翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インターフェイスエンドポイント (AWS PrivateLink) で Macie にアクセスする
AWS PrivateLink を使用して、Virtual Private Cloud (VPC) と Amazon Macie の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Macie にアクセスできます。VPC 内のインスタンスは、Macie にアクセスするためにパブリック IP アドレスを必要としません。
このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Macie 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。
詳細については、「*AWS PrivateLink ガイド*」の「[AWS PrivateLinkから AWS のサービス にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。
**Topics**
+ [Macie インターフェイスエンドポイントに関する考慮事項](#vpc-endpoint-considerations)
+ [Macie 用のインターフェイスエンドポイントの作成](#vpc-endpoint-create)
+ [Macie のエンドポイントポリシーの作成](#vpc-endpoint-policy)
## Macie インターフェイスエンドポイントに関する考慮事項
Amazon Macie は、 AWS リージョン 現在利用可能なすべての でインターフェイスエンドポイントをサポートしています。これらのリージョンのリストについては、の[Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)」を参照してください*AWS 全般のリファレンス*。Macie は、インターフェイスエンドポイントを介したすべての API オペレーションの呼び出しをサポートしています。
Macie 用のインターフェイスエンドポイントを作成する場合は、Amazon EventBridge や など AWS PrivateLink、Macie や と統合 AWS のサービス する他の に対しても同じことをすることを検討してください AWS Security Hub CSPM。Macie とそのサービスは、統合にインターフェイスエンドポイントを使用できます。例えば、Macie 用のインターフェイスエンドポイントと Security Hub CSPM 用のインターフェイスエンドポイントを作成すると、Macie は Security Hub CSPM に結果を発行するときにインターフェイスエンドポイントを使用できます。Security Hub CSPM は、検出結果を受信するときにインターフェイスエンドポイントを使用できます。サポートされているサービスの詳細については、「 *AWS PrivateLink ガイド*」の[AWS のサービス 「 と統合される AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) 」を参照してください。
## Macie 用のインターフェイスエンドポイントの作成
Amazon Macie のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
Macie のインターフェイスエンドポイントを作成するときは、次のサービス名を使用します。
`com.amazonaws.{{region}}.macie2 `
ここで、{{リージョン}}は該当する AWS リージョンのリージョンコードです。
インターフェイスエンドポイントのプライベート DNS を有効にすると、米国東部 (バージニア北部) リージョンなど、デフォルトのリージョン DNS 名を使用して Macie `macie2.us-east-1.amazonaws.com` に API リクエストを行うことができます。
## Macie のエンドポイントポリシーの作成
*エンドポイントポリシー*は、インターフェイスエンドポイントにアタッチできる AWS Identity and Access Management (IAM) リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して Amazon Macie へのフルアクセスを許可します。VPC から Macie に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。
これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。詳細については、『*AWS PrivateLink ガイド*』の「[Control access to VPC endpoints using endpoint policies (エンドポイントポリシーを使用して VPC エンドポイントへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
**例: Macie アクションの VPC エンドポイントポリシー**
Macie のカスタムエンドポイントポリシーの例を次に示します。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Macie アクションへのアクセスが許可されます。これにより、VPC 経由で Macie に接続するユーザーは、Amazon Macie API を使用して検出結果データにアクセスできます。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```
また、ユーザーが Amazon Macie コンソールを使用して検出結果データにアクセスしたり、他のアクションを実行したりできるようにするには、ポリシーで `macie2:GetMacieSession`アクションへのアクセスも許可する必要があります。次に例を示します。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetMacieSession",
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```