Cloud Control APIとインターフェイスVPCエンドポイント (AWS PrivateLink) - クラウドコントロール API
Cloud Control APIVPCエンドポイントに関する考慮事項Cloud Control のインターフェイスVPCエンドポイントの作成 APICloud Control のVPCエンドポイントポリシーの作成 API以下も参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Cloud Control APIとインターフェイスVPCエンドポイント (AWS PrivateLink)

インターフェイスVPCエンドポイント を作成 AWS Cloud Control API することで、仮想プライベートクラウド (VPC) と の間にプライベート接続を確立できます。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NATデバイス、VPN接続、または AWS Direct Connect 接続APIAPIsなしで Cloud Control にプライベートにアクセスできるテクノロジーである を搭載しています。内のインスタンスは、Cloud Control API と通信するためにパブリック IP アドレスを必要としVPCませんAPIs。VPC と Cloud Control 間のトラフィックAPIは Amazon ネットワークを保持しません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。

詳細については、「Amazon ユーザーガイド」の「インターフェイスVPCエンドポイントを使用して AWS サービスにアクセスする」を参照してください。 VPC

Cloud Control APIVPCエンドポイントに関する考慮事項

Cloud Control のインターフェイスVPCエンドポイントを設定する前にAPI、Amazon VPC ユーザーガイド前提条件を確認してください。

Cloud Control APIは、 からのすべてのAPIアクションへの呼び出しをサポートしますVPC。

Cloud Control のインターフェイスVPCエンドポイントの作成 API

Cloud Control APIサービスのVPCエンドポイントは、Amazon VPCコンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「Amazon ユーザーガイド」のVPC「エンドポイントの作成」を参照してください。 VPC

次のサービス名APIを使用して Cloud Control のVPCエンドポイントを作成します。

  • com.amazonaws。region.cloudcontrolapi

エンドポイントDNSのプライベートを有効にすると、 などのリージョンのデフォルトDNS名APIを使用して Cloud Control にAPIリクエストを行うことができますcloudcontrolapi.us-east-1.amazonaws.com

詳細については、「Amazon ユーザーガイド」の「インターフェイスVPCエンドポイントを使用して AWS サービスにアクセスする」を参照してください。 VPC

Cloud Control のVPCエンドポイントポリシーの作成 API

Cloud Control へのアクセスを制御するエンドポイントポリシーをVPCエンドポイントにアタッチできますAPI。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

重要

VPCE エンドポイントポリシーの詳細は、Cloud Control が評価APIのために呼び出すダウンストリームサービスに渡されません。このため、ダウンストリームサービスに属するアクションやリソースを指定するポリシーは適用されません。

例えば、インターネットにアクセスできないサブネットで Cloud Control のVPCエンドポイントを持つVPCインスタンスAPIに Amazon EC2インスタンスを作成した場合を考えます。次に、次のVPCエンドポイントポリシーを にアタッチしますVPCE。

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

管理者アクセス権を持つユーザーが インスタンス内の Amazon S3 バケットへのアクセスリクエストを送信した場合、VPCEポリシーで Amazon S3 アクセスが付与されていなくても、サービスエラーは返されません。

例: Cloud Control APIアクションのVPCエンドポイントポリシー

Cloud Control のエンドポイントポリシーの例を次に示しますAPI。エンドポイントにアタッチされると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、一覧表示された Cloud Control APIアクションへのアクセスを許可します。次の例では、すべてのユーザーがVPCエンドポイントを介してリソースを作成するアクセス許可を拒否し、Cloud Control APIサービス上の他のすべてのアクションへのフルアクセスを許可します。

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

以下も参照してください。