インターフェイス VPC エンドポイント AWS CloudTrail での の使用 - AWS CloudTrail
RegionsCloudTrail 用の VPC エンドポイントを作成します。CloudTrail の VPC エンドポイントポリシーを作成する共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイント AWS CloudTrail での の使用

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合は、VPC と の間にプライベート接続を確立できます AWS CloudTrail。この接続を使用すると、CloudTrail はパブリックインターネットを経由せずに、VPC のリソースと通信できます。

Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS サービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC エンドポイントでは、VPC と AWS サービス間のルーティングは AWS ネットワークによって処理され、IAM ポリシーを使用してサービスリソースへのアクセスを制御できます。

VPC を CloudTrail に接続するには、CloudTrail のインターフェイス VPC エンドポイントを定義します。インターフェイスエンドポイントは、サポートされている AWS サービス宛てのトラフィックのエントリポイントとして機能するプライベート IP アドレスを持つ Elastic Network Interface です。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな CloudTrail への接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは、プライベート IP アドレスを持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーである AWS PrivateLink を利用しています。詳細については、「AWS PrivateLink」を参照してください。

以下のセクションは、Amazon VPC のユーザーを対象としています。詳細については、アマゾン VPC ユーザーガイドの「Amazon VPC の使用を開始する」を参照してください。

Regions

AWS CloudTrail は、CloudTrail がサポートされているすべての AWS リージョン で VPC エンドポイントと VPC エンドポイントポリシーをサポートします。

CloudTrail 用の VPC エンドポイントを作成します。

VPC で CloudTrail の使用を開始するには、CloudTrail のインターフェイス VPC エンドポイントを作成します。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする」を参照してください。

CloudTrail の設定を変更する必要はありません。CloudTrail は、 AWS のサービス パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのいずれかを使用している他の を呼び出します。

CloudTrail の VPC エンドポイントポリシーを作成する

VPC エンドポイントポリシーは、インターフェイス VPC エンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイス VPC エンドポイントを介して CloudTrail APIsへのフルアクセスが許可されます。VPC から CloudTrail に付与されるアクセスを制御するには、インターフェイス VPC エンドポイントにカスタムエンドポイントポリシーをアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

ポリシーの更新方法など、VPC エンドポイントポリシーの詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

CloudTrail のカスタム VPC エンドポイントポリシーの例を次に示します。

例: すべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、すべてのリソースのすべてのプリンシパルに対するすべての CloudTrail アクションへのアクセスを許可します。

{
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "cloudtrail:*",
             "Effect": "Allow",
             "Resource": "*",
             "Principal": "*"
         }
     ]
}

例: 特定の CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、すべてのリソースのすべてのプリンシパルに対して cloudtrail:ListTrailsおよび cloudtrail:ListEventDataStoresアクションを実行するためのアクセス許可を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: すべての CloudTrail アクションを拒否する

次の VPC エンドポイントポリシーの例では、すべてのリソースのすべてのプリンシパルに対するすべての CloudTrail アクションへのアクセスを拒否します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "cloudtrail:*",
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: 特定の CloudTrail アクションを拒否する

次の VPC エンドポイントポリシーの例では、すべてのリソースのすべてのプリンシパルの cloudtrail:CreateTrail および cloudtrail:CreateEventDataStoreアクションを拒否します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

例: 特定の VPC からのすべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、リクエスタが指定された VPC を使用してリクエストを行う場合にのみ、すべてのリソースのすべてのプリンシパルに対してすべての CloudTrail アクションを実行するためのアクセスを許可します。vpc-id を VPC ID に置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudtrail:*",
      "Resource": "*",
      "Principal": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVpc": "vpc-id"
        }
      }
    }
  ]
}

例: 特定の VPC エンドポイントからのすべての CloudTrail アクションを許可する

次の VPC エンドポイントポリシーの例では、リクエスタが指定された VPC エンドポイントを使用してリクエストを行う場合にのみ、すべてのリソースのすべてのプリンシパルに対してすべての CloudTrail アクションを実行するためのアクセスを許可します。vpc-endpoint-id を VPC エンドポイント ID に置き換えます。

{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "cloudtrail:",
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                "aws:SourceVpce": "vpc-endpoint-id"
             }
         }
       }
    ]
  }

共有サブネット

CloudTrail VPC エンドポイントは、他の VPC エンドポイントと同様に、共有サブネットの所有者アカウントによってのみ作成できます。ただし、参加者アカウントは、参加者アカウントと共有されているサブネットの CloudTrail VPC エンドポイントを使用できます。Amazon VPC 共有の詳細については、「Amazon VPC ユーザーガイド」の「Share your VPC with other accounts」を参照してください。