インターフェイスエンドポイント (AWS PrivateLink) で Macie にアクセスする - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスエンドポイント (AWS PrivateLink) で Macie にアクセスする

AWS PrivateLink を使用して、Virtual Private Cloud (VPC) と Amazon Macie の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように Macie にアクセスできます。VPC 内のインスタンスは、Macie にアクセスするためにパブリック IP アドレスを必要としません。

このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Macie 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。

詳細については「 AWS PrivateLink Guide (AWS PrivateLink ガイド)」の「Access an AWS のサービス using an interface VPC endpoint (インターフェイス VPC エンドポイントを使用して にアクセスする)」を参照してください。

Macie インターフェイスエンドポイントに関する考慮事項

Amazon Macie は、 AWS リージョン 現在利用可能なすべての でインターフェイスエンドポイントをサポートしています。これらのリージョンのリストについては、のAmazon Macie エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。Macie は、インターフェイスエンドポイントを介したすべての API オペレーションの呼び出しをサポートしています。

Macie 用のインターフェイスエンドポイントを作成する場合は、Amazon EventBridge や など AWS PrivateLink、Macie や と統合 AWS のサービス する他の に対しても同じことをすることを検討してください AWS Security Hub。Macie とこれらのサービスは、統合にインターフェイスエンドポイントを使用できます。例えば、Macie 用のインターフェイスエンドポイントと Security Hub 用のインターフェイスエンドポイントを作成すると、Macie は Security Hub に結果を発行するときにインターフェイスエンドポイントを使用できます。Security Hub は、検出結果を受け取るときにインターフェイスエンドポイントを使用できます。サポートされているサービスの詳細については、「 AWS PrivateLink ガイド」のAWS のサービス 「 と統合される AWS PrivateLink 」を参照してください。

Macie 用のインターフェイスエンドポイントの作成

Amazon Macie のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、『AWS PrivateLink ガイド』の「Create a VPC endpoint (VPC エンドポイントを作成)を参照してください。

Macie のインターフェイスエンドポイントを作成するときは、次のサービス名を使用します。

com.amazonaws.region.macie2

ここで、リージョンは該当する AWS リージョンのリージョンコードです。

インターフェイスエンドポイントのプライベート DNS を有効にすると、米国東部 (バージニア北部) リージョンなど、デフォルトのリージョン DNS 名を使用して Macie macie2.us-east-1.amazonaws.com に API リクエストを行うことができます。

Macie のエンドポイントポリシーの作成

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる AWS Identity and Access Management (IAM) リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して Amazon Macie へのフルアクセスを許可します。VPC から Macie に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。詳細については、『AWS PrivateLink ガイド』の「Control access to VPC endpoints using endpoint policies (エンドポイントポリシーを使用して VPC エンドポイントへのアクセスをコントロールする)」を参照してください。

例: Macie アクションの VPC エンドポイントポリシー

Macie のカスタムエンドポイントポリシーの例を次に示します。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Macie アクションへのアクセスが許可されます。これにより、VPC 経由で Macie に接続するユーザーは、Amazon Macie API を使用して検出結果データにアクセスできます。

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "macie2:GetFindings", "macie2:GetFindingStatistics", "macie2:ListFindings" ], "Resource": "*" } ] }

また、ユーザーが Amazon Macie コンソールを使用して検出結果データにアクセスしたり、他のアクションを実行したりできるようにするには、ポリシーで macie2:GetMacieSessionアクションへのアクセスも許可する必要があります。次に例を示します。

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "macie2:GetMacieSession", "macie2:GetFindings", "macie2:GetFindingStatistics", "macie2:ListFindings" ], "Resource": "*" } ] }