考慮事項デフォルトのエンドポイントポリシーインターフェイスエンドポイントのポリシーゲートウェイエンドポイントのプリンシパル VPC エンドポイントポリシーを更新する

エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する

エンドポイントポリシーは、VPC エンドポイントにアタッチして、エンドポイントを使用してにアクセスできる AWS プリンシパルを制御するリソースベースのポリシーです AWS のサービス。

エンドポイントポリシーは、アイデンティティベースのポリシーやリソースベースのポリシーを上書き、または置き換えません。例えば、Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御することもできます。

考慮事項

エンドポイントポリシーは、IAM ポリシー言語を使用する JSON ポリシードキュメントです。エンドポイントポリシーには、プリンシパル要素を含める必要があります。エンドポイントポリシーのサイズは 20,480 文字 (空白を含む) を超えることはできません。
のインターフェイスまたはゲートウェイエンドポイントを作成するときに AWS のサービス、エンドポイントに単一のエンドポイントポリシーをアタッチできます。いつでもエンドポイントポリシーの更新ができます。エンドポイントポリシーをアタッチしない場合、デフォルトのエンドポイントポリシーがアタッチされます。
すべてのがエンドポイントポリシー AWS のサービスをサポートしているわけではありません。 AWS のサービスがエンドポイントポリシーをサポートしていない場合は、サービスの任意のエンドポイントへのフルアクセスを許可します。詳細については、「エンドポイントポリシーのサポートを表示する」を参照してください。
AWS のサービス以外のエンドポイントサービスの VPC エンドポイントを作成すると、エンドポイントへのフルアクセスが許可されます。
ワイルドカード文字 (* または ?) または数値条件演算子を、システム生成識別子 (aws:PrincipalAccount または aws:SourceVpc など) を参照するグローバルコンテキストキーで使用することはできません。
文字列条件演算子を使用する場合は、各ワイルドカード文字の前後に少なくとも 6 つの連続した文字を使用する必要があります。
リソースまたは条件要素で ARN を指定する場合、ARN のアカウント部分にはアカウント ID またはワイルドカード文字を含めることができますが、両方を含めることはできません。

デフォルトのエンドポイントポリシー

デフォルトのエンドポイントポリシーでは、エンドポイントへのフルアクセスが許可されています。


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

インターフェイスエンドポイントのポリシー

のエンドポイントポリシーの例については AWS のサービス、「」を参照してくださいAWS のサービスと統合する AWS PrivateLink。表の最初の列には、各の AWS PrivateLink ドキュメントへのリンクが含まれています AWS のサービス。がエンドポイントポリシー AWS のサービスをサポートしている場合、そのドキュメントにはエンドポイントポリシーの例が含まれています。

ゲートウェイエンドポイントのプリンシパル

ゲートウェイエンドポイントでは、Principal 要素を * に設定する必要があります。プリンシパルを指定するには、aws:PrincipalArn 条件キーを使用します。


"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

次の形式でプリンシパルを指定すると、アカウントのすべてのユーザーとロールではなく、 AWS アカウントのルートユーザーのみにアクセスが許可されます。


"AWS": "account_id"

ゲートウェイエンドポイントのエンドポイントポリシーの例については、次を参照してください。

VPC エンドポイントポリシーを更新する

次の手順を使用して、 AWS のサービスのエンドポイントポリシーを更新します。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。

コンソールを使用してエンドポイントポリシーを変更するには

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。
VPC エンドポイントを選択します。
[Actions] (アクション)、[Manage policy] (ポリシーを管理) の順に選択します。
[Full Access] (フルアクセス) を選択してサービスへのフルアクセスを許可するか、[Custom] (カスタム) を選択してカスタムポリシーをアタッチします。
[Save] を選択します。

コマンドラインを使用してエンドポイントポリシーを変更するには

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint (Tools for Windows PowerShell)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アイデンティティベースのポリシーの例

AWS マネージドポリシー