Amazon Monitron で IAM を使用する方法 - Amazon Monitron
Amazon Monitron アイデンティティベースのポリシーAmazon Monitron リソースベースのポリシーAmazon Monitron タグに基づく認可Amazon Monitron の IAM ロールアイデンティティベースのポリシーの例トラブルシューティング

Amazon Monitron は新規お客様に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron と同様の機能については、ブログ記事を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Monitron で IAM を使用する方法

IAM を使用して Amazon Monitron へのアクセスを管理する前に、Amazon Monitron で使用できる IAM 機能について理解しておく必要があります。Amazon Monitron およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM ユーザーガイド」のAWS 「IAM と連携する のサービス」を参照してください。

Amazon Monitron アイデンティティベースのポリシー

IAM のアイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Monitron は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは依存アクションと呼ばれます。

このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Monitron のポリシーアクションは、アクションの前にプレフィックス monitron: を使用します。例えば、Amazon Monitron CreateProject オペレーションを使用してプロジェクトを作成するアクセス許可を付与するには、ポリシーに monitron:CreateProject アクションを含めます。ポリシーステートメントにはAction または NotAction 要素を含める必要があります。Amazon Monitron は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

注記

deleteProject オペレーションでは、削除するための AWS IAM Identity Center (SSO) 権限が必要です。これらの権限がない場合でも、削除機能でプロジェクトは削除されます。ただし、SSO からリソースは削除されないため、SSO でリソースがぶら下がってしまうことになります。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
      "monitron:action1",
      "monitron:action2"
]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、List という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "monitron:List*"

リソース

Amazon Monitron では、ポリシーでリソース ARN を指定することはできません。

条件キー

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「IAM ユーザーガイド」の「‬IAM ポリシーの要素: 変数およびタグ‭」‬を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「 グローバル条件コンテキストキー」を参照してください。

Amazon Monitron では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーのリストについては、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Monitron の条件キーのリストを確認するには、「IAM ユーザーガイド」の「Amazon Monitron で定義されるアクション」を参照してください。条件キーを使用できるアクションとリソースについては、「Amazon Monitron で定義されるアクション」を参照してください。

Amazon Monitron のアイデンティティベースポリシーの例を確認するには、「Amazon Monitron のアイデンティティベースポリシーの例」を参照してください。

Amazon Monitron リソースベースのポリシー

Amazon Monitron では、リソースベースのポリシーはサポートされていません。

Amazon Monitron タグに基づく認可

承認のために、特定のタイプの Amazon Monitron リソースにタグを関連付けることができます。タグに基づいてアクセスを管理するには、Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。

Amazon Monitron の IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Amazon Monitron での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRoleGetFederationToken などの AWS STS API オペレーションを呼び出します。

Amazon Monitron は、一時的な認証情報の使用をサポートします。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Monitron は、サービスにリンクされたロールをサポートしています。

サービスロール

この機能により、ユーザーに代わってサービスがサービス役割を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービス役割はIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Monitron は、サービスロールをサポートします。

Amazon Monitron のアイデンティティベースポリシーの例

デフォルトでは、IAM ユーザーとロールには Amazon Monitron リソースを作成または変更する権限がありません。また、 を使用してタスクを実行することはできません AWS Management Console。管理者はアクセス許可が必要な IAM ユーザー、グループ、またはロールにその権限を付与する必要があります。その後、権限を付与されたユーザー、グループ、またはロールは、指定された必要なリソースで特定の操作を実行できます。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「JSON タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

ID ベースのポリシーでは、ユーザーのアカウント内で誰かが Amazon Monitron リソースの作成、アクセス、または削除ができるかどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与するAWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」または「ジョブ機能のAWS マネージドポリシー」を参照してください。

  • 最小特権を適用する – IAM ポリシーで許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、「IAM ユーザーガイド」の「IAM でのポリシーとアクセス許可」を参照してください。

  • IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素:条件」を参照してください。

  • IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「IAM ユーザーガイド」の「IAM Access Analyzer でポリシーを検証する」を参照してください。

  • 多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「IAM ユーザーガイド」の「MFA を使用した安全な API アクセス」を参照してください。

IAM でのベストプラクティスの詳細については、IAM ユーザーガイドIAM でのセキュリティのベストプラクティスを参照してください。

Amazon Monitron コンソールを使用する

コンソールを使用して Amazon Monitron をセットアップするには、権限の高いユーザー (AdministratorAccess マネージドポリシーがアタッチされているユーザーなど) を通して初期設定プロセスを完了してください。

初期設定後、Amazon Monitron コンソールにアクセスして日常的な操作を行うには、最小限のアクセス許可が必要です。これらのアクセス許可により、 AWS アカウント内の Amazon Monitron リソースの詳細を一覧表示および表示でき、IAM Identity Center に関連する一連のアクセス許可を含めることができます。これらの最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。Amazon Monitron コンソールの基本機能については、AmazonMonitronFullAccess マネージドポリシーをアタッチする必要があります。状況によっては、Organizations と SSO サービスに追加の権限が必要になる場合もあります。詳細については、 AWS サポートにお問い合わせください。

例: すべての Amazon Monitron プロジェクトを一覧表示する

このポリシー例では、 AWS アカウントの IAM ユーザーに、アカウント内のすべてのプロジェクトを一覧表示するアクセス許可を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する

アイデンティティベースのポリシーの条件を使用して、タグに基づいて Amazon Monitron リソースへのアクセスを制御できます。この例では、プロジェクトを一覧表示できるポリシーを作成する方法について示しています。ただし、プロジェクトタグ locationSeattle の値がある場合のみ、アクセス許可は付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素: 条件」を参照してください。

Amazon Monitron のアイデンティティとアクセスのトラブルシューティング

Amazon Monitron と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復には、次の情報を利用してください。

Amazon Monitron でアクションを実行する権限がない

アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。

次のエラー例は、mateojackson IAM ユーザーがコンソールを使用して、ある my-example-widget リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要なmonitron:GetWidget アクセス許可を持っていない場合に発生するものです。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

この場合、monitron:GetWidget アクションを使用して my-example-widgetリソースへのアクセスを許可するように、mateojackson ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。

AWS アカウント外のユーザーに Amazon Monitron リソースへのアクセスを許可したい

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください: