インターフェイス VPC エンドポイントを介したAWS IoT FleetWise への接続 - AWS IoT FleetWise
AWS IoT FleetWise 用の VPC エンドポイントポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントを介したAWS IoT FleetWise への接続

インターネット経由で接続するのではなく、仮想プライベートクラウド (AWS VPC) のインターフェイス VPC エンドポイント (PrivateLink) を使用して、AWS IoT FleetWise に直接接続できます。インターフェイス VPC エンドポイントを使用する場合、VPC とAWS IoT FleetWise 間の通信はAWSネットワーク内で完全に行われます。各 VPC エンドポイントは、VPC サブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interface (ENI) で表されます。

インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、またはDirect Connect接続なしで、VPC をAWS IoT FleetWise に直接接続します。VPC 内のインスタンスは、AWS IoT FleetWise API と通信するためにパブリック IP アドレスを必要としません。

VPC を介してAWS IoT FleetWise を使用するには、VPC 内のインスタンスから接続するかAWS Virtual Private Network、 (VPN) または を使用してプライベートネットワークを VPC に接続する必要がありますDirect Connect。Amazon VPN については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPN 接続」を参照してください。詳細についてはAWS Direct Connect、「 Direct Connectユーザーガイド」の「接続の作成」を参照してください。

コンソールまたはAWS Command Line Interface(AWS CLI) コマンドを使用してAWS、インターフェイス VPC エンドポイントを作成してAWS IoT FleetWise に接続できます。詳細については、「インターフェイスエンドポイントの作成」を参照してください。

インターフェイス VPC エンドポイントを作成した後、エンドポイントのプライベート DNS ホスト名を有効にすると、default AWS IoT FleetWise エンドポイントは VPC エンドポイントに解決されます。AWS IoT FleetWise のデフォルトのサービス名エンドポイントは、次の形式です。

iotfleetwise.Region.amazonaws.com

プライベート DNS ホスト名を有効にしない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。

VPCE_ID.iotfleetwise.Region.vpce.amazonaws.com

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

AWS IoT FleetWise は、VPC 内のすべての API アクションへの呼び出しをサポートしています。

VPC エンドポイントポリシーを VPC エンドポイントにアタッチして、IAM プリンシパルのアクセスを制御できます。また、セキュリティグループを VPC エンドポイントに関連付けて、ネットワークトラフィックの送信元と送信先 (IP アドレスの範囲など) に基づいてインバウンドとアウトバウンドのアクセスを制御することもできます。詳細については、「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

注記

AWS IoT FleetWise は、デュアルスタックモードですべての VPC エンドポイントをサポートします。サービスエンドポイントの詳細については、AWS「 IoT FleetWise エンドポイントとクォータ」を参照してください。

Amazon VPC エンドポイント for AWS IoT FleetWise のポリシーを作成して、以下を指定できます。

  • アクションを実行できるプリンシパルまたは実行できないプリンシパル

  • 実行できるアクションまたは実行できないアクション

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

例 – 指定されたAWSアカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

次の VPC エンドポイントポリシーは、エンドポイントを使用したAWSアカウント 123456789012 のすべての API コールを拒否します。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
例 - 指定した IAM プリンシパル (ユーザー) への VPC アクセスのみを許可する VPC エンドポイントポリシー

次の VPC エンドポイントポリシーでは、AWSアカウント 123456789012 のユーザーリファンへのフルアクセスのみを許可します。他のすべての IAM プリンシパルによるエンドポイントへのアクセスは拒否されます。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
例 –AWS IoT FleetWise アクションの VPC エンドポイントポリシー

以下は、AWS IoT FleetWise のエンドポイントポリシーの例です。エンドポイントにアタッチすると、このポリシーは、123456789012 の IAM ユーザー fleetWise のAWS アカウント一覧表示されたAWS IoT FleetWise アクションへのアクセスを許可します。 FleetWise fleetWise 

{
    "Statement": [
        {
             "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/fleetWise"
                },
            "Resource": "*",
            "Effect": "Allow",
            "Action": [
                "iotfleetwise:ListFleets",
                "iotfleetwise:ListCampaigns",
                "iotfleetwise:CreateVehicle",           
            ]
           }
    ]
}