翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インターフェイス VPC エンドポイント AWS CloudTrail での の使用
Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合は、VPC と の間にプライベート接続を確立できます AWS CloudTrail。この接続を使用すると、CloudTrail はパブリックインターネットを経由せずに、VPC のリソースと通信できます。
Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS サービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC エンドポイントでは、VPC と AWS サービス間のルーティングは AWS ネットワークによって処理され、IAM ポリシーを使用してサービスリソースへのアクセスを制御できます。
VPC を CloudTrail に接続するには、CloudTrail の*インターフェイス VPC エンドポイント*を定義します。インターフェイスエンドポイントは、サポートされている AWS サービス宛てのトラフィックのエントリポイントとして機能するプライベート IP アドレスを持つ Elastic Network Interface です。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな CloudTrail への接続を提供します。詳細については、「Amazon VPC ユーザーガイド**」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
インターフェイス VPC エンドポイントは、プライベート IP アドレスを持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーである AWS PrivateLink を利用しています。詳細については、「[AWS PrivateLink](https://aws.amazon.com/privatelink/)」を参照してください。
以下のセクションは、Amazon VPC のユーザー向けです。詳細については、*アマゾン VPC ユーザーガイド*の「[Amazon VPC の使用を開始する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)」を参照してください。
**Topics**
+ [リージョン](#cloudtrail-interface-VPC-availability)
+ [CloudTrail 用の VPC エンドポイントを作成します。](#create-VPC-endpoint-for-CloudTrail)
+ [CloudTrail 用の VPC エンドポイントポリシーを作成する](#create-VPC-endpoint-policy)
+ [共有サブネット](#shared-subnet-cloudtrail)
## リージョン
AWS CloudTrail は、CloudTrail がサポートされているすべての AWS リージョン で VPC エンドポイントと VPC エンドポイントポリシーをサポートします。
## CloudTrail 用の VPC エンドポイントを作成します。
VPC で CloudTrail の使用を開始するには、CloudTrail のインターフェイス VPC エンドポイントを作成します。詳細については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint.html)」を参照してください。
CloudTrail の設定を変更する必要はありません。CloudTrail は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのいずれかを使用して、他の AWS のサービス を呼び出します。
## CloudTrail 用の VPC エンドポイントポリシーを作成する
VPC エンドポイントポリシーは、インターフェイス VPC エンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイス VPC エンドポイントを介した CloudTrail API へのフルアクセスが与えられます。VPC から CloudTrail に付与されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェース VPC エンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
VPC エンドポイントポリシーの詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスへのアクセスのコントロール](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
CloudTrail のカスタム VPC エンドポイントポリシーの例を次に示します。
**Topics**
+ [例: すべての CloudTrail アクションを許可する](#create-VPC-endpoint-policy-example1)
+ [例: 特定の CloudTrail アクションを許可する](#create-VPC-endpoint-policy-example2)
+ [例: すべての CloudTrail アクションを拒否する](#create-VPC-endpoint-policy-example3)
+ [例: 特定の CloudTrail アクションを拒否する](#create-VPC-endpoint-policy-example4)
+ [例: 特定の VPC からのすべての CloudTrail アクションを許可する](#create-VPC-endpoint-policy-example5)
+ [例: 特定の VPC エンドポイントからのすべての CloudTrail アクションを許可する](#create-VPC-endpoint-policy-example6)
### 例: すべての CloudTrail アクションを許可する
次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "cloudtrail:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
```
------
### 例: 特定の CloudTrail アクションを許可する
次の VPC エンドポイントポリシーは、すべてのプリンシパルに対してすべてのリソースに対する `cloudtrail:ListTrails` および `cloudtrail:ListEventDataStores` アクションを実行するためのアクセスを付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### 例: すべての CloudTrail アクションを拒否する
次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションへのアクセスを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "cloudtrail:*",
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### 例: 特定の CloudTrail アクションを拒否する
次の VPC エンドポイントポリシーは、すべてのプリンシパルに対してすべてのリソースに対する `cloudtrail:CreateTrail` および `cloudtrail:CreateEventDataStore` アクションを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### 例: 特定の VPC からのすべての CloudTrail アクションを許可する
次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションを実行するためのアクセスを付与しますが、それはリクエスタが指定された VPC を使用してリクエストを行う場合のみです。*vpc-id* をユーザーの VPC ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-1234567890abcdef0"
}
}
}
]
}
```
------
### 例: 特定の VPC エンドポイントからのすべての CloudTrail アクションを許可する
次の VPC エンドポイントポリシーの例では、すべてのプリンシパルに対してすべてのリソースに対するすべての CloudTrail アクションを実行するためのアクセスを付与しますが、それはリクエスタが指定された VPC エンドポイントを使用してリクエストを行う場合のみです。*vpc-endpoint-id* を VPC エンドポイント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
------
## 共有サブネット
CloudTrail VPC エンドポイントは、他の VPC エンドポイントと同様に、共有サブネットの所有者アカウントによってのみ作成できます。ただし、参加者アカウントは、参加者アカウントと共有されているサブネットの CloudTrail VPC エンドポイントを使用できます。Amazon VPC 共有の詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC を他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。