Cloud Control API とインターフェイス VPC エンドポイント (AWS PrivateLink) - Cloud Control API
Cloud Control API VPC エンドポイントに関する考慮事項Cloud Control API 用のインターフェイス VPC エンドポイントの作成Cloud Control API 用の VPC エンドポイントポリシーの作成関連情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Cloud Control API とインターフェイス VPC エンドポイント (AWS PrivateLink)

Virtual Private Cloud (VPC) と の間にプライベート接続を確立するには、インターフェイス VPC エンドポイント AWS クラウドコントロール API を作成します。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで Cloud Control APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Cloud Control API と通信できます。VPC と Cloud Control API 間のトラフィックは、Amazon ネットワークを維持しません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」を参照してください。

Cloud Control API VPC エンドポイントに関する考慮事項

Cloud Control API のインターフェイス VPC エンドポイントを設定する前に、「Amazon VPC ユーザーガイド」の「前提条件」を確認してください。

Cloud Control API は、VPC から実行されるすべての API アクションの呼び出しをサポートしています。

Cloud Control API 用のインターフェイス VPC エンドポイントの作成

Cloud Control API サービスの VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、Amazon VPC ユーザーガイドのインターフェイス VPC エンドポイントを使用するを参照してください。

Cloud Control API 用の VPC エンドポイントは、以下のサービス名を使用して作成します。

  • com.amazonaws.region.cloudcontrolapi

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (cloudcontrolapi.us-east-1.amazonaws.com など) を使用して、Cloud Control API への API リクエストを実行できます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」を参照してください。

Cloud Control API 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに Cloud Control API へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

重要

VPCE エンドポイントポリシーの詳細は、Cloud Control API によって呼び出されるダウンストリームサービスには評価のために渡されません。このため、ダウンストリームサービスに属するアクションやリソースを指定するポリシーは適用されません。

例えば、インターネットにアクセスできないサブネット内の Cloud Control API 用の VPC エンドポイントを持つ VPC インスタンスに Amazon EC2 インスタンスを作成したとします。次に、以下の VPC エンドポイントポリシーを VPCE にアタッチします。

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

管理者アクセス権を持つユーザーがインスタンスの Amazon S3 バケットにアクセスするリクエストを送信した場合、VPCE ポリシーで Amazon S3 アクセスが許可されていなくても、サービスエラーは返されません。

例: Cloud Control API アクション用の VPC エンドポイントポリシー

Cloud Control API のエンドポイントポリシーの例を以下に示します。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Cloud Control API アクションへのアクセスを付与します。以下の例では、VPC エンドポイントを経由してリソースを作成するアクセス許可をすべてのユーザーに対して拒否し、Cloud Control API サービスの他のすべてのアクションへのフルアクセスを許可します。

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

関連情報