VPC エンドポイントでサービスへのアクセスを制御する - Amazon Virtual Private Cloud

VPC エンドポイントでサービスへのアクセスを制御する

インターフェイスまたはゲートウェイエンドポイントの作成時にエンドポイントポリシーをアタッチし、接続先のサービスへのアクセスを制御できます。エンドポイントのポリシーは、JSON 形式で記述される必要があります。すべてのサービスがエンドポイントポリシーをサポートしているわけではありません。

Amazon S3 へのエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御できます。詳細については、「」を参照してくださいAmazon S3 バケットポリシー

VPC エンドポイントポリシーを使用する

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。サービスがエンドポイントポリシーをサポートしていない場合、エンドポイントはサービスへのフルアクセスを許可します。エンドポイントポリシーは、IAM ユーザーポリシーやサービス固有のポリシー (S3 バケットポリシーなど) を上書き、または置き換えません。これは、エンドポイントから指定されたサービスへのアクセスを制御するための別のポリシーです。

1 つのエンドポイントに複数のポリシーを関連付けることはできません。ただし、ポリシーはいつでも変更できます。ポリシーを変更した場合、変更が適用されるまで数分かかることがあります。ポリシーの詳細については、IAM ユーザーガイドの「IAM でのポリシーとアクセス許可」を参照してください。

エンドポイントポリシーは、他の IAM ポリシーと同様にすることができます。ただし、以下のことに注意してください。

エンドポイントポリシーをサポートするサービスの詳細については、「AWS PrivateLink と統合できる AWS のサービス」を参照してください。

ゲートウェイエンドポイントのエンドポイントポリシー

ゲートウェイエンドポイントに適用されるエンドポイントポリシーの場合、Principal"AWS":"account-ID" 形式または "AWS":"arn:aws:iam::account-ID:root" 形式で指定すると、アカウントのすべての IAM ユーザーとロールにアクセス権が付与されるのではなく、アカウントのルートユーザーにのみアクセス権が付与されます。

Principal 要素に Amazon リソースネーム (ARN) を指定すると、ポリシーの保存時に ARN は一意のプリンシパル ID に変換されます。

Amazon S3 および DynamoDB のエンドポイントのポリシーの例については、以下のトピックを参照してください。

セキュリティグループ

インターフェイスエンドポイントの作成時に、VPC で作成されたエンドポイントネットワークインターフェイスにセキュリティグループを関連付けることができます。セキュリティグループを指定しないと、エンドポイントネットワークインターフェイスには、VPC のデフォルトのセキュリティグループが自動的に関連付けられます。セキュリティグループのルールが、エンドポイントネットワークインターフェイスと VPC 内のリソース (サービスと通信するリソース) との通信を許可することを確認する必要があります。

ゲートウェイエンドポイントについては、セキュリティグループのアウトバウンドルールが制限されている場合、VPC からエンドポイントで指定されたサービスへのアウトバウンドトラフィックを許可するルールを追加する必要があります。これを行うには、アウトバウンドルールでサービスの AWS プレフィックスリスト ID を送信先として使用できます。詳細については、「」を参照してくださいセキュリティグループを変更する

セキュリティグループは、Gateway Load Balancer のエンドポイントには適用されません。