翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# アイデンティティベースのポリシーとその他のポリシータイプの実装
でアクセスを管理するには、ポリシー AWS を作成し、IAM ID (ユーザー、ユーザーのグループ、またはロール) または AWS リソースにアタッチします。このページでは、 AWS マネジメントコンソール プライベートアクセスと一緒に使用する場合のポリシーの仕組みについて説明します。
## サポートされている AWS グローバル条件コンテキストキー
AWS マネジメントコンソール プライベートアクセスは、 `aws:SourceVpce`および `aws:VpcSourceIp` AWS グローバル条件コンテキストキーをサポートしていません。 AWS マネジメントコンソール のプライベートアクセスを使用する場合は、代わりに `aws:SourceVpc` IAM 条件をポリシーで使用できます。
## aws:SourceVpc での AWS マネジメントコンソール プライベートアクセスの仕組み
このセクションでは、 によって生成されたリクエストが AWS マネジメントコンソール 実行できるさまざまなネットワークパスについて説明します AWS のサービス。一般的に、 AWS サービスコンソールは、ブラウザの直接リクエストと、 AWS マネジメントコンソール ウェブサーバーによってプロキシされるリクエストを組み合わせて実装されます AWS のサービス。これらの実装は、予告なしに変更される可能性があります。セキュリティ要件に VPC エンドポイント AWS のサービス を使用した へのアクセスが含まれている場合は、VPC から直接使用するか AWS マネジメントコンソール 、プライベートアクセスを介して使用するかにかかわらず、VPC エンドポイントを VPC から使用する予定のすべてのサービスに設定することをお勧めします。さらに、プライベートアクセス機能では、特定の`aws:SourceVpce`値ではなく、ポリシーで `aws:SourceVpc` IAM AWS マネジメントコンソール 条件を使用する必要があります。このセクションでは、さまざまなネットワークパスの仕組みについて詳しく説明します。
ユーザーが にサインインすると AWS マネジメントコンソール、ブラウザの直接リクエストと、 AWS マネジメントコンソール ウェブサーバーから AWS サーバーにプロキシされるリクエスト AWS のサービス を組み合わせて、 にリクエストを行います。たとえば、CloudWatch グラフデータリクエストはブラウザから直接行われます。Amazon S3 などの一部の AWS サービスコンソールリクエストは、ウェブサーバーによって Amazon S3 にプロキシされます。 Amazon S3
直接ブラウザリクエストの場合、 AWS マネジメントコンソール プライベートアクセスを使用しても何も変更されません。以前と同様、リクエストは VPC が monitoring.region.amazonaws.com に到達するように設定したネットワークパスを通じてサービスに到達します。VPC が com.amazonaws.region.monitoring の VPC エンドポイントで設定されている場合、リクエストはその CloudWatch VPC エンドポイントを経由して CloudWatch に到達します。CloudWatch の VPC エンドポイントがない場合、リクエストは VPC のインターネットゲートウェイ経由で、パブリックエンドポイントの CloudWatch に到達します。CloudWatch VPC エンドポイントを経由して CloudWatch に到達するリクエストでは、IAM 条件 `aws:SourceVpc` と `aws:SourceVpce` がそれぞれの値に設定されます。パブリックエンドポイント経由で CloudWatch に到達するリクエストには、`aws:SourceIp` がリクエストのソース IP アドレスに設定されます。これらの IAM 条件キーの詳細については、*「IAM ユーザーガイド」*の[「 グローバル条件コンテキストキー」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)を参照してください。
Amazon S3 コンソールにアクセスしたときに Amazon S3 コンソールがバケットを一覧表示するリクエストなど、 AWS マネジメントコンソール ウェブサーバーによってプロキシされるリクエストの場合Amazon S3、ネットワークパスは異なります。これらのリクエストは VPC から開始されないため、そのサービス用に VPC に設定した VPC エンドポイントを使用しません。この場合、Amazon S3 の VPC エンドポイントがあっても、バケットを一覧表示する Amazon S3 へのセッションのリクエストは Amazon S3 VPC エンドポイントを使用しません。ただし、サポートされているサービスで AWS マネジメントコンソール プライベートアクセスを使用する場合、これらのリクエスト (Amazon S3 へのリクエストなど) にはリクエストコンテキストに `aws:SourceVpc`条件キーが含まれます。`aws:SourceVpc` 条件キーは、サインインとコンソールの AWS マネジメントコンソール プライベートアクセスエンドポイントがデプロイされる VPC ID に設定されます。そのため、アイデンティティベースのポリシーで `aws:SourceVpc` 制限を使用している場合、 AWS マネジメントコンソール プライベートアクセスサインインとコンソールエンドポイントをホストしているこの VPC の VPC ID を追加する必要があります。`aws:SourceVpce` 条件は、それぞれのサインインまたはコンソール VPC エンドポイント ID に設定されます。
**注記**
ユーザーが AWS マネジメントコンソール のプライベートアクセスでサポートされていないサービスコンソールへのアクセスを必要とする場合は、ユーザーのアイデンティティベースのポリシーで `aws:SourceIP` 条件キーを使用し、必要なパブリックネットワークアドレス (オンプレミスのネットワーク範囲など) のリストを含める必要があります。
## さまざまなネットワークパスが CloudTrail にどのように反映されるか
によって生成されたリクエストで使用されるさまざまなネットワークパス AWS マネジメントコンソール は、CloudTrail イベント履歴に反映されます。
直接ブラウザリクエストの場合、 AWS マネジメントコンソール プライベートアクセスを使用しても何も変更されません。CloudTrail イベントには、サービス API 呼び出しに使用された VPC エンドポイント ID など、接続に関する詳細が含まれます。
AWS マネジメントコンソール ウェブサーバーによってプロキシされるリクエストの場合、CloudTrail イベントには VPC 関連の詳細は含まれません。ただし、`AwsConsoleSignIn`イベントタイプなど、ブラウザセッションを確立 AWS サインイン するために必要な への初期リクエストには、イベントの詳細に AWS サインイン VPC エンドポイント ID が含まれます。