翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS の 管理ポリシー AWS CloudTrail
<a name="security-iam-awsmanpol"></a>

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。管理 AWS ポリシーを使用すると、すぐに開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

## AWS 管理ポリシー: `AWSCloudTrail_FullAccess`
<a name="security-iam-awsmanpol-AWSCloudTrail-FullAccess"></a>

ロールにアタッチされた [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) ポリシーを持つユーザー ID は、CloudTrail で完全な管理アクセス権を持ちます。

ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)」を参照してください。

## AWS 管理ポリシー: `AWSCloudTrail_ReadOnlyAccess`
<a name="security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess"></a>

[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) ポリシーがロールに関連付けられているユーザー ID は、CloudTrail で読み取り専用アクション (証跡、 CloudTrail Lake イベントデータストア、Lake クエリに対する `Get*`、`List*`、`Describe*` アクションなど) を実行できます。

ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: `AWSServiceRoleForCloudTrail`
<a name="security-iam-awsmanpol-CloudTrailServiceRolePolicy"></a>

この[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)ポリシーにより AWS CloudTrail 、 はユーザーに代わって組織の証跡と組織のイベントデータストアに対してアクションを実行できます。このポリシーには、組織アカウントと AWS Organizations 組織内の委任管理者を記述および一覧表示するために必要な AWS Organizations アクセス許可が含まれています。

このポリシーには、組織のイベントデータストアで [Lake フェデレーションを無効にする](query-disable-federation.md)ために必要な AWS Glue および アクセス AWS Lake Formation 許可も含まれています。

このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、**AWSServiceRoleForCloudTrail** のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。

ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)」を参照してください。

## AWS 管理ポリシー: `CloudTrailEventContext`
<a name="security-iam-awsmanpol-CloudTrailEventContext"></a>

この[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)ポリシーにより、 AWS CloudTrail はユーザーに代わって CloudTrail イベントコンテキストと EventBridge ルールを管理できます。このポリシーには、ユーザーのために作成するルールを作成、管理、および記述するために必要な EventBridge アクセス許可が含まれています。

このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、**AWSServiceRoleForCloudTrailEventContext** のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。

ポリシーの詳細の JSON 一覧については、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)」を参照してください。

## AWS マネージドポリシーに対する CloudTrail の更新
<a name="security-iam-awsmanpol-updates"></a>

CloudTrail の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、CloudTrail の「[ドキュメント履歴](cloudtrail-document-history.md)」ページで RSS フィードを購読してください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| [`CloudTrailEventContext`](using-service-linked-roles-create-slr-for-context-management.md) – `AWSServiceRoleForCloudTrailEventContext` サービスにリンクされたロールによって使用される新しいポリシー | CloudTrail 強化イベント機能に使用される新しいポリシーとロールを追加しました。 | 2025 年 5 月 19 日 | 
| [`CloudTrailServiceRolePolicy`](#security-iam-awsmanpol-CloudTrailServiceRolePolicy) – 既存ポリシーへの更新 | フェデレーションが無効になっている場合でも、組織のイベントデータストアで以下のアクションを実行できるように、ポリシーを更新しました。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/security-iam-awsmanpol.html) | 2023 年 11 月 26 日 | 
| [`AWSCloudTrail_ReadOnlyAccess`](#security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess) – 既存ポリシーへの更新 | CloudTrail は、`AWSCloudTrailReadOnlyAccess` ポリシーの名前を `AWSCloudTrail_ReadOnlyAccess` に変更しました。また、ポリシーの許可のスコープは CloudTrail アクションに縮小されました。Amazon S3、 AWS KMS、または AWS Lambda アクションのアクセス許可が含まれなくなりました。 | 2022 年 6 月 6 日 | 
| CloudTrail が変更の追跡を開始しました | CloudTrail は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2022 年 6 月 6 日 |