

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# プライベート VPC でのデータ流出の防止
<a name="S3-buckets-preventing-exfiltration"></a>

ユーザーが安全な S3 バケットからアカウント内の独自の S3 バケットにデータを流出しないようにするには、VPC エンドポイントをアタッチしてプライベート VPC を保護します。次の手順は、アカウント内の S3 バケットへのアクセスをサポートする S3 サービスの VPC エンドポイントと、クロスアカウントバケットを持つ追加のアカウントを作成する方法を示しています。

1. Amazon VPC コンソールを開きます。

   1.  AWS マネジメントコンソールにサインインします。

   1. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole) で Amazon VPC コンソールを開きます。

1. S3 の VPC エンドポイントを作成する:

   1. 左のナビゲーションペインで [**エンドポイント**] を選択してください。

   1. **[Create Endpoint]** (エンドポイントの作成) を選択します。

   1. [**Service category**] (サービスカテゴリ) で、[**AWS services**] (AWS のサービス) が選択されていることを確認します。

   1. **サービス名**フィールドに「」と入力するか `com.amazonaws.<region>.s3` ( AWS リージョン`<region>`に置き換える）、「S3」を検索します。

   1. リストから S3 サービスを選択します。

1. エンドポイント設定の構成: 

   1. **[VPC]** で、エンドポイントを作成する VPC を選択します。

   1. **サブネット**の場合は、デプロイ中に VDI サブネットに使用されるプライベートサブネットの両方を選択します。

   1. **DNS 名を有効にする** で、 オプションがオンになっていることを確認します。これにより、プライベート DNS ホスト名をエンドポイントネットワークインターフェイスに解決できます。

1. アクセスを制限するように ポリシーを設定します。

   1. Policy で****、**Custom** を選択します。

   1. ポリシーエディタで、アカウントまたは特定のアカウント内のリソースへのアクセスを制限するポリシーを入力します。ポリシーの例を次に示します (*amzn-s3-demo-bucket* を S3 バケット名に置き換え、*111122223333* と *444455556666* をアクセスする適切な AWS アカウント IDsに置き換えます）。
**注記**  
このポリシー例では`s3:*`、 を使用し、イベント通知設定、レプリケーション、インベントリなどの S3 コントロールプレーンオペレーションを制限しません。これらのオペレーションにより、オブジェクトメタデータ (バケット名やオブジェクトキーなど) をクロスアカウントの送信先に送信できます。これが懸念される場合は、VPC エンドポイントポリシーの関連する S3 コントロールプレーンアクションに明示的な拒否ステートメントを追加します。

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "111122223333",
                              "444455556666"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. エンドポイントを作成します。

   1. 設定を確認します。

   1. **エンドポイントの作成** を選択します。

1. エンドポイントを検証する:

   1. エンドポイントが作成されたら、**VPC コンソールのエンドポイント**セクションに移動します。

   1. 新しく作成したエンドポイントを選択します。

   1. **状態**が**使用可能**であることを確認します。

これらのステップに従って、アカウントまたは指定されたアカウント ID 内のリソースに制限された S3 アクセスを許可する VPC エンドポイントを作成します。