセスを許可します。詳細については、「エンドポイントポリシーのサポートを表示する」を参照してください。

  • AWS のサービス 以外のエンドポイントサービスの VPC エンドポイントを作成すると、エンドポイントへのフルアクセスが許可されます。

  • システム生成の識別子 ( や など) を参照するグローバルコンテキストキーでは、ワイルドカード文字 (* または ?) aws:PrincipalAccountまたは数値条件演算子を使用できませんaws:SourceVpc

  • 文字列条件演算子 を使用する場合は、ワイルドカード文字を含める前に、少なくとも 6 つの連続した文字を使用する必要があります。

  • リソースまたは条件要素で ARN を指定する場合、ARN のアカウント部分にはアカウント ID またはワイルドカードを含めることができますが、両方を含めることはできません。

デフォルトのエンドポイントポリシー

デフォルトのエンドポイントポリシーでは、エンドポイントへのフルアクセスが許可されています。

{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }

インターフェイスエンドポイントのポリシー

のエンドポイントポリシーの例については AWS のサービス、「」を参照してくださいAWS のサービス と統合する AWS PrivateLink。表の最初の列には、各 の AWS PrivateLink ドキュメントへのリンクが含まれています AWS のサービス。がエンドポイントポリシー AWS のサービス をサポートしている場合、そのドキュメントにはエンドポイントポリシーの例が含まれています。

ゲートウェイエンドポイントのプリンシパル

ゲートウェイエンドポイントでは、 Principal要素を に設定する必要があります*。プリンシパルを指定するには、 aws:PrincipalArn条件キーを使用します。

"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" } }

プリンシパルを次の形式で指定すると、アカウントのすべてのユーザーとロールではなく、 AWS アカウントのルートユーザー のみにアクセス許可が付与されます。

"AWS": "account_id"

ゲートウェイエンドポイントのエンドポイントポリシーの例については、次を参照してください。

VPC エンドポイントポリシーを更新する

次の手順を使用して、 AWS のサービス のエンドポイントポリシーを更新します。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。

コンソールを使用してエンドポイントポリシーを変更するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. VPC エンドポイントを選択します。

  4. [Actions] (アクション)、[Manage policy] (ポリシーを管理) の順に選択します。

  5. [Full Access] (フルアクセス) を選択してサービスへのフルアクセスを許可するか、[Custom] (カスタム) を選択してカスタムポリシーをアタッチします。

  6. [保存] を選択します。

コマンドラインを使用してエンドポイントポリシーを変更するには