Directory Service API と AWS PrivateLink を使用するインターフェイス Amazon VPC エンドポイント
AWS PrivateLink を使用して、VPC、Directory Service と Directory Service Data API の間にプライベート接続を作成できます。これを使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、Direct Connect 接続のいずれかを使用せずに、VPC 内にあるかのように Directory Service と Directory Service Data API にアクセスできるようになります。Amazon VPC のインスタンスは、パブリック IP アドレスがなくても Directory Service と Directory Service Data API にアクセスできます。
プライベート接続を確立するには、AWS PrivateLink で動作するインターフェイス Amazon VPC エンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、AWS Directory Service と AWS Directory Service Data に指定されたトラフィックのエントリポイントとして機能するリクエスタマネージド型ネットワークインターフェイスです。
詳細については、AWS PrivateLinkガイドのAWS PrivateLinkからAWS のサービスにアクセスするを参照してください。
Directory Service および Directory Service Data に関する考慮事項
Directory Service および Directory Service Data を使用すると、インターフェイスエンドポイントを介して API アクションを呼び出すことができます。インターフェイスエンドポイントを作成する前に考慮すべき前提条件については、「AWS PrivateLink ガイド」の「インターフェイス Amazon VPC エンドポイントを使用して AWS のサービス にアクセスする」を参照してください。
Directory Service および Directory Service Data のアベイラビリティー
Directory Service および Directory Service Data は、利用可能なすべての AWS リージョンでインターフェイスエンドポイントをサポートします。Directory Service と Directory Service Data をサポートする AWS リージョン の詳細については、「Region availability for Directory Service」を参照してください。
Directory Service および Directory Service Data のインターフェイス Amazon VPC エンドポイントを作成する
Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Directory Service と Directory Service Data API のインターフェイスエンドポイントを作成できます。
例:Directory Service
以下のサービス名を使用して、Directory Service API のインターフェイスエンドポイントを作成します。
com.amazonaws.region.ds
例: Directory Service データ
以下のサービス名を使用して、Directory Service Data API のインターフェイスエンドポイントを作成します:
com.amazonaws.region.ds-data
インターフェイスエンドポイントの作成については、「AWS PrivateLink ガイド」の「Access an AWS のサービス using an interface Amazon VPC endpoint」を参照してください。
インターフェイスの Amazon VPC エンドポイントの Amazon VPC エンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントに付加できる IAM リソースポリシーです。
注記
エンドポイントポリシーをインターフェイスエンドポイントに付加しない場合、AWS PrivateLink はユーザーに代わってデフォルトのエンドポイントポリシーをインターフェイスエンドポイントに付加します。詳細については、「AWS PrivateLink の概念」を参照してください。
エンドポイントポリシーは以下の情報を指定します。
-
アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)
-
実行可能なアクション
-
このアクションを実行できるリソース
詳細については、「AWS PrivateLink ガイド」の「Control access to services using endpoint policies」を参照してください。
Amazon VPC から API へのアクセスをコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントに付加します。
例: Directory Service API アクションの Amazon VPC エンドポイントポリシー
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Directory Service アクションへのアクセス権を付与します。
action-1、action-2、action-3 を、ポリシーに含める Directory Service API に必要なアクセス許可に置き換えます。詳細なリストについては、「Directory Service API アクセス許可: アクション、リソース、条件リファレンス」を参照してください
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }
例: Directory Service Data API アクションの Amazon VPC エンドポイントポリシー
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントに付加されると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Directory Service Data アクションへのアクセス権限を付与します。
action-1、action-2、action-3 を、ポリシーに含める Directory Service Data API に必要なアクセス許可に置き換えます。詳細なリストについては、「Directory Service API アクセス許可: アクション、リソース、条件リファレンス」を参照してください
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds-data:action-1", "ds-data:action-2", "ds-data:action-3" ], "Resource":"*" } ] }
