インターフェイスエンドポイント (AWS PrivateLink) で Macie にアクセスする - Amazon Macie
Macie インターフェイスエンドポイントに関する考慮事項Macie 用のインターフェイスエンドポイントの作成Macie のエンドポイントポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスエンドポイント (AWS PrivateLink) で Macie にアクセスする

AWS PrivateLinkを使用して、Virtual Private Cloud (VPC) と Amazon Macie の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、またはDirect Connect接続を使用せずに、VPC 内にあるかのように Macie にアクセスできます。VPC 内のインスタンスは、Macie にアクセスするためにパブリック IP アドレスを必要としません。

このプライベート接続を確立するには、AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Macie 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。

詳細については、「AWS PrivateLinkガイド」の「AWS PrivateLinkからAWS のサービスにアクセスする」を参照してください。

Macie インターフェイスエンドポイントに関する考慮事項

Amazon Macie は、AWS リージョン現在利用可能なすべての でインターフェイスエンドポイントをサポートしています。これらのリージョンのリストについては、のAmazon Macie エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。Macie は、インターフェイスエンドポイントを介したすべての API オペレーションの呼び出しをサポートしています。

Macie 用のインターフェイスエンドポイントを作成する場合は、Amazon EventBridge や などAWS PrivateLink、Macie や と統合AWS のサービスする他の に対しても同じことを検討してくださいAWS Security Hub CSPM。Macie とそのサービスは、統合にインターフェイスエンドポイントを使用できます。例えば、Macie 用のインターフェイスエンドポイントと Security Hub CSPM 用のインターフェイスエンドポイントを作成すると、Macie は Security Hub CSPM に結果を発行するときにインターフェイスエンドポイントを使用できます。Security Hub CSPM は、検出結果を受信するときにインターフェイスエンドポイントを使用できます。サポートされているサービスの詳細については、「 AWS PrivateLinkガイド」のAWS のサービス「 と統合するAWS PrivateLink 」を参照してください。

Macie 用のインターフェイスエンドポイントの作成

Amazon Macie のインターフェイスエンドポイントを作成するには、Amazon VPC コンソールまたはAWS Command Line Interface() を使用しますAWS CLI。詳細については、「AWS PrivateLinkガイド」の「Create a VPC endpoint」を参照してください。

Macie のインターフェイスエンドポイントを作成するときは、次のサービス名を使用します。

com.amazonaws.region.macie2

ここで、リージョンは該当するAWS リージョンのリージョンコードです。

インターフェイスエンドポイントのプライベート DNS を有効にすると、米国東部 (バージニア北部) リージョンなど、デフォルトのリージョン DNS 名を使用して Macie macie2.us-east-1.amazonaws.com に API リクエストを行うことができます。

Macie のエンドポイントポリシーの作成

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできるAWS Identity and Access Management(IAM) リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して Amazon Macie へのフルアクセスを許可します。VPC から Macie に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。詳細については、『AWS PrivateLinkガイド』の「Control access to VPC endpoints using endpoint policies (エンドポイントポリシーを使用して VPC エンドポイントへのアクセスをコントロールする)」を参照してください。

例: Macie アクションの VPC エンドポイントポリシー

Macie のカスタムエンドポイントポリシーの例を次に示します。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Macie アクションへのアクセスが許可されます。これにより、VPC 経由で Macie に接続するユーザーは、Amazon Macie API を使用して検出結果データにアクセスできます。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

また、ユーザーが Amazon Macie コンソールを使用して検出結果データにアクセスしたり、他のアクションを実行したりできるようにするには、ポリシーで macie2:GetMacieSessionアクションへのアクセスも許可する必要があります。次に例を示します。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}