翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# (例) VPC を使用して Amazon S3 データへのデータアクセスを制限する
VPC を使用して、Amazon S3 バケット内のデータへのアクセスを制限できます。セキュリティを強化するために、インターネットアクセスなしで VPC を設定し、 AWS PrivateLinkで VPC のエンドポイントを作成することができます。リソースベースのポリシーを VPC エンドポイントまたは S3 バケットにアタッチすることで、アクセスを制限することもできます。
**Topics**
+ [Amazon S3 VPC エンドポイントを作成する](#vpc-s3-create)
+ [(オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する](#vpc-policy-rbp)
## Amazon S3 VPC エンドポイントを作成する
インターネットアクセスなしで VPC を設定する場合は、モデルのカスタマイズジョブが、トレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるように、[Amazon S3 VPC エンドポイント](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)を作成する必要があります。
「[Create a gateway endpoint for Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)」の手順に従って、S3 VPC エンドポイントを作成します。
**注記**
VPC にデフォルトの DNS 設定を使用しない場合は、エンドポイントルートテーブルを設定することで、トレーニングジョブのデータの場所の URL が解決されるようにする必要があります。VPC エンドポイントルートテーブルについては、 「[Routing for Gateway endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)」を参照してください。
## (オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する
[リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)を使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーのどの組み合わせでも使用できます。
+ **エンドポイントポリシー** – VPC エンドポイントにエンドポイントポリシーをアタッチして、VPC エンドポイントを介したアクセスを制限できます。デフォルトのエンドポイントポリシーでは、VPC のすべてのユーザーまたはサービスに対して Amazon S3 へのフルアクセスが許可されています。エンドポイントの作成中または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスできるようにする、または特定の IAM ロールのみがエンドポイントにアクセスできるようにするなど、制限を追加できます。例については、「[Edit the VPC endpoint policy](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)」を参照してください。
以下は、指定するバケットへのアクセスのみを許可するように VPC エンドポイントにアタッチできるポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket}}",
"arn:aws:s3:::{{bucket/*}}"
]
}
]
}
```
------
+ **バケットポリシー** – バケットポリシーを S3 バケットにアタッチして、そのバケットへのアクセスを制限できます。バケットポリシーを作成するには、「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」の手順に従います。VPC からのトラフィックへのアクセスを制限するには、条件キーを使用して VPC 自体、VPC エンドポイント、または VPC の IP アドレスを指定します。[aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)、[aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)、または [aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) の条件キーを使用することができます。
以下は、S3 バケットにアタッチできるポリシーの例で、VPC からでない限り、バケットへのすべてのトラフィックを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket}}",
"arn:aws:s3:::{{bucket/*}}"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "{{vpc-11223344556677889}}"
}
}
}
]
}
```
------
その他の例については、「[Control access using bucket policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3)」を参照してください。