インターフェイス VPC エンドポイントAWS CloudTrailでの の使用 - AWS CloudTrail
RegionsCloudTrail 用の VPC エンドポイントを作成します。CloudTrail 用の VPC エンドポイントポリシーを作成する共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントAWS CloudTrailでの の使用

Amazon Virtual Private Cloud (Amazon VPC) を使用してAWSリソースをホストする場合は、VPC と の間にプライベート接続を確立できますAWS CloudTrail。この接続を使用すると、CloudTrail はパブリックインターネットを経由せずに、VPC のリソースと通信できます。

Amazon VPC は、定義した仮想ネットワークでAWSリソースを起動するために使用できる AWSサービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC エンドポイントでは、VPC とAWSサービス間のルーティングはAWSネットワークによって処理され、IAM ポリシーを使用してサービスリソースへのアクセスを制御できます。

VPC を CloudTrail に接続するには、CloudTrail のインターフェイス VPC エンドポイントを定義します。インターフェイスエンドポイントは、サポートされているAWSサービス宛てのトラフィックのエントリポイントとして機能するプライベート IP アドレスを持つ Elastic Network Interface です。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな CloudTrail への接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは、プライベート IP アドレスを持つ Elastic Network Interface を使用してAWSサービス間のプライベート通信を可能にするAWSテクノロジーである AWSPrivateLink を利用しています。詳細については、「AWS PrivateLink」を参照してください。

以下のセクションは、Amazon VPC のユーザー向けです。詳細については、アマゾン VPC ユーザーガイドの「Amazon VPC の使用を開始する」を参照してください。

Regions

AWS CloudTrailは、CloudTrail がサポートされているすべての AWS リージョンで VPC エンドポイントと VPC エンドポイントポリシーをサポートします。

CloudTrail 用の VPC エンドポイントを作成します。

VPC で CloudTrail の使用を開始するには、CloudTrail のインターフェイス VPC エンドポイントを作成します。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイントAWS のサービスを使用して にアクセスする」を参照してください。

CloudTrail の設定を変更する必要はありません。CloudTrail は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのいずれかを使用して、他の AWS のサービスを呼び出します。

CloudTrail 用の VPC エンドポイントポリシーを作成する

VPC エンドポイントポリシーは、インターフェイス VPC エンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイス VPC エンドポイントを介した CloudTrail API へのフルアクセスが与えられます。VPC から CloudTrail に付与されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェース VPC エンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

VPC エンドポイントポリシーの詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスへのアクセスのコントロール」を参照してください。

CloudTrail のカスタム VPC エンドポイントポリシーの例を次に示します。

例: すべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションへのアクセスを許可します。

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Action": "cloudtrail:*",
             "Effect": "Allow",
             "Resource": "*",
             "Principal": "*"
         }
     ]
}

例: 特定の CloudTrail アクションを許可する

次の VPC エンドポイントポリシーは、すべてのプリンシパルに対してすべてのリソースに対する cloudtrail:ListTrails および cloudtrail:ListEventDataStores アクションを実行するためのアクセスを付与します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: すべての CloudTrail アクションを拒否する

次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションへのアクセスを拒否します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "cloudtrail:*",
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: 特定の CloudTrail アクションを拒否する

次の VPC エンドポイントポリシーは、すべてのプリンシパルに対してすべてのリソースに対する cloudtrail:CreateTrail および cloudtrail:CreateEventDataStore アクションを拒否します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: 特定の VPC からのすべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションを実行するためのアクセスを付与しますが、それはリクエスタが指定された VPC を使用してリクエストを行う場合のみです。vpc-id をユーザーの VPC ID に置き換えます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudtrail:*",
      "Resource": "*",
      "Principal": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceVpc": "vpc-1234567890abcdef0"
        }
      }
    }
  ]
}

例: 特定の VPC エンドポイントからのすべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションを実行するためのアクセスを付与しますが、それはリクエスタが指定された VPC エンドポイントを使用してリクエストを行う場合のみです。vpc-endpoint-id を VPC エンドポイント ID に置き換えます。

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "cloudtrail:*",
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                "aws:SourceVpce": "vpce-1a2b3c4d"
             }
         }
       }
    ]
  }

共有サブネット

CloudTrail VPC エンドポイントは、他の VPC エンドポイントと同様に、共有サブネットの所有者アカウントによってのみ作成できます。ただし、参加者アカウントは、参加者アカウントと共有されているサブネットの CloudTrail VPC エンドポイントを使用できます。Amazon VPC 共有の詳細については、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。