IAM Roles AnywhereがCreateSession APIに対するVPCエンドポイントポリシーを適用開始
ID 4756
GUID daa71ee8338a11986040ca01c5fe497724eac646
発表日(JST)
要約生成日時(JST)
タイトル IAM Roles AnywhereがCreateSession APIに対するVPCエンドポイントポリシーを適用開始
詳細リンク https://aws.amazon.com/about-aws/whats-new/2026/05/iam-roles-anywhere-vpc/
カテゴリ
  • aws-iam
  • security-identity-and-compliance
要点
  • IAM Roles AnywhereのCreateSession APIに対してVPCエンドポイントポリシーが適用されるようになった
  • VPCエンドポイントポリシーでCreateSessionオペレーションの許可・拒否を制御可能
  • CreateSessionがAllowステートメントに明示的に含まれていない場合、VPCエンドポイント経由での一時的なAWS認証情報の取得がブロックされる
  • 以前はCreateSessionのみVPCエンドポイントポリシーの適用対象外だったが、今回のリリースでギャップが解消された
  • すべてのIAM Roles Anywhere APIオペレーションに対して一貫したきめ細かなアクセス制御が可能に
  • AWS GovCloud (US)、AWS European Sovereign Cloud (ドイツ)、中国リージョンを含むすべての対応リージョンで利用可能
アップデート内容要約

IAM Roles Anywhereが、CreateSession APIに対してVPCエンドポイントポリシーを適用できるようになりました。これにより、以前はCreateSessionのみ除外されていたVPCエンドポイントポリシーの適用範囲が全APIに統一され、一貫したきめ細かなアクセス制御が可能になります。
アップデート内容全文

AWS Identity and Access Management (IAM) Roles Anywhereは、IAM Roles AnywhereのCreateSession APIに対してVirtual Private Cloud (VPC) エンドポイントポリシーを設定する機能を提供するようになりました。
VPCエンドポイントポリシーを更新して、CreateSessionオペレーションを許可または拒否できます。
VPCエンドポイントポリシーのAllowステートメントにCreateSessionが明示的に含まれていない場合、またはすべてのオペレーションを許可していない場合(例えば、アクションとして「rolesanywhere:*」を指定していない場合)、IAM Roles AnywhereはVPCエンドポイント経由のリクエストに対して一時的なAWS認証情報を返しません。
CreateSession APIは、AWS外で実行されているワークロードがX.509証明書を使用してAWSリソースにアクセスするための一時的なAWS認証情報を取得することを可能にします。
以前は、VPCエンドポイントポリシーはCreateSessionを除くすべてのIAM Roles Anywhere APIオペレーションに適用されていました。
今回のリリースにより、そのギャップが解消され、すべてのIAM Roles Anywhere APIオペレーションにわたって一貫したきめ細かなアクセス制御が可能になりました。
この機能は、AWS GovCloud (US) リージョン、AWS European Sovereign Cloud (ドイツ) リージョン、中国リージョンを含む、IAM Roles Anywhereが利用可能なすべてのAWSリージョンで利用できます。
詳細については、IAM Roles Anywhereユーザーガイドをご覧ください。

関連サービス
  • AWS Identity and Access Management
  • Amazon VPC
  • IAM Roles Anywhere
関連サービスの説明
  • AWS Identity and Access Management(IAM)は、AWSリソースへのアクセスを安全に管理するためのサービスです。ユーザー、グループ、ロール、ポリシーを作成して、誰がどのAWSリソースにどのような操作を行えるかを細かく制御できます。AWSのセキュリティの基盤となるサービスであり、認証と認可の仕組みを提供します。
  • Amazon VPC(Virtual Private Cloud)は、AWS上に論理的に隔離された仮想ネットワークを構築できるサービスです。VPCエンドポイントを使用すると、インターネットを経由せずにVPC内からAWSサービスにプライベートに接続できます。VPCエンドポイントポリシーを設定することで、エンドポイント経由でどのAPIオペレーションを許可・拒否するかをきめ細かく制御できます。
  • IAM Roles Anywhereは、AWS外部で実行されているワークロード(オンプレミスのサーバーや他のクラウド環境など)がX.509証明書を使用して一時的なAWS認証情報を取得し、AWSリソースにアクセスできるようにするサービスです。これにより、AWS外のワークロードでも長期的なアクセスキーを使用せずに、IAMロールを活用した安全なアクセスが可能になります。
関連URL