Amazon Monitron と の連携方法 IAM - Amazon Monitron
Amazon Monitron アイデンティティベースのポリシーAmazon Monitron リソースベースのポリシーAmazon Monitron タグに基づく認可Amazon Monitron IAMロールアイデンティティベースのポリシーの例トラブルシューティング

Amazon Monitron は、2024 年 10 月 31 日以降、新しいお客様に公開されなくなります。サービスを使用する場合は、その日より前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、ブログ記事 を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Monitron と の連携方法 IAM

IAM を使用して Amazon Monitron へのアクセスを管理する前に、Amazon Monitron で使用できるIAM機能を理解しておく必要があります。Amazon Monitron およびその他の AWS のサービスが とどのように連携するかの概要についてはIAM、 IAM ユーザーガイドAWS 「 と連携する のサービスIAM」を参照してください。

Amazon Monitron アイデンティティベースのポリシー

許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定するには、IAMアイデンティティベースのポリシーを使用します。Amazon Monitron は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、 IAM ユーザーガイドIAMJSON「ポリシー要素リファレンス」を参照してください。

アクション

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションは通常、関連付けられた AWS APIオペレーションと同じ名前です。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon Monitron のポリシーアクションは、アクションの前にプレフィックス monitron: を使用します。例えば、Amazon Monitron CreateProject オペレーションを使用してプロジェクトを作成するアクセス許可を付与するには、ポリシーに monitron:CreateProject アクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Monitron は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

注記

deleteProject オペレーションでは、削除するための AWS IAM Identity Center (SSO) アクセス許可が必要です。これらの権限がない場合でも、削除機能でプロジェクトは削除されます。ただし、 からリソースを削除することはなくSSO、 のダングル参照になる可能性がありますSSO。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "monitron:action1",
      "monitron:action2"
]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、List という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "monitron:List*"

リソース

Amazon Monitron は、ポリシーARNsでのリソースの指定をサポートしていません。

条件キー

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグ」を参照してください。 IAM

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、 ユーザーガイドのAWS 「グローバル条件コンテキストキー」を参照してください。 IAM

Amazon Monitron では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーのリストについては、 IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Monitron 条件キーのリストを確認するには、IAM「 ユーザーガイド」の「Amazon Monitron で定義されるアクション」を参照してください。条件キーを使用できるアクションとリソースについては、「Amazon Monitron で定義されるアクション」を参照してください。

Amazon Monitron のアイデンティティベースポリシーの例を確認するには、「Amazon Monitron のアイデンティティベースポリシーの例」を参照してください。

Amazon Monitron リソースベースのポリシー

Amazon Monitron では、リソースベースのポリシーはサポートされていません。

Amazon Monitron タグに基づく認可

承認のために、特定のタイプの Amazon Monitron リソースにタグを関連付けることができます。タグに基づいてアクセスを管理するには、Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。

Amazon Monitron IAMロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Amazon Monitron での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインしたり、IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。AssumeRole や などのオペレーションを呼び出す AWS STS APIことで、一時的なセキュリティ認証情報を取得しますGetFederationToken

Amazon Monitron は、一時的な認証情報の使用をサポートします。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスが他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、 サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Amazon Monitron は、サービスにリンクされたロールをサポートしています。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Monitron は、サービスロールをサポートします。

Amazon Monitron のアイデンティティベースポリシーの例

デフォルトでは、IAMユーザーとロールには Amazon Monitron リソースを作成または変更するアクセス許可がありません。また、 を使用してタスクを実行することはできません AWS Management Console。IAM 管理者は、必要なIAMユーザー、グループ、またはロールにアクセス許可を付与する必要があります。その後、権限を付与されたユーザー、グループ、またはロールは、指定された必要なリソースで特定の操作を実行できます。その後、管理者は、これらのアクセス許可を必要とするIAMユーザーまたはグループにこれらのポリシーをアタッチする必要があります。

これらのポリシードキュメント例を使用して IAM ID ベースのJSONポリシーを作成する方法については、IAM「 ユーザーガイド」のJSON「 タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

ID ベースのポリシーでは、ユーザーのアカウント内で誰かが Amazon Monitron リソースの作成、アクセス、または削除ができるかどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS マネージドポリシーを開始し、最小権限のアクセス許可に移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、多くの一般的なユースケースのアクセス許可を付与するAWS マネージドポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM「 ユーザーガイド」の「 AWS 管理ポリシー」またはAWS 「 ジョブ機能の 管理ポリシー」を参照してください。

  • 最小権限のアクセス許可を適用する - IAMポリシーでアクセス許可を設定する場合、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM「 ユーザーガイド」の「 のポリシーとアクセス許可IAM」を参照してください。

  • IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。また、 などの特定の を通じてサービスアクションが使用されている場合 AWS のサービス、 条件を使用してサービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的なレコメンデーションが用意されています。詳細については、IAM「 ユーザーガイド」のIAM「Access Analyzer でポリシーを検証する」を参照してください。

  • 多要素認証が必要 (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、 をオンにMFAしてセキュリティを強化します。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 ユーザーガイド」の「 によるセキュアAPIアクセスMFA」を参照してください。 IAM

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAM」を参照してください。 IAM

Amazon Monitron コンソールを使用する

コンソールを使用して Amazon Monitron をセットアップするには、権限の高いユーザー (AdministratorAccess マネージドポリシーがアタッチされているユーザーなど) を通して初期設定プロセスを完了してください。

初期設定後に Amazon Monitron コンソール day-to-dayにアクセスして操作するには、最小限のアクセス許可が必要です。これらのアクセス許可により、 AWS アカウント内の Amazon Monitron リソースの詳細を一覧表示および表示でき、IAMIdentity Center に関連する一連のアクセス許可を含めることができます。これらの最低限必要なアクセス許可よりも制限の厳しいアイデンティティベースのポリシーを作成すると、コンソールは、そのポリシーを持つエンティティ (IAMユーザーまたはロール) に対して意図したとおりに機能しません。Amazon Monitron コンソールの基本機能については、AmazonMonitronFullAccess マネージドポリシーをアタッチする必要があります。状況によっては、組織とSSOサービスに対する追加のアクセス許可が必要になる場合もあります。詳細については、 AWS サポートにお問い合わせください。

例: すべての Amazon Monitron プロジェクトを一覧表示する

このポリシーの例では、 AWS アカウントのIAMユーザーに、アカウントのすべてのプロジェクトを一覧表示するアクセス許可を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する

アイデンティティベースのポリシーの条件を使用して、タグに基づいて Amazon Monitron リソースへのアクセスを制御できます。この例では、プロジェクトを一覧表示できるポリシーを作成する方法について示しています。ただし、プロジェクトタグ locationSeattle の値がある場合のみ、アクセス許可は付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。 IAM

Amazon Monitron のアイデンティティとアクセスのトラブルシューティング

以下の情報は、Amazon Monitron と の使用時に発生する可能性のある一般的な問題を診断して修正するのに役立ちますIAM。

Amazon Monitron でアクションを実行する権限がない

「I am not authorized to perform an action in Amazon Bedrock」というエラーが表示された場合、そのアクションを実行できるようにポリシーを更新する必要があります。

次のエラー例は、mateojacksonIAMユーザーがコンソールを使用して架空のmy-example-widgetリソースの詳細を表示しようとしたときに、架空のmonitron:GetWidgetアクセス許可がない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

この場合、monitron:GetWidget アクションを使用して my-example-widgetリソースへのアクセスを許可するように、mateojackson ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。

AWS アカウント外のユーザーに Amazon Monitron リソースへのアクセスを許可したい

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACLs) をサポートするサービスでは、これらのポリシーを使用して、リソースへのアクセスをユーザーに許可できます。

詳細については、以下を参照してください。