翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスコントロールポリシーと VPC エンドポイントポリシーの実装
<a name="implementing-console-private-access-policies"></a>

プライベートアクセスのサービスコントロールポリシー (SCPs) と VPC エンドポイントポリシー AWS マネジメントコンソール を使用して、VPC 内および接続されたオンプレミスネットワーク AWS マネジメントコンソール から を使用できるアカウントのセットを制限できます。

**Topics**
+ [AWS Organizations サービスコントロールポリシーでの AWS マネジメントコンソール プライベートアクセスの使用](private-access-with-SCPs.md)
+ [予想されるアカウントと組織にのみ AWS マネジメントコンソール 使用を許可する (信頼できる ID)](account-identity.md)

# AWS Organizations サービスコントロールポリシーでの AWS マネジメントコンソール プライベートアクセスの使用
<a name="private-access-with-SCPs"></a>

 AWS 組織が特定のサービスを許可するサービスコントロールポリシー (SCP) を使用している場合は、許可されたアクション`signin:*`に を追加する必要があります。このアクセス許可は、プライベートアクセス VPC エンドポイント AWS マネジメントコンソール 経由で にサインインすると、アクセス許可なしで SCP がブロックする IAM 認可が実行されるために必要です。例えば、次のサービスコントロールポリシーでは、 AWS マネジメントコンソール プライベートアクセスエンドポイントを使用してアクセスされたときなど、組織内で Amazon EC2 および CloudWatch サービスを使用することを許可します。

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

SCP の詳細については、*AWS Organizations ユーザーガイド* の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。

# 予想されるアカウントと組織にのみ AWS マネジメントコンソール 使用を許可する (信頼できる ID)
<a name="account-identity"></a>

AWS マネジメントコンソール と は、サインインアカウントの ID を具体的に制御する VPC エンドポイントポリシー AWS サインイン をサポートします。

他の VPC エンドポイントポリシーとは異なり、このポリシーは認証前に評価されます。その結果、認証されたセッションのサインインと使用のみを具体的に制御し、セッションが実行する AWS サービス固有のアクションは制御しません。例えば、セッションが Amazon EC2 コンソールなどの AWS サービスコンソールにアクセスする場合、これらの VPC エンドポイントポリシーは、そのページを表示するために実行される Amazon EC2 アクションに対して評価されません。代わりに、サインインした IAM プリンシパルに関連付けられた IAM ポリシーを使用して、 AWS サービスアクションへのアクセス許可を制御できます。

**注記**  
 AWS マネジメントコンソール および SignIn VPC エンドポイントの VPC エンドポイントポリシーは、ポリシー策定の限定されたサブセットのみをサポートします。各 `Principal` と `Resource` は `*` に設定する必要があります。また、`Action` は `*` または `signin:*` のいずれかにする必要があります。VPC エンドポイントへのアクセスを制御するには、`aws:PrincipalOrgId` および `aws:PrincipalAccount` 条件キーを使用します。

以下のポリシーは、コンソールエンドポイントと SignIn VPC エンドポイントの両方に推奨されています。

この VPC エンドポイントポリシーは、指定された AWS 組織の AWS アカウント へのサインインを許可し、他のアカウントへのサインインをブロックします。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

この VPC エンドポイントポリシーは、特定の のリストへのサインインを制限 AWS アカウント し、他のアカウントへのサインインをブロックします。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

 AWS マネジメントコンソール およびサインイン VPC エンドポイントで AWS アカウント または 組織を制限するポリシーは、サインイン時に評価され、既存のセッションについて定期的に再評価されます。