翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する
エンドポイントポリシーは、VPC エンドポイントにアタッチして、エンドポイントを使用して にアクセスできる AWS プリンシパルを制御するリソースベースのポリシーです AWS のサービス。
エンドポイントポリシーは、アイデンティティベースのポリシーやリソースベースのポリシーを上書き、または置き換えません。例えば、Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御することもできます。
**Topics**
+ [考慮事項](#vpc-endpoint-policy-considerations)
+ [デフォルトのエンドポイントポリシー](#default-endpoint-policy)
+ [インターフェイスエンドポイントのポリシー](#vpc-endpoint-policies-interface)
+ [ゲートウェイエンドポイントのプリンシパル](#vpc-endpoint-policies-gateway)
+ [VPC エンドポイントポリシーを更新する](#update-vpc-endpoint-policy)
## 考慮事項
+ エンドポイントポリシーは、IAM ポリシー言語を使用する JSON ポリシードキュメントです。エンドポイントポリシーには、[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)要素を含める必要があります。エンドポイントポリシーのサイズは 20,480 文字 (空白を含む) を超えることはできません。
+ のインターフェイスまたはゲートウェイエンドポイントを作成するときに AWS のサービス、単一のエンドポイントポリシーをエンドポイントにアタッチできます。いつでも[エンドポイントポリシーの更新](#update-vpc-endpoint-policy)ができます。エンドポイントポリシーをアタッチしない場合、[デフォルトのエンドポイントポリシー](#default-endpoint-policy)がアタッチされます。
+ すべての がエンドポイントポリシー AWS のサービス をサポートしているわけではありません。 AWS のサービス がエンドポイントポリシーをサポートしていない場合、サービスのエンドポイントへのフルアクセスを許可します。詳細については、「[エンドポイントポリシーのサポートを表示する](aws-services-privatelink-support.md#vpce-endpoint-policy-support)」を参照してください。
+ AWS のサービス 以外のエンドポイントサービスの VPC エンドポイントを作成すると、エンドポイントへのフルアクセスが許可されます。
+ ワイルドカード文字 (\* または ?) または[数値条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Numeric)を、システム生成識別子 (`aws:PrincipalAccount` または `aws:SourceVpc` など) を参照するグローバルコンテキストキーで使用することはできません。
+ [文字列条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)を使用する場合は、各ワイルドカード文字の前後に少なくとも 6 つの連続した文字を使用する必要があります。
+ リソースまたは条件要素で ARN を指定する場合、ARN のアカウント部分にはアカウント ID またはワイルドカード文字を含めることができますが、両方を含めることはできません。
+ エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。
## デフォルトのエンドポイントポリシー
デフォルトのエンドポイントポリシーでは、エンドポイントへのフルアクセスが許可されています。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
## インターフェイスエンドポイントのポリシー
のエンドポイントポリシーの例については AWS のサービス、「」を参照してください[AWS のサービス と統合する AWS PrivateLink](aws-services-privatelink-support.md)。表の最初の列には、各 の AWS PrivateLink ドキュメントへのリンクが含まれています AWS のサービス。がエンドポイントポリシー AWS のサービス をサポートしている場合、そのドキュメントにはエンドポイントポリシーの例が含まれています。
## ゲートウェイエンドポイントのプリンシパル
ゲートウェイエンドポイントでは、`Principal` 要素を `*` に設定する必要があります。プリンシパルを指定するには、`aws:PrincipalArn` 条件キーを使用します。
```
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "{{arn:aws:iam::123456789012:user/endpointuser}}"
}
}
```
次の形式でプリンシパルを指定すると、アカウントのすべてのユーザーとロールではなく、 AWS アカウントのルートユーザー のみにアクセスが許可されます。
```
"AWS": "{{account_id}}"
```
ゲートウェイエンドポイントのエンドポイントポリシーの例については、次を参照してください。
+ [Amazon S3 におけるエンドポイント](vpc-endpoints-s3.md#edit-vpc-endpoint-policy-s3)
+ [DynamoDB のエンドポイント](vpc-endpoints-ddb.md#iam-policies-ddb)
## VPC エンドポイントポリシーを更新する
次の手順を使用して、 AWS のサービス のエンドポイントポリシーを更新します。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。
**コンソールを使用してエンドポイントポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. VPC エンドポイントを選択します。
1. **[Actions]** (アクション)、**[Manage policy]** (ポリシーを管理) の順に選択します。
1. **[Full Access]** (フルアクセス) を選択してサービスへのフルアクセスを許可するか、**[Custom]** (カスタム) を選択してカスタムポリシーをアタッチします。
1. **[保存]** を選択します。
**コマンドラインを使用してエンドポイントポリシーを変更するには**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)