翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC エンドポイントを介した サービスへのアクセスの制御
VPC エンドポイントポリシーは、エンドポイントを作成または変更するときにインターフェイス VPC エンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、IAM ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。
評価項目のポリシーは、JSON形式で記載する必要があります。詳細については、Amazon VPC ユーザーガイドのVPC エンドポイントによるサービスのアクセスコントロールを参照してください。
例: AWS IoT マネージド統合アクションの VPC エンドポイントポリシー
AWS IoT マネージド統合のエンドポイントポリシーの例を次に示します。このポリシーにより、VPC エンドポイントを介して AWS IoT マネージド統合に接続するユーザーは送信先にアクセスできますが、認証情報ロッカーへのアクセスは拒否されます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "iotmanagedintegrations:ListDestinations", "iotmanagedintegrations:GetDestination", "iotmanagedintegrations:CreateDestination", "iotmanagedintegrations:UpdateDestination", "iotmanagedintegrations:DeleteDestination" ], "Resource": "*" }, { "Effect": "Deny", "Principal": "*", "Action": [ "iotmanagedintegrations:ListCredentialLockers", "iotmanagedintegrations:GetCredentialLocker", "iotmanagedintegrations:CreateCredentialLocker", "iotmanagedintegrations:UpdateCredentialLocker", "iotmanagedintegrations:DeleteCredentialLocker" ], "Resource": "*" } ] }
例: 特定の IAM ロールへのアクセスを制限する VPC エンドポイントポリシー
次の VPC エンドポイントポリシーは、信頼チェーンに指定された IAM ロールを持つ IAM プリンシパルに対してのみ、 AWS IoT マネージド統合へのアクセスを許可します。他のすべての IAM プリンシパルはアクセスを拒否されます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole" } } } ] }
