のインフラストラクチャセキュリティ AWS Proton - AWS Proton
VPC エンドポイント (AWS PrivateLink)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のインフラストラクチャセキュリティ AWS Proton

マネージドサービスである AWS Proton は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「 Security Pillar AWS Well‐Architected Framework」の「Infrastructure Protection」を参照してください。

が AWS 公開したAPI呼び出しを使用して、ネットワーク AWS Proton 経由で にアクセスします。クライアントは以下をサポートする必要があります:

  • Transport Layer Security (TLS)。1TLS.2 が必要で、1.3 TLS をお勧めします。

  • (Ephemeral Diffie-HellmanPFS) や DHE (Elliptic Curve Ephemeral Diffie-Hellman) などの完全前方秘匿性 ECDHE () を備えた暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。

さらに、 リクエストは、 IAMプリンシパルに関連付けられたアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。

ネットワーク分離を改善するには、次のセクションで説明 AWS PrivateLink するように を使用できます。

AWS Proton およびインターフェイスVPCエンドポイント (AWS PrivateLink)

インターフェイスエンドポイント を作成 AWS Proton することで、 VPC と の間にプライベート接続を確立できます。 VPC インターフェイスエンドポイントは、インターネットゲートウェイ、NATデバイスAWS PrivateLink、VPN接続、または AWS Direct Connect 接続なしでプライベートにアクセスできる AWS Proton APIsテクノロジーである を利用しています。のインスタンスは、パブリック IP アドレスがVPCなくても と通信できます AWS Proton APIs。VPC と の間のトラフィック AWS Proton は、Amazon ネットワークを離れません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。

詳細については、「Amazon ユーザーガイド」の「インターフェイスVPCエンドポイント (AWS PrivateLink)」を参照してください。 VPC

エンドポイントに関する AWS Proton VPC考慮事項

のインターフェイスVPCエンドポイントを設定する前に AWS Proton、「Amazon VPCユーザーガイド」の「インターフェイスエンドポイントのプロパティと制限」を確認してください。

AWS Proton は、 からのすべてのAPIアクションの呼び出しをサポートしますVPC。

VPC エンドポイントポリシーは でサポートされています AWS Proton。デフォルトでは、 エンドポイント経由で へのフルアクセス AWS Proton が許可されます。詳細については、「Amazon ユーザーガイド」のVPC「エンドポイントを使用した サービスへのアクセスの制御」を参照してください。 VPC

のインターフェイスVPCエンドポイントの作成 AWS Proton

Amazon VPCコンソールまたは AWS Command Line Interface () を使用して、 AWS Proton サービスのVPCエンドポイントを作成できますAWS CLI。詳細については、「Amazon ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。 VPC

次のサービス名 AWS Proton を使用して のVPCエンドポイントを作成します。

  • com.amazonaws。region.proton

エンドポイントDNSのプライベートを有効にすると、 など、リージョンのデフォルトDNS名 AWS Proton を使用して にAPIリクエストを行うことができますproton.region.amazonaws.com

詳細については、「Amazon VPCユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

のVPCエンドポイントポリシーの作成 AWS Proton

へのアクセスを制御するエンドポイントポリシーをVPCエンドポイントにアタッチできます AWS Proton。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon ユーザーガイド」のVPC「エンドポイントを使用した サービスへのアクセスの制御」を参照してください。 VPC

例: AWS Proton アクションのVPCエンドポイントポリシー

のエンドポイントポリシーの例を次に示します AWS Proton。このポリシーは、エンドポイントにアタッチされると、すべてのリソースのすべてのプリンシパルに対して、リストされている AWS Proton アクションへのアクセスを許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}