Cloud Control API とインターフェイス VPC エンドポイント (AWS PrivateLink) - Cloud Control API
Cloud Control API VPC エンドポイントに関する考慮事項Cloud Control API 用のインターフェイス VPC エンドポイントの作成Cloud Control API 用の VPC エンドポイントポリシーの作成関連情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Cloud Control API とインターフェイス VPC エンドポイント (AWS PrivateLink)

を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS クラウドコントロール API。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように Cloud Control API にアクセスできます。VPC 内のインスタンスは、Cloud Control API にアクセスするためにパブリック IP アドレスを必要としません。

このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Cloud Control API 宛てのトラフィックのエントリポイントとして機能するリクエスタマネージドネットワークインターフェイスです。

Cloud Control API は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。

Cloud Control API VPC エンドポイントに関する考慮事項

Cloud Control API のインターフェイス VPC エンドポイントを設定する前に、まず「 AWS PrivateLink ガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」トピックの前提条件を満たしていることを確認してください。

Cloud Control API 用のインターフェイス VPC エンドポイントの作成

Cloud Control API の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、『AWS PrivateLink ガイド』の「Create a VPC endpoint (VPC エンドポイントを作成)を参照してください。

次のサービス名を使用して Cloud Control API のインターフェイスエンドポイントを作成します。

  • com.amazonaws.region.cloudcontrolapi

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (cloudcontrolapi.us-east-1.amazonaws.com など) を使用して、Cloud Control API への API リクエストを実行できます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする」を参照してください。

Cloud Control API 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに Cloud Control API へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、『AWS PrivateLink ガイド』の「Control access to VPC endpoints using endpoint policies (エンドポイントポリシーを使用して VPC エンドポイントへのアクセスをコントロールする)」を参照してください。

重要

VPCE エンドポイントポリシーの詳細は、Cloud Control API によって呼び出されるダウンストリームサービスには評価のために渡されません。このため、ダウンストリームサービスに属するアクションやリソースを指定するポリシーは適用されません。

例えば、インターネットにアクセスできないサブネット内の Cloud Control API 用の VPC エンドポイントを持つ VPC インスタンスに Amazon EC2 インスタンスを作成したとします。次に、以下の VPC エンドポイントポリシーを VPCE にアタッチします。

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

管理者アクセス権を持つユーザーがインスタンスの Amazon S3 バケットにアクセスするリクエストを送信した場合、VPCE ポリシーで Amazon S3 アクセスが許可されていなくても、サービスエラーは返されません。

例: Cloud Control API アクション用の VPC エンドポイントポリシー

Cloud Control API のエンドポイントポリシーの例を以下に示します。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Cloud Control API アクションへのアクセスを付与します。以下の例では、VPC エンドポイントを経由してリソースを作成するアクセス許可をすべてのユーザーに対して拒否し、Cloud Control API サービスの他のすべてのアクションへのフルアクセスを許可します。

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

関連情報