翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# VPC エンドポイントを介した サービスへのアクセスの制御
VPC エンドポイントポリシーは、エンドポイントを作成または変更するときにインターフェイス VPC エンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、IAM ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。
評価項目のポリシーは、JSON形式で記載する必要があります。詳細については、*Amazon VPC ユーザーガイド*の[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を参照してください。
## 例: AWS IoT マネージド統合アクションの VPC エンドポイントポリシー
AWS IoT マネージド統合のエンドポイントポリシーの例を次に示します。このポリシーは、VPC エンドポイントを介して AWS IoT マネージド統合に接続するユーザーに送信先へのアクセスを許可しますが、認証情報ロッカーへのアクセスを拒否します。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListDestinations",
"iotmanagedintegrations:GetDestination",
"iotmanagedintegrations:CreateDestination",
"iotmanagedintegrations:UpdateDestination",
"iotmanagedintegrations:DeleteDestination"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListCredentialLockers",
"iotmanagedintegrations:GetCredentialLocker",
"iotmanagedintegrations:CreateCredentialLocker",
"iotmanagedintegrations:UpdateCredentialLocker",
"iotmanagedintegrations:DeleteCredentialLocker"
],
"Resource": "*"
}
]
}
```
## 例: 特定の IAM ロールへのアクセスを制限する VPC エンドポイントポリシー
次の VPC エンドポイントポリシーは、信頼チェーンに指定された IAM ロールを持つ IAM プリンシパルに対してのみ、 AWS IoT マネージド統合へのアクセスを許可します。他のすべての IAM プリンシパルはアクセスを拒否されます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
}
}
}
]
}
```