翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のアイデンティティベースのポリシーの例 AWS PrivateLink
デフォルトでは、 ユーザーおよびロールには、 AWS PrivateLink リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARN の形式など AWS PrivateLink、 で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[Amazon EC2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)」を参照してください。 ARNs
**Topics**
+ [VPC エンドポイントの使用を制御する](#endpoints-example)
+ [サービス所有者に基づく VPC エンドポイントの作成を制御する](#create-endpoints-example)
+ [VPC エンドポイントサービスに指定できるプライベート DNS 名の制御](#private-dns-name-example)
+ [VPC エンドポイントサービスに指定できるサービス名の制御](#service-names-example)
## VPC エンドポイントの使用を制御する
デフォルトでは、 ユーザーにはエンドポイントを使用するためのアクセス権限がありません。エンドポイントを作成、変更、説明、および削除する許可をユーザーに付与する、アイデンティティベースのポリシーを作成できます。以下に例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
```
------
VPC エンドポイントを使用したサービスへのアクセス制御については、「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](vpc-endpoints-access.md)」を参照してください。
## サービス所有者に基づく VPC エンドポイントの作成を制御する
`ec2:VpceServiceOwner` 条件キーを使用して、サービスの所有者 (`amazon`、`aws-marketplace`、またはアカウント ID) に基づいて、作成できる VPC エンドポイントを制御できます。次の例では、指定されたサービス所有者で VPC エンドポイントを作成するアクセス許可を付与します。この例を使用するには、リージョン、アカウント ID、およびサービス所有者を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceOwner": [
"amazon"
]
}
}
}
]
}
```
------
## VPC エンドポイントサービスに指定できるプライベート DNS 名の制御
`ec2:VpceServicePrivateDnsName` 条件キーを使用して、VPC エンドポイントサービスに関連付けられたプライベート DNS 名に基づいて、変更または作成できる VPC エンドポイントサービスを制御できます。次の例では、指定されたプライベート DNS 名で VPC エンドポイントサービスを作成するアクセス許可を付与します。この例を使用するには、リージョン、アカウント ID、およびプライベート DNS 名を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServiceConfiguration",
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServicePrivateDnsName": [
"example.com"
]
}
}
}
]
}
```
------
## VPC エンドポイントサービスに指定できるサービス名の制御
`ec2:VpceServiceName` 条件キーを使用して、VPC エンドポイントサービス名に基づいて作成できる VPC エンドポイントを制御できます。次の例では、指定されたサービス名で VPC エンドポイントを作成するアクセス許可を付与します。この例を使用するには、リージョン、アカウント ID、およびサービス名を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceName": [
"com.amazonaws.111111111111.s3"
]
}
}
}
]
}
```
------