翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon S3 アクセスポイントのネットワークアクセスの設定
FSx for ONTAP ボリュームの Amazon S3 アクセスポイントを作成するときは、ネットワーク経由でアクセスポイントにアクセスする方法と、それを使用する権限を持つユーザーを設定します。このセクションでは、環境に適したネットワークとアクセスコントロールの設定を選択するのに役立ちます。
このセクションでは、ネットワークと IAM 認可レイヤーについて説明します。具体的には、アクセスポイントのネットワークオリジン、VPC エンドポイント、アクセスポイントポリシー、VPC エンドポイントポリシー、IAM ID ポリシー、サービスコントロールポリシーです。ファイルシステムレベルの認可 (UNIX および Windows ユーザーアクセス許可) の詳細については、「」を参照してください[ファイルシステムのユーザー ID と認可](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)。
**Topics**
+ [Amazon S3 がアクセスポイントリクエストを評価する方法](#s3-ap-request-evaluation)
+ [ネットワークオリジンの選択](#s3-ap-choosing-network-origin)
+ [VPC オリジンエンフォースメントの仕組み](#s3-ap-vpc-origin-enforcement)
+ [Amazon S3 アクセスポイントでの VPC エンドポイントの使用](#s3-ap-vpc-endpoints)
+ [アクセスポイントポリシー](#s3-ap-policies-network)
+ [シナリオ例](#s3-ap-example-scenarios)
+ [ネットワークアクセスの問題のトラブルシューティング](#s3-ap-troubleshooting-network)
## Amazon S3 がアクセスポイントリクエストを評価する方法
FSx for ONTAP ボリュームにアタッチされた Amazon S3 アクセスポイントを介してリクエストが行われる場合、リクエストは次のすべてのレイヤーによって承認される必要があります。
+ **ネットワークオリジンチェック** — アクセスポイントに VPC ネットワークオリジンがある場合、リクエストはバインドされた VPC の VPC エンドポイント経由で到着する必要があります。そうでない場合、ポリシー評価が発生する前にリクエストが拒否されます。
+ **VPC エンドポイントポリシー** — リクエストが VPC エンドポイントを通過する場合、エンドポイントのポリシーはアクセスポイントリソースに対する アクションを許可する必要があります。
+ **アクセスポイントポリシー** — アクセスポイントの IAM リソースポリシーが評価されます。同じアカウントアクセスの場合、アクセスポイントポリシーまたは発信者の ID ポリシーのいずれかがアクセスを許可できます。クロスアカウントアクセスの場合、どちらも許可する必要があります。
+ **IAM ID ポリシー** — リクエスト元のプリンシパルのアイデンティティベースのポリシーは、アクセスポイントリソースに対して評価されます。
+ **サービスコントロールポリシー (SCPs)** — アカウントが AWS Organizations 組織の一部である場合、該当する SCPs は アクションを許可する必要があります。
ネットワークオリジンチェックは、ポリシー評価の前に行われます。残りのレイヤーは、標準の IAM 認可決定の一部として一緒に評価されます。つまり、**レイヤー**オーバーライドの明示的な拒否 他のレイヤーの許可ステートメント。
## ネットワークオリジンの選択
Amazon S3 アクセスポイントを作成するときは、アクセスポイントへのアクセス方法を決定する**ネットワークオリジン**を選択します。作成後にネットワークオリジンを変更することはできません。
### インターネットオリジン
インターネットネットワークオリジンを持つアクセスポイントは、デフォルトで S3 バケットにアクセスする方法と似ています。**すべてのリクエストには有効な IAM 認証情報と認可が必要です**。インターネットオリジンは、パブリックアクセスまたは匿名アクセスを意味するものではありません。Amazon S3 は、FSx for ONTAP ボリュームにアタッチされているすべてのアクセスポイントにブロックパブリックアクセスを適用し、この設定を無効にすることはできません。
インターネットオリジンでは、認証されたリクエストは VPCs、オンプレミスネットワーク、他の AWS アカウント、パブリックインターネットなど、どこからでも送信できます。アクセスポイントポリシーと IAM ID ポリシーを使用して、どの認証された発信者を許可するかを制御します。
インターネットオリジンでは、アクセスポイントポリシーと IAM ID ポリシーを使用してアクセスを制御します。同じアカウントの発信者の場合、アクセスポイントポリシーで明示的な拒否ステートメントを使用してアクセスを制限します。発信者の IAM ID ポリシーが個別にアクセスを許可できるため、許可のみのポリシーでは不十分です。クロスアカウント発信者の場合、アクセスポイントポリシーはリクエストを明示的に許可する必要があるため、許可を省略するだけでアクセスをブロックできます。
### VPC オリジン
VPC ネットワークオリジンを持つアクセスポイントは、特定の VPC にバインドされ、 `aws:SourceVpc`がバインドされた VPC と一致しないリクエストを拒否する明示的な拒否ポリシーステートメントとして効果的に動作します。明示的な拒否は常に許可を上書きするため、完全に許可されたアクセスポイントポリシーまたは IAM ID ポリシーであっても、バインドされた VPC の外部からのリクエストへのアクセスを許可することはできません。
バインドされた VPC の VPC エンドポイントを介してトラフィックがルーティングされた場合でも、バインドされた VPC 外の発信者はアクセスポイントにアクセスできます。たとえば、VPC ピアリングや Transit Gateway を介して、バインドされた VPC にデプロイされた Amazon S3 Interface エンドポイントにルーティングされます。
### 主な違い
| | インターネットオリジン | VPC オリジン |
| --- | --- | --- |
| ネットワークの適用 | なし — ポリシーによってのみ制御されるアクセス | 実質的に、バインドされた VPC 内の VPC エンドポイント経由で到着しないリクエストの明示的な拒否 |
| マルチ VPC アクセス | ポリシー条件でサポート | 発信者がバインドされた VPC のインターフェイスエンドポイントを経由する場合にサポートされます (VPC ピアリングまたは Transit Gateway 経由) |
| アクセス範囲を変更する | ポリシーを更新する | バインドされた VPC を変更するには、アクセスポイントを再作成する必要があります |
| VPC エンドポイントが必要です | aws:SourceVpc 条件を使用する場合のみ | はい — リクエストは、バインドされた VPC 内のエンドポイントを経由する必要があります |
## VPC オリジンエンフォースメントの仕組み
アクセスポイントに VPC ネットワークオリジンがある場合、 がアクセスポイントの で指定された VPC ID と等しく`aws:SourceVpc`ないすべてのリクエストを拒否する明示的な拒否ポリシーステートメントが存在するかのように効果的に動作します`VpcConfiguration`。この拒否は、すべてのプリンシパル、すべての Amazon S3 アクション、およびアクセスポイント内のすべてのリソースに適用されます。
これは明示的な拒否であるため、アクセスポイントポリシー、発信者の IAM ID ポリシー、またはその他のポリシーのいずれであっても、任意の Allow ステートメントを上書きします。
実際には、これは以下を意味します。
+ リクエストは、バインドされた VPC にデプロイされた VPC エンドポイント (ゲートウェイまたはインターフェイス) を介して到着する必要があります。これは、VPC エンドポイントのみがリクエストに `aws:SourceVpc` 属性を入力するためです。
+ 他の VPCsは拒否されます。VPC エンドポイント`aws:SourceVpc`には別の VPC ID が入力されるためです。
+ はリクエストに存在し`aws:SourceVpc`ないため、インターネットからのリクエストは拒否されます。
これは、拒否されたリクエストのエラーメッセージに「リソースベースのポリシーでの明示的な拒否」と表示されている理由でもあります。
**重要**
作成後にアクセスポイントのネットワークオリジンを変更することはできません。VPC オリジンからインターネットオリジン (またはその逆) に変更する必要がある場合は、アクセスポイントを削除して新しいアクセスポイントを作成する必要があります。
### 明示的な拒否がある VPC オリジンとインターネットオリジン
VPC オリジンアクセスポイントと、手動で書き込まれた`StringNotEquals aws:SourceVpc`拒否を持つインターネットオリジンアクセスポイントは、どちらも指定された VPC からのリクエストを拒否します。主な違いは次のとおりです。
+ **VPC オリジン**: Deny はアクセスポイントの VPC 設定に組み込まれています。誤って削除したり、誤って設定したりすることはできません。
+ **Deny を使用したインターネットオリジン**: 自分で Deny を記述および管理します。これにより、柔軟性 (複数の VPCs を許可するなど) が向上しますが、責任も増大します。拒否が欠落しているか、設定が間違っている場合、制限は適用されません。
## Amazon S3 アクセスポイントでの VPC エンドポイントの使用
Amazon S3 アクセスポイントは、Amazon S3 の両方のタイプの VPC エンドポイントで動作します。必要なエンドポイントタイプは、発信者の場所によって異なります。
### ゲートウェイエンドポイント
ゲートウェイエンドポイントは無料であり、ルートテーブルベースです。Gateway エンドポイントを作成すると、指定されたルートテーブルにルートが追加され、エンドポイントを介して Amazon S3 トラフィックがルーティングされます。このルートは、**VPC 内で発信される**トラフィックにのみ適用されます。
ゲートウェイエンドポイントを以下に使用します。
+ Amazon EC2 インスタンス、Lambda 関数、Amazon ECS タスク、および **VPC 内の**その他のコンピューティングリソース
ゲートウェイエンドポイントは、VPC に入るトラフィックを以下からルーティング**しません**。
+ VPN または Direct Connect 経由のオンプレミスネットワーク
+ ピア接続された VPCs
+ Transit Gateway 接続
詳細については、[Amazon S3のゲートウェイエンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html)」を参照してください。 **
### インターフェイスエンドポイント
インターフェイスエンドポイントは、サブネットにプライベート IP アドレスを持つ Elastic Network Interface (ENI) を作成します。トラフィックは、エンドポイントの DNS 名またはプライベート IP に明示的に送信する必要があります。
インターフェイスエンドポイントを以下に使用します。
+ VPN または Direct Connect 経由で Amazon S3 にアクセスするオンプレミスの発信者
+ VPC ピア接続を介して Amazon S3 にアクセスするクロスアカウント発信者
+ トラフィックが外部から VPC に入るシナリオ
インターフェイスエンドポイントを使用する場合、発信者は次のいずれかを行う必要があります。
+ インターフェイスエンドポイントの DNS 名を指す `--endpoint-url`パラメータを使用する、または
+ Amazon S3 エンドポイントをインターフェイスエンドポイントのプライベート IP に解決するように DNS を設定する (Route 53 Resolver またはオンプレミス DNS 転送を使用)
インターフェイスエンドポイントには、1 時間あたりの料金と 1 GB あたりの料金があります。詳細については「[AWS プライベートリンク の料金](https://aws.amazon.com/privatelink/pricing/)」を参照してください。
### 両方のエンドポイントタイプを一緒に使用する
ゲートウェイエンドポイントとインターフェイスエンドポイントの両方を同じ VPC にデプロイできます。この設定は、VPC 内発信者とオンプレミス発信者の両方がある場合に便利です。
+ **ゲートウェイエンドポイント**: VPC 内トラフィックを処理します (無料、透過的)
+ **インターフェイスエンドポイント**: VPN または Direct Connect 経由でのオンプレミストラフィックを処理します (DNS 設定または が必要`--endpoint-url`)
どちらのエンドポイントタイプも `aws:SourceVpc` 属性に VPC ID を入力するため、どちらも VPC オリジン拒否条件を満たします。
### VPC エンドポイントポリシー
VPC エンドポイントポリシーは、エンドポイントを介してアクセスできる Amazon S3 リソースを制御します。デフォルトでは、VPC エンドポイントはすべてのリソースに対するすべての Amazon S3 アクションを許可します。エンドポイントポリシーの範囲を指定して、特定のアクセスポイントのみを許可できます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
## アクセスポイントポリシー
Amazon S3 アクセスポイントは、リソース、ユーザー、またはその他の条件別にアクセスポイントの使用を制御できる AWS Identity and Access Management (IAM) リソースポリシーをサポートします。クロスアカウントアクセスの場合、アクセスポイントポリシーと発信者の IAM ID ポリシーの両方がリクエストを許可する必要があります。同じアカウントアクセスの場合、アクセスポイントポリシーまたは発信者の IAM ID ポリシーのいずれかが個別にアクセスを許可できます。同じアカウントの発信者を制限するには、アクセスポイントポリシーで明示的な拒否ステートメントを使用します。リクエストが VPC エンドポイントを通過する場合、VPC エンドポイントポリシーもリクエストを許可する必要があります。
アクセスポイントポリシーの詳細については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセスポイントを使用するための IAM ポリシーの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)」を参照してください。
### ネットワークベースのアクセスコントロールの条件キー
IAM には、リクエストのネットワークプロパティに基づいてアクセスを制御するためにアクセスポイントポリシーで使用できるグローバル条件キーが用意されています。これらの条件キーは、次の表に示すように、特定の状況でのみリクエストコンテキストに含まれます。
| 条件キー | 可用性 | 説明 |
| --- | --- | --- |
| aws:SourceVpc | リクエスタが VPC エンドポイントを使用してリクエストを行う場合のみ、リクエストコンテキストに含まれます。 | リクエストが VPC エンドポイントがアタッチされている VPC を通過するかどうかを確認します。このキーを使用して、特定の VPC のみへのアクセスを許可します。 |
| aws:SourceVpce | リクエスタが VPC エンドポイントを使用してリクエストを行う場合のみ、リクエストコンテキストに含まれます。 | リクエストが行われた VPC エンドポイントの ID。 |
| aws:VpcSourceIp | リクエストが VPC エンドポイントを使用して行われた場合にのみ、リクエストコンテキストに含まれます。 | リクエスト元の IP アドレスと、ポリシーで指定した IP アドレスを比較します。リクエストが指定された IP アドレスから発信され、VPC エンドポイントを通過する場合にのみ一致します。 |
| aws:SourceIp | リクエストが VPC エンドポイントを経由しない場合にのみ、リクエストコンテキストに含まれます。 | 発信者のパブリック IP アドレス。VPC エンドポイントを介して行われたリクエストには使用できません。 |
**重要**
`aws:SourceIp` と `aws:VpcSourceIp`は相互に排他的です。リクエストが VPC エンドポイントを通過する場合、 `aws:SourceIp`は使用できません。`aws:VpcSourceIp`代わりに を使用してください。インターネットからのリクエスト (VPC エンドポイントなし) の場合、 `aws:VpcSourceIp`は使用できません。`aws:SourceIp`代わりに を使用してください。
**重要**
条件キーでは、大文字と小文字`aws:VpcSourceIp`が区別されます。
IAM グローバル条件キーの詳細については、*IAM ユーザーガイド*の[AWS 「 グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
## シナリオ例
次のシナリオ例は、FSx for ONTAP ボリュームにアタッチされた Amazon S3 アクセスポイントの一般的な設定を示しています。各シナリオには、推奨されるネットワークオリジン、VPC エンドポイントタイプ、アクセスポイントポリシーが含まれます。
### 単一 VPC アクセス
**ユースケース: **単一の VPC 内の Amazon EC2 インスタンス、Lambda 関数、または Amazon ECS タスクは、アクセスポイントにアクセスします。外部アクセスは必要ありません。
**VPC ネットワークオリジンの場合:**
VPC オリジン設定は、 `aws:SourceVpc`がバインドされた VPC と一致しないリクエストを効果的に拒否します。他の VPCs、インターネット、またはオンプレミスネットワークからのリクエストは拒否されます。Gateway または Interface の Amazon S3 VPC エンドポイントを使用できます。
**アクセスポイントポリシー (VPC オリジン):** VPC オリジンでは、ネットワーク制限が組み込まれています。アクセスポイントポリシーは、必要なアクセス許可を付与するだけで済みます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
**インターネットネットワークオリジンの場合:**
インターネットオリジンでは、アクセスポイントポリシー`aws:SourceVpc`の条件 (明示的な拒否) を使用して VPC へのアクセスを制限します。がリクエストに入力されるように`aws:SourceVpc`、VPC エンドポイントが必要です。
**アクセスポイントポリシーの例 (インターネットオリジン):** このポリシーには、VPC 条件を持つ許可と、VPC からではないリクエストの拒否の両方が含まれます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringNotEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
}
]
}
```
**注記**
アクセスポイントポリシーでは、許可ステートメントと拒否ステートメントの両方が必要です。Deny ステートメントがない場合、VPC 制限はすべての発信者に適用されるとは限りません。
| | VPC オリジン | インターネットオリジン |
| --- | --- | --- |
| ネットワークの適用 | 組み込み拒否 | ポリシーベース (許可 \+ 拒否) |
| VPC エンドポイント | 必須 (ゲートウェイまたはインターフェイス) | 必須 ( の場合aws:SourceVpc) |
| アクセスポイントポリシー | 最小 — 組み込みの拒否ハンドルの制限 | aws:SourceVpc 許可 \+ 拒否を含める必要があります |
### オンプレミスおよび VPC アクセス
**ユースケース:** オンプレミスユーザー (VPN または Direct Connect 経由) と VPC 内コンピューティングリソースの両方がアクセスポイントにアクセスします。すべてのトラフィックはプライベートのままです。
**重要**
ゲートウェイエンドポイントは、VPN、Direct Connect、または Transit Gateway 接続から VPC に入るトラフィックをルーティングしません。オンプレミスの発信者は、Amazon S3 Interface エンドポイントを使用する必要があります。詳細については、「[Amazon S3 アクセスポイントでの VPC エンドポイントの使用](#s3-ap-vpc-endpoints)」を参照してください。
ゲートウェイエンドポイント (VPC 内トラフィック) とインターフェイスエンドポイント (オンプレミストラフィック) の両方が同じ VPC 内にあるため、どちらも VPC オリジン拒否条件を満たしています。
| | VPC オリジン | インターネットオリジン |
| --- | --- | --- |
| VPC 内エンドポイント | ゲートウェイ (無料) | ゲートウェイ ( の場合aws:SourceVpc) |
| オンプレミスエンドポイント | インターフェイス (必須) | インターフェイス (必須) |
| オンプレミス DNS | Amazon S3 をインターフェイスエンドポイント IP に解決する | Amazon S3 をインターフェイスエンドポイント IP に解決する |
### マルチ VPC アクセス
**ユースケース: **複数の VPCsの発信者は、同じアクセスポイントにアクセスする必要があります。例えば、同じアカウント内の別々の VPCs 内のアプリケーションや、VPCs ピアリングまたは Transit Gateway を介して接続されている異なるアカウントの VPC などです。
マルチ VPC アクセスには、ポリシーベースのコントロールを使用するか、VPC オリジンネットワークの適用を使用するかに応じて、2 つのアプローチがあります。
**オプション 1: 各 VPC にゲートウェイエンドポイントを持つインターネットオリジン**
各 VPC には独自の Amazon S3 Gateway エンドポイントがあります。各 VPC の発信者は、リクエスト`aws:SourceVpc`に入力されるローカルゲートウェイエンドポイントを介してアクセスポイントにアクセスします。アクセスポイントポリシーは、許可された VPC IDs。
+ **ネットワークオリジン:** インターネット
+ **VPC エンドポイント:** 各 VPC の Amazon S3 Gateway エンドポイント (無料、追加の設定は必要ありません)
+ **アクセスポイントポリシー:** ですべての VPC IDsを`aws:SourceVpc`一覧表示し、 で拒否する `StringNotEquals`
**注記**
アクセスポイントポリシーでは、許可ステートメントと拒否ステートメントの両方が必要です。Deny ステートメントがない場合、VPC 制限はすべての発信者に適用されるとは限りません。
このオプションは、各 VPC が独立して動作するため、セットアップが簡単になります。VPC ピアリングや Transit Gateway は必要ありません。VPCs を追加または削除するには、アクセスポイントポリシーを更新します。
**オプション 2: 一元化されたインターフェイスエンドポイントを持つ VPC オリジン**
1 つの VPC は Amazon S3 インターフェイスエンドポイントをホストし、アクセスポイントはその VPC にバインドされた VPC オリジンで作成されます。他の VPCsVPC ピアリングまたは Transit Gateway を介して Amazon S3 トラフィックをインターフェイスエンドポイントにルーティングします。すべてのリクエストは、バインドされた VPC のエンドポイントを介して到着するため、VPC オリジンの強制を満たします。
+ **ネットワークオリジン:** VPC (インターフェイスエンドポイントをホストする VPC にバインド)
+ **VPC エンドポイント:** バインドされた VPC の Amazon S3 Interface エンドポイント
+ **接続:** 他の VPC とバインドされた VPCs 間の VPC ピアリングまたは Transit Gateway
+ **アクセスポイントポリシー:** 最小 — VPC オリジンエンフォースメントがネットワーク制限を処理します
+ **発信者設定:** 他の VPCs の発信者は、 `--endpoint-url`または DNS 設定を使用して、インターフェイスエンドポイントを介してリクエストをルーティングする必要があります
このオプションは、VPC オリジン制限をポリシーの変更でバイパスできないため、より強力な適用を提供します。ただし、VPC ピアリングまたは Transit Gateway 接続が必要であり、インターフェイスエンドポイントには時間単位と GB 単位の料金がかかります。インターフェイスエンドポイントの詳細については、[AWS 「Amazon Simple Storage Service ユーザーガイド」の「PrivateLink for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)」を参照してください。 **
## ネットワークアクセスの問題のトラブルシューティング
Amazon S3 アクセスポイントリクエストが失敗した場合、エラーメッセージは多くの場合、リクエストを拒否した認可レイヤーを示しません。一般的な問題を診断するには、次のガイダンスを使用します。
### AccessDenied with "explicit deny in a resource-based policy"
このエラーは、複数のソースから発生する可能性があります。次のチェックを順番に実行します。
**1. VPC オリジン拒否を確認する (VPC オリジンアクセスポイントのみ)**
アクセスポイントに VPC ネットワークオリジンがある場合、 `aws:SourceVpc`がバインドされた VPC と一致しないリクエストを効果的に拒否します。以下を確認してください。
+ VPC エンドポイント (ゲートウェイまたはインターフェイス) がバインドされた VPC に存在します。
+ 発信者のトラフィックはそのエンドポイントをルーティングしています。VPC 内発信者の場合、ゲートウェイエンドポイントのルートテーブルが発信者のサブネットに関連付けられていることを確認します。オンプレミスの発信者の場合は、インターフェイスエンドポイントを使用していることを確認します (ゲートウェイエンドポイントは VPN または Direct Connect トラフィックをルーティングしません)。
+ 発信者は、ピア接続された VPC ではなく、バインドされた VPC にあります。ピア接続された VPCs からのリクエストは、バインドされた VPC のインターフェイスエンドポイントを介してルーティングされない限り拒否されます。
**2。VPC エンドポイントポリシーを確認する**
リクエストが VPC エンドポイントを通過する場合、エンドポイントのポリシーはアクセスポイントリソースに対する アクションを許可する必要があります。デフォルトのエンドポイントポリシーでは、すべてのリソースに対するすべてのアクションが許可されます。ポリシーの範囲を設定している場合は、アクセスポイント ARN が含まれていることを確認します。
**3. アクセスポイントポリシーを確認する**
アクセスポイントポリシーがリクエスト元のプリンシパルを許可していることを確認します。リクエストに一致する可能性のある条件を含む拒否ステートメントを確認します。
**4. 発信者の IAM ID ポリシーを確認する**
発信者の IAM ロールまたはユーザーには、アクセスポイント ARN で Amazon S3 アクションを実行するアクセス許可が必要です。
**5。サービスコントロールポリシー (SCPs**
アカウントが AWS Organizations 組織の一部である場合は、アクセスポイントでの Amazon S3 アクションを拒否する SCPs がないことを確認します。
### オンプレミスの発信者は AccessDenied を取得しますが、VPC 内の発信者は成功します
これは通常、オンプレミストラフィックが VPC エンドポイント経由でルーティングされていないことを意味します。
+ **ゲートウェイエンドポイントはオンプレミストラフィックをルーティングしません。**VPN、Direct Connect、または Transit Gateway 接続から VPC に入るトラフィックは、ゲートウェイエンドポイントルートの影響を受けません。オンプレミス発信者用の Amazon S3 Interface エンドポイントを作成します。
+ インターフェイスエンドポイントのセキュリティグループがオンプレミス CIDR からのインバウンド HTTPS (ポート 443) を許可していることを確認します。
+ オンプレミス DNS が Amazon S3 エンドポイントをインターフェイスエンドポイントのプライベート IP に解決するか、発信者が を使用することを確認します`--endpoint-url`。
### アクセスポイントポリシー条件は効果がないように見える
+ **許可のみのポリシーでは、アクセスは制限されません。**対応する拒否がない Allow ステートメントでのみ条件 ( など`aws:SourceVpc`) を使用する場合、呼び出し元の IAM ID ポリシーは個別にアクセスを許可できます。明示的な Deny ステートメントを逆条件で追加します。
+ **大文字と小文字の区別。**条件キーでは、大文字と小文字`aws:VpcSourceIp`が区別されます。
+ **相互に排他的な条件キー。** `aws:SourceIp`と `aws:VpcSourceIp`は相互に排他的です。 `aws:SourceIp` は、リクエストが VPC エンドポイントを通過するときには使用できません。`aws:VpcSourceIp`代わりに を使用します。逆に、 `aws:VpcSourceIp`はインターネットリクエストでは使用できません。 を使用します`aws:SourceIp`。これは、アクセスポイントポリシー、VPC エンドポイントポリシー、IAM ID ポリシーなど、これらの条件キーを使用するすべてのポリシーに適用されます。