AWS CloudHSM および VPC エンドポイント - AWS CloudHSM
AWS CloudHSM VPC エンドポイントに関する考慮事項AWS CloudHSM 用のインターフェイス VPC エンドポイントの作成AWS CloudHSM 用の VPC エンドポイントポリシーの作成

AWS CloudHSM および VPC エンドポイント

VPC と AWS CloudHSM とのプライベート接続を確立するには、インターフェース VPC エンドポイントを作成します。インターフェイスエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも必要とせずに AWS PrivateLink にプライベートにアクセスできるテクノロジーである AWS CloudHSM を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても AWS CloudHSM API と通信できます。VPC と AWS CloudHSM 間のトラフィックは、Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内にある 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

AWS CloudHSM VPC エンドポイントに関する考慮事項

AWS CloudHSM のインターフェイスVPC エンドポイントを設定する前に、Amazon VPC ユーザーガイドインターフェイスエンドポイントのプロパティと制限を確認してください。

  • AWS CloudHSM は、VPC からのすべての API アクションの呼び出しをサポートしています。

AWS CloudHSM 用のインターフェイス VPC エンドポイントの作成

AWS CloudHSM サービス用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して作成できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。

AWS CloudHSM 用の VPC エンドポイントを作成するには、次のサービス名を使用します。

com.amazonaws.<region>.cloudhsmv2

例えば、米国西部 (オレゴン) リージョン(us-west-2)では、サービス名は次のようになります。

com.amazonaws.us-west-2.cloudhsmv2

VPC エンドポイントを使いやすくするために、VPC エンドポイントの プライベート DNS ホスト名 を有効にできます。[プライベート DNS 名を有効にする] オプションを選択すると、標準の AWS CloudHSM DNS ホスト名 (https://cloudhsmv2.<region>.amazonaws.com および https://cloudhsmv2.<region>.api.aws) は VPC エンドポイントに解決されます。

このオプションにより VPC エンドポイントが使いやすくなります。AWS SDK および AWS CLI はデフォルトで標準の AWS CloudHSM DNS ホスト名を使用するため、アプリケーションおよびコマンドで VPC エンドポイント URL を指定する必要はありません。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

AWS CloudHSM 用の VPC エンドポイントポリシーの作成

VPC エンドポイントには、AWS CloudHSM へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: AWS CloudHSM アクション用の VPC エンドポイントポリシー

以下は、AWS CloudHSM 用のエンドポイントポリシーの例です。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている AWS CloudHSM アクションへのアクセス権を付与します。他の AWS CloudHSM アクションとそれに対応する IAM 権限については、AWS CloudHSM のためのアイデンティティおよびアクセス管理 を参照してください。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "<cloudhsm>:<DescribeBackups>",
            "<cloudhsm>:<DescribeClusters>",
            "<cloudhsm>:<ListTags>",
         ],
         "Resource":"*"
      }
   ]
}