スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

オンプレミス環境(パブリックネットワークアクセス不可)から IAM Roles Anywhere で CreateSession を実行する際の VPC エンドポイントとVPCエンドポイントポリシー設定について

0

AM Roles Anywhere について質問させてください。

オンプレミス環境(VPCへ接続、パブリックネットワークアクセス不可)aws_signing_helper を利用して CreateSession を実行する際(証明書・プロファイル・信頼アンカーを指定し、アクセスキーとセッショントークンを取得するケース)に、IAM Roles Anywhere のエンドポイントポリシー設定としては、どのリソースに対してどのアクションを許可すればよいでしょうか? 当初は arn:aws:rolesanywhere:ap-northeast-1:{AWSアカウントID}:* に対し rolesanywhere:CreateSession を許可すれば良いと考えておりました。しかし公式ドキュメントによると、VPC エンドポイントでは CreateSession API をサポートしていないように読み取れます。さらにインターネット上に参考情報が少なく、適切なポリシーの記述例がわかりかねております。

以上、ご教示いただけますと幸いです。どうぞよろしくお願いいたします。

トピック
セキュリティ、アイデンティティ、コンプライアンスネットワークとコンテンツ配信AWS Well-Architected Framework
タグ
Amazon VPCAWS Identity and Access ManagementIAM ポリシーIAM Roles Anywhereセキュリティ
言語
日本語
質問済み 1年前170ビュー
1回答
0

CreateSession APIはVPCエンドポイントポリシーでの制御に対応していないため、どのようなVPCエンドポイントポリシーでもCreateSession APIを使用した一時認証情報の取得に成功いたします。

そのため、IAM Roles Anywhereの設定操作/閲覧に使用するアクションについて許可を行わず、一時認証情報取得のためだけにVPCエンドポイントを使用しているのであれば、全てDenyのポリシーでもご使用いただけます。

Sources
IAM Roles Anywhere and interface VPC endpoints (AWS PrivateLink) - IAM Roles Anywhere
Actions - IAM Roles Anywhere

回答済み 1年前
AWS
サポートエンジニア
修正済み 1年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

関連するコンテンツ