VPC ピアリングを使用して Amazon Lightsail と他の AWS のサービス間の通信を設定するために必要な最小限の IAM 許可とはどのようなものですか?

最終更新日: 2021 年 9 月 28 日

VPC ピアリングを使用して Amazon Lightsail と他の AWS のサービス間の通信を設定したいと考えています。これを実行するために必要な最小限の Identity and Access Management (IAM) 許可とはどのようなものですか?

解決方法

Amazon Lightsail では、Amazon Relational Database Service (Amazon RDS) データベースなどの他の AWS リソースに接続するために、VPC とのピアリング接続が必要です。Lightsail の許可に加えて、IAM エンティティには、Lightsail との VPC ピアリング接続を確立および作成するために、特定の Amazon Elastic Compute Cloud (Amazon EC2) 許可が必要です。

前提条件: Lightsail で VPC ピアリングを設定するには、デフォルトの Amazon VPC が必要です。デフォルトの Amazon VPC がない場合は作成できます。詳細については、デフォルトの VPC を作成するを参照してください。AWS リージョンは互いに分離されているため、VPC も、それが作成されたリージョンで隔離されます。Lightsail リソースがある各リージョンで VPC ピアリングを設定する必要があります。

接続の作成に必要な最小限の許可を IAM ユーザーに付与するのがベストプラクティスです。ポリシー内で必要な Amazon EC2 アクションのみを指定できます。次のポリシー例には、EC2 エンドポイントへのアクセス、ピアリング接続の受入れ、およびこの接続に対応するための既存のルートテーブルの編集を行うためのアクションが含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

前述のポリシーでは、Amazon Lightsail (「lightsail:*」) へのフルアクセスが許可されています。IAM エンティティが Amazon Lightsail の制限ポリシー (「lightsail:*」ではない) を使用している場合は、必ず「lightsail:PeerVpc」と「lightsail:UnpeerVpc」を含めてください。この場合、Amazon Lightsail コンソールを使用してピアリングアクションを実行できない場合があります。代わりに、PeerVpcUnpeerVpc などの AWS API コールを使用して、ピアリング接続を設定できます。

ピアリング接続を設定するための AWS Command Line Interface (AWS CLI) コールの例を以下に示します。

注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

VPC ピアリング接続を作成する

aws lightsail peer-vpc --region regionName

VPC ピアリング接続を確認する

aws lightsail is-vpc-peered --region regionName

VPC ピアリング接続を削除する

aws lightsail unpeer-vpc --region regionName

regionName を VPC ピアリングを追加する正しいリージョンに置き換えます。

注: その他のアクションには、このポリシーに含まれていない追加の許可が必要です。例えば、Lightsail スナップショットを Amazon EC2 にエクスポートしたり、この Lightsail の VPC ピアリング接続を使用して他の AWS のサービスにアクセスしたりするには、追加の許可が必要です。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?