アイデンティティベースのポリシーとその他のポリシータイプの実装 - AWS Management Console
サポートされている AWS グローバル条件コンテキストキーAWS Management Console プライベートアクセスと aws の連携方法:SourceVpcさまざまなネットワークパスがどのように反映されるか CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アイデンティティベースのポリシーとその他のポリシータイプの実装

でアクセスを管理する AWS には、ポリシーを作成し、IAM ID (ユーザー、ユーザーのグループ、またはロール) または AWS リソースにアタッチします。このページでは、 ポリシーを AWS Management Console プライベートアクセスと一緒に使用した場合の仕組みについて説明します。

サポートされている AWS グローバル条件コンテキストキー

AWS Management Console プライベートアクセスは、 aws:SourceVpceおよび aws:VpcSourceIp AWS グローバル条件コンテキストキーをサポートしていません。 AWS Management Console のプライベートアクセスを使用する場合は、代わりに aws:SourceVpc IAM 条件をポリシーで使用できます。

AWS Management Console プライベートアクセスと aws の連携方法:SourceVpc

このセクションでは、 によって生成されたリクエストが に対して AWS Management Console 実行できるさまざまなネットワークパスについて説明します AWS のサービス。一般に、 AWS サービスコンソールは、ブラウザの直接リクエストと、 AWS Management Console ウェブサーバーから にプロキシされるリクエストを組み合わせて実装されます AWS のサービス。これらの実装は、予告なしに変更される可能性があります。セキュリティ要件に VPC エンドポイント AWS のサービス を使用した へのアクセスが含まれている場合は、VPC から直接使用するか、プライベートアクセスを介して使用するかにかかわらず、VPC エンドポイントを VPC AWS Management Console から使用するすべてのサービスに設定することをお勧めします。さらに、プライベートアクセス機能では、特定のaws:SourceVpce値ではなく、ポリシーで aws:SourceVpcIAM AWS Management Console 条件を使用する必要があります。このセクションでは、さまざまなネットワークパスの仕組みについて詳しく説明します。

ユーザーが にサインインすると AWS Management Console、ブラウザへの直接リクエストと、 AWS Management Console ウェブサーバーから AWS サーバーにプロキシされるリクエスト AWS のサービス を組み合わせて、 にリクエストを行います。例えば、 CloudWatch グラフデータのリクエストはブラウザから直接行われます。一方、Amazon S3 などの一部の AWS サービスコンソールリクエストは、ウェブサーバーによって Amazon S3 にプロキシされます。

直接ブラウザリクエストの場合、 AWS Management Console プライベートアクセスを使用しても何も変更されません。以前と同様、リクエストは VPC が monitoring.region.amazonaws.com に到達するように設定したネットワークパスを通じてサービスに到達します。VPC が の VPC エンドポイントで設定されている場合com.amazonaws.region.monitoring、リクエストはその CloudWatch VPC エンドポイントを介して に到達 CloudWatchします。用の VPC エンドポイントがない場合 CloudWatch、リクエストは VPC 上のインターネットゲートウェイを介してパブリック CloudWatch エンドポイントに到達します。 CloudWatch VPC エンドポイント CloudWatch を介して に到着したリクエストには IAM 条件がありaws:SourceVpc、それぞれの値にaws:SourceVpce設定されます。パブリックエンドポイント CloudWatch 経由で に到達するユーザーは、 をリクエストの送信元 IP アドレスaws:SourceIpに設定します。これらの IAM 条件キーの詳細については、「IAM ユーザーガイド」「 グローバル条件コンテキストキー」を参照してください。

Amazon S3 コンソールにアクセスしたときに Amazon S3 コンソールがバケットを一覧表示するリクエストなど、 AWS Management Console ウェブサーバーによってプロキシされるリクエストの場合Amazon S3、ネットワークパスは異なります。これらのリクエストは VPC から開始されないため、そのサービス用に VPC に設定した VPC エンドポイントを使用しません。この場合、Amazon S3 の VPC エンドポイントがあっても、バケットを一覧表示する Amazon S3 へのセッションのリクエストは Amazon S3 VPC エンドポイントを使用しません。ただし、サポートされているサービスで AWS Management Console プライベートアクセスを使用する場合、これらのリクエスト (Amazon S3 へのリクエストなど) には、リクエストコンテキストに aws:SourceVpc条件キーが含まれます。aws:SourceVpc 条件キーは、サインインとコンソールの AWS Management Console プライベートアクセスエンドポイントがデプロイされる VPC ID に設定されます。そのため、アイデンティティベースのポリシーで aws:SourceVpc 制限を使用している場合、 AWS Management Console プライベートアクセスサインインとコンソールエンドポイントをホストしているこの VPC の VPC ID を追加する必要があります。aws:SourceVpce 条件は、それぞれのサインインまたはコンソール VPC エンドポイント ID に設定されます。

注記

ユーザーが AWS Management Console のプライベートアクセスでサポートされていないサービスコンソールへのアクセスを必要とする場合は、ユーザーのアイデンティティベースのポリシーで aws:SourceIP 条件キーを使用し、必要なパブリックネットワークアドレス (オンプレミスのネットワーク範囲など) のリストを含める必要があります。

さまざまなネットワークパスがどのように反映されるか CloudTrail

によって生成されたリクエストで使用されるさまざまなネットワークパス AWS Management Console は、 CloudTrail イベント履歴に反映されます。

直接ブラウザリクエストの場合、 AWS Management Console プライベートアクセスを使用しても何も変更されません。 CloudTrail イベントには、サービス API コールの実行に使用された VPC エンドポイント ID など、接続に関する詳細が含まれます。

AWS Management Console ウェブサーバーによってプロキシされるリクエストの場合、 CloudTrail イベントには VPC 関連の詳細は含まれません。ただし、AwsConsoleSignInイベントタイプなど、ブラウザセッションを確立 AWS サインイン するために必要な への初期リクエストには、イベントの詳細に AWS サインイン VPC エンドポイント ID が含まれます。