AWS Cloud Control API およびインターフェイス VPC エンドポイント (AWS PrivateLink) - Cloud Control API
Cloud Control API VPC エンドポイントに関する考慮事項Cloud Control API 用のインターフェイス VPC エンドポイントの作成Cloud Control API 用の VPC エンドポイントポリシーの作成以下も参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Cloud Control API およびインターフェイス VPC エンドポイント (AWS PrivateLink)

Virtual Private Cloud (VPC) と とのプライベート接続を確立するには、インターフェイス VPC エンドポイント AWS Cloud Control API を作成します。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、 AWS Direct Connect 接続のいずれも必要とせずに Cloud Control APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Cloud Control API と通信できます。VPC と Cloud Control API 間のトラフィックは、Amazon ネットワークを維持しません。

各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

Cloud Control API VPC エンドポイントに関する考慮事項

Cloud Control API のインターフェイス VPC エンドポイントをセットアップする前に、「Amazon VPC ユーザーガイド」の「Interface endpoint properties and limitations」を確認するようにしてください。

Cloud Control API は、VPC から実行されるすべての API アクションの呼び出しをサポートしています。

Cloud Control API 用のインターフェイス VPC エンドポイントの作成

Cloud Control API サービスの VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

Cloud Control API 用の VPC エンドポイントは、以下のサービス名を使用して作成します。

  • com.amazonaws.region.cloudcontrolapi

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (cloudcontrolapi.us-east-1.amazonaws.com など) を使用して、Cloud Control API への API リクエストを実行できます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

Cloud Control API 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに Cloud Control API へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

重要

VPCE エンドポイントポリシーの詳細は、Cloud Control API によって呼び出されるダウンストリームサービスには評価のために渡されません。このため、ダウンストリームサービスに属するアクションやリソースを指定するポリシーは適用されません。

例えば、インターネットにアクセスできないサブネット内の Cloud Control API 用の VPC エンドポイントを持つ VPC インスタンスに Amazon EC2 インスタンスを作成したとします。次に、以下の VPC エンドポイントポリシーを VPCE にアタッチします。

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

管理者アクセス権を持つユーザーがインスタンスの Amazon S3 バケットにアクセスするリクエストを送信した場合、VPCE ポリシーで Amazon S3 アクセスが許可されていなくても、サービスエラーは返されません。

例: Cloud Control API アクション用の VPC エンドポイントポリシー

Cloud Control API のエンドポイントポリシーの例を以下に示します。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Cloud Control API アクションへのアクセスを付与します。以下の例では、VPC エンドポイントを経由してリソースを作成するアクセス許可をすべてのユーザーに対して拒否し、Cloud Control API サービスの他のすべてのアクションへのフルアクセスを許可します。

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

以下も参照してください。