IAM Roles Anywhere が CreateSession API の VPC エンドポイントポリシーの適用を開始
AWS Identity and Access Management (IAM) Roles Anywhere では、IAM Roles Anywhere CreateSession API の仮想プライベートクラウド (VPC) エンドポイントポリシーを設定できるようになりました。VPC エンドポイントポリシーを更新して、CreateSession オペレーションを許可または拒否できます。CreateSession が VPC エンドポイントポリシーの Allow ステートメントに明示的に含まれていない場合、またはすべてのオペレーションを許可しない場合 (例えば、アクションとして「rolesanywhere:*」を指定した場合)、IAM Roles Anywhere は VPC エンドポイント経由で行われたリクエストに対して一時的な AWS 認証情報を返しません。
CreateSession API を使用すると、AWS の外部で実行されているワークロードは、X.509 証明書を使用して一時的な AWS 認証情報を取得して AWS リソースにアクセスできます。これまで、VPC エンドポイントポリシーは CreateSession を除くすべての IAM Roles Anywhere API オペレーションに適用されていました。今回のリリースにより、この機能差が解消され、すべての IAM Roles Anywhere API オペレーションにわたって一貫したきめ細かなアクセス制御が可能になります。
この機能は、AWS GovCloud (米国) リージョン、AWS European Sovereign Cloud (ドイツ) リージョン、中国リージョンなど、IAM Roles Anywhere が利用可能なすべての AWS リージョンで利用できます。詳細については、IAM Roles Anywhere ユーザーガイドを参照してください。