翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Config
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。が適用されるコンプライアンスプログラムの詳細については AWS Config、「コンプライアンス[AWS プログラムによる対象範囲内のサービスコンプライアンス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Config。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成する AWS Config ように を設定する方法を示します。
**Topics**
+ [でのデータ保護 AWS Config](data-protection.md)
+ [の Identity and Access Management AWS Config](security-iam.md)
+ [でのインシデント対応 AWS Config](incident-response.md)
+ [のコンプライアンス検証 AWS Config](config-compliance.md)
+ [の耐障害性 AWS Config](disaster-recovery-resiliency.md)
+ [のインフラストラクチャセキュリティ AWS Config](infrastructure-security.md)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
+ [のセキュリティのベストプラクティス AWS Config](security-best-practices.md)
# でのデータ保護 AWS Config
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## 保管時のデータの暗号化
データは、透過的なサーバー側の暗号化を使用して保存時に暗号化されます。これは、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管時に暗号化することで、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の要件を満たすことができます。
## 転送時のデータの暗号化
によって収集およびアクセスされるデータは AWS Config 、Transport Layer Security (TLS) で保護されたチャネルでのみ使用されます。
# の Identity and Access Management AWS Config
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS Config リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS Config 連携する方法](security_iam_service-with-iam.md)
+ [アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS マネージドポリシー](security-iam-awsmanpol.md)
+ [IAM ロールのアクセス許可](iamrole-permissions.md)
+ [IAM ロールの更新](update-iam-role.md)
+ [Amazon S3 バケットのアクセス許可](s3-bucket-policy.md)
+ [KMS キーのアクセス許可](s3-kms-key-policy.md)
+ [Amazon SNS トピックへの許可](sns-topic-policy.md)
+ [トラブルシューティング](security_iam_troubleshoot.md)
+ [サービスリンクロールの使用](using-service-linked-roles.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Config ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS Config 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS Config](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS Config 連携する方法
IAM を使用して へのアクセスを管理する前に AWS Config、使用できる IAM 機能を確認してください AWS Config。
**で使用できる IAM 機能 AWS Config**
| IAM 機能 | AWS Config サポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
AWS Config およびその他の AWS のサービスがほとんどの IAM 機能とどのように連携するかの概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## のアイデンティティベースのポリシー AWS Config
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### のアイデンティティベースのポリシーの例 AWS Config
AWS Config アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Config](security_iam_id-based-policy-examples.md)。
## 内のリソースベースのポリシー AWS Config
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## のポリシーアクション AWS Config
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
AWS Config アクションのリストを確認するには、*「サービス認可リファレンス*」の「 [で定義されるアクション AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions)」を参照してください。
のポリシーアクションは、アクションの前に次のプレフィックス AWS Config を使用します。
```
config
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"config:action1",
"config:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "config:Describe*"
```
AWS Config アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Config](security_iam_id-based-policy-examples.md)。
## のポリシーリソース AWS Config
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS Config リソースタイプとその ARNs「 [で定義されるリソース AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、「[AWS Configで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions)」を参照してください。
AWS Config アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Config](security_iam_id-based-policy-examples.md)。
## のポリシー条件キー AWS Config
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Config 条件キーのリストを確認するには、*「サービス認可リファレンス*」の「 [の条件キー AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions)」を参照してください。
AWS Config アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Config](security_iam_id-based-policy-examples.md)。
## ACLs AWS Config
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## を使用した ABAC AWS Config
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
AWS Config リソースのタグ付けの詳細については、「」を参照してください[AWS Config リソースのタグ付け](tagging.md)。
## での一時的な認証情報の使用 AWS Config
**一時的な認証情報のサポート:** あり
一時的な認証情報は AWS 、リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## の転送アクセスセッション AWS Config
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## のサービスロール AWS Config
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールの権限を変更すると、 AWS Config の機能が破損する可能性があります。 AWS Config が指示する場合にのみ、サービスロールを編集します。
## のサービスにリンクされたロール AWS Config
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
AWS Config サービスにリンクされたロールの作成または管理の詳細については、「」を参照してください[のサービスにリンクされたロールの使用 AWS Config](using-service-linked-roles.md)。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# のアイデンティティベースのポリシーの例 AWS Config
デフォルトでは、 ユーザーおよびロールには、 AWS Config リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARN の形式など AWS Config、 で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[「 のアクション、リソース、および条件キー AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)」を参照してください。 ARNs
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [にサインアップする AWS アカウント](#sign-up-for-aws)
+ [管理アクセスを持つユーザーを作成する](#create-an-admin)
+ [コンソールを使用する](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [への読み取り専用アクセス AWS Config](#read-only-config-permission)
+ [へのフルアクセス AWS Config](#full-config-permission)
+ [AWS Config ルールへのアクセスの制御](#supported-resource-level-permissions)
+ [集約データへのアクセスの制御](#resource-level-permission)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内の AWS Config リソースを誰かが作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 のセキュリティを確保し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 *AWS IAM アイデンティティセンター ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## AWS Config コンソールの使用
AWS Config コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の AWS Config リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き AWS Config コンソールを使用できるようにするには、エンティティに 管理ポリシーもアタッチ AWS Config `AWSConfigUserAccess` AWS します。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
とやり取りするためのアクセス許可をユーザーに付与する必要があります AWS Config。へのフルアクセスを必要とするユーザーの場合は AWS Config、 管理ポリシー[へのフルアクセス AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission)を使用します。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については、「IAM ユーザーガイド**」の「[ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## への読み取り専用アクセス AWS Config
次の例は、 への読み取り専用アクセス`AWSConfigUserAccess`を許可する AWS マネージドポリシーを示しています AWS Config。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
このポリシーステートメントの `Effect` 要素で、アクションが許可されるか拒否されるかを指定します。`Action` 要素には、ユーザーによる実行を許可する特定のアクションを指定します。`Resource` 要素には、ユーザーがこれらのアクションを実行できる AWS リソースが一覧表示されます。 AWS Config アクションへのアクセスを制御するポリシーの場合、 `Resource`要素は常に に設定されます。`*`これは「すべてのリソース」を意味するワイルドカードです。
`Action` 要素の値は、サービスがサポートする API に対応しています。アクションの前に が付き`config:`、 AWS Config アクションを参照していることを示します。次の例に示すように、`*` ワイルドカード文字を `Action` 要素で使用できます。
+ `"Action": ["config:*ConfigurationRecorder"]`
これにより、ConfigurationRecorder」 (`StartConfigurationRecorder`、) で終わるすべての AWS Config アクションが許可されます`StopConfigurationRecorder`。
+ `"Action": ["config:*"]`
これにより、すべての AWS Config アクションが許可されますが、他の AWS サービスのアクションは許可されません。
+ `"Action": ["*"]`
これにより、すべての AWS アクションが許可されます。このアクセス許可は、アカウントの AWS 管理者として機能するユーザーに適しています。
読み取り専用ポリシーでは、`StartConfigurationRecorder`、`StopConfigurationRecorder`、`DeleteConfigurationRecorder` などのアクションに対するアクセス許可をユーザーに付与することはできません。このポリシーを持つユーザーが、設定レコーダーの開始、停止、または削除を行うことはできません。 AWS Config アクションのリストについては、 [AWS Config API リファレンス](https://docs.aws.amazon.com/config/latest/APIReference/)を参照してください。
## へのフルアクセス AWS Config
次の例は、 へのフルアクセスを許可するポリシーを示しています AWS Config。これにより、すべての AWS Config アクションを実行するアクセス許可がユーザーに付与されます。また、Amazon S3 バケットのファイルの管理や、ユーザーが関連付けられているアカウントの Amazon SNS トピックの管理も行うことができます。
**重要**
このポリシーによって、広範なアクセスが許可されます。フルアクセスを付与する前にまず最小限のアクセス許可から開始し、必要に応じて追加のアクセス許可を付与することを検討してください。この方法は、寛容なアクセス許可から開始して、後でそれを厳しくするよりも安全です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## AWS Config ルール API アクションでサポートされているリソースレベルのアクセス許可
リソースレベルのアクセス許可とは、ユーザーがアクションを実行できるリソースを指定する機能を指します。 は、特定の AWS Config ルール API アクションのリソースレベルのアクセス許可 AWS Config をサポートします。つまり、特定の AWS Config ルールアクションでは、ユーザーがそれらのアクションを使用できる条件を制御できます。これらの条件には、アクションの要件や、ユーザーが使用できる特定のリソースなどがあります。
次の表は、現在リソースレベルのアクセス許可をサポートしている AWS Config ルール API アクションを示しています。各アクションでサポートされるリソースとその ARN についても説明しています。ARN の指定時、正確なリソース ID を指定できない (したくない) 場合などに、パスに \$1 ワイルドカードを使用できます。
**重要**
AWS Config ルール API アクションがこのテーブルにリストされていない場合、リソースレベルのアクセス許可はサポートされていません。 AWS Config ルールアクションがリソースレベルのアクセス許可をサポートしていない場合は、アクションを使用するアクセス許可をユーザーに付与できますが、ポリシーステートメントのリソース要素に \$1 を指定する必要があります。
****
| API アクション | リソース |
| --- | --- |
| DeleteConfigRule | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DeleteEvaluationResults | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DescribeComplianceByConfigRule | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| DescribeConfigRuleEvaluationStatus | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| GetComplianceDetailsByConfigRule | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| PutConfigRule | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| StartConfigRulesEvaluation | Config ルール arn:aws:config:*region:accountID*:config-rule/config-rule-*ID* |
| PutRemediationConfigurations | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| PutRemediationExceptions | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DescribeRemediationExceptions | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
| DeleteRemediationExceptions | 修復の設定 arn:aws:config:*region:accountId*:remediation-configuration/*config rule name/remediation configuration id* |
例えば、特定のルールで特定のユーザーに読み取りアクセスを許可して、書き込みアクセスを拒否するとします。
最初のポリシーでは、指定した AWS Config ルール`DescribeConfigRuleEvaluationStatus`で などの読み取りアクションをルールに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
2 番目のポリシーでは、特定の AWS Config ルールに対するルール書き込みアクションを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
リソースレベルのアクセス許可を使用すると、読み取りアクセスを許可し、書き込みアクセスを拒否して、 AWS Config ルール API アクションに対して特定のアクションを実行できます。
## マルチアカウント、マルチリージョンのデータ集約でサポートされるリソースレベルのアクセス許可。
ユーザーがマルチアカウントマルチリージョンのデータ集約に対して特定のアクションを実行する機能を管理するには、リソースレベルのアクセス許可を使用します。次の AWS Config `Aggregator` APIsリソースレベルのアクセス許可をサポートしています。
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
例えば、2 つのアグリゲーター `AccessibleAggregator` および `InAccessibleAggregator` を作成し、`AccessibleAggregator` へのアクセスを許可するが、`InAccessibleAggregator` へのアクセスは拒否する IAM ポリシーをアタッチすることで、特定のユーザーからのリソースデータへのアクセスを制限できます。
**AccessibleAggregator の IAM ポリシー**
このポリシーでは、指定した AWS Config Amazon リソースネーム (ARN) に対してサポートされているアグリゲーターアクションへのアクセスを許可します。この例では、 AWS Config ARN は です`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**InAccessibleAggregator の IAM ポリシー**
このポリシーでは、指定した AWS Config ARN に対してサポートされているアグリゲーターアクションへのアクセスを拒否します。この例では、 AWS Config ARN は です`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
デベロッパーグループのユーザーが、指定した AWS Config ARN でこれらのいずれかのアクションの実行を試みた場合、そのユーザーはアクセス拒否の例外を受け取ります。
**ユーザーのアクセス許可の確認**
作成したアグリゲーターを表示するには、次の AWS CLI コマンドを実行します。
```
aws configservice describe-configuration-aggregators
```
コマンドが正常に完了すると、アカウントに関連付けられているすべてのアグリゲーターの詳細を確認できます。この例では、`AccessibleAggregator` および `InAccessibleAggregator` のようになります。
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**注記**
`account-aggregation-sources` に、データを集約する AWS アカウント ID のカンマ区切りリストを入力します。アカウント ID を角括弧で囲み、必ず疑問符をエスケープします (例: `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`)。
`InAccessibleAggregator` へのアクセス、またはアクセス先となるアグリゲータを拒否するには、次の IAM ポリシーをアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
次に、特定のアグリゲータのルールへのアクセスを制限する IAM ポリシーが動作していることを確認できます。
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
このコマンドではアクセス拒否の例外が返されます。
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS の 管理ポリシー AWS Config
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS 管理ポリシー: AWSConfigServiceRolePolicy
AWS Config は、 という名前のサービスにリンクされたロール**AWSServiceRoleForConfig**を使用して、ユーザーに代わって他の AWS サービスを呼び出します。を使用して AWS マネジメントコンソール を設定すると AWS Config、独自の AWS Identity and Access Management (IAM) サービスロールの代わりに SLR を使用するオプション AWS Config を選択すると、この AWS Config SLR が によって自動的に作成されます。
**AWSServiceRoleForConfig** SLR は管理ポリシー `AWSConfigServiceRolePolicy` を含んでいます。この管理ポリシーには、 AWS Config リソースの読み取り専用および書き込み専用アクセス許可と、 が AWS Config サポートする他の サービスのリソースの読み取り専用アクセス許可が含まれています。このポリシーは、コンピューティング、ストレージ、ネットワーク、セキュリティ、分析、機械学習サービスなどの 100 を超える AWS サービスに対するアクセス許可など、 AWS インフラストラクチャ全体の設定変更をモニタリングおよび記録するための包括的なアクセスを提供します。
ポリシーには、次のサービスカテゴリのアクセス許可が含まれます。
+ `access-analyzer` – プリンシパルがアクセスパターンを分析し、セキュリティ検出結果を取得できるようにします。
+ `account` – プリンシパルがアカウントの連絡先情報を取得できるようにします。
+ `acm` および `acm-pca` – プリンシパルが SSL/TLS 証明書とプライベート認証機関を管理できるようにします。
+ `airflow` – プリンシパルがマネージド Apache Airflow 環境をモニタリングできるようにします。
+ `amplify` および `amplifyuibuilder` – プリンシパルがウェブアプリケーションと UI コンポーネントをモニタリングできるようにします。
+ `aoss` – プリンシパルが OpenSearch Serverless コレクションとセキュリティ設定をモニタリングできるようにします。
+ `app-integrations` – プリンシパルがアプリケーション統合設定をモニタリングできるようにします。
+ `appconfig` – プリンシパルがアプリケーション設定のデプロイをモニタリングできるようにします。
+ `appflow` – プリンシパルがアプリケーション間のデータフロー設定をモニタリングできるようにします。
+ `application-autoscaling` および `application-signals` – プリンシパルが自動スケーリングポリシーとアプリケーションパフォーマンスメトリクスをモニタリングできるようにします。
+ `appmesh` – プリンシパルがサービスメッシュ設定をモニタリングできるようにします。
+ `apprunner` – プリンシパルがコンテナ化されたウェブアプリケーションとサービスをモニタリングできるようにします。
+ `appstream` – プリンシパルがアプリケーションストリーミング設定をモニタリングできるようにします。
+ `appsync` – プリンシパルが GraphQL API 設定をモニタリングできるようにします。
+ `aps` – プリンシパルが Prometheus のモニタリング設定をモニタリングできるようにします。
+ `apptest` – プリンシパルがアプリケーションテスト設定をモニタリングできるようにします。
+ `arc-zonal-shift` – プリンシパルがゾーンシフト設定の可用性をモニタリングできるようにします。
+ `athena` – プリンシパルがクエリエンジンの設定とデータカタログをモニタリングできるようにします。
+ `auditmanager` – プリンシパルが監査とコンプライアンスの評価をモニタリングできるようにします。
+ `autoscaling` および `autoscaling-plans` – プリンシパルが Auto Scaling グループとスケーリングプランをモニタリングできるようにします。
+ `b2bi` – プリンシパルがbusiness-to-business統合設定をモニタリングできるようにします。
+ `backup` および `backup-gateway` – プリンシパルがバックアップポリシーとゲートウェイ設定をモニタリングできるようにします。
+ `batch` – プリンシパルがバッチコンピューティング環境とジョブキューをモニタリングできるようにします。
+ `bcm-data-exports` – プリンシパルが請求とコスト管理データのエクスポートをモニタリングできるようにします。
+ `bedrock` および `bedrock-agentcore` – プリンシパルが基盤モデルと AI エージェント設定をモニタリングできるようにします。
+ `billingconductor` – プリンシパルが請求グループ設定をモニタリングできるようにします。
+ `budgets` – プリンシパルが予算設定とアクションをモニタリングできるようにします。
+ `cassandra` – プリンシパルがマネージド Cassandra データベース設定をクエリできるようにします。
+ `ce` – プリンシパルがコストと使用状況レポートの設定をモニタリングできるようにします。
+ `cleanrooms` および `cleanrooms-ml` – プリンシパルがデータコラボレーションと機械学習設定をモニタリングできるようにします。
+ `cloud9` – プリンシパルがクラウド開発環境設定をモニタリングできるようにします。
+ `cloudformation` – プリンシパルがコードスタック設定としてインフラストラクチャをモニタリングできるようにします。
+ `cloudfront` – プリンシパルがコンテンツ配信ネットワーク設定をモニタリングできるようにします。
+ `cloudtrail` – プリンシパルが API ログ記録と監査証跡の設定をモニタリングできるようにします。
+ `cloudwatch` – プリンシパルがメトリクス、アラーム、ダッシュボード設定をモニタリングできるようにします。
+ `codeartifact` – プリンシパルがソフトウェアパッケージリポジトリ設定をモニタリングできるようにします。
+ `codebuild` – プリンシパルがビルドプロジェクト設定をモニタリングできるようにします。
+ `codecommit` – プリンシパルがソースコードリポジトリの設定をモニタリングできるようにします。
+ `codeconnections` – プリンシパルがサードパーティーのソース接続をモニタリングできるようにします。
+ `codedeploy` – プリンシパルがアプリケーションのデプロイ設定をモニタリングできるようにします。
+ `codeguru-profiler` および `codeguru-reviewer` – プリンシパルがコード分析とプロファイリング設定をモニタリングできるようにします。
+ `codepipeline` – プリンシパルが継続的インテグレーションとデプロイパイプラインの設定をモニタリングできるようにします。
+ `codestar-connections` – プリンシパルが開発者ツールの接続をモニタリングできるようにします。
+ `cognito-identity` および `cognito-idp` – プリンシパルが ID とユーザープールの設定をモニタリングできるようにします。
+ `comprehend` – プリンシパルが自然言語処理設定をモニタリングできるようにします。
+ `config` – プリンシパルが設定記録とコンプライアンスモニタリングを管理できるようにします。
+ `connect` – プリンシパルがコンタクトセンターの設定をモニタリングできるようにします。
サポートされているリソースタイプの詳細については、[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)「」および「」を参照してください[のサービスにリンクされたロールの使用 AWS Config](using-service-linked-roles.md)。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、*AWS 「 マネージドポリシーリファレンスガイド*」の[AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html)」を参照してください。
**推奨: サービスにリンクされたロールを使用する**
特定のユースケースがない限り、サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、 AWS Config が予想どおりに実行するのに必要なすべてのアクセス許可を追加します。サービスにリンクされた設定レコーダーなどの一部の機能では、サービスにリンクされたロールを使用する必要があります。
## AWS 管理ポリシー: AWS\$1ConfigRole
AWS リソース設定を記録するには、リソースに関する設定の詳細を取得するための IAM アクセス許可 AWS Config が必要です。 AWS Configの IAM ロールを作成する場合は、管理ポリシー `AWS_ConfigRole` を使用してそれを IAM ロールに適用します。
この IAM ポリシーは、 が AWS リソースタイプのサポート AWS Config を追加するたびに更新されます。つまり AWS Config 、**AWS\$1ConfigRole** ロールにこの管理ポリシーがアタッチされている限り、 には、サポートされているリソースタイプの設定データを記録するために必要なアクセス許可が引き続き付与されます。このポリシーは、コンピューティング、ストレージ、ネットワーク、セキュリティ、分析、機械学習サービスなどの 100 を超える AWS サービスに対するアクセス許可など、 AWS インフラストラクチャ全体の設定変更をモニタリングおよび記録するための包括的なアクセスを提供します。詳細については、「[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)」および「[に割り当てられた IAM ロールのアクセス許可 AWS Config](iamrole-permissions.md)」を参照してください。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、*AWS 「 マネージドポリシーリファレンスガイド*」の[AWS\$1ConfigRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html)」を参照してください。
## AWS 管理ポリシー: AWSConfigUserAccess
この IAM ポリシーは AWS Config、リソースのタグによる検索やすべてのタグの読み取りなど、 が使用できるアクセスを提供します。これは AWS Config、管理者権限を必要とする を設定するアクセス許可を提供しません。
ポリシーを表示する: [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html)。
## AWS マネージドポリシー: ConfigConformsServiceRolePolicy
コンフォーマンスパックをデプロイおよび管理するには、IAM アクセス許可と他の AWS サービスからの特定のアクセス許可 AWS Config が必要です。これにより、フル機能を備えたコンフォーマンスパックをデプロイおよび管理でき、コンフォーマンスパックの新機能 AWS Config を追加するたびに更新されます。コンフォーマンスパックの詳細については、「[コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」を参照してください。
ポリシー:「[ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html)」ご覧ください。
## AWS 管理ポリシー: AWSConfigRulesExecutionRole
AWS カスタム Lambda ルールをデプロイするには、 に IAM アクセス許可と、他の AWS サービスからの特定のアクセス許可 AWS Config が必要です。これにより、 AWS Lambda 関数は AWS Config API と、 が定期的に Amazon S3 に AWS Config 配信する設定スナップショットにアクセスできます。このアクセスは、 AWS カスタム Lambda ルールの設定変更を評価する関数で必要であり、 が新しい機能 AWS Config を追加するたびに更新されます。 AWS カスタム Lambda ルールの詳細については、[AWS Config 「カスタム Lambda ルールの作成](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html)」を参照してください。設定スナップショットの詳細については、「[概念 \$1 設定スナップショット](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot)」を参照してください。設定スナップショットの配信の詳細については、「[配信チャネルの管理](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)」を参照してください。
ポリシー:「[AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html)」をご覧ください。
## AWS 管理ポリシー: AWSConfigMultiAccountSetupPolicy
の組織内のメンバーアカウント間で AWS Config ルールとコンフォーマンスパックを一元的にデプロイ、更新、削除するには AWS Organizations、 には IAM アクセス許可と他の AWS のサービスからの特定のアクセス許可 AWS Config が必要です。この管理ポリシーは、 AWS Config がマルチアカウント設定の新しい機能を追加するたびに更新されます。詳細については、[「組織のすべてのアカウントでの AWS Config ルールの管理](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)」および[「組織のすべてのアカウントでのコンフォーマンスパックの管理](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html)」を参照してください。
ポリシー:「[AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html)」をご覧ください。
## AWS 管理ポリシー: AWSConfigRoleForOrganizations
が読み取り専用 AWS Organizations APIs AWS Config を呼び出すには、 には IAM アクセス許可と、他の AWS のサービスからの特定のアクセス許可 AWS Config が必要です。この管理ポリシーは、 AWS Config がマルチアカウント設定の新しい機能を追加するたびに更新されます。詳細については、[「組織内のすべてのアカウントでの AWS Config ルールの管理](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)」および[「組織内のすべてのアカウントでのコンフォーマンスパックの管理](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html)」を参照してください。
ポリシー:「[AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html)」をご覧ください。
## AWS 管理ポリシー: AWSConfigRemediationServiceRolePolicy
AWS Config がユーザーに代わって`NON_COMPLIANT`リソースを修復するには、 AWS Config に IAM アクセス許可と他の AWS サービスからの特定のアクセス許可が必要です。この管理ポリシーは、修復のための新機能 AWS Config を追加するたびに更新されます。修復の詳細については、[「 AWS Config ルールを使用した非準拠リソースの修復](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)」を参照してください。可能な AWS Config 評価結果を開始する条件の詳細については、[「概念 \$1 AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules)」を参照してください。
ポリシー:「[AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html)」をご覧ください。
## AWS Config AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS Config してからの AWS の管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS Config [ドキュメント履歴](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html)ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – アクセス許可を追加しました。 application-autoscaling:DescribeScheduledActions、 appsync:GetApiAssociation、 cloudformation:DescribeStacks、 cloudformation:GetStackPolicy、 cloudformation:GetTemplate、 cloudfront:GetKeyGroup、 cloudfront:GetMonitoringSubscription、 cloudfront:ListKeyGroups、 connect:ListEvaluationFormVersions、 cur:DescribeReportDefinitions、 cur:ListTagsForResource、 datazone:GetDomainUnit、 datazone:GetEnvironmentAction、 datazone:GetEnvironmentBlueprintConfiguration、 datazone:GetEnvironmentProfile、 datazone:GetGroupProfile、 datazone:GetSubscriptionTarget、 datazone:GetUserProfile、 datazone:ListDomainUnitsForParent、 datazone:ListEntityOwners、 datazone:ListEnvironmentActions、 datazone:ListEnvironmentBlueprintConfigurations、 datazone:ListEnvironmentProfiles、 datazone:ListPolicyGrants、 datazone:ListProjectMemberships、 datazone:ListSubscriptionTargets、 datazone:SearchGroupProfiles、 datazone:SearchUserProfiles、 docdb-elastic:GetCluster、 docdb-elastic:ListClusters、 docdb-elastic:ListTagsForResource、 ec2:GetRouteServerAssociations、 ec2:GetRouteServerPropagations、 ec2:SearchTransitGatewayRoutes、 fis:ListTagsForResource、 Frauddetector:GetListElements、 Frauddetector:GetListsMetadata、 guardduty:GetThreatEntitySet、 guardduty:GetTrustedEntitySet、 guardduty:ListThreatEntitySets、 guardduty:ListTrustedEntitySets、 iotfleetwise:GetCampaign、 iotfleetwise:ListCampaigns、 iotsitewise:DescribeComputationModel、 iotsitewise:DescribeDataset、 iotsitewise:ListComputationModels、 iotsitewise:ListDatasets、 iotwireless:GetWirelessDeviceImportTask、 iotwireless:ListWirelessDeviceImportTasks、 kendra:ListDataSources、 logs:DescribeQueryDefinitions、 logs:GetIntegration、 logs:ListIntegrations、 mediaconnect:ListRouterOutputs、 medialive:DescribeMultiplex、 medialive:DescribeSdiSource、 medialive:GetCloudWatchAlarmTemplate、 medialive:GetCloudWatchAlarmTemplateGroup、 medialive:GetEventBridgeRuleTemplate、 medialive:GetEventBridgeRuleTemplateGroup、 medialive:ListCloudWatchAlarmTemplateGroups、 medialive:ListCloudWatchAlarmTemplates、 medialive:ListEventBridgeRuleTemplateGroups、 medialive:ListEventBridgeRuleTemplates、 medialive:ListSdiSources、 medialive:ListSignalMaps、 networkmanager:GetConnectAttachment、 networkmanager:GetCoreNetwork、 networkmanager:GetCoreNetworkPolicy、 networkmanager:GetDirectConnectGatewayAttachment、 networkmanager:GetSiteToSiteVpnAttachment、 networkmanager:ListAttachments、 networkmanager:ListCoreNetworks、 notifications:GetEventRule、 notifications:ListEventRules、 notifications:ListManagedNotificationChannelAssociations、 notifications:ListNotificationHubs、 notifications:ListOrganizationalUnits、 refactor-spaces:GetApplication、 refactor-spaces:GetRoute、 refactor-spaces:ListRoutes、 resource-explorer-2:GetDefaultView、 route53resolver:GetOutpostResolver、 route53resolver:ListOutpostResolvers、 securityhub:DescribeOrganizationConfiguration、 securityhub:GetAggregatorV2、 securityhub:GetAutomationRuleV2、 securityhub:GetConfigurationPolicyAssociation、 securityhub:GetFindingAggregator、 securityhub:ListAggregatorsV2、 securityhub:ListAutomationRulesV2、 securityhub:ListConfigurationPolicyAssociations、 securityhub:ListFindingAggregators、 sms-voice:DescribeConfigurationSets、 sms-voice:DescribeKeywords、 sms-voice:DescribeProtectConfigurations、 sms-voice:GetProtectConfigurationCountryRuleSet、 sms-voice:ListPoolOriginationIdentities、 sms-voice:ListTagsForResource、 workspaces-web:GetTrustStore、 workspaces-web:GetTrustStoreCertificate、 workspaces-web:GetUserAccessLoggingSettings、 workspaces-web:ListTagsForResource。 | このポリシーでは、多数の AWS サービスの設定変更を記録するための追加のアクセス許可がサポートされるようになりました。 | 2026 年 2 月 17 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – アクセス許可を追加しました。 application-autoscaling:DescribeScheduledActions、 appsync:GetApiAssociation、 cloudformation:DescribeStacks、 cloudformation:GetStackPolicy、 cloudformation:GetTemplate、 cloudfront:GetKeyGroup、 cloudfront:GetMonitoringSubscription、 cloudfront:ListKeyGroups、 connect:ListEvaluationFormVersions、 cur:DescribeReportDefinitions、 cur:ListTagsForResource、 datazone:GetDomainUnit、 datazone:GetEnvironmentAction、 datazone:GetEnvironmentBlueprintConfiguration、 datazone:GetEnvironmentProfile、 datazone:GetGroupProfile、 datazone:GetSubscriptionTarget、 datazone:GetUserProfile、 datazone:ListDomainUnitsForParent、 datazone:ListEntityOwners、 datazone:ListEnvironmentActions、 datazone:ListEnvironmentBlueprintConfigurations、 datazone:ListEnvironmentProfiles、 datazone:ListPolicyGrants、 datazone:ListProjectMemberships、 datazone:ListSubscriptionTargets、 datazone:SearchGroupProfiles、 datazone:SearchUserProfiles、 docdb-elastic:GetCluster、 docdb-elastic:ListClusters、 docdb-elastic:ListTagsForResource、 ec2:GetRouteServerAssociations、 ec2:GetRouteServerPropagations、 ec2:SearchTransitGatewayRoutes、 fis:ListTagsForResource、 Frauddetector:GetListElements、 Frauddetector:GetListsMetadata、 guardduty:GetThreatEntitySet、 guardduty:GetTrustedEntitySet、 guardduty:ListThreatEntitySets、 guardduty:ListTrustedEntitySets、 iotfleetwise:GetCampaign、 iotfleetwise:ListCampaigns、 iotsitewise:DescribeComputationModel、 iotsitewise:DescribeDataset、 iotsitewise:ListComputationModels、 iotsitewise:ListDatasets、 iotwireless:GetWirelessDeviceImportTask、 iotwireless:ListWirelessDeviceImportTasks、 kendra:ListDataSources、 logs:DescribeQueryDefinitions、 logs:GetIntegration、 logs:ListIntegrations、 mediaconnect:ListRouterOutputs、 medialive:DescribeMultiplex、 medialive:DescribeSdiSource、 medialive:GetCloudWatchAlarmTemplate、 medialive:GetCloudWatchAlarmTemplateGroup、 medialive:GetEventBridgeRuleTemplate、 medialive:GetEventBridgeRuleTemplateGroup、 medialive:ListCloudWatchAlarmTemplateGroups、 medialive:ListCloudWatchAlarmTemplates、 medialive:ListEventBridgeRuleTemplateGroups、 medialive:ListEventBridgeRuleTemplates、 medialive:ListSdiSources、 medialive:ListSignalMaps、 networkmanager:GetConnectAttachment、 networkmanager:GetCoreNetwork、 networkmanager:GetCoreNetworkPolicy、 networkmanager:GetDirectConnectGatewayAttachment、 networkmanager:GetSiteToSiteVpnAttachment、 networkmanager:ListAttachments、 networkmanager:ListCoreNetworks、 notifications:GetEventRule、 notifications:ListEventRules、 notifications:ListManagedNotificationChannelAssociations、 notifications:ListNotificationHubs、 notifications:ListOrganizationalUnits、 refactor-spaces:GetApplication、 refactor-spaces:GetRoute、 refactor-spaces:ListRoutes、 resource-explorer-2:GetDefaultView、 route53resolver:GetOutpostResolver、 route53resolver:ListOutpostResolvers、 securityhub:DescribeOrganizationConfiguration、 securityhub:GetAggregatorV2、 securityhub:GetAutomationRuleV2、 securityhub:GetConfigurationPolicyAssociation、 securityhub:GetFindingAggregator、 securityhub:ListAggregatorsV2、 securityhub:ListAutomationRulesV2、 securityhub:ListConfigurationPolicyAssociations、 securityhub:ListFindingAggregators、 sms-voice:DescribeConfigurationSets、 sms-voice:DescribeKeywords、 sms-voice:DescribeProtectConfigurations、 sms-voice:GetProtectConfigurationCountryRuleSet、 sms-voice:ListPoolOriginationIdentities、 sms-voice:ListTagsForResource、 workspaces-web:GetTrustStore、 workspaces-web:GetTrustStoreCertificate、 workspaces-web:GetUserAccessLoggingSettings、 workspaces-web:ListTagsForResource。 | このポリシーでは、多数の AWS サービスの設定変更を記録するための追加のアクセス許可がサポートされるようになりました。 | 2026 年 2 月 17 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – コンピューティング、ストレージ、ネットワーク、セキュリティ、分析、機械学習 AWS サービスなど、100 を超えるサービスにわたる AWS リソース設定記録のための包括的なアクセス許可を持つマネージドポリシーを更新しました。 | このポリシーでは、サービスアクセス許可のドキュメントが強化され、 が設定記録のために AWS Config サポートするすべての AWS サービスにわたる包括的なモニタリングがサポートされるようになりました。 | 2026 年 1 月 27 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – コンピューティング、ストレージ、ネットワーク、セキュリティ、分析、機械学習 AWS サービスなど、100 以上のサービスにわたる AWS リソース設定記録のための包括的なアクセス許可を持つマネージドポリシーを更新しました。 | このポリシーでは、サービスアクセス許可のドキュメントが強化され、 が設定記録のために AWS Config サポートするすべての AWS サービスにわたる包括的なモニタリングがサポートされるようになりました。 | 2026 年 1 月 27 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 「s3tables:ListTagsForResource」、「s3tables:GetTableBucketMetricsConfiguration」、「s3tables:GetTableBucketStorageClass」を追加 | このポリシーは、S3Tables.. | 2026 年 1 月 9 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 「s3tables:ListTagsForResource」、「s3tables:GetTableBucketMetricsConfiguration」、「s3tables:GetTableBucketStorageClass」を追加 | このポリシーは、S3Tables の追加のアクセス許可をサポートするようになりました。 | 2026 年 1 月 9 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – lightsail「:GetActiveNameslightsail」「:GetOperations」「s3:GetBucketAbac」を追加 | このポリシーは、 Amazon Lightsailおよび Amazon Simple Storage Service (Amazon S3) に対する追加のアクセス許可をサポートするようになりました。 | 2025 年 11 月 20 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – lightsail「:GetActiveNameslightsail」「:GetOperations」「s3:GetBucketAbac」を追加 | このポリシーは、 Amazon Lightsailおよび Amazon Simple Storage Service (Amazon S3) に対する追加のアクセス許可をサポートするようになりました。 | 2025 年 11 月 20 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – コンピューティング、ストレージ、ネットワーク、セキュリティ、分析、機械学習 AWS サービスなど、100 を超えるサービスにわたる AWS リソース設定記録の包括的なアクセス許可を持つマネージドポリシーを更新しました。 | このポリシーでは、サービスアクセス許可のドキュメントが強化され、 が設定記録のために AWS Config サポートするすべての AWS サービスにわたる包括的なモニタリングがサポートされるようになりました。 | 2025 年 11 月 11 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – マネージドポリシーを更新し、Amazon Elastic Compute Cloud AWS Identity and Access Management、Amazon Simple Storage Service、Amazon AWS Lambda Amazon Relational Database Service など、複数のサービスにわたる AWS リソース設定の記録のための包括的なアクセス許可を追加しました。 | このポリシーは、サポートされているすべての AWS サービスで包括的な AWS リソース設定の記録とモニタリングのための追加のアクセス許可をサポートするようになりました。 | 2025 年 11 月 10 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: 「amplify:GetDomainAssociation」、「amplify:ListDomainAssociations」、「amplify:ListTagsForResource」、「appsync:GetSourceApiAssociation」、「appsync:ListSourceApiAssociations」、「bedrock:GetFlow」、「bedrock:ListAgentCollaborators」、「bedrock:ListFlows」、「bedrock:ListPrompts」、「cloudTrail:GetResourcePolicy」、「cloudformation:DescribePublisher」、「codeartifact:DescribePackageGroup」、「codeartifact:ListAllowedRepositoriesForGroup」、「codeartifact:ListPackageGroups」、「codepipeline:ListActionTypes」、「codepipeline:ListTagsForResource」、「codepipeline:ListWebhooks」、「connect:DescribeTrafficDistributionGroup」、「connect:ListTrafficDistributionGroups」、「deadline:ListFarms」、「ec2:GetTransitGatewayRouteTablePropagations」、「ec2:SearchLocalGatewayRoutes」、「ec2:SearchTransitGatewayMulticastGroups」、「entityresolution:GetMatchingWorkflow」、「entityresolution:ListMatchingWorkflows」、「iotsitewise:ListAssetModelCompositeModels」、「iotsitewise:ListAssetModelProperties」、「iotsitewise:ListAssetProperties」、「iotsitewise:ListAssociatedAssets」、「ivs:ListPublicKeys」、「lambda:GetProvisionedConcurrencyConfig」、「lambda:GetRuntimeManagementConfig」、「lambda:ListFunctionEventInvokeConfigs」、「lambda:ListFunctionUrlConfigs」、「pipes:DescribePipe」、「pipes:ListPipes」、「quicksight:DescribeRefreshSchedule」、「quicksight:ListRefreshSchedules」、「redshift-serverless:ListSnapshotCopyConfigurations」、「redshift:GetResourcePolicy」、「rolesanywhere:GetCrl」、「rolesanywhere:ListCrls」、「sagemaker:DescribeApp」、「sagemaker:DescribeUserProfile」、「sagemaker:ListApps」、「sagemaker:ListModelPackages」、「sagemaker:ListUserProfiles」、「secretsmanager:GetResourcePolicy」、「securitylake:ListSubscribers」、「securitylake:ListTagsForResource」、「servicecatalog:DescribeServiceAction」、「servicecatalog:ListApplications」、「servicecatalog:ListAssociatedResources」、「shield:ListProtectionGroups」、「shield:ListTagsForResource」、「ssm-incidents:GetReplicationSet」、「ssm-incidents:ListReplicationSets」、「ssm:DescribeAssociation」、「ssm:DescribePatchBaselines」、「ssm:GetDefaultPatchBaseline」、「ssm:GetPatchBaseline」、「ssm:GetResourcePolicies」、「ssm:ListAssociations」、「ssm:ListResourceDataSync」、「wafv2:ListLoggingConfigurations」、「bedrock-agentcore:ListCodeInterpreters」、「bedrock-agentcore:GetCodeInterpreter」、「bedrock-agentcore:ListBrowsers」、「bedrock-agentcore:GetBrowser」、「bedrock-agentcore:ListAgentRuntimes」、「bedrock-agentcore:GetAgentRuntime」、「bedrock-agentcore:ListAgentRuntimeEndpoints」、「bedrock-agentcore:GetAgentRuntimeEndpoint」 | このポリシーは AWS Amplify、、 AWS AppSync Amazon Bedrock、 AWS CloudTrail、 CloudFormation AWS CodeArtifact、 AWS CodePipeline、Amazon Connect、、 AWS Deadline Cloud Amazon EC2、 AWS Entity Resolution AWS IoT SiteWise、Amazon IVS、 AWS Lambda、Amazon EventBridge、Amazon Quick、Amazon Redshift、Amazon Redshift Serverless、 AWS Identity and Access Management Roles Anywhere Amazon SageMaker、、 AWS Secrets Manager Amazon Security Lake、 AWS Service Catalog、 AWS Shield、Amazon EC2 Systems Manager、および に対する追加のアクセス許可をサポートするようになりました AWS WAFV2。 | 2025 年 10 月 1 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: 「amplify:GetDomainAssociation」、「amplify:ListDomainAssociations」、「amplify:ListTagsForResource」、「appsync:GetSourceApiAssociation」、「appsync:ListSourceApiAssociations」、「bedrock:GetFlow」、「bedrock:ListAgentCollaborators」、「bedrock:ListFlows」、「bedrock:ListPrompts」、「cloudTrail:GetResourcePolicy」、「cloudformation:DescribePublisher」、「codeartifact:DescribePackageGroup」、「codeartifact:ListAllowedRepositoriesForGroup」、「codeartifact:ListPackageGroups」、「codepipeline:ListActionTypes」、「codepipeline:ListTagsForResource」、「codepipeline:ListWebhooks」、「connect:DescribeTrafficDistributionGroup」、「connect:ListTrafficDistributionGroups」、「deadline:ListFarms」、「ec2:GetTransitGatewayRouteTablePropagations」、「ec2:SearchLocalGatewayRoutes」、「ec2:SearchTransitGatewayMulticastGroups」、「entityresolution:GetMatchingWorkflow」、「entityresolution:ListMatchingWorkflows」、「iotsitewise:ListAssetModelCompositeModels」、「iotsitewise:ListAssetModelProperties」、「iotsitewise:ListAssetProperties」、「iotsitewise:ListAssociatedAssets」、「ivs:ListPublicKeys」、「lambda:GetProvisionedConcurrencyConfig」、「lambda:GetRuntimeManagementConfig」、「lambda:ListFunctionEventInvokeConfigs」、「lambda:ListFunctionUrlConfigs」、「pipes:DescribePipe」、「pipes:ListPipes」、「quicksight:DescribeRefreshSchedule」、「quicksight:ListRefreshSchedules」、「redshift-serverless:ListSnapshotCopyConfigurations」、「redshift:GetResourcePolicy」、「rolesanywhere:GetCrl」、「rolesanywhere:ListCrls」、「sagemaker:DescribeApp」、「sagemaker:DescribeUserProfile」、「sagemaker:ListApps」、「sagemaker:ListModelPackages」、「sagemaker:ListUserProfiles」、「secretsmanager:GetResourcePolicy」、「securitylake:ListSubscribers」、「securitylake:ListTagsForResource」、「servicecatalog:DescribeServiceAction」、「servicecatalog:ListApplications」、「servicecatalog:ListAssociatedResources」、「shield:ListProtectionGroups」、「shield:ListTagsForResource」、「ssm-incidents:GetReplicationSet」、「ssm-incidents:ListReplicationSets」、「ssm:DescribeAssociation」、「ssm:DescribePatchBaselines」、「ssm:GetDefaultPatchBaseline」、「ssm:GetPatchBaseline」、「ssm:GetResourcePolicies」、「ssm:ListAssociations」、「ssm:ListResourceDataSync」、「wafv2:ListLoggingConfigurations」、「bedrock-agentcore:ListCodeInterpreters」、「bedrock-agentcore:GetCodeInterpreter」、「bedrock-agentcore:ListBrowsers」、「bedrock-agentcore:GetBrowser」、「bedrock-agentcore:ListAgentRuntimes」、「bedrock-agentcore:GetAgentRuntime」、「bedrock-agentcore:ListAgentRuntimeEndpoints」、「bedrock-agentcore:GetAgentRuntimeEndpoint」 | このポリシーは AWS Amplify、、 AWS AppSync Amazon Bedrock、 AWS CloudTrail、 CloudFormation AWS CodeArtifact、 AWS CodePipeline、Amazon Connect、、 AWS Deadline Cloud Amazon EC2、 AWS Entity Resolution AWS IoT SiteWise、Amazon IVS、 AWS Lambda、Amazon EventBridge、Amazon Quick、Amazon Redshift、Amazon Redshift Serverless、 AWS Identity and Access Management Roles Anywhere Amazon SageMaker、、 AWS Secrets Manager Amazon Security Lake、 AWS Service Catalog、 AWS Shield、Amazon EC2 Systems Manager、および に対する追加のアクセス許可をサポートするようになりました AWS WAFV2。 | 2025 年 10 月 1 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: 「arc-zonal-shift:GetAutoshiftObserverNotificationStatus」、「bedrock:GetModelInvocationLoggingConfiguration」、「cloudtrail:GetEventConfiguration」、「codeartifact:DescribeDomain」、「codeartifact:GetDomainPermissionsPolicy」、「deadline:GetFleet」、「deadline:GetQueueFleetAssociation」、「deadline:ListFleets」、「deadline:ListQueueFleetAssociations」、「deadline:ListTagsForResource」、「dms:DescribeDataMigrations」、「dms:ListMigrationProjects」、「glue:GetDataCatalogEncryptionSettings」、「kafkaconnect:DescribeCustomPlugin」、「kafkaconnect:DescribeWorkerConfiguration」、「kafkaconnect:ListCustomPlugins」、「kafkaconnect:ListTagsForResource」、「kafkaconnect:ListWorkerConfigurations」、「lakeformation:DescribeLakeFormationIdentityCenterConfiguration」、「medialive:DescribeMultiplexProgram」、「medialive:ListMultiplexPrograms」、「mediapackagev2:GetChannelGroup」、「mediapackagev2:ListChannelGroups」、「rds:DescribeEngineDefaultParameters」、「rolesanywhere:GetProfile」、「rolesanywhere:GetTrustAnchor」、「rolesanywhere:ListProfiles」、「rolesanywhere:ListTagsForResource」、「rolesanywhere:ListTrustAnchors」、「s3:GetAccessGrant」、「s3:ListAccessGrants」、「secretsmanager:DescribeSecret」、「securitylake:ListDataLakeExceptions」、「securitylake:ListDataLakes」、「securitylake:ListLogSources」、「servicecatalog:GetAttributeGroup」、「servicecatalog:ListAttributeGroups」、「servicecatalog:ListServiceActions」、「servicecatalog:ListServiceActionsForProvisioningArtifact」、「ses:GetTrafficPolicy」、「ses:ListTagsForResource」、「ses:ListTrafficPolicies」、「xray:GetGroup」、「xray:GetGroups」、「xray:GetSamplingRules」、「xray:ListResourcePolicies」、「xray:ListTagsForResource」 | このポリシーは、 AWS ARC - Zonal Shift、Amazon Bedrock、 AWS CloudTrail、 AWS CodeArtifact AWS Deadline Cloud、 AWS Database Migration Service、 AWS Glue、、 AWS Identity and Access Management、Amazon Managed Streaming for Apache Kafka、 AWS Lake Formation、Amazon CloudWatch Logs AWS Elemental MediaLive、 AWS Elemental MediaPackage、Amazon Relational Database Service、Amazon Simple Storage Service、 AWS Secrets Manager Amazon Security Lake、 AWS Service Catalog Amazon Simple Email Service、および に対する追加のアクセス許可をサポートするようになりました AWS X-Ray。 | 2025 年 7 月 28 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加 「arc-zonal-shift:GetAutoshiftObserverNotificationStatus」、「bedrock:GetModelInvocationLoggingConfiguration」、「cloudtrail:GetEventConfiguration」、「codeartifact:DescribeDomain」、「codeartifact:GetDomainPermissionsPolicy」、「deadline:GetFleet」、「deadline:GetQueueFleetAssociation」、「deadline:ListFleets」、「deadline:ListQueueFleetAssociations」、「deadline:ListTagsForResource」、「dms:DescribeDataMigrations」、「dms:ListMigrationProjects」、「glue:GetDataCatalogEncryptionSettings」、「iam:ListPolicies」、「kafkaconnect:DescribeCustomPlugin」、「kafkaconnect:DescribeWorkerConfiguration」、「kafkaconnect:ListCustomPlugins」、「kafkaconnect:ListTagsForResource」、「kafkaconnect:ListWorkerConfigurations」、「lakeformation:DescribeLakeFormationIdentityCenterConfiguration」、「logs:DescribeIndexPolicies」、「logs:ListTagsForResource」、「medialive:DescribeMultiplexProgram」、「medialive:ListMultiplexPrograms」、「mediapackagev2:GetChannelGroup」、「mediapackagev2:ListChannelGroups」、「rds:DescribeEngineDefaultParameters」、「rolesanywhere:GetProfile」、「rolesanywhere:GetTrustAnchor」、「rolesanywhere:ListProfiles」、「rolesanywhere:ListTagsForResource」、「rolesanywhere:ListTrustAnchors」、「s3:GetAccessGrant」、「s3:ListAccessGrants」、「secretsmanager:DescribeSecret」、「securitylake:ListDataLakeExceptions」、「securitylake:ListDataLakes」、「securitylake:ListLogSources」、「servicecatalog:GetAttributeGroup」、「servicecatalog:ListAttributeGroups」、「servicecatalog:ListServiceActions」、「servicecatalog:ListServiceActionsForProvisioningArtifact」、「ses:GetTrafficPolicy」、「ses:ListTagsForResource」、「ses:ListTrafficPolicies」、「xray:GetGroup」、「xray:GetGroups」、「xray:GetSamplingRules」、「xray:ListResourcePolicies」、「xray:ListTagsForResource」、「arn:aws:apigateway:::/account」、「arn:aws:apigateway:::/usageplans」、「arn:aws:apigateway:::/usageplans/」。 | このポリシーは AWS ARC - Zonal Shift、、Amazon Bedrock、 AWS CloudTrail、 AWS CodeArtifact AWS Deadline Cloud、 AWS Database Migration Service AWS Glue、、、 AWS Identity and Access Management、Amazon Managed Streaming for Apache Kafka、 AWS Lake Formation、Amazon CloudWatch Logs AWS Elemental MediaLive、 AWS Elemental MediaPackage、Amazon Relational Database Service、Amazon Simple Storage Service、 AWS Secrets Manager Amazon Security Lake、 AWS Service Catalog Amazon Simple Email Service AWS X-Ray、および Amazon API Gateway に対する追加のアクセス許可をサポートするようになりました。 | 2025 年 7 月 28 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: 「backup-gateway:GetHypervisor」、「backup-gateway:ListHypervisors」、「bcm-data-exports:GetExport」、「bcm-data-exports:ListExports」、「bcm-data-exports:ListTagsForResource」、「bedrock:GetAgent」、「bedrock:GetAgentActionGroup」、「bedrock:GetAgentKnowledgeBase」、「bedrock:GetDataSource」、「bedrock:GetFlowAlias」、「bedrock:GetFlowVersion」、「bedrock:ListAgentActionGroups」、「bedrock:ListAgentKnowledgeBases」、「bedrock:ListDataSources」、「bedrock:ListFlowAliases」、「bedrock:ListFlowVersions」、「cloudformation:BatchDescribeTypeConfigurations」、「cloudformation:DescribeStackInstance」、「cloudformation:DescribeStackSet」、「cloudformation:ListStackInstances」、「cloudformation:ListStackSets」、「cloudfront:GetPublicKey」、「cloudfront:GetRealtimeLogConfig」、「cloudfront:ListPublicKeys」、「cloudfront:ListRealtimeLogConfigs」、「entityresolution:GetIdMappingWorkflow」、「entityresolution:GetSchemaMapping」、「entityresolution:ListIdMappingWorkflows」、「entityresolution:ListSchemaMappings」、「entityresolution:ListTagsForResource」、「iotdeviceadvisor:GetSuiteDefinition」、「iotdeviceadvisor:ListSuiteDefinitions」、「lambda:GetEventSourceMapping」、「lambda:ListEventSourceMappings」、「mediapackagev2:GetChannel」、「mediapackagev2:ListChannels」、「networkmanager:GetTransitGatewayPeering」、「networkmanager:ListPeerings」、「pca-connector-ad:GetDirectoryRegistration」、「pca-connector-ad:ListDirectoryRegistrations」、「pca-connector-ad:ListTagsForResource」、「rds:DescribeDBShardGroups」、「rds:DescribeIntegrations」、「redshift:DescribeIntegrations」、「s3tables:GetTableBucket」、「s3tables:GetTableBucketEncryption」、「s3tables:GetTableBucketMaintenanceConfiguration」、「s3tables:ListTableBuckets」、「ssm-quicksetup:GetConfigurationManager」、「ssm-quicksetup:ListConfigurationManagers」 | このポリシーは AWS Billing and Cost Management、 AWS Backup gateway、Amazon Bedrock、 AWS CloudFormation、Amazon CloudFront、 AWS Entity Resolution AWS IoT Core Device Advisor、 AWS Lambda、 AWS Network Manager、 AWS Private Certificate Authority、Amazon Relational Database Service、Amazon Redshift、Amazon S3 Tables、 に対する追加のアクセス許可をサポートするようになりました AWS Systems Manager Quick Setup。 | 2025 年 6 月 18 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: 「backup-gateway:GetHypervisor」、「backup-gateway:ListHypervisors」、「bcm-data-exports:GetExport」、「bcm-data-exports:ListExports」、「bcm-data-exports:ListTagsForResource」、「bedrock:GetAgent」、「bedrock:GetAgentActionGroup」、「bedrock:GetAgentKnowledgeBase」、「bedrock:GetDataSource」、「bedrock:GetFlowAlias」、「bedrock:GetFlowVersion」、「bedrock:ListAgentActionGroups」、「bedrock:ListAgentKnowledgeBases」、「bedrock:ListDataSources」、「bedrock:ListFlowAliases」、「bedrock:ListFlowVersions」、「cloudformation:BatchDescribeTypeConfigurations」、「cloudformation:DescribeStackInstance」、「cloudformation:DescribeStackSet」、「cloudformation:ListStackInstances」、「cloudformation:ListStackSets」、「cloudfront:GetPublicKey」、「cloudfront:GetRealtimeLogConfig」、「cloudfront:ListPublicKeys」、「cloudfront:ListRealtimeLogConfigs」、「entityresolution:GetIdMappingWorkflow」、「entityresolution:GetSchemaMapping」、「entityresolution:ListIdMappingWorkflows」、「entityresolution:ListSchemaMappings」、「entityresolution:ListTagsForResource」、「iotdeviceadvisor:GetSuiteDefinition」、「iotdeviceadvisor:ListSuiteDefinitions」、「lambda:GetEventSourceMapping」、「lambda:ListEventSourceMappings」、「networkmanager:GetTransitGatewayPeering」、「networkmanager:ListPeerings」、「pca-connector-ad:GetDirectoryRegistration」、「pca-connector-ad:ListDirectoryRegistrations」、「pca-connector-ad:ListTagsForResource」、「rds:DescribeDBShardGroups」、「rds:DescribeIntegrations」、「redshift:DescribeIntegrations」、「s3tables:GetTableBucket」、「s3tables:GetTableBucketEncryption」、「s3tables:GetTableBucketMaintenanceConfiguration」、「s3tables:ListTableBuckets」、「ssm-quicksetup:GetConfigurationManager」、「ssm-quicksetup:ListConfigurationManagers」 | このポリシーは AWS Backup gateway、、Amazon Bedrock AWS Billing and Cost Management、、 AWS CloudFormation Amazon CloudFront、 AWS Entity Resolution AWS IoT Core Device Advisor、 AWS Lambda AWS Network Manager、 AWS Private Certificate Authority、Amazon Relational Database Service、Amazon Redshift、Amazon S3 Tables、 に対する追加のアクセス許可をサポートするようになりました AWS Systems Manager Quick Setup。 | 2025 年 6 月 18 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | このポリシーでは、Amazon Bedrock に対するアクセス許可も追加でサポートされるようになりました。 | 2025 年 5 月 27 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | このポリシーでは、Amazon Bedrock に対するアクセス許可も追加でサポートされるようになりました。 | 2025 年 5 月 27 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | このポリシーは AWS B2B Data Interchange、、Amazon Bedrock、 AWS Clean Rooms、、 AWS Database Migration Service (AWS DMS) AWS CodeConnections AWS Direct Connect、Amazon CloudWatch Logs、Amazon Macie、Amazon Managed Blockchain、Amazon Q Business、Route 53 Profiles、Amazon Simple Storage Service (Amazon S3)、Amazon SageMaker AI AWS Security Hub CSPM、および Contacts、および AWS Systems Manager Incident Manager AWS Systems Manager Incident Manager の追加のアクセス許可をサポートするようになりました AWS Systems Manager。 | 2025 年 4 月 8 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | このポリシーは AWS B2B Data Interchange、、Amazon Bedrock、 AWS Clean Rooms、、 AWS Database Migration Service (AWS DMS) AWS CodeConnections AWS Direct Connect、Amazon CloudWatch Logs、Amazon Macie、Amazon Managed Blockchain、Amazon Q Business、Route 53 Profiles、Amazon Simple Storage Service (Amazon S3)、Amazon SageMaker AI AWS Security Hub CSPM、および Contacts、および AWS Systems Manager Incident Manager AWS Systems Manager Incident Manager の追加のアクセス許可をサポートするようになりました AWS Systems Manager。このポリシーでは、リソースパターン「`arn:aws:apigateway:::/domainnames/`」を含めることで、すべての Amazon API Gateway ドメイン名に対するアクセス許可もサポートされるようになりました。 | 2025 年 4 月 8 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "ec2:GetAllowedImagesSettings" | このポリシーでは、Amazon Elastic Compute Cloud (Amazon EC2) に対するアクセス許可も追加でサポートされるようになりました。 | 2025 年 3 月 4 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "ec2:GetAllowedImagesSettings" | このポリシーでは、Amazon Elastic Compute Cloud (Amazon EC2) に対するアクセス許可も追加でサポートされるようになりました。 | 2025 年 3 月 4 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | このポリシーは AWS Clean Rooms、Amazon Comprehend、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) AWS HealthOmics、Amazon Simple Email Service (Amazon SES) に対する追加のアクセス許可をサポートするようになりました。 | 2025 年 1 月 16 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | このポリシーは AWS Clean Rooms、Amazon Comprehend、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) AWS HealthOmics、Amazon Simple Email Service (Amazon SES) に対する追加のアクセス許可をサポートするようになりました。 | 2025 年 1 月 16 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "organizations:ListAWSServiceAccessForOrganization" | このポリシーでは、 AWS Organizationsに対するアクセス許可も追加でサポートされるようになりました。 | 2024 年 12 月 18 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | このポリシーは AWS AppConfig、、 AWS CloudTrail Amazon Connect、Amazon DataZone、Amazon DevOps Guru、 AWS Glue Identity Store、 AWS IoT AWS IoT FleetWise、 AWS IoT Wireless、Amazon Interactive Video Service (Amazon IVS)、Amazon CloudWatch Logs、Amazon CloudWatch Observability Access Manager、 AWS Payment Cryptography、Amazon Relational Database Service (Amazon RDS)、Amazon Rekognition、Amazon Simple Storage Service (Amazon S3)、Amazon EventBridge Scheduler AWS Systems Manager、Amazon VPC Lattice に対する追加のアクセス許可をサポートするようになりました。 | 2024 年 11 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | このポリシーは AWS AppConfig、、 AWS CloudTrail Amazon Connect、Amazon DataZone、Amazon DevOps Guru、 AWS Glue Identity Store、 AWS IoT AWS IoT FleetWise、 AWS IoT Wireless、Amazon Interactive Video Service (Amazon IVS)、Amazon CloudWatch Logs、Amazon CloudWatch Observability Access Manager、 AWS Payment Cryptography、Amazon Relational Database Service (Amazon RDS)、Amazon Rekognition、Amazon Simple Storage Service (Amazon S3)、Amazon EventBridge Scheduler AWS Systems Manager、Amazon VPC Lattice に対する追加のアクセス許可をサポートするようになりました。 | 2024 年 11 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | このポリシーは、Amazon OpenSearch Service Severless、Amazon AppStream AWS Backup、 AWS CloudTrail、 AWS Glue EC2 Image Builder、 AWS IoT Amazon Interactive Video Service (Amazon IVS) AWS Elemental MediaConnect、 AWS Elemental MediaTailor AWS HealthOmics、および Amazon EventBridge スケジューラに対する追加のアクセス許可をサポートするようになりました。 | 2024 年 9 月 16 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | このポリシーは、Amazon OpenSearch Service Severless、Amazon AppStream AWS Backup、 AWS CloudTrail、 AWS Glue EC2 Image Builder、 AWS IoT Amazon Interactive Video Service (Amazon IVS) AWS Elemental MediaConnect、 AWS Elemental MediaTailor AWS HealthOmics、および Amazon EventBridge スケジューラに対する追加のアクセス許可をサポートするようになりました。 | 2024 年 9 月 16 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | このポリシーは、Amazon Elastic File System (Amazon EFS)、Amazon Redshift、および の追加のアクセス許可をサポートするようになりました AWS Systems Manager for SAP。 | 2024 年 6 月 17 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | このポリシーは、Amazon Elastic File System (Amazon EFS)、Amazon Redshift、および の追加のアクセス許可をサポートするようになりました AWS Systems Manager for SAP。 | 2024 年 6 月 17 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | このポリシーは、Amazon Managed Service for Prometheus、Amazon CloudWatch、Amazon Cognito、Amazon ElastiCache、Amazon FSx、 AWS Glue、 AWS Identity and Access Management (IAM) AWS Lambda、 AWS RAM、Amazon Redshift Serverless、Amazon SageMaker AI、Amazon Simple Notification Service (Amazon SNS) に対する追加のアクセス許可をサポートするようになりました。 | 2024 年 2 月 22 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | このポリシーは、Amazon Managed Service for Prometheus、Amazon CloudWatch、Amazon Cognito、Amazon ElastiCache、Amazon FSx、 AWS Glue、 AWS Identity and Access Management (IAM) AWS Lambda、 AWS RAM、Amazon Redshift Serverless、Amazon SageMaker AI、Amazon Simple Notification Service (Amazon SNS) に対する追加のアクセス許可をサポートするようになりました。 | 2024 年 2 月 22 日 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess) – AWS Config この AWS 管理ポリシーの変更の追跡を開始します | このポリシーは AWS Config、リソースのタグによる検索やすべてのタグの読み取りなど、 が使用できるアクセスを提供します。これは AWS Config、管理者権限を必要とする を設定するアクセス許可を提供しません。 | 2024 年 2 月 22 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | このポリシーは AWS AppConfig、Amazon Managed Service for Prometheus、 AWS Database Migration Service (AWS DMS)、 (AWS Identity and Access Management) IAM、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、Amazon CloudWatch Logs AWS Organizations、Amazon Simple Storage Service (Amazon S3) に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 12 月 5 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | このポリシーは AWS AppConfig、Amazon Managed Service for Prometheus、 AWS Database Migration Service (AWS DMS)、 (AWS Identity and Access Management) IAM、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、Amazon CloudWatch Logs AWS Organizations、Amazon Simple Storage Service (Amazon S3) に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 12 月 5 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | このポリシーは、Amazon Cognito、Amazon Connect、Amazon EMR AWS Ground Station、 AWS Mainframe Modernization、Amazon MemoryDB、 AWS Organizations Amazon Quick、Amazon Relational Database Service (Amazon RDS)、Amazon Redshift、Amazon Route 53 AWS Service Catalog、および に対する追加のアクセス許可をサポートするようになりました AWS Transfer Family。 | 2023 年 11 月 17 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | このポリシーにより、`AWSConfigServiceRolePolicyStatementID`、`AWSConfigSLRLogStatementID`、`AWSConfigSLRLogEventStatementID`、および `AWSConfigSLRApiGatewayStatementID` のセキュリティ識別子 (SID) が追加されるようになりました。 | 2023 年 11 月 17 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | このポリシーは、Amazon Cognito、Amazon Connect、Amazon EMR AWS Ground Station、 AWS Mainframe Modernization、Amazon MemoryDB、 AWS Organizations Amazon Quick、Amazon Relational Database Service (Amazon RDS)、Amazon Redshift、Amazon Route 53 AWS Service Catalog、および に対する追加のアクセス許可をサポートするようになりました AWS Transfer Family。 | 2023 年 11 月 17 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | このポリシーにより、`AWSConfigServiceRolePolicyStatementID`、`AWSConfigSLRLogStatementID`、`AWSConfigSLRLogEventStatementID`、および `AWSConfigSLRApiGatewayStatementID` のセキュリティ識別子 (SID) が追加されるようになりました。 | 2023 年 11 月 17 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | このポリシーは AWS Private CA、、Amazon Connect、Amazon Elastic Container Service (Amazon ECS) AWS App Mesh、Amazon CloudWatch Evidently、Amazon Managed Grafana、Amazon GuardDuty、Amazon Inspector、 AWS IoT AWS IoT TwinMaker、Amazon Managed Streaming for Apache Kafka (Amazon MSK) AWS Lambda、、 AWS Network Manager AWS Organizations、および Amazon SageMaker AI に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 10 月 4 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | このポリシーは AWS Private CA、、Amazon Connect、Amazon Elastic Container Service (Amazon ECS) AWS App Mesh、Amazon CloudWatch Evidently、Amazon Managed Grafana、Amazon GuardDuty、Amazon Inspector、 AWS IoT AWS IoT TwinMaker、Amazon Managed Streaming for Apache Kafka (Amazon MSK) AWS Lambda、、 AWS Network Manager AWS Organizations、および Amazon SageMaker AI に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 10 月 4 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – "ssm:GetParameter" の削除 | このポリシーは AWS Systems Manager (Systems Manager) のアクセス許可を削除するようになりました。 | 2023 年 9 月 6 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | このポリシーは AWS App Mesh、、 AWS CloudFormation Amazon CloudFront AWS CodeArtifact、 AWS CodeBuild、Amazon Connect、 AWS Glue Amazon GuardDuty、 AWS Identity and Access Management (IAM)、Amazon Inspector、 AWS IoT AWS IoT TwinMaker、 AWS IoT Wireless、Amazon Managed Streaming for Apache Kafka、Amazon Macie AWS Elemental MediaConnect AWS Network Manager、、 AWS Organizations AWS Resource Explorer、Amazon Route 53、Amazon Simple Storage Service (Amazon S3)、Amazon Simple Notification Service (Amazon SNS) に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 7 月 28 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | このポリシーは AWS App Mesh、、Amazon WorkSpaces Applications、 AWS CloudFormation、Amazon CloudFront、 AWS CodeArtifact AWS CodeBuild、Amazon Connect、 AWS Glue、Amazon GuardDuty、 AWS Identity and Access Management (IAM)、Amazon Inspector AWS IoT AWS IoT TwinMaker、、 AWS IoT Wireless、Amazon Managed Streaming for Apache Kafka、Amazon Macie、 AWS Elemental MediaConnect AWS Network Manager、 AWS Organizations AWS Resource Explorer、、Amazon Route 53、Amazon Simple Storage Service (Amazon S3)、Amazon Simple Notification Service (Amazon SNS)、Amazon EC2 Systems Manager (SSM) に対する追加のアクセス許可をサポートするようになりました。 Amazon EC2 Systems Manager | 2023 年 7 月 28 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | このポリシーは AWS Amplify、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Connect、 AWS App Mesh、 Amazon Managed Service for Prometheus、 Amazon Athena、 AWS Batch AWS CloudFormation、 AWS CloudTrail、 AWS CodeArtifact、 Amazon CodeGuru、 AWS Directory Service、 Amazon DynamoDB、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon CloudWatch Evidently、 AWS Organizations、 Amazon Forecast、 AWS IoT Greengrass、 AWS Ground Station、 AWS Identity and Access Management (IAM)、 Amazon Managed Streaming for Apache Kafka (Amazon MSK)Amazon Lightsail、、 Amazon CloudWatch Logs、 AWS Elemental MediaConnect、 AWS Elemental MediaTailor、 Amazon Pinpoint、 Amazon Virtual Private Cloud (Amazon VPC) Amazon Personalize、 Amazon Quick、 AWS Migration Hub Refactor Spaces、 Amazon Simple Storage Service (Amazon S3) Amazon SageMaker AI、 AWS Transfer Family。 | 2023 年 6 月 13 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | このポリシーは AWS Amplify、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Connect、 AWS App Mesh、 Amazon Managed Service for Prometheus、 Amazon Athena、 AWS Batch AWS CloudFormation、 AWS CloudTrail、 AWS CodeArtifact、 Amazon CodeGuru、 AWS Directory Service、 Amazon DynamoDB、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon CloudWatch Evidently、 AWS Organizations、Amazon Forecast、 AWS IoT Greengrass、 AWS Ground Station、 AWS Identity and Access Management (IAM)、 Amazon Managed Streaming for Apache Kafka (Amazon MSK)Amazon Lightsail、、 Amazon CloudWatch Logs、 AWS Elemental MediaConnect、 AWS Elemental MediaTailor、 Amazon Pinpoint、 Amazon Virtual Private Cloud (Amazon VPC) Amazon Personalize、 Amazon Quick、 AWS Migration Hub Refactor Spaces、 Amazon Simple Storage Service (Amazon S3) Amazon SageMaker AI、 AWS Transfer Family。 | 2023 年 6 月 13 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | このポリシーは AWS Amplify、、、Amazon CloudFront AWS App Mesh、 AWS App Runner、Amazon Elastic Compute Cloud AWS CodeArtifact、Amazon Kendra、Amazon Macie、Amazon Route 53、Amazon SageMaker AI、、 AWS Transfer Family Amazon Pinpoint、 AWS Resilience Hub AWS Migration Hub、Amazon CloudWatch、 AWS Directory Service、および の Amazon Managed Workflows に対する追加のアクセス許可をサポートするようになりました AWS WAF。 | 2023 年 4 月 13 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | このポリシーは AWS Amplify、、、Amazon CloudFront AWS App Mesh、 AWS App Runner、Amazon Elastic Compute Cloud AWS CodeArtifact、Amazon Kendra、Amazon Macie、Amazon Route 53、Amazon SageMaker AI、、 AWS Transfer Family Amazon Pinpoint、 AWS Resilience Hub AWS Migration Hub、Amazon CloudWatch、 AWS Directory Service、および の Amazon Managed Workflows に対する追加のアクセス許可をサポートするようになりました AWS WAF。 | 2023 年 4 月 13 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | このポリシーは、Amazon AppFlow AWS App Runner、Amazon WorkSpaces Applications、Amazon CloudFront、Amazon CloudWatch AWS CodeArtifact、 AWS CodeCommit、 AWS Device Farm Amazon CloudWatch Evidently、Amazon Forecast AWS Ground Station、、 AWS Identity and Access Management (IAM) AWS IoT、Amazon MemoryDB、Amazon Pinpoint、 AWS Network Manager AWS Panorama、Amazon Relational Database Service (Amazon RDS)、Amazon Redshift、Amazon SageMaker AI の Amazon Managed Workflows に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 3 月 30 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | このポリシーは、Amazon AppFlow AWS App Runner、、Amazon WorkSpaces Applications、 AWS CloudFormation、Amazon CloudFront、Amazon CloudWatch、 AWS CodeArtifact AWS CodeCommit AWS Device Farm、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon CloudWatch Evidently、Amazon Forecast AWS Ground Station、、 AWS Identity and Access Management (IAM) AWS IoT、、、Amazon MemoryDB、Amazon Pinpoint AWS Network Manager、 AWS Panorama、Amazon Relational Database Service (Amazon RDS)、Amazon Redshift、Amazon SageMaker AI の Amazon Managed Workflows に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 3 月 30 日 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole) – この AWS 管理ポリシーの変更の追跡 AWS Config を開始します | このポリシーにより、 AWS Lambda 関数は、定期的に Amazon S3 に AWS Config 配信される AWS Config API と設定スナップショットにアクセスできます。このアクセスは、 AWS カスタム Lambda ルールの設定変更を評価する関数で必要です。 | 2023 年 3 月 7 日 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations) – この AWS 管理ポリシーの変更の追跡 AWS Config を開始します | このポリシーにより、 は読み取り専用 API AWS Config を呼び出すことができます。 AWS Organizations APIs | 2023 年 3 月 7 日 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy) – この AWS 管理ポリシーの変更の追跡 AWS Config を開始します | このポリシーにより、 AWS Config はユーザーに代わって `NON_COMPLIANT` リソースを修復できます。 | 2023 年 3 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: auditmanager:GetAccountStatus | このポリシーでは、 AWS Audit Managerのアカウントの登録状態を返すアクセス許可を付与するようになりました。 | 2023 年 3 月 3 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: auditmanager:GetAccountStatus | このポリシーでは、 AWS Audit Managerのアカウントの登録状態を返すアクセス許可を付与するようになりました。 | 2023 年 3 月 3 日 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy) – この AWS 管理ポリシーの変更の追跡 AWS Config を開始します | このポリシーにより AWS Config 、 は AWS サービスを呼び出し、 を使用して組織全体にリソースをデプロイ AWS Config できます AWS Organizations。 | 2023 年 2 月 27 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | このポリシーでは、Amazon Managed Workflows for Apache Airflow、 AWS IoT Amazon WorkSpaces アプリケーション、Amazon CodeGuru Reviewer、、 AWS HealthLake Amazon Kinesis Video Streams、Amazon Application Recovery Controller (ARC)、Amazon Elastic Compute Cloud (Amazon EC2) AWS Device Farm、Amazon Pinpoint、 AWS Identity and Access Management (IAM)、Amazon GuardDuty、Amazon CloudWatch Logs に対する追加のアクセス許可がサポートされるようになりました。 | 2023 年 2 月 1 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | このポリシーでは、Amazon Managed Workflows for Apache Airflow、 AWS IoT Amazon WorkSpaces アプリケーション、Amazon CodeGuru Reviewer、、 AWS HealthLake Amazon Kinesis Video Streams、Amazon Application Recovery Controller (ARC)、Amazon Elastic Compute Cloud (Amazon EC2) AWS Device Farm、Amazon Pinpoint、 AWS Identity and Access Management (IAM)、Amazon GuardDuty、Amazon CloudWatch Logs に対する追加のアクセス許可がサポートされるようになりました。 | 2023 年 2 月 1 日 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – 更新: config:DescribeConfigRules | セキュリティのベストプラクティスとして、このポリシーは、`config:DescribeConfigRules` に対する広範なリソースレベルのアクセス許可を削除するようになりました。 | 2023 年 1 月 12 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | このポリシーは、Amazon Managed Service for Prometheus、 AWS Audit Manager、 AWS Database Migration Service (AWS DMS) AWS Device Farm、 AWS Directory Service Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue AWS IoT、Amazon Lightsail、 AWS Elemental MediaPackage、、 AWS Network Manager、Amazon Quick、Amazon Application Recovery Controller (ARC)、Amazon Simple Storage Service (Amazon S3) AWS Resource Access Manager、および Amazon Timestream に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 12 月 15 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | このポリシーは、Amazon Managed Service for Prometheus、 AWS Audit Manager、 AWS Database Migration Service (AWS DMS) AWS Device Farm、 AWS Directory Service Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue AWS IoT、Amazon Lightsail、 AWS Elemental MediaPackage、、 AWS Network Manager、Amazon Quick、Amazon Application Recovery Controller (ARC)、Amazon Simple Storage Service (Amazon S3) AWS Resource Access Manager、および Amazon Timestream に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 12 月 15 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: cloudformation:ListStackResources and cloudformation:ListStacks | このポリシーは、指定された AWS CloudFormation スタックのすべてのリソースの説明を返し、ステータスが指定された と一致するスタックの概要情報を返すアクセス許可を付与するようになりましたStackStatusFilter。 | 2022 年 11 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: cloudformation:ListStackResources and cloudformation:ListStacks | このポリシーは、指定された AWS CloudFormation スタックのすべてのリソースの説明を返し、ステータスが指定された と一致するスタックの概要情報を返すアクセス許可を付与するようになりましたStackStatusFilter。 | 2022 年 11 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | このポリシーは AWS Certificate Manager、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Managed Workflows for Apache Airflow AWS Amplify、 AWS AppConfig、 Amazon Keyspaces、 Amazon CloudWatch、 Amazon Connect、 AWS Glue DataBrew、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Kubernetes Service (Amazon EKS) Amazon EventBridge、 AWS Fault Injection Service、 Amazon Fraud Detector、 Amazon FSx、 Amazon GameLift サーバー、 Amazon Location Service、 AWS IoT、 Amazon Lex、Amazon Lightsail、 Amazon Pinpoint、 OpsWorks AWS Panorama、、 AWS Resource Access Manager、 Amazon Quick、 Amazon Relational Database Service (Amazon RDS) Amazon Rekognition、 AWS RoboMaker AWS Resource Groups、 Amazon Route 53、 Amazon Simple Storage Service (Amazon S3) AWS Cloud Map、、 および AWS Security Token Service。 | 2022 年 10 月 19 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | このポリシーは AWS Certificate Manager、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Managed Workflows for Apache Airflow AWS Amplify、 AWS AppConfig、 Amazon Keyspaces、 Amazon CloudWatch、 Amazon Connect、 AWS Glue DataBrew、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Kubernetes Service (Amazon EKS) Amazon EventBridge、 AWS Fault Injection Service、 Amazon Fraud Detector、 Amazon FSx、 Amazon GameLift サーバー、 Amazon Location Service、 AWS IoT、 Amazon Lex、Amazon Lightsail、 Amazon Pinpoint、 OpsWorks AWS Panorama、、 AWS Resource Access Manager、 Amazon Quick、 Amazon Relational Database Service (Amazon RDS) Amazon Rekognition、 AWS RoboMaker AWS Resource Groups、 Amazon Route 53、 Amazon Simple Storage Service (Amazon S3) AWS Cloud Map、、 および AWS Security Token Service。 | 2022 年 10 月 19 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: Glue::GetTable | このポリシーは、指定された AWS Glue テーブルのデータカタログ内のテーブル定義を取得するアクセス許可を付与するようになりました。 | 2022 年 9 月 14 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加 Glue::GetTable | このポリシーは、指定された AWS Glue テーブルのデータカタログ内のテーブル定義を取得するアクセス許可を付与するようになりました。 | 2022 年 9 月 14 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加 appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | このポリシーは、Amazon AppFlow、 Amazon CloudWatch、 Amazon CloudWatch RUM、 Amazon CloudWatch Synthetics、 Amazon Connect Customer Profiles、 Amazon Connect Voice ID、 Amazon DevOps Guru、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 Auto Scaling、 Amazon EMR、 Amazon EventBridge、 Amazon EventBridge スキーマ、 Amazon FinSpace、 Amazon Fraud Detector、 Amazon GameLift サーバー、 Amazon Interactive Video Service (Amazon IVS) Amazon Managed Service for Apache Flink、 EC2 Image Builder、 Amazon Lex、Amazon Lightsail、 Amazon Location Service、 Amazon Lookout for Equipment、 Amazon Lookout for Metrics Amazon Lookout for Vision、 Amazon Managed Blockchain、 Amazon MQ、 Amazon Nimble StudioAmazon Pinpoint、 Amazon Quick、 Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver、、 Amazon Simple Storage Service (Amazon S3) Amazon SimpleDB、 Amazon Simple Email Service (Amazon SES) Amazon Timestream、 AWS AppConfig、 AWS AppSync AWS Auto Scaling、 AWS Backup、 AWS Budgets、 AWS Cost Explorer、 AWS Cloud9 AWS Directory Service、 AWS DataSync AWS Elemental MediaPackage、、 AWS Glue、 AWS IoT、 AWS IoT Analytics、 AWS IoT Events AWS IoT SiteWise、 AWS License Manager、、 AWS IoT TwinMaker AWS Lake Formation、 AWS Resilience Hub、、 AWS Signer、 および AWS Transfer Family。 | 2022 年 9 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | このポリシーは、Amazon AppFlow、 Amazon CloudWatch、 Amazon CloudWatch RUM、 Amazon CloudWatch Synthetics、 Amazon Connect Customer Profiles、 Amazon Connect Voice ID、 Amazon DevOps Guru、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 Auto Scaling、 Amazon EMR、 Amazon EventBridge、 Amazon EventBridge スキーマ、 Amazon FinSpace、 Amazon Fraud Detector、 Amazon GameLift サーバー、 Amazon Interactive Video Service (Amazon IVS) Amazon Managed Service for Apache Flink、 EC2 Image Builder、 Amazon Lex、Amazon Lightsail、 Amazon Location Service、 Amazon Lookout for Equipment、 Amazon Lookout for Metrics Amazon Lookout for Vision、 Amazon Managed Blockchain、 Amazon MQ、 Amazon Nimble StudioAmazon Pinpoint、 Amazon Quick、 Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver、、 Amazon Simple Storage Service (Amazon S3) Amazon SimpleDB、 Amazon Simple Email Service (Amazon SES) Amazon Timestream、 AWS AppConfig、 AWS AppSync AWS Auto Scaling、 AWS Backup、 AWS Budgets、 AWS Cost Explorer、 AWS Cloud9 AWS Directory Service、 AWS DataSync AWS Elemental MediaPackage、、 AWS Glue、 AWS IoT、 AWS IoT Analytics、 AWS IoT Events AWS IoT SiteWise、 AWS License Manager、、 AWS IoT TwinMaker AWS Lake Formation、 AWS Resilience Hub、、 AWS Signer、 および AWS Transfer Family | 2022 年 9 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | このポリシーは、Amazon Managed Workflows for Apache Airflow、 AWS IoT、Amazon WorkSpaces アプリケーション、Amazon CodeGuru Reviewer、 AWS HealthLake、Amazon Kinesis Video Streams、Amazon Application Recovery Controller (ARC)、Amazon Elastic Compute Cloud (Amazon EC2) AWS Device Farm、Amazon Pinpoint、 AWS Identity and Access Management (IAM)、Amazon GuardDuty、Amazon CloudWatch Logs に対する追加のアクセス許可をサポートするようになりました。 | 2023 年 2 月 1 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | このポリシーでは、Amazon Managed Workflows for Apache Airflow、 AWS IoT Amazon WorkSpaces アプリケーション、Amazon CodeGuru Reviewer、、 AWS HealthLake Amazon Kinesis Video Streams、Amazon Application Recovery Controller (ARC)、Amazon Elastic Compute Cloud (Amazon EC2) AWS Device Farm、Amazon Pinpoint、 AWS Identity and Access Management (IAM)、Amazon GuardDuty、Amazon CloudWatch Logs に対する追加のアクセス許可がサポートされるようになりました。 | 2023 年 2 月 1 日 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – 更新: config:DescribeConfigRules | セキュリティのベストプラクティスとして、このポリシーは、`config:DescribeConfigRules` に対する広範なリソースレベルのアクセス許可を削除するようになりました。 | 2023 年 1 月 12 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | このポリシーは、Amazon Managed Service for Prometheus、 AWS Audit Manager、 AWS Database Migration Service (AWS DMS) AWS Device Farm、 AWS Directory Service Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue AWS IoT、Amazon Lightsail、 AWS Elemental MediaPackage、、 AWS Network Manager、Amazon Quick、Amazon Application Recovery Controller (ARC)、Amazon Simple Storage Service (Amazon S3) AWS Resource Access Manager、および Amazon Timestream に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 12 月 15 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | このポリシーは、Amazon Managed Service for Prometheus、 AWS Audit Manager、 AWS Database Migration Service (AWS DMS) AWS Device Farm、 AWS Directory Service Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue AWS IoT、Amazon Lightsail、 AWS Elemental MediaPackage、、 AWS Network Manager、Amazon Quick、Amazon Application Recovery Controller (ARC)、Amazon Simple Storage Service (Amazon S3) AWS Resource Access Manager、および Amazon Timestream に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 12 月 15 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: cloudformation:ListStackResources and cloudformation:ListStacks | このポリシーは、指定された AWS CloudFormation スタックのすべてのリソースの説明を返し、ステータスが指定された と一致するスタックの概要情報を返すアクセス許可を付与するようになりましたStackStatusFilter。 | 2022 年 11 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: cloudformation:ListStackResources and cloudformation:ListStacks | このポリシーは、指定された AWS CloudFormation スタックのすべてのリソースの説明を返し、ステータスが指定された と一致するスタックの概要情報を返すアクセス許可を付与するようになりましたStackStatusFilter。 | 2022 年 11 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | このポリシーは AWS Certificate Manager、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Managed Workflows for Apache Airflow AWS Amplify、 AWS AppConfig、 Amazon Keyspaces、 Amazon CloudWatch、 Amazon Connect、 AWS Glue DataBrew、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Kubernetes Service (Amazon EKS) Amazon EventBridge、 AWS Fault Injection Service、 Amazon Fraud Detector、 Amazon FSx、 Amazon GameLift サーバー、 Amazon Location Service、 AWS IoT、 Amazon Lex、Amazon Lightsail、 Amazon Pinpoint、 OpsWorks AWS Panorama、、 AWS Resource Access Manager、 Amazon Quick、 Amazon Relational Database Service (Amazon RDS) Amazon Rekognition、 AWS RoboMaker AWS Resource Groups、 Amazon Route 53、 Amazon Simple Storage Service (Amazon S3) AWS Cloud Map、、 および AWS Security Token Service。 | 2022 年 10 月 19 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | このポリシーは AWS Certificate Manager、 に対する追加のアクセス許可をサポートするようになりました。 Amazon Managed Workflows for Apache Airflow AWS Amplify、 AWS AppConfig、 Amazon Keyspaces、 Amazon CloudWatch、 Amazon Connect、 AWS Glue DataBrew、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Kubernetes Service (Amazon EKS) Amazon EventBridge、 AWS Fault Injection Service、 Amazon Fraud Detector、 Amazon FSx、 Amazon GameLift サーバー、 Amazon Location Service、 AWS IoT、 Amazon Lex、Amazon Lightsail、 Amazon Pinpoint、 OpsWorks AWS Panorama、、 AWS Resource Access Manager、 Amazon Quick、 Amazon Relational Database Service (Amazon RDS) Amazon Rekognition、 AWS RoboMaker AWS Resource Groups、 Amazon Route 53、 Amazon Simple Storage Service (Amazon S3) AWS Cloud Map、、 および AWS Security Token Service。 | 2022 年 10 月 19 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: Glue::GetTable | このポリシーは、指定された AWS Glue テーブルのデータカタログ内のテーブル定義を取得するアクセス許可を付与するようになりました。 | 2022 年 9 月 14 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加 Glue::GetTable | このポリシーは、指定された AWS Glue テーブルのデータカタログ内のテーブル定義を取得するアクセス許可を付与するようになりました。 | 2022 年 9 月 14 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加 appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | このポリシーは、Amazon AppFlow、 Amazon CloudWatch、 Amazon CloudWatch RUM、 Amazon CloudWatch Synthetics、 Amazon Connect Customer Profiles、 Amazon Connect Voice ID、 Amazon DevOps Guru、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 Auto Scaling、 Amazon EMR、 Amazon EventBridge、 Amazon EventBridge スキーマ、 Amazon FinSpace、 Amazon Fraud Detector、 Amazon GameLift サーバー、 Amazon Interactive Video Service (Amazon IVS) Amazon Managed Service for Apache Flink、 EC2 Image Builder、 Amazon Lex、Amazon Lightsail、 Amazon Location Service、 Amazon Lookout for Equipment、 Amazon Lookout for Metrics Amazon Lookout for Vision、 Amazon Managed Blockchain、 Amazon MQ、 Amazon Nimble StudioAmazon Pinpoint、 Amazon Quick、 Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver、、 Amazon Simple Storage Service (Amazon S3) Amazon SimpleDB、 Amazon Simple Email Service (Amazon SES) Amazon Timestream、 AWS AppConfig、 AWS AppSync AWS Auto Scaling、 AWS Backup、 AWS Budgets、 AWS Cost Explorer、 AWS Cloud9 AWS Directory Service、 AWS DataSync AWS Elemental MediaPackage、、 AWS Glue、 AWS IoT、 AWS IoT Analytics、 AWS IoT Events AWS IoT SiteWise、 AWS License Manager、、 AWS IoT TwinMaker AWS Lake Formation、 AWS Resilience Hub、、 AWS Signer、 および AWS Transfer Family。 | 2022 年 9 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | このポリシーは、Amazon AppFlow、 Amazon CloudWatch、 Amazon CloudWatch RUM、 Amazon CloudWatch Synthetics、 Amazon Connect Customer Profiles、 Amazon Connect Voice ID、 Amazon DevOps Guru、 Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 Auto Scaling、 Amazon EMR、 Amazon EventBridge、 Amazon EventBridge スキーマ、 Amazon FinSpace、 Amazon Fraud Detector、 Amazon GameLift サーバー、 Amazon Interactive Video Service (Amazon IVS) Amazon Managed Service for Apache Flink、 EC2 Image Builder、 Amazon Lex、Amazon Lightsail、 Amazon Location Service、 Amazon Lookout for Equipment、 Amazon Lookout for Metrics Amazon Lookout for Vision、 Amazon Managed Blockchain、 Amazon MQ、 Amazon Nimble StudioAmazon Pinpoint、 Amazon Quick、 Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver、、 Amazon Simple Storage Service (Amazon S3) Amazon SimpleDB、 Amazon Simple Email Service (Amazon SES) Amazon Timestream、 AWS AppConfig、 AWS AppSync AWS Auto Scaling、 AWS Backup、 AWS Budgets、 AWS Cost Explorer、 AWS Cloud9 AWS Directory Service、 AWS DataSync AWS Elemental MediaPackage、、 AWS Glue、 AWS IoT、 AWS IoT Analytics、 AWS IoT Events AWS IoT SiteWise、 AWS License Manager、、 AWS IoT TwinMaker AWS Lake Formation、 AWS Resilience Hub、、 AWS Signer、 および AWS Transfer Family | 2022 年 9 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | このポリシーは、 のエージェント、DataSync の送信元と送信先の場所、DataSync AWS アカウントタスクのリスト AWS DataSync を返すアクセス許可、 の 1 つ以上の指定された名前空間に関連付けられている名前空間とサービスに関する AWS Cloud Map 概要情報を一覧表示するアクセス許可、 AWS アカウントおよび利用可能なすべての Amazon Simple Email Service (Amazon SES) 連絡先リストを一覧表示するアクセス許可を付与するようになりました AWS アカウント。 | 2022 年 8 月 22 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | このポリシーは、 のエージェント、DataSync の送信元と送信先の場所、DataSync AWS アカウントタスクのリスト AWS DataSync を返すアクセス許可、 の 1 つ以上の指定された名前空間に関連付けられている名前空間とサービスに関する AWS Cloud Map 概要情報を一覧表示するアクセス許可、 AWS アカウントおよび利用可能なすべての Amazon Simple Email Service (Amazon SES) 連絡先リストを一覧表示するアクセス許可を付与するようになりました AWS アカウント。 | 2022 年 8 月 22 日 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – 追加: cloudwatch:PutMetricData | このポリシーは、メトリクスデータポイントを Amazon CloudWatch に発行する許可を付与するようになりました。 | 2022 年 7 月 25 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | このポリシーは、Amazon Elastic Container Service (Amazon ECS)、Amazon ElastiCache、Amazon EventBridge、Amazon FSx、Amazon Managed Service for Apache Flink、Amazon Location Service、Amazon Managed Streaming for Apache Kafka、Amazon Quick、Amazon Rekognition、Amazon Simple Storage Service (Amazon S3) AWS RoboMaker、Amazon Simple Email Service (Amazon SES) AWS Amplify、 AWS AppConfig、、 AWS AppSync AWS Billing Conductor、 AWS Firewall Manager、 AWS DataSync、 AWS IAM アイデンティティセンター 、(IAM Identity Center) AWS Glue、EC2 Image Builder、および Elastic Load Balancing の追加アクセス許可をサポートするようになりました。 | 2022 年 7 月 15 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | このポリシーは、Amazon Elastic Container Service (Amazon ECS)、Amazon ElastiCache、Amazon EventBridge、Amazon FSx、Amazon Managed Service for Apache Flink、Amazon Location Service、Amazon Managed Streaming for Apache Kafka、Amazon Quick、Amazon Rekognition、Amazon Simple Storage Service (Amazon S3) AWS RoboMaker、Amazon Simple Email Service (Amazon SES) AWS Amplify、 AWS AppConfig、、 AWS AppSync AWS Billing Conductor、 AWS Firewall Manager、 AWS DataSync、 AWS IAM アイデンティティセンター 、(IAM Identity Center) AWS Glue、EC2 Image Builder、および Elastic Load Balancing の追加アクセス許可をサポートするようになりました。 | 2022 年 7 月 15 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | このポリシーは、指定された Amazon Athena データカタログを取得するアクセス許可を付与するようになりました。 で Athena データカタログを一覧表示します AWS アカウント。 および Athena ワークグループまたはデータカタログリソースに関連付けられたタグを一覧表示します。 Amazon Detective 動作グラフのリストを取得し、Detective 動作グラフのタグを一覧表示する。 特定の AWS Glue 開発エンドポイント名のリストのリソースメタデータのリストを取得します。 指定された AWS Glue 開発エンドポイントに関する情報を取得する で AWS Glue すべての開発エンドポイントを取得する AWS アカウント指定された AWS Glue セキュリティ設定を取得する すべての AWS Glue セキュリティ設定を取得する AWS Glue リソースに関連付けられたタグのリストを取得する 指定された名前の AWS Glue ワークグループに関する情報を取得します。 アカウント内のすべての AWS Glue AWS クローラリソースの名前を取得する 内のすべての AWS Glue `DevEndpoint`リソースの名前を取得する AWS アカウント内のすべての AWS Glue ジョブリソースの名前を一覧表示します AWS アカウント。 AWS Glue メンバーアカウントの詳細を取得する アカウントで作成された AWS Glue ワークフローの名前を一覧表示します。 および アカウントで使用可能な AWS Glue ワークグループを一覧表示します。 Amazon GuardDuty フィルターの詳細を取得するには、 GuardDuty IPSet を取得する GuardDuty ThreatIntelSet を取得する GuardDuty メンバーアカウントの取得 GuardDuty フィルターのリストを取得する GuardDuty サービスの IPSetsを取得する GuardDuty サービスのタグを取得する GuardDuty サービスの ThreatIntelSets を取得します。 Amazon Macie アカウントの現在のステータスと設定を取得するには AWS Resource Access Manager (AWS RAM) リソース共有のリソースとプリンシパルの関連付けを取得し、リソース共有の詳細 AWS RAM を取得する。 Amazon Simple Email Service (Amazon SES) の既存の設定セットに関する情報を取得するには、 Amazon SES 設定セットに関連付けられているイベント送信先のリストを取得します。 および Amazon SES アカウントに関連付けられているすべての設定セットを一覧表示します。 Identity Center ディレクトリ属性のリストを取得するには、 AWS IAM アイデンティティセンター アクセス許可セットの詳細を取得する 指定された IAM Identity Center アクセス許可セットにアタッチされている IAM 管理ポリシーを取得します。 IAM Identity Center インスタンスのアクセス許可セットを取得する IAM Identity Center リソースのタグを取得します。 | 2022 年 5 月 31 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | このポリシーは、指定された Amazon Athena データカタログを取得するアクセス許可を付与するようになりました。 で Athena データカタログを一覧表示します AWS アカウント。 および Athena ワークグループまたはデータカタログリソースに関連付けられたタグを一覧表示します。 Amazon Detective 動作グラフのリストを取得し、Detective 動作グラフのタグを一覧表示する。 特定の AWS Glue 開発エンドポイント名のリストのリソースメタデータのリストを取得します。 指定された AWS Glue 開発エンドポイントに関する情報を取得する で AWS Glue すべての開発エンドポイントを取得する AWS アカウント指定された AWS Glue セキュリティ設定を取得する すべての AWS Glue セキュリティ設定を取得する AWS Glue リソースに関連付けられたタグのリストを取得する 指定された名前の AWS Glue ワークグループに関する情報を取得します。 アカウント内のすべての AWS Glue AWS クローラリソースの名前を取得する 内のすべての AWS Glue `DevEndpoint`リソースの名前を取得する AWS アカウント内のすべての AWS Glue ジョブリソースの名前を一覧表示します AWS アカウント。 AWS Glue メンバーアカウントの詳細を取得する アカウントで作成された AWS Glue ワークフローの名前を一覧表示します。 および アカウントで使用可能な AWS Glue ワークグループを一覧表示します。 Amazon GuardDuty フィルターの詳細を取得するには、 GuardDuty IPSet を取得する GuardDuty ThreatIntelSet を取得する GuardDuty メンバーアカウントの取得 GuardDuty フィルターのリストを取得する GuardDuty サービスの IPSetsを取得する GuardDuty サービスのタグを取得する GuardDuty サービスの ThreatIntelSets を取得します。 Amazon Macie アカウントの現在のステータスと設定を取得するには AWS Resource Access Manager (AWS RAM) リソース共有のリソースとプリンシパルの関連付けを取得し、リソース共有の詳細 AWS RAM を取得する。 Amazon Simple Email Service (Amazon SES) の既存の設定セットに関する情報を取得するには、 Amazon SES 設定セットに関連付けられているイベント送信先のリストを取得します。 および Amazon SES アカウントに関連付けられているすべての設定セットを一覧表示します。 Identity Center ディレクトリ属性のリストを取得するには、 AWS IAM アイデンティティセンター アクセス許可セットの詳細を取得する 指定された IAM Identity Center アクセス許可セットにアタッチされている IAM 管理ポリシーを取得します。 IAM Identity Center インスタンスのアクセス許可セットを取得する IAM Identity Center リソースのタグを取得します。 | 2022 年 5 月 31 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | このポリシーは、すべてまたは指定された AWS CloudTrail イベントデータストア (EDS) に関する情報の取得、すべてまたは指定された AWS CloudFormation リソースに関する情報の取得、DynamoDB Accelerator (DAX) パラメータグループまたはサブネットグループのリストの取得、アクセスされている現在のリージョンのアカウントの AWS Database Migration Service (AWS DMS) レプリケーションタスクに関する情報の取得、および AWS Organizations 指定されたタイプの のすべてのポリシーのリストの取得を行うアクセス許可を付与するようになりました。 | 2022 年 4 月 7 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | このポリシーは、すべてまたは指定された AWS CloudTrail イベントデータストア (EDS) に関する情報の取得、すべてまたは指定された AWS CloudFormation リソースに関する情報の取得、DynamoDB Accelerator (DAX) パラメータグループまたはサブネットグループのリストの取得、アクセスされている現在のリージョンのアカウントの AWS Database Migration Service (AWS DMS) レプリケーションタスクに関する情報の取得、および AWS Organizations 指定されたタイプの のすべてのポリシーのリストの取得を行うアクセス許可を付与するようになりました。 | 2022 年 4 月 7 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | このポリシーは AWS Backup、、 AWS Batch DynamoDB Accelerator、 AWS Database Migration Service、Amazon DynamoDB、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service、Amazon FSx、Amazon GuardDuty、 AWS Key Management Service AWS OpsWorks、Amazon Relational Database Service、 AWS WAF V2、Amazon WorkSpaces に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 3 月 14 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | このポリシーは AWS Backup、、 AWS Batch DynamoDB Accelerator、 AWS Database Migration Service、Amazon DynamoDB、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service、Amazon FSx、Amazon GuardDuty、 AWS Key Management Service AWS OpsWorks、Amazon Relational Database Service、 AWS WAF V2、Amazon WorkSpaces に対する追加のアクセス許可をサポートするようになりました。 | 2022 年 3 月 14 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | このポリシーは、Elastic Beanstalk 環境の詳細と、指定された Elastic Beanstalk 設定セットの設定内容に関する説明の取得、OpenSearch または Elasticsearch バージョンのマップの取得、データベースに利用できる Amazon RDS オプショングループの説明、および CodeDeploy デプロイ設定に関する情報の取得を実行する許可を付与するようになりました。このポリシーは、 にアタッチされた指定された代替連絡先の取得 AWS アカウント、 AWS Organizations ポリシーに関する情報の取得、Amazon ECR リポジトリポリシーの取得、アーカイブされた AWS Config ルールに関する情報の取得、Amazon ECS タスク定義ファミリーのリストの取得、指定された子 OUs) のリスト、指定されたターゲットルート、組織単位、またはアカウントにアタッチされたポリシーのリストを取得するアクセス許可も付与するようになりました。 | 2022 年 2 月 10 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | このポリシーは、Elastic Beanstalk 環境の詳細と、指定された Elastic Beanstalk 設定セットの設定内容に関する説明の取得、OpenSearch または Elasticsearch バージョンのマップの取得、データベースに利用できる Amazon RDS オプショングループの説明、および CodeDeploy デプロイ設定に関する情報の取得を実行する許可を付与するようになりました。このポリシーは、 にアタッチされた指定された代替連絡先の取得 AWS アカウント、 AWS Organizations ポリシーに関する情報の取得、Amazon ECR リポジトリポリシーの取得、アーカイブされた AWS Config ルールに関する情報の取得、Amazon ECS タスク定義ファミリーのリストの取得、指定された子 OUs) のリスト、指定されたターゲットルート、組織単位、またはアカウントにアタッチされたポリシーのリストを取得するアクセス許可も付与するようになりました。 | 2022 年 2 月 10 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | このポリシーは、Amazon CloudWatch ロググループおよびストリームを作成し、作成したログストリームにログを書き込むアクセス許可を付与するようになりました。 | 2021 年 12 月 15日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | このポリシーは、Amazon CloudWatch ロググループおよびストリームを作成し、作成したログストリームにログを書き込むアクセス許可を付与するようになりました。 | 2021 年 12 月 15 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | このポリシーは、今は Amazon OpenSearch Service (OpenSearch Service) ドメイン/ドメインの詳細を取得する権限と、特定の Amazon Relational Database Service (Amazon RDS) DB パラメータグループの詳細なパラメータリストを取得するアクセスを許可します。このポリシーは、Amazon ElastiCache のスナップショットの詳細を取得するアクセスも許可します。 | 2021 年 9 月 8 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | このポリシーは、今は Amazon OpenSearch Service (OpenSearch Service) ドメイン/ドメインの詳細を取得する権限と、特定の Amazon Relational Database Service (Amazon RDS) DB パラメータグループの詳細なパラメータリストを取得するアクセスを許可します。このポリシーは、Amazon ElastiCache のスナップショットの詳細を取得するアクセスも許可します。 | 2021 年 9 月 8 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine、および AWS リソースタイプの追加のアクセス許可を追加する | このポリシーは、ロググループのタグの一覧表示、ステートマシンのタグの一覧表示、すべてのステートマシンの一覧表示を行うアクセスを許可します。このポリシーでは、ステートマシンに関する詳細を取得するアクセスを許可するようになりました。このポリシーでは、Amazon EC2 Systems Manager (SSM)、Amazon Elastic Container Registry、Amazon FSx、Amazon Data Firehose、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、Amazon Relational Database Service (Amazon RDS)、Amazon Route 53、Amazon SageMaker AI、Amazon Simple Notification Service、 AWS Database Migration Service、 AWS Global Accelerator、および に対する追加のアクセス許可もサポートされるようになりました AWS Storage Gateway。 | 2021 年 7 月 28 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – AWS リソースタイプに l ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachineと追加のアクセス許可を追加する | このポリシーは、ロググループのタグの一覧表示、ステートマシンのタグの一覧表示、すべてのステートマシンの一覧表示を行うアクセスを許可します。このポリシーでは、ステートマシンに関する詳細を取得するアクセスを許可するようになりました。このポリシーでは、Amazon EC2 Systems Manager (SSM)、Amazon Elastic Container Registry、Amazon FSx、Amazon Data Firehose、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、Amazon Relational Database Service (Amazon RDS)、Amazon Route 53、Amazon SageMaker AI、Amazon Simple Notification Service、 AWS Database Migration Service、 AWS Global Accelerator、および に対する追加のアクセス許可もサポートされるようになりました AWS Storage Gateway。 | 2021 年 7 月 28 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – AWS リソースタイプのアクセス許可ssm:DescribeDocumentPermissionを追加 | このポリシーは、 AWS Systems Manager ドキュメントのアクセス許可とIAM Access Analyzer に関する情報の閲覧を許可するようになりました。このポリシーは、Amazon Kinesis、Amazon ElastiCache、Amazon EMR AWS Network Firewall、Amazon Route 53、Amazon Relational Database Service (Amazon RDS) の追加 AWS リソースタイプをサポートするようになりました。これらのアクセス許可の変更により AWS Config 、 はこれらのリソースタイプをサポートするために必要な読み取り専用 APIs を呼び出すことができます。このポリシーでは、lambda[lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config Edge 関数のフィルタリングもサポートされるようになりました。 | 2021 年 6 月 8 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – AWS リソースタイプのアクセス許可ssm:DescribeDocumentPermissionを追加 | このポリシーは、 AWS Systems Manager ドキュメントのアクセス許可とIAM Access Analyzer に関する情報の閲覧を許可するようになりました。このポリシーは、Amazon Kinesis、Amazon ElastiCache、Amazon EMR AWS Network Firewall、Amazon Route 53、Amazon Relational Database Service (Amazon RDS) の追加 AWS リソースタイプをサポートするようになりました。これらのアクセス許可の変更により AWS Config 、 はこれらのリソースタイプをサポートするために必要な読み取り専用 APIs を呼び出すことができます。このポリシーでは、[lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) マネージドルールの Lambda@ AWS Config Edge 関数のフィルタリングもサポートされるようになりました。 | 2021 年 6 月 8 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – 追加: API Gateway に対して読み取り専用の GET 呼び出しを行う apigateway:GET アクセス許可と、Amazon S3 読み取り専用 API を呼び出す s3:GetAccessPointPolicy アクセス許可と s3:GetAccessPointPolicyStatus アクセス許可 | このポリシーは、 API Gateway の AWS Config ルールをサポートするために API Gateway への読み取り専用 GET 呼び出しを AWS Config が実行できるアクセス許可を付与するようになりました。このポリシーでは、 が Amazon Simple Storage Service (Amazon S3) 読み取り専用 APIs AWS Config を呼び出すためのアクセス許可も追加されます。これは、新しい`AWS::S3::AccessPoint`リソースタイプをサポートするために必要です。 | 2021 年 5 月 10 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – 追加: API Gateway に対して読み取り専用 GET 呼び出しを行う apigateway:GET アクセス許可と、Amazon S3 読み取り専用 API を呼び出す s3:GetAccessPointPolicy アクセス許可と s3:GetAccessPointPolicyStatus アクセス許可 | このポリシーは、 for API Gateway をサポートするために API AWS Config Gateway への読み取り専用 GET 呼び出しを AWS Config に許可するアクセス許可を付与するようになりました。このポリシーでは、 が Amazon Simple Storage Service (Amazon S3) 読み取り専用 APIs AWS Config を呼び出すためのアクセス許可も追加されます。これは、新しい`AWS::S3::AccessPoint`リソースタイプをサポートするために必要です。 | 2021 年 5 月 10 日 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – AWS リソースタイプのssm:ListDocumentsアクセス許可と追加のアクセス許可を追加する | このポリシーは、指定した AWS Systems Manager ドキュメントに関する情報を表示するアクセス許可を付与します。このポリシーでは、Amazon Elastic File System AWS Backup、Amazon ElastiCache、Amazon Simple Storage Service (Amazon S3)、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Kinesis、Amazon SageMaker AI AWS Database Migration Service、Amazon Route 53 の追加 AWS リソースタイプもサポートされるようになりました。これらのアクセス許可の変更により AWS Config 、 はこれらのリソースタイプをサポートするために必要な読み取り専用 APIs を呼び出すことができます。 | 2021 年 4 月 1 日 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – AWS リソースタイプのssm:ListDocumentsアクセス許可と追加のアクセス許可を追加する | このポリシーは、指定した AWS Systems Manager ドキュメントに関する情報を表示するアクセス許可を付与します。このポリシーでは、Amazon Elastic File System AWS Backup、Amazon ElastiCache、Amazon Simple Storage Service (Amazon S3)、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Kinesis、Amazon SageMaker AI AWS Database Migration Service、Amazon Route 53 の追加 AWS リソースタイプもサポートされるようになりました。これらのアクセス許可の変更により AWS Config 、 はこれらのリソースタイプをサポートするために必要な読み取り専用 APIs を呼び出すことができます。 | 2021 年 4 月 1 日 |
| `AWSConfigRole` は廃止に | `AWSConfigRole` は廃止されました。交換ポリシーは `AWS_ConfigRole` です。 | 2021 年 4 月 1 日 |
| AWS Config が変更の追跡を開始しました | AWS Config は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 4 月 1 日 |
# に割り当てられた IAM ロールのアクセス許可 AWS Config
IAM ロールでは、一連のアクセス許可を定義できます。 は、S3 バケットへの書き込み、SNS トピックへの発行、 AWS リソースの設定詳細を取得するための `Describe`または `List` API リクエストを行うために割り当てるロール AWS Config を引き受けます。IAM ロールの詳細については、「IAM ユーザーガイド」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html)」を参照してください。**
AWS Config コンソールを使用して IAM ロールを作成または更新すると、 は必要なアクセス許可 AWS Config を自動的にアタッチします。詳細については、「[コンソールによる AWS Config の設定](gs-console.md)」を参照してください。
**ポリシーとコンプライアンスの結果**
[IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)と、[AWS Organizationsで管理されるその他のポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)が、 AWS Config がリソースの設定変更の記録を許可されるかどうかに影響する可能性があります。また、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図する AWS Configの使用方法と合致していることを確認してください。
**Contents**
+ [IAM ロールのポリシーの作成](#iam-role-policies)
+ [ロールへの IAM 信頼ポリシーの追加](#iam-trust-policy)
+ [S3 バケットの IAM ロールのポリシー](#iam-role-policies-S3-bucket)
+ [KMS キーの IAM ロールポリシー](#iam-role-policies-S3-kms-key)
+ [Amazon SNS トピックの IAM ロールポリシー](#iam-role-policies-sns-topic)
+ [設定詳細を取得するための IAM ロールポリシー](#iam-role-policies-describe-apis)
+ [S3 バケット記録のアクセス許可の管理](#troubleshooting-recording-s3-bucket-policy)
## IAM ロールのポリシーの作成
AWS Config コンソールを使用して IAM ロールを作成すると、 は必要なアクセス許可 AWS Config を自動的にロールにアタッチします。
を使用して AWS CLI を設定している場合、 AWS Config または既存の IAM ロールを更新する場合は、ポリシーを手動で更新して、 AWS Config が S3 バケットにアクセスし、SNS トピックに発行し、リソースに関する設定の詳細を取得できるようにする必要があります。
### ロールへの IAM 信頼ポリシーの追加
がロールを引き受け AWS Config 、それを使用してリソースを追跡できるようにする IAM 信頼ポリシーを作成できます。信頼されたポリシーの詳細については、「IAM ユーザーガイド**」の「[ロールに関する用語と概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html)」を参照してください。
AWS Config ロールの信頼ポリシーの例を次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
上記の IAM ロールの信頼関係で `AWS:SourceAccount` 条件を使用して、特定のアカウントに代わって操作を実行するときに、この AWS IAM ロールのみとやり取りするように Config サービスプリンシパルを制限することができます。
AWS Config は、所有アカウントに代わってオペレーションを実行するときにのみ IAM ロールを引き受けるように Config サービスプリンシパルを制限する `AWS:SourceArn`条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 `AWS:SourceArn`プロパティは常に に設定されます。`arn:aws:config:sourceRegion:sourceAccountID:*`ここで、 `sourceRegion` はカスタマーマネージド設定レコーダーのリージョンであり、 `sourceAccountID`はカスタマーマネージド設定レコーダーを含むアカウントの ID です。
例えば、条件 `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}` を追加すると、アカウント `123456789012` にある `us-east-1` リージョン内のカスタマー管理の設定レコーダーに代わって実行する場合にのみ、その IAM ロールを引き受けるように Config サービスプリンシパルを制限できます。
### S3 バケットの IAM ロールのポリシー
次のポリシー例では、S3 バケットへのアクセス AWS Config 許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### KMS キーの IAM ロールポリシー
次のポリシー例では、S3 バケット配信の新しいオブジェクトで KMS ベースの暗号化を使用する AWS Config アクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Amazon SNS トピックの IAM ロールポリシー
次のポリシー例では、SNS トピックにアクセスするためのアクセス AWS Config 許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
SNS トピックが暗号化されている場合、追加の設定手順については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[AWS KMS アクセス許可の設定](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse)」を参照してください。
### 設定詳細を取得するための IAM ロールポリシー
AWS Config サービスにリンクされたロール を使用することをお勧めします`AWSServiceRoleForConfig`。サービスにリンクされたロールは事前定義されており、 が他の を呼び出す AWS Config ために必要なすべてのアクセス許可が含まれています AWS のサービス。 AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。詳細については、「[AWS Configのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)」を参照してください。
コンソールでロールを作成または更新すると、 によって **AWSServiceRoleForConfig** がア AWS Config タッチされます。
を使用する場合は AWS CLI、 `attach-role-policy` コマンドを使用して **AWSServiceRoleForConfig** の Amazon リソースネーム (ARN) を指定します。
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### S3 バケット記録のアクセス許可の管理
AWS Config は、S3 バケットが作成、更新、または削除されたときに通知を記録して配信します。
AWS Config サービスにリンクされたロール を使用することをお勧めします`AWSServiceRoleForConfig`。サービスにリンクされたロールは事前定義されており、 が他の を呼び出す AWS Config ために必要なすべてのアクセス許可が含まれています AWS のサービス。 AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。詳細については、「[AWS Configのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)」を参照してください。
# カスタマー管理の設定レコーダーの IAM ロール更新
カスタマー管理の設定レコーダーで使用される IAM ロールを更新できます。IAM ロールを更新する前に、古いロールと置き換える新しいロールを作成済みであることを確認します。設定を記録して配信チャネルに配信 AWS Config するためのアクセス許可を に付与する新しいロールにポリシーをアタッチする必要があります。
IAM ロールの作成と IAM ロールへの必要なポリシーのアタッチの詳細については、[[ステップ 3: IAM ロールを作成する](gs-cli-prereq.md#gs-cli-create-iamrole)]を参照してください。
**注記**
既存の IAM ロールの ARN を確認するには、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動します。ナビゲーションペインで **[Roles]** (ロール) を選択します。次に、該当するロールの名前を選択し、**[Summary]** (サマリ) ページの上部にある ARN を見つけます。
## IAM ロールの更新
IAM ロールは、 AWS マネジメントコンソール または を使用して更新できます AWS CLI。
------
#### [ To update the IAM role (Console) ]
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. [設定] ページの **[顧客管理レコーダー]** タブで **[編集]** を選択します。
1. **データガバナンス**セクションで、次の IAM ロールを選択します AWS Config。
+ **既存の AWS Config サービスにリンクされたロールを使用する – **必要なアクセス許可を持つロール AWS Config を作成します。
+ **アカウントからロールを選択** - **[既存のロール]** に対して、アカウントの IAM ロールを選択します。
1. **[保存]** を選択します。
------
#### [ To update the IAM role (AWS CLI) ]
[https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)コマンドを使用して、新しいロールの Amazon リソースネーム (ARN) を指定します。
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可
**重要**
このページでは、 AWS Config 配信チャネルの Amazon S3 バケットをセットアップします。このページは、 AWS Config 設定レコーダーが記録できる`AWS::S3::Bucket`リソースタイプに関するものではありません。
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。バケット AWS アカウント を作成した (リソース所有者) のみがアクセス許可を持ちます。リソース所有者は、アクセスポリシーを作成することで、他のリソースやユーザーにアクセスを許可できます。
AWS Config が自動的に S3 バケットを作成すると、必要なアクセス許可が追加されます。しかし、ユーザーが既存の S3 バケットを指定する場合は、これらのアクセス許可を手動で追加する必要があります。
**Topics**
+ [IAM ロールを使用する場合](#required-permissions-in-another-account)
+ [サービスにリンクされたロールを使用する場合](#required-permissions-using-servicelinkedrole)
+ [AWS Config アクセスの許可](#granting-access-in-another-account)
+ [アカウント間での配信](#required-permissions-cross-account)
## IAM ロールの使用時に Amazon S3 バケットに必要なアクセス許可
AWS Config は、設定レコーダーに割り当てた IAM ロールを使用して、アカウント内の S3 バケットに設定履歴とスナップショットを配信します。クロスアカウント配信の場合、 AWS Config 最初に割り当てられた IAM ロールの使用を試みます。バケットポリシーによってその IAM ロールに `WRITE` アクセスが許可されない場合、 AWS Config は `config.amazonaws.com` サービスプリンシパルを使用します。配信を完了するためには、バケットポリシーが `WRITE` アクセスを `config.amazonaws.com` に許可する必要があります。配信が成功すると、 はクロスアカウント S3 バケットに配信するすべてのオブジェクトの所有権 AWS Config を維持します。
AWS Config は、設定レコーダーに割り当てた IAM ロールを使用して Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html) API を呼び出し、S3 バケットが存在するかどうか、およびその場所を確認します。 AWS Config の確認に必要なアクセス許可がない場合は、 AWS CloudTrail ログに`AccessDenied`エラーが表示されます。ただし、 AWS Config は、S3 バケットが存在するかどうかとその場所を確認するために必要なアクセス許可がない場合でも、設定履歴とスナップショットを配信 AWS Config できます。
**最小アクセス許可**
Amazon S3 `HeadBucket` API には `s3:ListBucket` アクションが必要です。
## サービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可
AWS Config サービスにリンクされたロールには、Amazon S3 バケットにオブジェクトを配置するアクセス許可がありません。サービスにリンクされたロール AWS Config を使用して を設定すると、 AWS Config は`config.amazonaws.com`サービスプリンシパルを使用して設定履歴とスナップショットを配信します。アカウントまたはクロスアカウント送信先の S3 バケットポリシーには、 AWS Config サービスプリンシパルがオブジェクトを書き込むためのアクセス許可が含まれている必要があります。
## Amazon S3 バケット AWS Config へのアクセスの許可
以下のステップを完了すると AWS Config 、 が設定履歴とスナップショットを Amazon S3 バケットに配信できるようになります。
1. S3 バケットを持つアカウント AWS マネジメントコンソール を使用して にサインインします。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 設定項目の配信 AWS Config に使用するバケットを選択し、**プロパティ**を選択します。
1. **[Permissions]** (アクセス許可) を選択します。
1. **Edit Bucket Policy** を選択します。
1. 次のポリシーを **Bucket Policy Editor** ウィンドウ内にコピーします。
**セキュリティのベストプラクティス**
`AWS:SourceAccount` 条件を使用してバケットポリシーでアクセスを制限することを強くお勧めします。これにより、 AWS Config が想定ユーザーに代わってのみアクセスが許可されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. バケットポリシーの以下の値を置き換えます。
+ *amzn-s3-demo-bucket* – AWS Config が設定履歴とスナップショットを配信する Amazon S3 バケットの名前。
+ *[optional] prefix* – オプションで Amazon S3 にオブジェクトキーに追加するプレフィックス。バケット内でフォルダのような構成を作成するのに役立ちます。
+ *sourceAccountID* – AWS Config が設定履歴とスナップショットを配信するアカウントの ID。
1. **Save**、**Close** の順に選択します。
`AWS:SourceAccount` 条件は、 AWS Config オペレーションを指定された に制限します AWS アカウント。単一の S3 バケットに配信する組織内のマルチアカウント設定では、サービスにリンクされたロールではなく、 AWS Organizations 条件キーで IAM ロールを使用します。例えば、`AWS:PrincipalOrgID`。詳細については、「*AWS Organizations ユーザーガイド*」の「[AWS Organizations を使用した組織のアクセス許可の管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)」を参照してください。
`AWS:SourceArn` 条件は、指定された配信チャネルに AWS Config オペレーションを制限します。`AWS:SourceArn` 形式は `arn:aws:config:sourceRegion:123456789012` です。
例えば、アカウント 123456789012 の米国東部 (バージニア北部) リージョンの配信チャネルへの S3 バケットアクセスを制限するには、次の条件を追加します。
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## クロスアカウントの配信時に Amazon S3 バケットに必要なアクセス許可
別のアカウントの Amazon S3 バケットに設定履歴とスナップショットを配信するように AWS Config が設定されている場合 (クロスアカウント設定)、配信チャネルに指定された設定レコーダーと S3 バケットが異なる場合は AWS アカウント、次のアクセス許可が必要です。
+ 設定レコーダーに割り当てる IAM ロールには、`s3:ListBucket` オペレーションを実行するための明示的なアクセス許可が必要です。これは、 がこの IAM ロールを使用して Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html) API を AWS Config 呼び出してバケットの場所を決定するためです。
+ S3 バケットポリシーには、設定レコーダーに割り当てられた IAM ロールのアクセス許可が含まれている必要があります。
以下は、バケットポリシー設定の例です。
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# AWS Config 配信チャネルの KMS キーのアクセス許可
S3 バケット配信のために によって配信されるオブジェクトで KMS ベースの暗号化を使用できるようにする S3 AWS Config バケットの AWS KMS キーのポリシーを作成する場合は、このトピックの情報を使用します。
**Contents**
+ [IAM ロールの使用時 (S3 バケット配信) に KMS キーに必要なアクセス許可](#required-permissions-s3-kms-key-using-iam-role)
+ [サービスにリンクされたロールを使用する場合の AWS KMS キーに必要なアクセス許可 (S3 バケット配信)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [AWS KMS キー AWS Config へのアクセスの許可](#granting-access-s3-kms-key)
## IAM ロールの使用時 (S3 バケット配信) に KMS キーに必要なアクセス許可
IAM ロール AWS Config を使用して を設定する場合は、次のアクセス許可ポリシーを KMS キーにアタッチできます。
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**注記**
IAM ロール、Amazon S3 バケットポリシー、または AWS KMS キーが適切なアクセスを提供しない場合 AWS Config、設定情報を Amazon AWS Config S3 バケットに送信しようとすると失敗します。 Amazon S3 このイベントでは、 は今回、 AWS Config サービスプリンシパルとして情報を再度 AWS Config 送信します。この場合、Amazon S3 バケットに情報を配信するときに AWS KMS キーを使用するための AWS Config アクセスを許可するには、以下に説明するアクセス許可ポリシーをキーにアタッチする必要があります。
## サービスにリンクされたロールを使用する場合の AWS KMS キーに必要なアクセス許可 (S3 バケット配信)
AWS Config サービスにリンクされたロールには、 AWS KMS キーにアクセスするアクセス許可がありません。したがって、サービスにリンクされたロール AWS Config を使用して を設定すると、 AWS Config は代わりにサービスプリンシパルとして AWS Config 情報を送信します。以下に説明するアクセスポリシーを AWS KMS キーにアタッチして、Amazon S3 バケットに情報を配信するときに AWS KMS キーを使用する AWS Config ためのアクセスを許可する必要があります。
## AWS KMS キー AWS Config へのアクセスの許可
このポリシーでは AWS Config 、Amazon S3 バケットに情報を配信するときに が AWS KMS キーを使用できるようにします。
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
キーポリシーの以下の数値を置き換えます。
+ *myKMSKeyARN* – 設定項目を配信 AWS Config する Amazon S3 バケット内のデータを暗号化するために使用される AWS KMS キーの ARN。
+ *sourceAccountID* – AWS Config がターゲットバケットに設定項目を配信するアカウントの ID。
上記の AWS KMS キーポリシー`AWS:SourceAccount`の条件を使用して、Config サービスプリンシパルが特定のアカウントに代わってオペレーションを実行するときにのみ AWS KMS キーを操作するように制限できます。
AWS Config は、特定の AWS Config 配信チャネルに代わってオペレーションを実行するときに、Config サービスプリンシパルが Amazon S3 バケットとのみやり取りするように制限する `AWS:SourceArn`条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 `AWS:SourceArn`プロパティは常に に設定されます`arn:aws:config:sourceRegion:sourceAccountID:*`。ここで、 `sourceRegion` は配信チャネルのリージョンであり、 `sourceAccountID`は配信チャネルを含むアカウントの ID です。 AWS Config 配信チャネルの詳細については、[「配信チャネルの管理](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)」を参照してください。たとえば、以下の条件を追加すれば、アカウント `us-east-1` の `123456789012` リージョンでの配信チャネルに代わってのみ Config サービスプリンシパルが Amazon S3 バケットと交信するように制限されます: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`。
# Amazon SNS トピックへのアクセス許可
**暗号化された Amazon SNS はサポートされていません**
AWS Config は、暗号化された Amazon SNS トピックをサポートしていません。
このトピックでは、別のアカウントが所有する Amazon SNS トピックを配信 AWS Config するように を設定する方法について説明します。 には、Amazon SNS トピックに通知を送信するために必要なアクセス許可 AWS Config が必要です。
AWS Config コンソールが新しい Amazon SNS トピックを作成すると、 は必要なアクセス許可 AWS Config を付与します。ユーザーが既存の Amazon SNS トピックを選択する場合は、その Amazon SNS トピックに必要なアクセス許可が含まれ、セキュリティのベストプラクティスに従っていることを確認してください。
**クロスリージョン Amazon SNS トピックはサポートされていません**
AWS Config は現在、同じアカウント内 AWS リージョン およびアカウント間でのみアクセスをサポートしています。
**Contents**
+ [IAM ロール使用時に Amazon SNS トピックに必要なアクセス許可](#required-permissions-snstopic-in-another-account)
+ [サービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可](#required-permissions-snstopic-using-servicelinkedrole)
+ [Amazon SNS トピック AWS Config へのアクセスの許可](#granting-access-snstopic)
+ [Amazon SNS トピックのトラブルシューティング](#troubleshooting-for-snstopic-using-servicelinkedrole)
## IAM ロール使用時に Amazon SNS トピックに必要なアクセス許可
アクセス許可ポリシーは、別のアカウントが所有する Amazon SNS トピックに適用できます。他のアカウントから Amazon SNS トピックを使用する場合は、既存の Amazon SNS トピックに以下のポリシーを適用します。
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
`Resource` キーの場合、*account-id* はトピック所有者の AWS アカウント番号です。*account-id1*、*account-id2*、および *account-id3* には、Amazon SNS トピックにデータを送信する AWS アカウント を使用します。*region* と *myTopic* は適切な値に置き換えることができます。
が Amazon SNS トピックに通知 AWS Config を送信すると、まず IAM ロールを使用しようとしますが、ロールまたはトピックに発行するアクセス許可がない場合、この試行 AWS アカウント は失敗します。このイベントでは、 は再度通知を送信します。今回は AWS Config サービスプリンシパル名 (SPN) として通知 AWS Config を送信します。配信が正常に実行される前に、オピックのためのアクセスポリシーは `sns:Publish` プリンシパル名に`config.amazonaws.com` アクセスを許可する必要があります。IAM ロールにトピックへの公開権限がない場合、 AWS Config に Amazon SNS トピックへのアクセスを許可するには、次のセクションで説明するアクセスポリシーを、Amazon SNS トピックにアタッチする必要があります。
## サービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可
AWS Config サービスにリンクされたロールには、Amazon SNS トピックにアクセスするアクセス許可がありません。したがって、サービスにリンクされたロール (SLR) AWS Config を使用して を設定すると AWS Config 、 は代わりにサービスプリンシパルとして AWS Config 情報を送信します。以下に説明するアクセスポリシーを Amazon SNS トピックにアタッチして、Amazon SNS トピックに情報を送信するための AWS Config アクセスを許可する必要があります。
同じアカウント設定の場合、Amazon SNS トピックと SLR が同じアカウントにあり、Amazon SNS ポリシーが SLR に「`sns:Publish`」を許可する場合、 AWS Config SPN を使用する必要はありません。以下のアクセス許可ポリシーとセキュリティのベストプラクティスの推奨事項は、クロスアカウント設定のためのものです。
## Amazon SNS トピック AWS Config へのアクセスの許可
このポリシーにより AWS Config 、 は Amazon SNS トピックに通知を送信できます。別のアカウントから Amazon SNS トピック AWS Config へのアクセスを許可するには、次のアクセス許可ポリシーをアタッチする必要があります。
**注記**
セキュリティのベストプラクティスとして、 AWS Config が `AWS:SourceAccount`条件にリストされているアカウントへのアクセスを制限することによってのみ、想定ユーザーに代わってリソースにアクセスするようにすることを強くお勧めします。
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
`Resource` キーの場合、*account-id* はトピック所有者の AWS アカウント番号です。*account-id1*、*account-id2*、および *account-id3* には、Amazon SNS トピックにデータを送信する AWS アカウント を使用します。*region* と *myTopic* は適切な値に置き換えることができます。
前の Amazon SNS トピックポリシー`AWS:SourceAccount`の条件を使用して、特定のアカウントに代わってオペレーションを実行するときに Amazon SNS トピックとのみやり取りするように AWS Config サービスプリンシパル名 (SPN) を制限できます。
AWS Config は、特定の AWS Config 配信チャネルに代わってオペレーションを実行するときにのみ AWS Config S3 バケットとやり取りするようにサービスプリンシパル名 (SPN) を制限する `AWS:SourceArn`条件もサポートしています。 AWS Config サービスプリンシパル名 (SPN) を使用する場合、 `AWS:SourceArn`プロパティは常に に設定されます。`arn:aws:config:sourceRegion:sourceAccountID:*`ここで、 `sourceRegion` は配信チャネルのリージョンであり、 `sourceAccountID`は配信チャネルを含むアカウントの ID です。 AWS Config 配信チャネルの詳細については、[「配信チャネルの管理](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)」を参照してください。たとえば、アカウント の`us-east-1`リージョン の配信チャネルに代わってのみ S3 バケットを操作するように AWS Config サービスプリンシパル名 (SPN) を制限するには、次の条件を追加します`123456789012`。 `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Amazon SNS トピックのトラブルシューティング
AWS Config には、Amazon SNS トピックに通知を送信するアクセス許可が必要です。Amazon SNS トピックが通知を受信できない場合は、引き受け AWS Config ていた IAM ロールに必要な`sns:Publish`アクセス許可があることを確認します。
# AWS Config ID とアクセスのトラブルシューティング
以下の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS Config と修正に役立ちます。
**Topics**
+ [でアクションを実行する権限がありません AWS Config](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに自分の AWS Config リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## でアクションを実行する権限がありません AWS Config
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
以下のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して架空の `my-example-widget` リソースに関する詳細情報を表示しようとしているが、架空の `config:GetWidget` 権限がないという場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
この場合、Mateo のポリシーでは、`my-example-widget` アクションを使用して `config:GetWidget` リソースにアクセスすることを許可するように更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して AWS Configにロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して AWS Configでアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに自分の AWS Config リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ がこれらの機能 AWS Config をサポートしているかどうかを確認するには、「」を参照してください[が IAM と AWS Config 連携する方法](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# のサービスにリンクされたロールの使用 AWS Config
AWS Config は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Config。サービスにリンクされたロールは によって事前定義 AWS Config されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Config が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Config を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Config ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。
サービスリンクロールをサポートする他のサービスについては、[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照して、**[サービスにリンクされたロール]** 列が **[はい]** になっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## のサービスにリンクされたロールのアクセス許可 AWS Config
AWS Config は **AwsServiceRoleForConfig** という名前のサービスにリンクされたロール AWS Config を使用します。このサービスにリンクされたロールを使用して、ユーザーに代わって他の AWS サービスを呼び出します。最新の更新を確認するには、「[AWS Config AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。
**AwsServiceRoleForConfig** サービスリンクロールは、`config.amazonaws.com` サービスを信頼し、ロールを引き受けます。
`AwsServiceRoleForConfig` ロールのアクセス許可ポリシーには、 AWS Config リソースの読み取り専用アクセス許可と書き込みアクセス許可、および が AWS Config サポートする他の サービスのリソースの読み取り専用アクセス許可が含まれています。**AwsServiceRoleForConfig** の管理ポリシーを確認するには、「[AWS ConfigのAWS 管理ポリシー](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
でサービスにリンクされたロールを使用するには AWS Config、Amazon S3 バケットと Amazon SNS トピックに対するアクセス許可を設定する必要があります。詳細については[サービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可クロスアカウントの配信時に Amazon S3 バケットに必要なアクセス許可](s3-bucket-policy.md#required-permissions-using-servicelinkedrole)、[サービスにリンクされたロールを使用する場合の AWS KMS キーに必要なアクセス許可 (S3 バケット配信)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole)、および[サービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole)を参照してください。
## のサービスにリンクされたロールの作成 AWS Config
IAM CLI または IAM API で、`config.amazonaws.com` サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## のサービスにリンクされたロールの編集 AWS Config
AWS Config では、**AwsServiceRoleForConfig** サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Config
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとしたときに AWS Config サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
****AwsServiceRoleForConfig** が使用する AWS Config リソースを削除するには**
サービスにリンクされたロールを使用して、`ConfigurationRecorders` がないことを確認します。 AWS Config コンソールを使用して設定レコーダーを停止できます。記録を停止するには、**[Recording is on]** (記録はオン) の **[Turn off]** (無効) を選択します。
AWS Config API `ConfigurationRecorder`を使用して を削除できます。削除するには、`delete-configuration-recorder` コマンドを使用します。
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、IAM CLI、または IAM API を使用して、AwsServiceRoleForConfig サービスリンクロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
# でのインシデント対応 AWS Config
AWSでは、セキュリティが最優先事項です。 AWS クラウド[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model)の一環として、 は、セキュリティの影響を受けやすい組織の要件を満たすデータセンター、ネットワーク、およびソフトウェアアーキテクチャ AWS を管理します。 AWS は、 AWS Config サービス自体に関するインシデント対応を担当します。また、 AWS お客様はクラウドでセキュリティを維持する責任を共有します。つまり、ユーザーは、アクセスできる AWS ツールや機能から実装するセキュリティを制御し、責任共有モデルのユーザー側のインシデント対応に責任を負います。
クラウド上で稼働するアプリケーションの目標を満たすセキュリティベースラインを確立することで、対応可能な逸脱を検出できます。セキュリティインシデント対応は複雑なトピックになる可能性があるため、インシデント対応 (IR) とその選択が企業目標に与える影響をよりよく理解できるように、セキュリティ[AWS インシデント対応ガイド](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)、[AWS セキュリティのベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc)ホワイトペーパー、 [AWS クラウド導入フレームワーク (CAF) のセキュリティ視点](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf)ホワイトペーパーのリソースを確認することをお勧めします。
# のコンプライアンス検証 AWS Config
サードパーティーの監査者は、複数の AWS コンプライアンスプログラムの一環として AWS Config のセキュリティとコンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによるスコープ](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# の耐障害性 AWS Config
AWS グローバルインフラストラクチャは、 AWS リージョンとアベイラビリティーゾーンを中心に構築されています。 AWS リージョンは、低レイテンシー、高スループット、高度に冗長なネットワークで接続された複数の物理的に分離されたアベイラビリティーゾーンと分離されたアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。
AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# のインフラストラクチャセキュリティ AWS Config
マネージドサービスである AWS Config は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS が公開した API コールを使用して、ネットワーク AWS Config 経由で にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
## 設定と脆弱性の分析
では AWS Config、ゲストオペレーティングシステム (OS) やデータベースのパッチ適用、ファイアウォール設定、ディザスタリカバリなどの基本的なセキュリティタスク AWS を処理します。
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS Config に付与するアクセス許可を制限することをお勧めします。クロスサービスアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、`aws:SourceAccount` を使用します。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して、`aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:servicename:*:123456789012:*`。
`aws:SourceArn` の値に Amazon S3 バケット ARN などのアカウント ID が含まれていない場合は、両方のグローバル条件コンテキストキーを使用して、アクセス許可を制限する必要があります。
次の例は、 で `aws:SourceArn`および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、混乱した代理問題 AWS Config を防ぐ方法を示しています。[Amazon S3 バケット AWS Config へのアクセスを許可する](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)。
# のセキュリティのベストプラクティス AWS Config
AWS Config には、独自のセキュリティポリシーを開発および実装する際に考慮すべき多くのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
+ のタグ付けを活用することで AWS Config、 リソースの管理、検索、フィルタリングが容易になります。
+ [配信チャネル](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)が正しく設定されていることを確認し、確認したら、 [が正しく記録](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) AWS Config されていることを確認します。
詳細については、[AWS Config ベストプラクティス](https://aws.amazon.com/blogs/mt/aws-config-best-practices/)のブログを参照してください。