翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# VPC エンドポイントを介した AWS Payment Cryptography への接続
Virtual Private Cloud (VPC) のプライベートインターフェイスエンドポイントを介して AWS Payment Cryptography に直接接続できます。インターフェイス VPC エンドポイントを使用する場合、VPC と AWS Payment Cryptography 間の通信は AWS ネットワーク内で完全に行われます。
AWS Payment Cryptography は、 を利用した Amazon Virtual Private Cloud (Amazon VPC) エンドポイントをサポートしています[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。各 VPC エンドポイントは、VPC サブネット内のプライベート IP アドレスを持つ 1 つ以上の [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) で表されます。
インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC を AWS Payment Cryptography に直接接続します。VPC 内のインスタンスは、 AWS Payment Cryptography と通信するためにパブリック IP アドレスを必要としません。
**リージョン**
AWS Payment Cryptography は、 Payment Cryptography がサポートされているすべての AWS リージョン で VPC エンドポイントと VPC エンドポイントポリシーをサポートします。 [AWS](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html)
**Topics**
+ [AWS Payment Cryptography VPC エンドポイントに関する考慮事項](#vpce-considerations)
+ [AWS Payment Cryptography 用の VPC エンドポイントの作成](#vpce-create-endpoint)
+ [AWS Payment Cryptography VPC エンドポイントへの接続](#vpce-connect)
+ [VPC エンドポイントへのアクセスの制御](#vpce-policy)
+ [ポリシーステートメントでの VPC エンドポイントの使用](#vpce-policy-condition)
+ [VPC エンドポイントのログ記録](#vpce-logging)
## AWS Payment Cryptography VPC エンドポイントに関する考慮事項
**注記**
VPC エンドポイントでは、わずか 1 つのアベイラビリティーゾーン (AZ) でサービスに接続できますが、高可用性と冗長性の目的で 3 つのアベイラビリティーゾーンに接続することをお勧めします。
AWS Payment Cryptography のインターフェイス VPC エンドポイントを設定する前に、「 *AWS PrivateLink ガイド*」の[「インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)」トピックを確認してください。
AWS VPC エンドポイントの Payment Cryptography サポートには以下が含まれます。
+ VPC エンドポイントを使用して、VPC からすべての [AWS Payment Cryptography コントロールプレーンオペレーション](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html)と [AWS Payment Cryptography データプレーンオペレーション](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html)を呼び出すことができます。
+ AWS Payment Cryptography リージョンエンドポイントに接続するインターフェイス VPC エンドポイントを作成できます。
+ AWS Payment Cryptography は、コントロールプレーンとデータプレーンで構成されます。一方または両方のサブサービスを設定できます AWS PrivateLink が、それぞれが個別に設定されています。
+ AWS CloudTrail ログを使用して、VPC エンドポイントを介した AWS Payment Cryptography キーの使用を監査できます。詳細については、「[VPC エンドポイントのログ記録](#vpce-logging)」を参照してください。
## AWS Payment Cryptography 用の VPC エンドポイントの作成
AWS Payment Cryptography の VPC エンドポイントは、Amazon VPC コンソールまたは Amazon VPC API を使用して作成できます。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。
+ AWS Payment Cryptography の VPC エンドポイントを作成するには、次のサービス名を使用します。
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
たとえば、米国西部 (オレゴン) リージョン (`us-west-2`) では、サービス名は次のようになります。
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
VPC エンドポイントを使いやすくするために、VPC エンドポイントに対して[プライベート DNS 名](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)を有効にすることができます。**DNS 名を有効にする** オプションを選択すると、標準の AWS Payment Cryptography DNS ホスト名が VPC エンドポイントに解決されます。例えば、`https://controlplane.payment-cryptography.us-west-2.amazonaws.com` はサービス名 `com.amazonaws.us-west-2.payment-cryptography.controlplane` に接続された VPC エンドポイントに解決されます。
このオプションにより VPC エンドポイントが使いやすくなります。 AWS SDKsと はデフォルトで標準の AWS Payment Cryptography DNS ホスト名 AWS CLI を使用するため、アプリケーションやコマンドで VPC エンドポイント URL を指定する必要はありません。
詳細については、「AWS PrivateLink ガイド」の「[インターフェイスエンドポイントを介したサービスへアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)」を参照してください。
## AWS Payment Cryptography VPC エンドポイントへの接続
AWS SDK、、 AWS CLI または を使用して、VPC エンドポイントを介して AWS Payment Cryptography に接続できます AWS Tools for PowerShell。VPC エンドポイントを指定するには、DNS 名を使用します。
例えば、この [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) コマンドは、 `endpoint-url` パラメータを使用して VPC エンドポイントを指定します。こうしたコマンドを使用するには、サンプルの VPC エンドポイント ID を、ご自身のアカウントのものに置き換えてください。
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
VPC エンドポイントの作成時にプライベートホスト名を有効にした場合は、CLI コマンドまたはアプリケーションの設定で VPC エンドポイント URL を指定する必要はありません。標準の AWS Payment Cryptography DNS ホスト名は VPC エンドポイントに解決されます。 AWS CLI および SDKsデフォルトでこのホスト名を使用するため、VPC エンドポイントを使用して AWS Payment Cryptography リージョンエンドポイントに接続し始めることができます。スクリプトやアプリケーションを変更する必要はありません。
プライベートホスト名を使用するには、VPC の `enableDnsHostnames` 属性と `enableDnsSupport` 属性を `true` に設定する必要があります。これらの属性を設定するには、 [ModifyVpcattribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) オペレーションを使用します。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC の DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)」を参照してください。
## VPC エンドポイントへのアクセスの制御
AWS Payment Cryptography の VPC エンドポイントへのアクセスを制御するには、*VPC エンドポイントポリシー*を VPC エンドポイントにアタッチします。エンドポイントポリシーは、プリンシパルが VPC エンドポイントを使用して、特定の AWS Payment Cryptography リソースで AWS Payment Cryptography オペレーションを呼び出すことができるかどうかを決定します。
エンドポイントの作成時に VPC エンドポイントポリシーを作成できます。また、VPC エンドポイントポリシーはいつでも変更できます。VPC マネジメントコンソール、または [CreateVPcendPoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) オペレーションまたは [ModifyVPcendPoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) オペレーションを使用します。[AWS CloudFormation テンプレートを使用して](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) VPC エンドポイントポリシーを作成および変更することもできます。VPC マネジメントコンソールの使用方法については、「*AWS PrivateLink ガイド*」で[インターフェイスエンドポイントの作成方法](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)および[インターフェイスエンドポイントの変更方法](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)を確認してください。
JSON ポリシードキュメントの記述と書式設定については、『 [IAM ユーザーガイド』の「IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) *」を参照してください*。
**Topics**
+ [VPC エンドポイントポリシーについて](#vpce-policy-about)
+ [デフォルトの VPC エンドポイントポリシー](#vpce-default-policy)
+ [VPC エンドポイントポリシーの作成](#vpce-policy-create)
+ [VPC エンドポイントポリシーの表示](#vpce-policy-get)
### VPC エンドポイントポリシーについて
VPC エンドポイントを使用する AWS Payment Cryptography リクエストを成功させるには、プリンシパルに 2 つのソースからのアクセス許可が必要です。
+ [アイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)は、プリンシパルにリソース (AWS Payment Cryptography キーまたはエイリアス) で オペレーションを呼び出すアクセス許可を付与する必要があります。
+ VPC エンドポイントポリシーは、エンドポイントを使用してリクエストを実行するためのアクセス権限をプリンシパルに付与する必要があります。
たとえば、キーポリシーは、特定の AWS Payment Cryptography キーで [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) を呼び出すアクセス許可をプリンシパルに付与する場合があります。ただし、VPC エンドポイントポリシーでは、そのプリンシパルがエンドポイントを使用して AWS Payment Cryptography キー`Decrypt`で を呼び出すことを許可しない場合があります。
または、VPC エンドポイントポリシーは、プリンシパルがエンドポイントを使用して特定の AWS Payment Cryptography キーで [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html) を呼び出すことを許可する場合があります。ただし、プリンシパルに IAM ポリシーからのアクセス許可がない場合、リクエストは失敗します。
### デフォルトの VPC エンドポイントポリシー
すべての VPC エンドポイントには VPC エンドポイントポリシーがありますが、ポリシーを指定する必要はありません。ポリシーを指定しない場合、デフォルトのエンドポイントポリシーでは、エンドポイント上のすべてのリソースのすべてのプリンシパルによるすべてのオペレーションが許可されます。
ただし、 AWS Payment Cryptography リソースの場合、プリンシパルには [IAM ポリシー](security_iam_id-based-policy-examples.md)から オペレーションを呼び出すアクセス許可も必要です。したがって、実際には、デフォルトポリシーでは、プリンシパルがリソースに対してオペレーションを呼び出す権限を持っている場合、エンドポイントを使用してオペレーションを呼び出すこともできます。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
許可されたオペレーションのサブセットのみに VPC エンドポイントを使用することをプリンシパルに許可するには、[VPC エンドポイントポリシーを作成または変更](#vpce-policy-create)します。
### VPC エンドポイントポリシーの作成
VPC エンドポイントポリシーは、プリンシパルに VPC エンドポイントを使用してリソースに対してオペレーションを実行するアクセス許可があるかどうかを決定します。 AWS Payment Cryptography リソースの場合、プリンシパルには [IAM ポリシー](security_iam_id-based-policy-examples.md)からオペレーションを実行するアクセス許可も必要です。
各 VPC エンドポイントポリシーステートメントには、次の要素が必要です。
+ アクションを実行できるプリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース
ポリシーステートメントは VPC エンドポイントを指定しません。代わりに、ポリシーがアタッチされているすべての VPC エンドポイントに適用されます。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
Payment Cryptography の VPC AWS エンドポイントポリシーの例を次に示します。このポリシーを VPC エンドポイントにアタッチすると、 `ExampleUser`は VPC エンドポイントを使用して、指定された AWS Payment Cryptography キーで指定されたオペレーションを呼び出すことができます。このようなポリシーを使用する前に、サンプルプリンシパルと[キー識別子](concepts.md#concepts.key-identifer)をアカウントの有効な値に置き換えます。
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。ただし、CloudTrail ログには、他のアカウントのプリンシパルによってリクエストされたオペレーションや、他のアカウントの AWS Payment Cryptography キーのオペレーションは含まれません。
そのため、外部アカウントのプリンシパルが VPC エンドポイントを使用してローカルアカウントのキーに対する AWS Payment Cryptography オペレーションを呼び出すことを禁止する VPC エンドポイントポリシーを作成できます。
次の例では、[aws:PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) グローバル条件キーを使用して、プリンシパルがローカルアカウントにある場合を除き、すべての AWS Payment Cryptography キーに対するすべてのオペレーションのすべてのプリンシパルへのアクセスを拒否します。このようなポリシーを使用する前に、サンプルアカウント ID を有効なものに置き換えてください。
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### VPC エンドポイントポリシーの表示
エンドポイントの VPC エンドポイントポリシーを表示するには、 [VPC マネジメントコンソール](https://console.aws.amazon.com/vpc/) または [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html) オペレーションを使用します。
次の AWS CLI コマンドは、指定された VPC エンドポイント ID を持つエンドポイントのポリシーを取得します。
このコマンドを使用する前に、サンプルのエンドポイント ID をアカウントの有効なものに置き換えてください。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## ポリシーステートメントでの VPC エンドポイントの使用
リクエストが VPC から送信されたとき、または VPC エンドポイントを使用する場合に、 AWS Payment Cryptography リソースとオペレーションへのアクセスを制御できます。これを行うには、[IAM ポリシー](security_iam_id-based-policy-examples.md)を 1 つ使用します。
+ `aws:sourceVpce` 条件キーを使用して、VPC エンドポイントに基づいてアクセスを許可または制限します。
+ `aws:sourceVpc` 条件キーを使用して、プライベートエンドポイントをホストする VPC に基づいてアクセスを許可または制限します。
**注記**
リクエストが [Amazon VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)から送信された場合、`aws:sourceIP`条件キーは有効ではありません。リクエストを VPC エンドポイントに制限するには、`aws:sourceVpce` または `aws:sourceVpc` 条件キーを使用します。詳細については、「*AWS PrivateLink ガイド*」の [VPC エンドポイントと VPC エンドポイントサービスのアイデンティティおよびアクセス管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)のページを参照してください。
これらのグローバル条件キーを使用して、 AWS Payment Cryptography キー、エイリアス、および特定のリソースに依存しない [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html) などのオペレーションへのアクセスを制御できます。
たとえば、次のサンプルキーポリシーでは、リクエストが指定された VPC エンドポイントを使用している場合にのみ AWS Payment Cryptography キーを使用して特定の暗号化オペレーションを実行し、インターネットと AWS PrivateLink 接続の両方からのアクセスをブロックできます (設定されている場合)。ユーザーが AWS Payment Cryptography にリクエストを行うと、リクエストの VPC エンドポイント ID がポリシー`aws:sourceVpce`の条件キー値と比較されます。一致しない場合、要求は拒否されます。
このようなポリシーを使用するには、プレースホルダー AWS アカウント ID と VPC エンドポイント IDsをアカウントの有効な値に置き換えます。
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
`aws:sourceVpc` 条件キーを使用して、VPC エンドポイントが存在する VPC に基づいて AWS Payment Cryptography キーへのアクセスを制限することもできます。
次のサンプルキーポリシーでは、 AWS Payment Cryptography キーを から取得した場合にのみ管理するコマンドを許可します`vpc-12345678`。さらに、 AWS Payment Cryptography キーを暗号化オペレーションに使用するコマンドは、 から取得した場合にのみ許可されます`vpc-2b2b2b2b`。ある VPC でアプリケーションが実行されていれば、このようなポリシーを使用できますが、管理機能のために 2 番目の切り離された VPC を使用します。
このようなポリシーを使用するには、プレースホルダー AWS アカウント ID と VPC エンドポイント IDsをアカウントの有効な値に置き換えます。
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## VPC エンドポイントのログ記録
AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。 AWS Payment Cryptography へのリクエストが VPC エンドポイントを使用する場合、VPC エンドポイント ID はリクエストを記録する[AWS CloudTrail ログ](monitoring-cloudtrail.md)エントリに表示されます。エンドポイント ID を使用して、 AWS Payment Cryptography VPC エンドポイントの使用を監査できます。
VPC を保護するために、VPC [エンドポイントポリシー](#vpce-policy)によって拒否されたが、それ以外の場合は許可されていたリクエストは に記録されません[AWS CloudTrail](monitoring-cloudtrail.md)。
たとえば、このサンプルログエントリは、VPC エンドポイントを使用した [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) リクエストを記録します。`vpcEndpointId` フィールドは、ログエントリの最後に表示されます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```