のインフラストラクチャセキュリティ AWS Proton - AWS Proton
VPC エンドポイントAWS PrivateLink

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のインフラストラクチャセキュリティ AWS Proton

マネージドサービスである AWS Proton は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「Security Pillar AWS Well‐Architected Framework」の「Infrastructure Protection」を参照してください。

AWS が公開した API コールを使用して、ネットワーク AWS Proton 経由で にアクセスします。クライアントは以下をサポートする必要があります。

  • Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードはJava 7 以降など、ほとんどの最新システムでサポートされています。

また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。またはAWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

ネットワークの分離を向上させるには、次のセクションで説明 AWS PrivateLink するように を使用できます。

AWS Proton およびインターフェイス VPC エンドポイント (AWS PrivateLink)

VPC と の間にプライベート接続を確立するには、インターフェイス VPC エンドポイント AWS Proton を作成します。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで AWS Proton APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、 AWS Proton APIs と通信するためにパブリック IP アドレスを必要としません。VPC と の間のトラフィック AWS Proton は Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

AWS Proton VPC エンドポイントに関する考慮事項

のインターフェイス VPC エンドポイントを設定する前に AWS Proton、Amazon VPC ユーザーガイドインターフェイスエンドポイントのプロパティと制限を確認してください。

AWS Proton は、VPC からのすべての API アクションの呼び出しをサポートしています。

VPC エンドポイントポリシーがサポートされています AWS Proton。デフォルトでは、 へのフルアクセス AWS Proton はエンドポイントを介して許可されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

のインターフェイス VPC エンドポイントの作成 AWS Proton

Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、 AWS Proton サービスの VPC エンドポイントを作成できますAWS CLI。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

次のサービス名 AWS Proton を使用して 用の VPC エンドポイントを作成します。

  • com.amazonaws.region.proton

エンドポイントのプライベート DNS を有効にすると、 など、リージョンのデフォルトの DNS 名 AWS Proton を使用して に API リクエストを行うことができますproton.region.amazonaws.com

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

の VPC エンドポイントポリシーの作成 AWS Proton

VPC エンドポイントには、 AWS Protonへのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: AWS Proton アクションの VPC エンドポイントポリシー

以下は、 のエンドポイントポリシーの例です AWS Proton。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされた AWS Proton アクションへのアクセスを許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}