Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、[こちら](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Timestream for InfluxDB 向けの Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証*し (サインインさせ)、誰に Timestream for InfluxDB リソースの使用を*承認する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで AWS のサービス 使用できる です。
**Topics**
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Timestream for InfluxDB と IAM の連携方法](security_iam_service-with-iam-influxb.md)
+ [Amazon Timestream for InfluxDB のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples-influxb.md)
+ [Amazon Timestream for InfluxDB アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot-influxdb.md)
+ [VPC 内の DB インスタンスへのアクセスの制御](timestream-for-influxdb-controlling-access.md)
+ [Amazon Timestream for InfluxDB のサービスリンクロールの使用](using-service-linked-roles.md)
+ [AWS Amazon Timestream for InfluxDB の マネージドポリシー](security-iam-awsmanpol-influxdb.md)
+ [VPC エンドポイントを介した Timestream for InfluxDB への接続](timestream-influxdb-vpc-endpoint.md)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときに、これらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Timestream for InfluxDB と IAM の連携方法
**Amazon Timestream for InfluxDB で使用できる IAM の機能**
| IAM 機能 | Timestream for InfluxDB サポートの有無 |
| --- | --- |
| [アイデンティティベースのポリシー](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies-influxb) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions-influxb) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources-influxb) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys-influxb) | いいえ |
| [ACL](#security_iam_service-with-iam-acls-influxb) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags-influxb) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds-influxb) | あり |
| [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions-influxb) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service-influxb) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked-influxb) | はい |
Timestream for InfluxDB およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Timestream for InfluxDB のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Timestream for InfluxDB のアイデンティティベースのポリシーの例
Timestream for InfluxDB のアイデンティティベースのポリシーの例を表示するには、「[Amazon Timestream for InfluxDB のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples-influxb.md)」を参照してください。
## Timestream for InfluxDB 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## Timestream for InfluxDB のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Timestream for InfluxDB のアクションのリストを表示する方法については、「*サービス認可リファレンス*」の「[Amazon Timestream for InfluxDB のアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html)」を参照してください。
Timestream for InfluxDB のポリシーアクションは、アクションの前に、次のプレフィックスを使用しています。
```
timestream-influxdb
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"timestream-influxdb:action1",
"timestream-influxdb:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "timestream-influxdb:Describe*"
```
## Timestream for InfluxDB のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Timestream for InfluxDB リソースのタイプとその ARN の一覧を確認するには、「*サービス認可リファレンス*」の「[Amazon Timestream for InfluxDB で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html#amazontimestreaminfluxdb-resources-for-iam-policies)」を参照してください。各リソースの ARN を指定できるアクションについては、「[Amazon Timestream for InfluxDB のアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html)」を参照してください。
## Timestream for InfluxDB のポリシー条件キー
**サービス固有のポリシー条件キーへのサポート:** なし
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
## Timestream for InfluxDB のアクセスコントロールリスト (ACL)
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Timestream for InfluxDB を使用した属性ベースのアクセス制御 (ABAC)
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Timestream for InfluxDB での一時認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Timestream for InfluxDB のクロスサービスプリンシパルアクセス権限
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Timestream for InfluxDB のサービスロール
**サービスロールのサポート:** なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、Timestream for InfluxDB の機能が中断する可能性があります。サービスロールの編集は、Timestream for InfluxDB が編集を指示している場合にのみ行ってください。
## Timestream for InfluxDB のサービスリンクロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# Amazon Timestream for InfluxDB のアイデンティティベースのポリシー例
デフォルトでは、ユーザーとロールには、Timestream for InfluxDB リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Timestream for InfluxDB が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認可リファレンス*」の「[Amazon Timestream for InfluxDB のアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices-influxb)
+ [Timestream for InfluxDB コンソールを使用する](#security_iam_id-based-policy-examples-console-influxb)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions-influxb)
+ [1 つの Amazon S3 バケットへのアクセス](#security_iam_id-based-policy-examples-access-one-bucket)
+ [すべてのオペレーションを許可する](#security_iam_id-based-policy-examples-common-operations.all-influxdb)
+ [DB インスタンスの作成、記述、削除、更新](#security_iam_id-based-policy-examples-common-operations.cddd-influxdb)
## ポリシーに関するベストプラクティス
アイデンティティベースのポリシーは、ユーザーのアカウント内で誰かが Timestream for InfluxDB リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Timestream for InfluxDB コンソールを使用する
Amazon Timestream for InfluxDB コンソールにアクセスするには、許可の最小限のセットが必要です。これらの許可により、 AWS アカウントの Timestream for InfluxDB リソースの詳細をリストおよび表示できます。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き Timestream for InfluxDB コンソールを使用できるようにするには、Timestream for InfluxDB `ConsoleAccess`または `ReadOnly` AWS マネージドポリシーもエンティティにアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 1 つの Amazon S3 バケットへのアクセス
この例では、 AWS アカウントの IAM ユーザーに Amazon S3 バケットの 1 つへのアクセス権を付与します`amzn-s3-demo-bucket`。また、ユーザーがオブジェクトを追加、更新、および削除できるようにします。
このポリシーでは、ユーザーに `s3:PutObject`、`s3:GetObject`、`s3:DeleteObject` のアクセス許可を付与するだけでなく、`s3:ListAllMyBuckets`、`s3:GetBucketLocation`、および `s3:ListBucket` のアクセス許可も付与します。これらが、コンソールで必要とされる追加のアクセス許可です。またコンソール内のオブジェクトのコピー、カット、貼り付けを行うためには、`s3:PutObjectAcl` および `s3:GetObjectAcl` アクションが必要となります。コンソールを使用して、ユーザーにアクセス許可を付与し、テストする例の解説については、「[チュートリアル例: ユーザーポリシーを使用したバケットへのアクセスのコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
## すべてのオペレーションを許可する
以下は、Timestream for InfluxDB のすべてのオペレーションを許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream-influxdb:*"
],
"Resource": "*"
}
]
}
```
------
## DB インスタンスの作成、記述、削除、更新
以下は、ユーザーに DB インスタンス `sampleDB` の作成、記述、削除、更新を許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream-influxdb:CreateDbInstance",
"timestream-influxdb:GetDbInstance",
"timestream-influxdb:DeleteDbInstance",
"timestream-influxdb:UpdateDbInstance"
],
"Resource": "arn:aws:timestream-influxdb:us-east-2:111122223333:db-instance/MyDbInstance"
}
]
}
```
------
# Amazon Timestream for InfluxDB アイデンティティとアクセスのトラブルシューティング
次の情報は、Timestream for InfluxDB と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Timestream for InfluxDB でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions-influxdb)
+ [自分の AWS アカウント以外のユーザーに Timestream for InfluxDB リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access-influxdb)
## Timestream for InfluxDB でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。
以下のエラー例は、`mateojackson` ユーザーがコンソールを使用して架空の `my-example-widget` リソースに関する詳細情報を表示しようとしているが、架空の `timestream-influxdb:GetWidget` 許可がないという場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream-influxdb:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`timestream-influxdb:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
## 自分の AWS アカウント以外のユーザーに Timestream for InfluxDB リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ [VPC 内の DB インスタンスへのアクセスの制御](timestream-for-influxdb-controlling-access.md)
+ Timestream for InfluxDB がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Timestream for InfluxDB と IAM の連携方法](https://docs.aws.amazon.com/timestream/latest/developerguide/security_iam_service-with-iam-influxb.html)」を参照してください。
+ 所有している AWS アカウント間でリソースへのアクセスを提供する方法については、IAM ユーザーガイドの[「所有している別の AWS アカウントの IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ サードパーティー AWS アカウントにリソースへのアクセスを提供する方法については、*IAM ユーザーガイド*の[「サードパーティーが所有する AWS アカウントへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)を参照してください。
+ クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、*IAM ユーザーガイド*の[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
# VPC 内の DB インスタンスへのアクセスの制御
Amazon Virtual Private Cloud (Amazon VPC) を使用すると、Amazon Timestream for InfluxDB DB インスタンスなどの AWS リソースを Virtual Private Cloud (VPC) に起動できます。Amazon VPC を使用する場合、仮想ネットワーキング環境を制御できます。独自の IP アドレスの範囲を選択し、サブネットを作成してルーティングおよびアクセスコントロールリストを設定できます。
VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを制御します。VPC セキュリティグループの各ルールにより、その VPC セキュリティグループに関連付けられている VPC 内の DB インスタンスへのアクセスを特定のソースに許可できます。ソースとしては、アドレスの範囲 (203.0.113.0/24 など) または別の VPC セキュリティグループを指定できます。VPC セキュリティグループをソースとして指定すると、ソース VPC セキュリティグループを使用するすべてのインスタンス (通常はアプリケーションサーバー) からの受信トラフィックを許可することになります。DB インスタンスに接続する前に、お客様のユースケース用に VPC を設定します。以下は、VPC の DB インスタンスにアクセスするための以下の一般的なシナリオです。
**同じ VPC 内の Amazon EC2 インスタンスによってアクセスされる VPC 内の DB インスタンス**
VPC 内の DB インスタンスの一般的な用途は、同じ VPC 内の EC2 インスタンスで実行されるアプリケーションサーバーとデータを共有することです。EC2 インスタンスは、DB インスタンスと対話するアプリケーションでウェブサーバーを実行することがあります。
**別の VPC の EC2 インスタンスによってアクセスされる VPC の DB インスタンス**
場合によっては、DB インスタンスが、アクセスに使用している EC2 インスタンスとは異なる VPC にあることがあります。その場合は、VPC ピアリングを使用して DB インスタンスにアクセスできます。
**インターネット経由でクライアントアプリケーションがアクセスする VPC 内の DB インスタンス**
インターネット経由でクライアントアプリケーションから VPC 内の DB インスタンスにアクセスするには、1 つのパブリックサブネットを持つ VPC を設定し、パブリックサブネットを使用して DB インスタンスを作成します。また、VPC でインターネットゲートウェイを設定して、インターネット経由の通信を有効にします。VPC の外部から DB インスタンスに接続するには、DB インスタンスがパブリックにアクセスできる必要があります。また、DB インスタンスのセキュリティグループのインバウンドルールを使用してアクセスを許可し、その他の要件を満たしている必要があります。
VPC セキュリティグループの詳細については、「Amazon Virtual Private Cloud [AWS ユーザーガイド」の「セキュリティグループを使用してリソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。 *Amazon Virtual Private Cloud *
Timestream for InfluxDB DB インスタンスに接続する方法の詳細については、「」を参照してください[Amazon Timestream for InfluxDB の DB インスタンスへの接続](timestream-for-influx-db-connecting.md)。
## セキュリティグループのシナリオ
VPC 内の DB インスタンスの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行され、VPC の外にあるクライアントアプリケーションによってアクセスされるアプリケーションサーバーとデータを共有することです。このシナリオでは、 の InfluxDB および VPC の Timestream ページ、 AWS マネジメントコンソール または InfluxDB および EC2 API の Timestream オペレーションを使用して、必要なインスタンスとセキュリティグループを作成します。 EC2
1. VPC セキュリティグループ (「`sg-0123ec2example`」など) を作成し、ソースとしてクライアントアプリケーションの IP アドレスを使用するという受信ルールを定義します。このセキュリティグループにより、クライアントアプリケーションは、このセキュリティグループを使用する VPC 内の EC2 インスタンスに接続できるようになります。
1. アプリケーションの EC2 インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「`sg-0123ec2example`」) に EC2 インスタンスを追加します。
1. 2 つ目の VPC セキュリティグループ (「`sg-6789rdsexample`」など) を作成し、ステップ 1 で作成した VPC セキュリティグループ (「`sg-0123ec2example`」) をソースとして指定して新しいルールを作成します。
1. 新しい DB インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「`sg-6789rdsexample`」) に追加します。DB を作成するときは、ステップ 3 で作成した VPC セキュリティグループ (`sg-6789rdsexample`) ルールに指定されているものと同じポート番号を使用します。
## VPC セキュリティグループを作成する
DB インスタンスの VPC セキュリティグループは、VPC コンソールを使って作成できます。セキュリティグループの作成の詳細については、*Amazon Virtual Private Cloud * [ユーザーガイド」の「VPC のセキュリティグループを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)」を参照してください。
## セキュリティグループを DB インスタンスと関連付ける
Timestream for InfluxDB DB インスタンスが作成されると、これらの設定の変更は現在サポートされていないため、新しいセキュリティグループに関連付けることはできません。
# Amazon Timestream for InfluxDB のサービスリンクロールの使用
Amazon Timestream for InfluxDB は AWS Identity and Access Management 、(IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Timestream for InfluxDB などの AWS サービスに直接リンクされた一意のタイプの IAM ロールです。 InfluxDB Amazon Timestream for InfluxDB のサービスリンクロールは、Amazon Timestream for InfluxDB によって事前定義されています。それらには、サービスがユーザーの DB インスタンスに代わって AWS サービスを呼び出すために必要な、すべてのアクセス許可が含まれます。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon Timestream for InfluxDB の設定がより簡単になります。ロールは AWS アカウント内に既に存在しますが、Amazon Timestream for InfluxDB のユースケースにリンクされており、事前定義されたアクセス許可があります。Amazon Timestream for InfluxDB だけがこれらのロールを引き受けることができ、これらのロールだけが定義済みのアクセス許可ポリシーを使用できます。ロールを削除するには、まず関連リソースを削除します。それにより、リソースにアクセスするために必要なアクセス許可を不用意に削除できないようにして Amazon Timestream for InfluxDB リソースを保護します。
サービスにリンクされたロールをサポートするその他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、[**Service-Linked Role**] (サービスにリンクされたロール) 列が [**Yes**] (はい) になっているサービスを検索してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
**Contents**
+ [サービスリンクロールのアクセス許可](#service-linked-role-permissions)
+ [サービスにリンクされたロールの作成 (IAM)](#create-service-linked-role-iam)
+ [サービスにリンクされたロールの説明の編集](#edit-service-linked-role)
+ [IAM コンソールの使用](#edit-service-linked-role-iam-console)
+ [IAM CLI の使用](#edit-service-linked-role-iam-cli)
+ [IAM API の使用](#edit-service-linked-role-iam-api)
+ [Amazon Timestream for InfluxDB のサービスリンクロールを削除する](#delete-service-linked-role)
+ [サービスにリンクされたロールのクリーンアップ](#service-linked-role-review-before-delete)
+ [サービスにリンクされたロールの削除 (IAM コンソール)](#delete-service-linked-role-iam-console)
+ [サービスにリンクされたロールの削除 (IAM CLI)](#delete-service-linked-role-iam-cli)
+ [サービスにリンクされたロールの削除 (IAM API)](#delete-service-linked-role-iam-api)
+ [Amazon Timestream for InfluxDB のサービスリンクロールがサポートされるリージョン](#supported-regions)
## Amazon Timestream for InfluxDB のサービスリンクロールのアクセス許可
Amazon Timestream for InfluxDB は、**AmazonTimestreamInfluxDBServiceRolePolicy** という名前のサービスにリンクされたロールを使用します。このポリシーにより、InfluxDB の Timestream は、クラスターを管理するために必要な AWS リソースをユーザーに代わって管理できます。
AmazonTimestreamInfluxDBServiceRolePolicy というサービスリンクロールのアクセス許可ポリシーにより、Amazon Timestream for InfluxDB は、指定されたリソースで次のアクションを実行することができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeNetworkStatement",
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Sid": "CreateEniInSubnetStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "CreateEniStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"Null": {
"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
}
}
},
{
"Sid": "CreateTagWithEniStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"Null": {
"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
},
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
}
}
},
{
"Sid": "ManageEniStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
}
}
},
{
"Sid": "PutCloudWatchMetricsStatement",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Timestream/InfluxDB",
"AWS/Usage"
]
}
},
"Resource": [
"*"
]
},
{
"Sid": "ManageSecretStatement",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
**IAM エンティティに AmazonTimestreamInfluxDBServiceRolePolicy サービスリンクロールの作成を許可するには**
以下のポリシーステートメントを IAM エンティティのアクセス許可に追加します。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}
```
**IAM エンティティに AmazonTimestreamInfluxDBServiceRolePolicy サービスリンクロールの削除を許可するには**
以下のポリシーステートメントを IAM エンティティのアクセス許可に追加します。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}
```
または、 AWS マネージドポリシーを使用して、Amazon Timestream for InfluxDB へのフルアクセスを提供することもできます。
## サービスにリンクされたロールの作成 (IAM)
サービスリンクロールを手動で作成する必要はありません。DB インスタンスを作成すると、Amazon Timestream for InfluxDB が自動的にサービスリンクロールを作成します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。DB インスタンスを作成すると、Amazon Timestream for InfluxDB が再度自動的にサービスリンクロールを作成します。
## Amazon Timestream for InfluxDB のサービスリンクロールの説明を編集する
Amazon Timestream for InfluxDB では、ユーザーはサービスリンクロール AmazonTimestreamInfluxDBServiceRolePolicy を編集することが許可されていません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。
### サービスにリンクされたロールの説明の編集 (IAMコンソール)
サービスにリンクされたロールの説明は、IAM コンソールを使用して編集できます。
**サービスにリンクされたロールの説明を編集するには (コンソール)**
1. IAM コンソールのナビゲーションペインで **[ロール]** をクリックします。
1. 変更するロールの名前を選択します。
1. **ロールの説明**の右端にある**編集**を選択します。
1. ボックスに新しい説明を入力し、**保存**を選択します。
### サービスにリンクされたロールの説明の編集 (IAM CLI)
から IAM オペレーションを使用して AWS Command Line Interface 、サービスにリンクされたロールの説明を編集できます。
**サービスにリンクされたロールの説明を変更するには (CLI)**
1. (オプション) ロールの現在の説明を表示するには、IAM オペレーション AWS CLI の を使用します`[get-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-role.html)`。
**Example**
```
$ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy
```
CLI オペレーションでは、ARN ではなくロール名を使用してロールを参照します。例えば、ロールの ARN が `arn:aws:iam::123456789012:role/myrole` である場合、そのロールを **myrole** と参照します。
1. サービスにリンクされたロールの説明を更新するには、IAM オペレーション AWS CLI の を使用します`[update-role-description](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-role-description.html)`。
**Linux および macOS**
```
$ aws iam update-role-description \
--role-name AmazonTimestreamInfluxDBServiceRolePolicy \
--description "new description"
```
**Windows**
```
$ aws iam update-role-description ^
--role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
--description "new description"
```
### サービスにリンクされたロールの説明の編集 (IAM API)
サービスにリンクされたロールの説明は、IAM API を使用して編集できます。
**サービスにリンクされたロールの説明を変更するには (API)**
1. 「オプショナル」現在のロールの説明を表示するには、IAM API オペレーション [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) を使用します。
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
&Version=2010-05-08
&AUTHPARAMS
```
1. ロールの説明を更新するには、IAM API オペレーション [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) を使用します。
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
&Version=2010-05-08
&Description="New description"
```
## Amazon Timestream for InfluxDB のサービスリンクロールを削除する
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、削除する前に、サービスにリンクされた役割をクリーンアップする必要があります。
Amazon Timestream for InfluxDB はサービスリンクロールを削除しません。
### サービスにリンクされたロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには、まずそれに関連付けられているリソース (クラスター) がないことを確認する必要があります。
**サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. IAM コンソールのナビゲーションペインで **[ロール]** をクリックします。次に、AmazonTimestreamInfluxDBServiceRolePolicy ロールの名前 (チェックボックスではありません) を選択します。
1. 選択したロールの **概要** ページで、**アクセスアドバイザー** タブを選択します。
1. **アクセスアドバイザー** タブで、サービスにリンクされたロールの最新のアクティビティを確認します。
### サービスにリンクされたロールの削除 (IAM コンソール)
IAM コンソールを使用して、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (コンソール)**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. IAM コンソールのナビゲーションペインで **[ロール]** をクリックします。ロール名または行そのものではなく、削除するロール名の横にあるチェックボックスをオンにします。
1. ページ上部にある **ロールのアクション** で **ロールの削除** を選択します。
1. 確認ページで、サービスの最終アクセス時間データを確認します。このデータには、選択した各ロールが最後に AWS サービスにアクセスした日時が表示されます。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。先に進む場合は、**[Yes, Delete]** (はい、削除する) を選択し、削除するサービスにリンクされたロールを送信します。
1. IAM コンソール通知を見て、サービスにリンクされたロールの削除の進行状況をモニタリングします。IAM サービスにリンクされたロールの削除は非同期であるため、削除するロールを送信すると、削除タスクは成功または失敗する可能性があります。タスクが失敗した場合は、通知から **詳細を表示**または **リソースを表示**を選択して、削除が失敗した理由を知ることができます。
### サービスにリンクされたロールの削除 (IAM CLI)
から IAM オペレーションを使用して AWS Command Line Interface 、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (CLI)**
1. 削除するサービスにリンクされたロールの名前が分からない場合、以下のコマンドを入力します。このコマンドでは、アカウントにあるロールとその Amazon リソースネーム (ARN) を一覧表示します。
```
$ aws iam get-role --role-name role-name
```
CLI オペレーションでは、ARN ではなくロール名を使用してロールを参照します。例えば、ロールに ARN `arn:aws:iam::123456789012:role/myrole` がある場合、そのロールを **myrole** と参照します。
1. サービスリンクロールは、使用中の場合または関連付けられたリソースがある場合は削除できないため、[delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html) コマンドとともに削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから `deletion-task-id` を取得して、削除タスクのステータスを確認する必要があります。サービスにリンクされたロールの削除リクエストを送信するには、以下を入力します。
```
$ aws iam delete-service-linked-role --role-name role-name
```
1. [get-service-linked-role-deletion-status](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-service-linked-role-deletion-status.html) コマンドを実行して、削除タスクのステータスをチェックします。
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
削除タスクのステータスは、`NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED`、または `FAILED` となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。
### サービスにリンクされたロールの削除 (IAM API)
IAM API を使用して、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (API)**
1. サービスにリンクされたロールの削除リクエストを送信するには、[DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) を呼び出します。リクエストで、ロール名を指定します。
サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから `DeletionTaskId` を取得して、削除タスクのステータスを確認する必要があります。
1. 削除タスクのステータスを確認するには、[GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) を呼び出します。リクエストで `DeletionTaskId` を指定します。
削除タスクのステータスは、`NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED`、または `FAILED` となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。
## Amazon Timestream for InfluxDB のサービスリンクロールがサポートされるリージョン
Amazon Timestream for InfluxDB では、このサービスを利用できるすべてのリージョンで、サービスリンクロールの使用がサポートされます。詳細については、[AWS サービスエンドポイント](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照してください。
# AWS Amazon Timestream for InfluxDB の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数の サービスにまたがるジョブ関数の 管理ポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamInfluxDBServiceRolePolicy
AmazonTimestreamInfluxDBServiceRolePolicy AWS 管理ポリシーをアカウントの ID にアタッチすることはできません。このポリシーは、 AWS TimestreamforInfluxDB サービスにリンクされたロールの一部です。このロールにより、サービスはアカウント内のネットワークインターフェイスとセキュリティグループを管理できます。
Timestream for InfluxDB は、このポリシーのアクセス許可を使用して EC2 セキュリティグループとネットワークインターフェイスを管理します。これは、Timestream for InfluxDB の DB インスタンスを管理するために必要です。
ポリシーを JSON 形式で確認するには、「[AmazonTimestreamInfluxDBServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBServiceRolePolicy.html)」を参照してください。
## Amazon Timestream for InfluxDB のAWSマネージドポリシー
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、Timestream for InfluxDB に固有です。
### AmazonTimestreamInfluxDBFullAccess
`AmazonTimestreamInfluxDBFullAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、すべての Timestream for InfluxDB リソースへのフルアクセスを許可する、管理アクセス許可を付与します。
独自のカスタム IAM ポリシーを作成して、Amazon Timestream for InfluxDB の API アクションのアクセス許可を付与することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)」を参照してください。
## AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess
`AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、マーケットプレイス関連のアクションを除く、すべての Timestream for InfluxDB リソースへのフルアクセスを認可する管理アクセス許可を付与します。
独自のカスタム IAM ポリシーを作成して、Timestream for InfluxDB の API アクションのアクセス許可を付与することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
ポリシーを JSON 形式で確認するには、「[AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess.html)」を参照してください。
## AWS 管理ポリシーへの InfluxDB 更新の Timestream
このサービスがこれらの変更の追跡を開始してからの、Timestream for InfluxDB の AWS マネージドポリシーの更新に関する詳細を表示します。このページが変更されたときに自動でアラートを受け取るには、Timestream for InfluxDB のドキュメント履歴ページで RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) - 既存ポリシーへの更新 | Amazon Timestream for InfluxDB は、Amazon Timestream InfluxDB リソースを再起動するための RebootDbInstance および RebootDbCluster アクションを既存の`AmazonTimestreamInfluxDBFullAccess`管理ポリシーに追加しました。 | 12/17/2025 |
| [AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess-without-marketplace-access) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB は、Amazon Timestream InfluxDB リソースを再起動するための RebootDbInstance および RebootDbCluster アクションを既存の`AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess`管理ポリシーに追加しました。 | 12/17/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB は、VPC エンドポイントを記述するための `ec2:DescribeVpcEndpoints` アクションを既存の `AmazonTimestreamInfluxDBFullAccess` マネージドポリシーに追加しました。 | 11/13/2025 |
| [AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess-without-marketplace-access) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB は、VPC エンドポイントを記述するための `ec2:DescribeVpcEndpoints` アクションを既存の `AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess` マネージドポリシーに追加しました。 | 11/13/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB で、Timestream for InfluxDB クラスターリソースの作成と更新に必要なサブスクリプションを管理するため、Marketplace API にアクセスするのに必要なアクセス許可を追加する既存のマネージドポリシー `AmazonTimestreamInfluxDBFullAccess` が更新されました。 | 4/16/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB で、Timestream for InfluxDB クラスターリソースの InfluxDB エンタープライズマーケットプレイスオファリングのサブスクリプションをサポートするため、マーケットプレイス製品 ID を追加する既存のマネージドポリシー `AmazonTimestreamInfluxDBFullAccess` が更新されました。 | 10/17/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB で、Timestream for InfluxDB クラスターリソースの作成と更新に必要なサブスクリプションを管理するため、Marketplace API にアクセスするのに必要なアクセス許可を追加する既存のマネージドポリシー `AmazonTimestreamInfluxDBFullAccess` が更新されました。 | 4/16/2025 |
| [AmazonTimestreamInfluxDBFullAccessWithoutMarketplaceAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess-without-marketplace-access) - 新しいポリシー | Amazon Timestream for InfluxDB で、マーケットプレイスのオペレーションを除く Amazon Timestream for InfluxDB インスタンスとパラメータグループを管理するため、管理者アクセスを付与する新しいポリシーが追加されました。 | 04/16/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | Amazon Timestream for InfluxDB で、Amazon Timestream InfluxDB クラスターを作成、更新、削除、一覧表示するための完全な管理者アクセスも付与する、既存のマネージドポリシー `AmazonTimestreamInfluxDBFullAccess` が更新されました。 | 2/17/2025 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamInfluxDBFullAccess` マネージドポリシーに `ec2:DescribeRouteTables` アクションが追加されました。このアクションは、ルートテーブルを記述するために使用されます。 | 10/08/2024 |
| [AWS マネージドポリシー: AmazonTimestreamInfluxDBServiceRolePolicy](#security-iam-awsmanpol-timestreamforinfluxdbServiceRolePolicy) - 新しいポリシー | Amazon Timestream for InfluxDB に、サービスがアカウント内のネットワークインターフェイスとセキュリティグループを管理できるようにする新しいポリシーが追加されました。 | 03/14/2024 |
| [AmazonTimestreamInfluxDBFullAccess](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) - 新しいポリシー | Amazon Timestream for InfluxDB インスタンスを作成、更新、削除、一覧表示し、パラメータグループを作成および一覧表示するための完全な管理者アクセスを付与する新しいポリシーが、Amazon Timestream InfluxDB に追加されました。 | 03/14/2024 |
# VPC エンドポイントを介した Timestream for InfluxDB への接続
Timestream for InfluxDB には、仮想プライベートクラウド (VPC) 内のプライベートインターフェイスエンドポイントを使って直接接続することができます。インターフェイス VPC エンドポイントを使用する場合、VPC と Timestream for InfluxDB 間の通信は AWS ネットワーク内で完全に行われます。
Timestream for InfluxDB は、[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) を利用する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントをサポートしています。各 VPC エンドポイントは、VPC サブネット内のプライベート IP アドレスを持つ 1 つ以上の [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) で表されます。
インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで、VPC を Timestream for InfluxDB に直接接続します。VPC のインスタンスは、パブリック IP アドレスがなくても Timestream for InfluxDB と通信できます。
**Regions**
Timestream for InfluxDB は、Timestream for InfluxDB がサポートされているすべての AWS リージョン で VPC エンドポイントと VPC エンドポイントポリシーをサポートします。 InfluxDB
**Topics**
+ [Timestream for InfluxDB VPC エンドポイントに関する注意事項](#vpce-considerations)
+ [Timestream for InfluxDB の VPC エンドポイントの作成](#vpce-create-endpoint)
+ [Timestream for InfluxDB VPC エンドポイントへの接続](#vpce-connect)
+ [VPC エンドポイントへのアクセスの制御](#vpce-policy)
+ [ポリシーステートメントでの VPC エンドポイントの使用](#vpce-policy-condition)
+ [VPC エンドポイントのログ記録](#vpce-logging)
## Timestream for InfluxDB VPC エンドポイントに関する注意事項
Timestream for InfluxDB 用のインターフェイス VPC エンドポイントをセットアップするときは、事前に「*AWS PrivateLink ガイド*」の[インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)に関するトピックを確認してください。
Timestream for InfluxDB は、以下のような方法で VPC エンドポイントをサポートしています。
+ VPC エンドポイントを使用して、VPC からすべての [Timestream for InfluxDB API オペレーション](https://docs.aws.amazon.com/ts-influxdb/latest/ts-influxdb-api/API_Operations.html)を呼び出すことができます。
+ AWS CloudTrail ログを使用して、VPC エンドポイントを介した Timestream for InfluxDB リソースの使用を監査できます。詳細については、「[VPC エンドポイントのログ記録](#vpce-logging)」を参照してください。
## Timestream for InfluxDB の VPC エンドポイントの作成
Amazon VPC コンソールまたは Amazon VPC API を使用して、Timestream for InfluxDB 用の VPC エンドポイントを作成できます。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。
+ Timestream for InfluxDB 用の VPC エンドポイントを作成するには、次のサービス名を使用します。
```
com.amazonaws.region.timestream-influxdb
```
例えば、米国西部 (オレゴン) リージョン(`us-west-2`)では、サービス名は次のようになります。
```
com.amazonaws.us-west-2.timestream-influxdb
```
VPC エンドポイントを使いやすくするために、VPC エンドポイントに対して[プライベート DNS 名](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)を有効にすることができます。**[DNS 名を有効化]** のオプションを選択すると、標準の Timestream for InfluxDB DNS ホスト名が VPC エンドポイントに解決されます。例えば、`https://timestream-influxdb.us-west-2.amazonaws.com` はサービス名 `com.amazonaws.us-west-2.timestream-influxdb` に接続された VPC エンドポイントに解決されます。
このオプションにより VPC エンドポイントが使いやすくなります。 AWS SDKsと は、デフォルトで InfluxDB DNS ホスト名に標準の Timestream AWS CLI を使用するため、アプリケーションとコマンドで VPC エンドポイント URL を指定する必要はありません。
詳細については、「AWS PrivateLink ガイド」の「[インターフェイスエンドポイントを介したサービスへアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)」を参照してください。
## Timestream for InfluxDB VPC エンドポイントへの接続
AWS SDK、、 AWS CLI または を使用して、VPC エンドポイントを介して Timestream for InfluxDB に接続できます AWS Tools for PowerShell。VPC エンドポイントを指定するには、DNS 名を使用します。
VPC エンドポイントの作成時にプライベートホスト名を有効にした場合は、CLI コマンドまたはアプリケーションの設定で VPC エンドポイント URL を指定する必要はありません。標準の Timestream for InfluxDB DNS ホスト名は VPC エンドポイントに解決されます。 AWS CLI および SDKsデフォルトでこのホスト名を使用するため、VPC エンドポイントを使用して、スクリプトやアプリケーションを変更することなく、Timestream for InfluxDB リージョンエンドポイントに接続できます。
プライベートホスト名を使用するには、VPC の `enableDnsHostnames` 属性と `enableDnsSupport` 属性を `true` に設定する必要があります。これらの属性を設定するには、 [ModifyVpcattribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) オペレーションを使用します。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC の DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)」を参照してください。
## VPC エンドポイントへのアクセスの制御
Timestream for InfluxDB の VPC エンドポイントへのアクセスを制御するには、*VPC エンドポイントポリシー*を VPC エンドポイントにアタッチします。エンドポイントポリシーは、プリンシパルが VPC エンドポイントを使用して Timestream for InfluxDB リソースに対する Timestream for InfluxDB オペレーションを呼び出すことができるかどうかを決定します。
エンドポイントの作成時に VPC エンドポイントポリシーを作成できます。また、VPC エンドポイントポリシーはいつでも変更できます。VPC マネジメントコンソール、または [CreateVPcendPoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) オペレーションまたは [ModifyVPcendPoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) オペレーションを使用します。[AWS CloudFormation テンプレートを使用して](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) VPC エンドポイントポリシーを作成および変更することもできます。VPC マネジメントコンソールの使用方法については、「*AWS PrivateLink ガイド*」で[インターフェイスエンドポイントの作成方法](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)および[インターフェイスエンドポイントの変更方法](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)を確認してください。
**注記**
Timestream for InfluxDB は、2020 年 7 月以降、VPC エンドポイントポリシーをサポートしています。この日付以前に作成された Timestream for InfluxDB の VPC エンドポイントには[デフォルトの VPC エンドポイントポリシー](#vpce-default-policy)が設定されていますが、これはいつでも変更できます。
**Topics**
+ [VPC エンドポイントポリシーについて](#vpce-policy-about)
+ [デフォルトの VPC エンドポイントポリシー](#vpce-default-policy)
+ [VPC エンドポイントポリシーの作成](#vpce-policy-create)
+ [VPC エンドポイントポリシーの表示](#vpce-policy-get)
### VPC エンドポイントポリシーについて
VPC エンドポイントを使用する Timestream for InfluxDB リクエストが成功するには、プリンシパルに 2 つのソースからのアクセス許可が必要です。
+ [IAM ポリシー](security-iam-for-influxdb.md)は、リソースでオペレーションを呼び出すためのプリンシパルアクセス権限を付与する必要があります。
+ VPC エンドポイントポリシーは、エンドポイントを使用してリクエストを実行するためのアクセス権限をプリンシパルに付与する必要があります。
### デフォルトの VPC エンドポイントポリシー
すべての VPC エンドポイントには VPC エンドポイントポリシーがありますが、ポリシーを指定する必要はありません。ポリシーを指定しない場合、デフォルトのエンドポイントポリシーでは、エンドポイント上のすべてのリソースのすべてのプリンシパルによるすべてのオペレーションが許可されます。
ただし、Timestream for InfluxDB リソースの場合、プリンシパルには [IAM ポリシー](security-iam-for-influxdb.md)からオペレーションを呼び出すアクセス許可も必要です。したがって、実際、デフォルトのポリシーには、プリンシパルにリソースのオペレーションを呼び出すアクセス許可がある場合はエンドポイントを使用してそれを呼び出すこともできると書かれています。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
許可されたオペレーションのサブセットのみに VPC エンドポイントを使用することをプリンシパルに許可するには、[VPC エンドポイントポリシーを作成または変更](#vpce-policy-create)します。
### VPC エンドポイントポリシーの作成
VPC エンドポイントポリシーは、プリンシパルに VPC エンドポイントを使用してリソースに対してオペレーションを実行するアクセス許可があるかどうかを決定します。Timestream for InfluxDB リソースでは、プリンシパルには [IAM ポリシー](security-iam-for-influxdb.md)からオペレーションを実行するためのアクセス許可も必要です。
各 VPC エンドポイントポリシーステートメントには、次の要素が必要です。
+ アクションを実行できるプリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース
ポリシーステートメントは VPC エンドポイントを指定しません。代わりに、ポリシーがアタッチされているすべての VPC エンドポイントに適用されます。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。
### VPC エンドポイントポリシーの表示
エンドポイントの VPC エンドポイントポリシーを表示するには、 [VPC マネジメントコンソール](https://console.aws.amazon.com/vpc/) または [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html) オペレーションを使用します。
次の AWS CLI コマンドは、指定された VPC エンドポイント ID を持つエンドポイントのポリシーを取得します。
このコマンドを使用する前に、サンプルのエンドポイント ID をアカウントの有効なものに置き換えてください。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'
--output text
```
## ポリシーステートメントでの VPC エンドポイントの使用
リクエストが VPC から送信されたとき、または VPC エンドポイントを使用するときに、Timestream for InfluxDB リソースとオペレーションへのアクセスを制御できます。そのためには、[IAM ポリシー](security-iam-for-influxdb.md)で次のいずれかの[グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)を使用します。
+ `aws:sourceVpce` 条件キーを使用して、VPC エンドポイントに基づいてアクセスを許可または制限します。
+ `aws:sourceVpc` 条件キーを使用して、プライベートエンドポイントをホストする VPC に基づいてアクセスを許可または制限します。
**注記**
VPC エンドポイントに基づいてキーポリシーと IAM ポリシーを作成する場合は、注意が必要です。ポリシーステートメントで特定の VPC または VPC エンドポイントからのリクエストが要求されている場合、ユーザーに代わって Timestream for InfluxDB リソースを使用する統合 AWS サービスからのリクエストが失敗する可能性があります。
また、リクエストが [Amazon VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)から送信される場合、`aws:sourceIP` 条件キーは無効です。リクエストを VPC エンドポイントに制限するには、`aws:sourceVpce` または `aws:sourceVpc` 条件キーを使用します。詳細については、「*AWS PrivateLink ガイド*」の [VPC エンドポイントと VPC エンドポイントサービスのアイデンティティおよびアクセス管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)のページを参照してください。
これらのグローバル条件キーを使用することで、特定のリソースに依存しない [CreateDbInstance](https://docs.aws.amazon.com//ts-influxdb/latest/ts-influxdb-api/API_CreateDbInstance.html) などのオペレーションへのアクセスを制御できます。
## VPC エンドポイントのログ記録
AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。Timestream for InfluxDB へのリクエストで VPC エンドポイントが使用されている場合、VPC エンドポイント ID は、そのリクエストが記録されている [AWS CloudTrail ログ](logging-using-cloudtrail.md)のエントリに表示されます。このエンドポイント ID を使用して、Timestream for InfluxDB VPC エンドポイントの使用状況を監査できます。
ただし、CloudTrail ログには、他のアカウントのプリンシパルによってリクエストされたオペレーション、および他のアカウントの Timestream for InfluxDB リソースやエイリアスに対する Timestream for InfluxDB オペレーションのリクエストは含まれません。また、VPC を保護するために [VPC エンドポイントポリシー](#vpce-policy)によって拒否されたが、それ以外の場合は許可されるリクエストは [AWS CloudTrail](logging-using-cloudtrail.md) に記録されません。