アイデンティティベースのポリシーとその他のポリシータイプの実装 - AWS マネジメントコンソール
サポートされている AWS グローバル条件コンテキストキーAWS マネジメントコンソール プライベートアクセスを aws:SourceVpc と併用した場合の仕組みさまざまなネットワークパスが CloudTrail にどのように反映されるか

アイデンティティベースのポリシーとその他のポリシータイプの実装

AWS でのアクセスを管理するには、ポリシーを作成し、IAM アイデンティティ (ユーザー、ユーザーのグループ、ロール) または AWS リソースにアタッチします。このページでは、ポリシーを AWS マネジメントコンソール プライベートアクセスと併用した場合の仕組みについて説明します。

サポートされている AWS グローバル条件コンテキストキー

AWS マネジメントコンソール プライベートアクセスは、aws:SourceVpce および aws:VpcSourceIp AWS グローバル条件コンテキストキーをサポートしていません。AWS マネジメントコンソールのプライベートアクセスを使用する場合は、代わりに aws:SourceVpc IAM 条件をポリシーで使用できます。

AWS マネジメントコンソール プライベートアクセスを aws:SourceVpc と併用した場合の仕組み

このセクションでは、AWS マネジメントコンソール で生成したリクエストにより、AWS のサービスに送信できるさまざまなネットワークパスについて説明します。一般に、AWS サービスコンソールは、ブラウザへの直接のリクエストと、AWS マネジメントコンソール ウェブサーバーから AWS のサービスにプロキシされるリクエストを組み合わせて実装されます。これらの実装は、予告なしに変更される可能性があります。セキュリティ要件に VPC エンドポイントを使用する AWS のサービスへのアクセスが含まれる場合は、VPC から直接または AWS マネジメントコンソールのプライベートアクセスを介して使用するすべてのサービスに VPC エンドポイントを設定することをお勧めします。さらに、AWS マネジメントコンソール プライベートアクセス機能では、特定の aws:SourceVpce 値ではなくaws:SourceVpc IAM 条件をポリシーで使用する必要があります。このセクションでは、さまざまなネットワークパスの仕組みについて詳しく説明します。

ユーザーは、AWS マネジメントコンソール にサインインした後で、ブラウザへの直接のリクエストと、AWS マネジメントコンソール ウェブサーバーから AWS サーバーにプロキシされるリクエストを組み合わせて、AWS のサービスへのリクエストを行います。たとえば、CloudWatch グラフデータリクエストはブラウザから直接行われます。一方、Amazon S3 などの一部の AWS サービスコンソールリクエストは、ウェブサーバーによって Amazon S3 に転送されます。

ブラウザから直接リクエストする場合、AWS マネジメントコンソール プライベートアクセスを使用しても何も変わりません。以前と同様、リクエストは VPC が monitoring.region.amazonaws.com に到達するように設定したネットワークパスを通じてサービスに到達します。VPC が com.amazonaws.region.monitoring の VPC エンドポイントで設定されている場合、リクエストはその CloudWatch VPC エンドポイントを経由して CloudWatch に到達します。CloudWatch の VPC エンドポイントがない場合、リクエストは VPC のインターネットゲートウェイ経由で、パブリックエンドポイントの CloudWatch に到達します。CloudWatch VPC エンドポイントを経由して CloudWatch に到達するリクエストでは、IAM 条件 aws:SourceVpcaws:SourceVpce がそれぞれの値に設定されます。パブリックエンドポイント経由で CloudWatch に到達するリクエストには、aws:SourceIp がリクエストのソース IP アドレスに設定されます。これらの IAM 条件キーの詳細については、「IAM ユーザーガイド」「 グローバル条件コンテキストキー」を参照してください。

Amazon S3 コンソールにアクセスしたときに Amazon S3 コンソールが行うバケットの一覧表示リクエストなど、AWS マネジメントコンソール ウェブサーバーによってプロキシされるリクエストの場合、ネットワークパスは異なります。これらのリクエストは VPC から開始されないため、そのサービス用に VPC に設定した VPC エンドポイントを使用しません。この場合、Amazon S3 の VPC エンドポイントがあっても、バケットを一覧表示する Amazon S3 へのセッションのリクエストは Amazon S3 VPC エンドポイントを使用しません。ただし、サポートされているサービスで AWS マネジメントコンソール プライベートアクセスを使用する場合、これらのリクエスト (Amazon S3 など) では、リクエストコンテキストに aws:SourceVpc 条件キーが含まれます。aws:SourceVpc 条件キーは、サインインとコンソール用の AWS マネジメントコンソール プライベートアクセスエンドポイントがデプロイされる VPC ID に設定されます。そのため、アイデンティティベースのポリシーで aws:SourceVpc 制限を使用している場合、AWS マネジメントコンソール プライベートアクセスサインインとコンソールエンドポイントをホストしているこの VPC の VPC ID を追加する必要があります。aws:SourceVpce 条件は、それぞれのサインインまたはコンソール VPC エンドポイント ID に設定されます。

注記

ユーザーが AWS マネジメントコンソールのプライベートアクセスでサポートされていないサービスコンソールへのアクセスを必要とする場合は、ユーザーのアイデンティティベースのポリシーで aws:SourceIP 条件キーを使用し、必要なパブリックネットワークアドレス (オンプレミスのネットワーク範囲など) のリストを含める必要があります。

さまざまなネットワークパスが CloudTrail にどのように反映されるか

AWS マネジメントコンソール が生成したリクエストによって使用されるさまざまなネットワークパスが CloudTrail イベント履歴に反映されます。

ブラウザから直接リクエストする場合、AWS マネジメントコンソール プライベートアクセスを使用しても何も変わりません。CloudTrail イベントには、サービス API 呼び出しに使用された VPC エンドポイント ID など、接続に関する詳細が含まれます。

AWS マネジメントコンソール ウェブサーバーによってプロキシされるリクエストの場合、CloudTrail イベントには VPC 関連の詳細が含まれません。ただし、AwsConsoleSignIn イベントタイプなどのブラウザセッションを確立するのに必要な AWS サインイン への初期リクエストの場合、イベントの詳細に AWS サインイン VPC エンドポイント ID が含まれます。