翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS VPC エンドポイントに接続する
AWS SDK、、 AWS CLIまたは を使用して、VPC エンドポイント AWS KMS を介して に接続できます AWS Tools for PowerShell。VPC エンドポイントを指定するには、DNS 名を使用します。
例えば、この list-keys コマンドは、 endpoint-url パラメータを使用して VPC エンドポイントを指定します。こうしたコマンドを使用するには、サンプルの VPC エンドポイント ID を、ご自身のアカウントのものに置き換えてください。
$aws kms list-keys --endpoint-urlhttps://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
- 必要なアクセス許可
-
VPC エンドポイントを使用する AWS KMS リクエストを成功させるには、プリンシパルに 2 つのソースからのアクセス許可が必要です。
例えば、キーポリシーがプリンシパルに、特定の KMS キーで Decrypt を呼び出すためのアクセス許可を付与します。ただし、VPC エンドポイントポリシーは、プリンシパルがエンドポイントを使用して、その KMS キー で
Decryptを呼び出すことを許可しない場合があります。または、VPC エンドポイントポリシーは、プリンシパルがエンドポイントを使用して、特定の KMS キーで DisableKey を呼び出すことを許可する場合もあります。ただし、プリンシパルにキーポリシー、IAM ポリシー、または付与からのアクセス権限がない場合、リクエストは失敗します。
エンドポイントの作成時に VPC エンドポイントポリシーを作成できます。また、VPC エンドポイントポリシーはいつでも変更できます。VPC マネジメントコンソール、または CreateVPcendPoint オペレーションまたは ModifyVPcendPoint オペレーションを使用します。AWS CloudFormation テンプレートを使用して VPC エンドポイントポリシーを作成および変更することもできます。VPC マネジメントコンソールの使用方法については、AWS PrivateLink ガイドの「Create an interface endpoint」および「Modifying an interface endpoint」を参照してください。
- プライベートホスト名
-
VPC エンドポイントの作成時にプライベートホスト名を有効にした場合は、CLI コマンドまたはアプリケーションの設定で VPC エンドポイント URL を指定する必要はありません。標準の AWS KMS DNS ホスト名は VPC エンドポイントに解決されます。 AWS CLI および SDKsデフォルトでこのホスト名を使用するため、VPC エンドポイントを使用して、スクリプトやアプリケーションを変更せずに AWS KMS リージョンエンドポイントに接続できます。
プライベートホスト名を使用するには、VPC の
enableDnsHostnames属性とenableDnsSupport属性をtrueに設定する必要があります。これらの属性を設定するには、 ModifyVpcattribute オペレーションを使用します。詳細については、「Amazon VPC ユーザーガイド」の「View and update DNS attributes for your VPC」を参照してください。
