Amazon SQS でのインターネットワークトラフィックのプライバシー - Amazon Simple Queue Service
VPC エンドポイントVPCエンドポイントポリシーの作成

Amazon SQS でのインターネットワークトラフィックのプライバシー

Amazon SQSの Amazon Virtual Private Cloud (Amazon VPC) エンドポイントは、Amazon SQSへの接続のみを許可するVPC内の論理エンティティです。VPCはリクエストを Amazon SQS にルーティングし、レスポンスを VPC にルーティングします。以下のセクションでは、VPC エンドポイントの使用と VPC エンドポイントポリシーの作成について説明します。

Amazon SQSのAmazon Virtual Private Cloud エンドポイント

Amazon VPC を使用して AWSリソースをホストする場合は、VPC とAmazon SQSの間にプライベート接続を確立できます。この接続を使用して、公開インターネットと交差せずにAmazon SQSキューにメッセージを送信できます。

Amazon VPCを使用すると、カスタム仮想ネットワークで AWS リソースを起動できます。VPC を使用して、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。Amazon VPCの詳細については、Amazon VPC ユーザーガイドを参照してください。

VPCを Amazon SQSに接続するには、最初にインターフェイス VPC エンドポイントを使用すると、VPCを他のAWSのサービス VPCに接続できます。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな Amazon SQS への接続を提供します。詳細については、Amazon VPC ユーザーガイドの「チュートリアル:Amazon Virtual Private Cloud から Amazon SQSキューにメッセージを送信するそして例5:VPC エンドポイントからではない場合はアクセスを拒否するこのガイドのインターフェイス VPC エンドポイント (AWS PrivateLink)の」を参照してください。

重要

  • Amazon Virtual Private Cloud は HTTPS Amazon SQS エンドポイントでのみ使用できます。

  • Amazon VPC からメッセージを送信するように Amazon SQS を設定する場合、プライベート DNS を有効にして、デュアルスタックエンドポイントでは sqs.us-east-2.amazonaws.com または sqs.us-east-2.api.aws の形式でエンドポイントを指定する必要があります。

  • Amazon SQS は、com.amazonaws.region.sqs-fips エンドポイントサービスを使用した PrivateLink を介した FIPS エンドポイントもサポートしています。sqs-fips.region.amazonaws.com 形式の FIPS エンドポイントに接続できます。

  • Amazon Virtual Private Cloud でデュアルスタックエンドポイントを使用する場合、リクエストは IPv4 と IPv6 を使用して送信されます。

  • プライベートDNS は、queue.amazonaws.com.rproxy.govskope.caus-east-2.queue.amazonaws.comなどのレガシーエンドポイントをサポートしていません。

Amazon SQS用のAmazon VPCエンドポイントポリシーを作成する

Amazon SQSのAmazon VPC エンドポイントに対するポリシーを作成して、以下を特定することができます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、Amazon VPC ユーザーガイドVPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

次の VPC エンドポイントポリシーの例では、Amazon SQS キュー MyQueue にメッセージを送信することを MyUser ユーザーに許可するように指定しています。

{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}

以下は拒否されます:

  • sqs:CreateQueuesqs:DeleteQueueなど他の Amazon SQS API アクション

  • この VPC エンドポイントを使用しようとする の他のユーザーおよびルール。

  • MyUser別のAmazon SQS キューにメッセージを送信する。

注記

ユーザーはさらに、他の Amazon SQS API アクションを VPC の外側からでも使用できます。詳細については、「例5:VPC エンドポイントからではない場合はアクセスを拒否する」を参照してください。