翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon VPC Lattice のアイデンティティとアクセス管理
以下のセクションでは、VPC Lattice API アクションを実行できるユーザーを制御することで、 AWS Identity and Access Management (IAM) を使用して VPC Lattice リソースを保護する方法について説明します。
**Topics**
+ [Amazon VPC Lattice で IAM が機能する仕組み](security_iam_service-with-iam.md)
+ [Amazon VPC Lattice API アクセス許可](additional-api-permissions.md)
+ [Amazon VPC Lattice のアイデンティティベースのポリシー](security_iam_id-based-policies.md)
+ [Amazon VPC Lattice のサービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [AWS Amazon VPC Lattice の マネージドポリシー](managed-policies.md)
# Amazon VPC Lattice で IAM が機能する仕組み
IAM を使用して VPC Lattice へのアクセスを管理する前に、VPC Lattice で利用できる IAM の機能について説明します。
| IAM 機能 | VPC Lattice のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | はい |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys) | あり |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | はい |
| [サービスロール](#security_iam_service-with-iam-roles-service) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
VPC Lattice およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## VPC Lattice のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
## VPC Lattice 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** あり
リソースベースのポリシーは、 のリソースにアタッチする JSON ポリシードキュメントです AWS。リソースベースのポリシーをサポートする AWS サービスでは、サービス管理者はそれらを使用して、その AWS サービスの特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、プリンシパルを指定する必要があります。
VPC Lattice は認証ポリシーをサポートしています。これはサービスネットワーク内のサービスへのアクセスを制御できるリソースベースのポリシーです。詳細については、「[認証ポリシーを使用して VPC Lattice サービスへのアクセスを制御する](auth-policies.md)」を参照してください。
また、VPC Lattice は AWS Resource Access Managerとの統合で使用するリソースベースのアクセス許可ポリシーもサポートしています。これらのリソースベースのポリシーを使用して、サービス、リソース設定、サービスネットワークの他の AWS アカウントまたは組織への接続を管理するアクセス許可を付与できます。詳細については、「[VPC Lattice のエンティティを共有する](sharing.md)」を参照してください。
## VPC Lattice のポリシーアクション
**ポリシーアクションのサポート:** あり
IAM ポリシーステートメントで、IAM をサポートするすべてのサービスからの任意の API アクションを指定できます。VPC Lattice の場合、API アクションの名前に `vpc-lattice:` のプレフィックスを使用します。例えば、`vpc-lattice:CreateService`、`vpc-lattice:CreateTargetGroup`、および `vpc-lattice:PutAuthPolicy` のようになります。
単一のステートメントで複数のアクションを指定するには、次のようにカンマで区切ります。
```
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
```
ワイルドカードを使用して複数のアクションを指定することもできます。例えば、`Get` という単語で始まるアクション名すべてを次のように指定できます。
```
"Action": "vpc-lattice:Get*"
```
VPC Lattice API アクションの全リストを確認するには、「サービス認可リファレンス」の「[Amazon VPC Lattice で定義されたアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-actions-as-permissions)」を参照してください。
## VPC Lattice のポリシーリソース
**ポリシーリソースのサポート:** あり
IAM ポリシーステートメントで、`Resource` 要素は、ステートメントがカバーするオブジェクトを指定します。VPC Lattice では、各 IAM ポリシーステートメントは ARN を使用して指定したリソースに適用されます。
それぞれの Amazon リソースネーム (ARN) 形式はリソースによって異なります。ARN を指定するには、*イタリック体*のテキストを、リソース固有の情報に置き換えます。
+ **アクセスログサブスクリプション:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id"
```
+ **リスナー:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id"
```
+ **リソースゲートウェイ**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id"
```
+ **リソース設定**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id"
```
+ **ルール:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id"
```
+ **サービス:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id"
```
+ **サービスネットワーク:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id"
```
+ **サービスネットワークのサービスの関連付け:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id"
```
+ **サービスネットワークリソース設定の関連付け**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id"
```
+ **サービスネットワークの VPC の関連付け:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id"
```
+ **ターゲットグループ:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
```
## VPC Lattice のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
VPC Lattice 条件キーのリストを確認するには、*「サービス認可リファレンス*」の[「Amazon VPC Lattice の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-policy-keys)」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。 AWS グローバル条件キーの詳細については、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
## VPC Lattice のアクセスコントロールリスト (ACL)
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## VPC Lattice での属性ベースのアクセス制御 (ABAC)
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## VPC Lattice で一時的な認証情報を使用する
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールを使用する場合に自動的に作成されます。 AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## VPC Lattice のサービスロール
**サービスロールのサポート:** なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールの許可を変更すると、VPC Lattice の機能が破損する可能性があります。VPC Lattice が指示する場合以外は、サービスロールを編集しないでください。
## VPC Lattice のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
VPC Lattice のサービスにリンクされたロールの作成または管理の詳細については、「[Amazon VPC Lattice のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
# Amazon VPC Lattice API アクセス許可
必要な VPC Lattice API アクションを呼び出すアクセス許可を IAM アイデンティティ (ユーザーやロールなど) に付与する必要があります。詳細については、「[VPC Lattice のポリシーアクション](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)」を参照してください。さらに、VPC Lattice アクションによっては、他の AWS APIs から特定のアクションを呼び出すアクセス許可を IAM ID に付与する必要があります。
## API に必要なアクセス許可
API から次のアクションを呼び出す場合は、指定されたアクションを呼び出すアクセス許可を IAM ユーザーに付与する必要があります。
`CreateResourceConfiguration`
+ `vpc-lattice:CreateResourceConfiguration`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBClusters`
`CreateResourceGateway`
+ `vpc-lattice:CreateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
`DeleteResourceGateway`
+ `vpc-lattice:DeleteResourceGateway`
+ `ec2:DeleteNetworkInterface`
`UpdateResourceGateway`
+ `vpc-lattice:UpdateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnassignPrivateIpAddresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:ModifyNetworkInterfaceAttribute`
`CreateServiceNetworkResourceAssociation`
+ `vpc-lattice:CreateServiceNetworkResourceAssociation`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeNetworkInterfaces`
`CreateServiceNetworkVpcAssociation`
+ `vpc-lattice:CreateServiceNetworkVpcAssociation`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSecurityGroups` (セキュリティグループが指定されている場合にのみ必要)
`UpdateServiceNetworkVpcAssociation`
+ `vpc-lattice:UpdateServiceNetworkVpcAssociation`
+ `ec2:DescribeSecurityGroups` (セキュリティグループが指定されている場合にのみ必要)
`CreateTargetGroup`
+ `vpc-lattice:CreateTargetGroup`
+ `ec2:DescribeVpcs`
`RegisterTargets`
+ `vpc-lattice:RegisterTargets`
+ `ec2:DescribeInstances` (ターゲットグループタイプが `INSTANCE` の場合のみ必要)
+ `ec2:DescribeVpcs` (ターゲットグループタイプが `INSTANCE` または `IP` の場合のみ必要)
+ `ec2:DescribeSubnets` (ターゲットグループタイプが `INSTANCE` または `IP` の場合のみ必要)
+ `lambda:GetFunction` (ターゲットグループタイプが `LAMBDA` の場合のみ必要)
+ `lambda:AddPermission` (ターゲットグループが指定された Lambda 関数を呼び出す権限をまだ持っていない場合にのみ必要)
`DeregisterTargets`
+ `vpc-lattice:DeregisterTargets`
`CreateAccessLogSubscription`
+ `vpc-lattice:CreateAccessLogSubscription`
+ `logs:GetLogDelivery`
+ `logs:CreateLogDelivery`
`DeleteAccessLogSubscription`
+ `vpc-lattice:DeleteAccessLogSubscription`
+ `logs:DeleteLogDelivery`
`UpdateAccessLogSubscription`
+ `vpc-lattice:UpdateAccessLogSubscription`
+ `logs:UpdateLogDelivery`
# Amazon VPC Lattice のアイデンティティベースのポリシー
デフォルトでは、ユーザーおよびロールには VPC Lattice リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
VPC Lattice が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「サービス認可リファレンス」の「[Amazon VPC Lattice のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [フルアクセスに必要な追加のアクセス許可](#security_iam_id-based-policy-additional-permissions)
+ [VPC Lattice のアイデンティティベースのポリシーの例](#security_iam_id-based-policy-examples)
## ポリシーに関するベストプラクティス
アイデンティティベースのポリシーは、ユーザーのアカウントで誰かが VPC Lattice リソースの作成、アクセス、削除ができるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## フルアクセスに必要な追加のアクセス許可
VPC Lattice が統合されている他の AWS サービスおよび VPC Lattice 機能のスイート全体を使用するには、特定の追加のアクセス許可が必要です。このような権限は `VPCLatticeFullAccess` マネージドポリシーには含まれていません。それは[混乱した代理](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)権限昇格リスクがあるためです。
次のポリシーをロールにアタッチし、`VPCLatticeFullAccess` マネージドポリシーと合わせて使用する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream",
"lambda:AddPermission",
"s3:PutBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"vpc-lattice.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
}
]
}
```
------
このポリシーにより、次の追加のアクセス許可が付与されます。
+ `iam:AttachRolePolicy`: 指定した IAM ロールに指定のマネージドポリシーをアタッチできます。
+ `iam:PutRolePolicy`: 指定した IAM ロールに埋め込まれたインラインポリシードキュメントを追加または更新できます。
+ `s3:PutBucketPolicy`: Amazon S3 バケットにバケットポリシーを適用できます。
+ `firehose:TagDeliveryStream`: Firehose 配信ストリームのタグを追加または更新できます。
## VPC Lattice のアイデンティティベースのポリシーの例
**Topics**
+ [ポリシーの例: サービスネットワークへの VPC 関連付けを管理する](#security_iam_id-based-policy-examples-vpc-to-service-network-association)
+ [ポリシーの例: サービスネットワークへのサービス関連付けを作成する](#security_iam_id-based-policy-examples-service-to-service-network-association)
+ [ポリシーの例: リソースにタグを追加する](#security_iam_id-based-policy-examples-tag-resources)
+ [ポリシーの例: サービスにリンクされたロールを作成する](#security_iam_id-based-policy-examples-service-linked-role)
### ポリシーの例: サービスネットワークへの VPC 関連付けを管理する
次の例は、このポリシーを持つユーザーにサービスネットワークとの VPC の関連付けを作成、更新、削除する権限を付与するポリシーを示しています。ただし、条件で指定された VPC とサービスネットワークのみに限ります。条件の指定に関する詳細については、[VPC Lattice のポリシー条件キー](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkVpcAssociation",
"vpc-lattice:UpdateServiceNetworkVpcAssociation",
"vpc-lattice:DeleteServiceNetworkVpcAssociation"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
"vpc-lattice:VpcId": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
### ポリシーの例: サービスネットワークへのサービス関連付けを作成する
VPC Lattice リソースへのアクセスを制御するために条件キーを使用していない場合は、代わりに `Resource` 要素内のリソースの ARN を指定してアクセスを制御できます。
次の例は、`CreateServiceNetworkServiceAssociation` API アクションで使用できるサービスとサービスネットワークの ARN を指定して、このポリシーを持つユーザーが作成できるサービスネットワークにのみサービスの関連付けを制限するポリシーを示しています。ARN 値の指定については、「[VPC Lattice のポリシーリソース](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkServiceAssociation"
],
"Resource": [
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
"arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
]
}
]
}
```
------
### ポリシーの例: リソースにタグを追加する
次の例は、このポリシーを持つユーザーに対して、VPC Lattice リソースにタグを作成するアクセス許可を付与するポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:TagResource"
],
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
}
]
}
```
------
### ポリシーの例: サービスにリンクされたロールを作成する
VPC Lattice では、 のユーザーが VPC Lattice リソースを初めて作成するときに、サービスにリンクされたロール AWS アカウント を作成するためのアクセス許可が必要です。サービスにリンクされたロールがまだ存在しない場合は、VPC Lattice によってアカウント内に作成されます。サービスにリンクされたロールは、VPC Lattice がユーザーに代わって他の を呼び出すことができるように、VPC Lattice AWS のサービス にアクセス許可を付与します。詳細については、「[Amazon VPC Lattice のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
この自動ロール作成を成功させるには、ユーザーには `iam:CreateServiceLinkedRole` アクションへのアクセス許可が必要です。
```
"Action": "iam:CreateServiceLinkedRole"
```
次の例は、このポリシーを持つユーザーに対して、VPC Lattice のサービスにリンクされたロールを作成するアクセス許可を付与するポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"vpc-lattice.amazonaws.com"
}
}
}
]
}
```
------
詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
# Amazon VPC Lattice のサービスにリンクされたロールの使用
Amazon VPC Lattice は、 AWS のサービス ユーザーに代わって他の を呼び出すために必要なアクセス許可に、サービスにリンクされたロールを使用します。詳細については、「IAM ユーザーガイド」の「[Service-linked roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)」を参照してください。
VPC Lattice は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForVpcLattice。
## VPC Lattice のサービスにリンクされたロールによるアクセス許可
サービスにリンクされたロール **AWSServiceRoleForVpcLattice** は、次のサービスを信頼してロールを引き受けます。
+ `vpc-lattice.amazonaws.com`
AWSVpcLatticeServiceRolePolicy という名前のロールアクセス許可ポリシーにより、VPC Lattice は `AWS/VpcLattice` 名前空間に CloudWatch メトリクスを公開できます。詳細については、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)」の「」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「[ポリシーの例: サービスにリンクされたロールを作成する](security_iam_id-based-policies.md#security_iam_id-based-policy-examples-service-linked-role)」を参照してください。
## VPC Lattice のサービスにリンクされたロールを作成する
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で VPC Lattice リソースを作成すると、VPC Lattice によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。VPC Lattice リソースを作成すると、VPC Lattice によって再度サービスにリンクされたロールが作成されます。
## VPC Lattice のサービスにリンクされたロールを編集する
IAM を使用して、**AWSServiceRoleForVpcLattice** の説明を編集できます。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。
## VPC Lattice のサービスにリンクされたロールを削除する
Amazon VPC Lattice を使用する必要がなくなった場合は、**AWSServiceRoleForVpcLattice** を削除することをお勧めします。
このサービスにリンクされたロールを削除するには、 AWS アカウント内のすべての VPC Lattice リソースを削除する必要があります。
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForVpcLattice** サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください
サービスにリンクされたロールを削除した後、 AWS アカウントに VPC Lattice リソースを作成すると、VPC Lattice がそのロールを再度作成します。
## VPC Lattice のサービスにリンクされたロールをサポートするリージョン
VPC Lattice では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用がサポートされています。
# AWS Amazon VPC Lattice の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: VPCLatticeFullAccess
このポリシーは Amazon VPC Lattice へのフルアクセスを提供し、他の依存サービスへのアクセスは制限します。これには次のことを実行する許可が含まれています。
+ ACM — カスタムドメイン名の SSL/TLS 証明書 ARN を取得します。
+ CloudWatch — アクセスログとモニタリングデータを表示します。
+ CloudWatch Logs — アクセスログを設定し、CloudWatch Logs に送信します。
+ Amazon EC2 – ネットワークインターフェイスを設定し、EC2 インスタンスと VPCsに関する情報を取得します。これは、リソース設定、リソースゲートウェイ、ターゲットグループの作成、VPC Lattice エンティティの関連付けの設定、ターゲットの登録に使用されます。
+ Elastic Load Balancing — Application Load Balancer に関する情報を取得して、ターゲットとして登録します。
+ Firehose – アクセスログの保存に使用される配信ストリームに関する情報を取得します。
+ Lambda — Lambda 関数に関する情報を取得して、ターゲットとして登録します。
+ Amazon RDS – RDS クラスターとインスタンスに関する情報を取得します。
+ Amazon S3 — アクセスログを保存するために使用される S3 バケットに関する情報を取得します。
このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「[VPCLatticeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeFullAccess.html)」を参照してください。
VPC Lattice が統合されている他の AWS サービスおよび VPC Lattice 機能のスイート全体を使用するには、特定の追加のアクセス許可が必要です。このような権限は `VPCLatticeFullAccess` マネージドポリシーには含まれていません。それは[混乱した代理](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)権限昇格リスクがあるためです。詳細については、「[フルアクセスに必要な追加のアクセス許可](security_iam_id-based-policies.md#security_iam_id-based-policy-additional-permissions)」を参照してください。
## AWS マネージドポリシー: VPCLatticeReadOnlyAccess
このポリシーは Amazon VPC Lattice への読み取り専用アクセスを提供し、他の依存サービスへのアクセスは制限します。これには次のことを実行する許可が含まれています。
+ ACM — カスタムドメイン名の SSL/TLS 証明書 ARN を取得します。
+ CloudWatch — アクセスログとモニタリングデータを表示します。
+ CloudWatch Logs — アクセスログサブスクリプションのログ配信情報を表示します。
+ Amazon EC2 — EC2 インスタンスと VPC に関する情報を取得して、ターゲットグループを作成しターゲットを登録します。
+ Elastic Load Balancing — Application Load Balancer に関する情報を取得します。
+ Firehose – アクセスログ配信の配信ストリームに関する情報を取得します。
+ Lambda — Lambda 関数に関する情報を表示します。
+ Amazon RDS – RDS クラスターとインスタンスに関する情報を取得します。
+ Amazon S3 — アクセスログ配信のための S3 バケットに関する情報を取得します。
このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「[VPCLatticeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: VPCLatticeServicesInvokeAccess
このポリシーは Amazon VPC Lattice サービスを呼び出すためのアクセス許可を付与します。
このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「[VPCLatticeServicesInvokeAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeServicesInvokeAccess.html)」を参照してください。
## AWS マネージドポリシー: AWSVpcLatticeServiceRolePolicy
このポリシーは **AWSServiceRoleForVpcLattice** という名前のサービスにリンクされたロールにアタッチされ、VPC Lattice がユーザーに代わってアクションを実行できるようにします。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[Amazon VPC Lattice のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「[AWSVpcLatticeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)」を参照してください。
## AWS 管理ポリシーに対する VPC Lattice の更新
このサービスがこれらの変更の追跡を開始してからの VPC Lattice の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を受け取るには、VPC Lattice ユーザーガイドの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice は、Amazon RDS クラスターとインスタンスを記述するための読み取り専用アクセス許可を追加します。 | 2024 年 12 月 1 日 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice は、Amazon RDS クラスターとインスタンスを記述するための読み取り専用アクセス許可を追加します。 | 2024 年 12 月 1 日 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice は、VPC Lattice がリクエスタマネージドネットワークインターフェイスを作成できるようにするアクセス許可を追加します。 | 2024 年 12 月 1 日 |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice に Amazon VPC Lattice へのフルアクセスと他の依存サービスへの制限付きアクセスを付与する新しいポリシーが追加されました。 | 2023 年 3 月 31 日 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice に Amazon VPC Lattice への読み取り専用アクセス権限と他の依存サービスへの制限付きアクセス権限を付与する新しいポリシーが追加されました。 | 2023 年 3 月 31 日 |
| [VPCLatticeServicesInvokeAccess](#vpc-lattice-services-invoke-access-policy) | VPC Lattice に Amazon VPC Lattice サービスを呼び出すためのアクセス許可を付与する新しいポリシーが追加されました。 | 2023 年 3 月 31 日 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice にサービスにリンクされたロールへのアクセス許可が追加され、VPC Lattice が AWS/VpcLattice 名前空間で CloudWatch メトリクスを公開できるようになりました。AWSVpcLatticeServiceRolePolicy ポリシーに CloudWatch [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) API アクションを呼び出すためのアクセス許可が含まれるようになりました。詳細については、「[Amazon VPC Lattice のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。 | 2022 年 12 月 5 日 |
| VPC Lattice による変更の追跡に開始 | VPC Lattice は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2022 年 12 月 5 日 |