翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon DevOps Guru 用の Identity and Access Management
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に DevOps Guru リソースの使用を*許可*する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。

**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [DevOps Guru による AWS マネージドポリシーとサービスにリンクされたロールの更新](#security-iam-awsmanpol-updates)
+ [Amazon DevOps Guru が IAM と連携する仕組み](security_iam_service-with-iam.md)
+ [Amazon DevOps Guru のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)
+ [DevOps Guru のサービスにリンクされたロールを使用する](using-service-linked-roles.md)
+ [Amazon DevOps Guru アクセス許可リファレンス](auth-and-access-control-permissions-reference.md)
+ [Amazon SNS トピックへの許可](sns-required-permissions.md)
+ [暗号化された Amazon AWS KMS SNS トピックのアクセス許可 Amazon SNS](sns-kms-permissions.md)
+ [Amazon DevOps Guru アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)

## オーディエンス
<a name="security_iam_audience"></a>

 AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon DevOps Guru アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon DevOps Guru が IAM と連携する仕組み](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon DevOps Guru のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照)

## アイデンティティを使用した認証
<a name="security_iam_authentication"></a>

認証は、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

 AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。

### AWS アカウント ルートユーザー
<a name="security_iam_authentication-rootuser"></a>

 を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。

### フェデレーテッドアイデンティティ
<a name="security_iam_authentication-federated"></a>

ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。

*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。

アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。

### IAM ユーザーとグループ
<a name="security_iam_authentication-iamuser"></a>

*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。

### IAM ロール
<a name="security_iam_authentication-iamrole"></a>

*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

## ポリシーを使用したアクセスの管理
<a name="security_iam_access-manage"></a>

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。

管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。

### アイデンティティベースのポリシー
<a name="security_iam_access-manage-id-based-policies"></a>

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。

アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。

### リソースベースのポリシー
<a name="security_iam_access-manage-resource-based-policies"></a>

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。

リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。

### その他のポリシータイプ
<a name="security_iam_access-manage-other-policies"></a>

AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。

### 複数のポリシータイプ
<a name="security_iam_access-manage-multiple-policies"></a>

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。

## DevOps Guru による AWS マネージドポリシーとサービスにリンクされたロールの更新
<a name="security-iam-awsmanpol-updates"></a>

このサービスがこれらの変更の追跡を開始してからの DevOps Guru の AWS マネージドポリシーとサービスにリンクされたロールの更新に関する詳細を表示します。このページへの変更に関する自動アラートを受けるには、DevOps Guru ユーザーガイドの「[Amazon DevOps Guru のドキュメント履歴](doc-history.md)」 の RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access) – 既存ポリシーへの更新。  | AmazonDevOpsGuruFullAccess マネージドポリシーは Amazon SNS サブスクリプションをサポートするようになりました。 | 2023 年 8 月 9 日 | 
|  [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – 既存ポリシーへの更新。  | AmazonDevOpsGuruReadOnlyAccess マネージドポリシーで Amazon SNS サブスクリプションリストへの読み取り専用アクセスがサポートされるようになりました。 | 2023 年 8 月 9 日 | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  | AWSServiceRoleForDevOpsGuru サービスにリンクされたロールは、REST API の API Gateway GET アクションへのアクセスをサポートするようになりました。 | 2023 年 1 月 11 日 | 
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。 | AWSServiceRoleForDevOpsGuru サービスにリンクされたロールは、いくつかの Amazon Simple Storage サービスと Service Quotas アクションをサポートするようになりました。 | 2022 年 10 月 19 日 | 
|  [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access) – 既存ポリシーへの更新  | AmazonDevOpsGuruFullAccess マネージドポリシー CloudWatch `FilterLogEvents` アクションへのアクセスをサポートするようになりました。 | 2022 年 8 月 30 日 | 
|  [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access) – 既存ポリシーへの更新  |  `AmazonDevOpsGuruConsoleFullAccess` マネージドポリシーで CloudWatch `FilterLogEvents` アクションへのアクセスがサポートされるようになりました。  | 2022 年 8 月 30 日 | 
|  [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – 既存ポリシーへの更新  | AmazonDevOpsGuruReadOnlyAccess マネージドポリシーで CloudWatch FilterLogEvents アクションへの読み取り専用アクセスがサポートされるようになりました。 | 2022 年 8 月 30 日  | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールは、CloudWatch ログアクション `FilterLogEvents`、`DescribeLogGroups`、および `DescribeLogStreams` をサポートするようになりました。  | 2022 年 7 月 12 日 | 
|  [DevOps Guru のアイデンティティベースのポリシー](https://docs.aws.amazon.com/devops-guru/latest/userguide/security_iam_id-based-policy-examples.html#managed-full-access) — 新しいマネージドポリシー。  |  `AmazonDevOpsGuruConsoleFullAccess` ポリシーが追加されました。  | 2021 年 12 月 16 日 | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールで Performance Insights `DescribeMetricsKeys`、および Amazon RDS `DescribeDBInstances` アクションがサポートされるようになりました。  | 2021 年 12 月 1 日 | 
|  [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – 既存ポリシーへの更新  |  `AmazonDevOpsGuruReadOnlyAccess` マネージドポリシーで Amazon RDS `DescribeDBInstances` アクションへの読み取り専用アクセスがサポートされるようになりました。  | 2021 年 12 月 1 日 | 
|  [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access) – 既存ポリシーへの更新  |  `AmazonDevOpsGuruFullAccess` マネージドポリシーで Amazon RDS `DescribeDBInstances` アクションへのアクセスがサポートされるようになりました。  | 2021 年 12 月 1 日 | 
|  [Amazon DevOps Guru のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) — 新しいポリシーが追加されました。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールで Amazon RDS の `DescribeDBInstances` アクションおよび Performance Insights の `GetResourceMetrics` アクションがサポートされるようになりました。 `AmazonDevOpsGuruOrganizationsAccess` マネージドポリシーが組織内の DevOps Guru へのアクセスを提供します。  | 2021 年 11 月 16 日 | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールで AWS Organizations がサポートされるようになりました  | 2021 年 11 月 4 日 | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールに `ssm:CreateOpsItem` アクションと `ssm:AddTagsToResource` アクションの新しい条件が含まれるようになりました。  | 2021 年 10 月 11 日 | 
|  [DevOps Guru のサービスにリンクされたロールのアクセス許可](using-service-linked-roles.md#slr-permissions) – 既存ポリシーへの更新。  |  `AWSServiceRoleForDevOpsGuru` サービスにリンクされたロールに `ssm:CreateOpsItem` アクションと `ssm:AddTagsToResource` アクションの新しい条件が含まれるようになりました。  | 2021 年 6 月 14 日 | 
|  [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – 既存ポリシーへの更新  |  `AmazonDevOpsGuruReadOnlyAccess` マネージドポリシーで、 および DevOps Guru `DescribeFeedback`アクションへの AWS Identity and Access Management `GetRole`読み取り専用アクセスを許可するようになりました。  | 2021 年 6 月 14 日 | 
|  [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – 既存ポリシーへの更新  |  `AmazonDevOpsGuruReadOnlyAccess` マネージドポリシーで、DevOps Guru `GetCostEstimation` アクションと `StartCostEstimation` アクションへの読み取り専用アクセスが許可されるようになりました。  | 2021 年 4 月 27 日 | 
|  [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – 既存のポリシーに対する更新。  |  `AWSServiceRoleForDevOpsGuru` ロールは、 AWS Systems Manager `AddTagsToResource`および Amazon EC2 Auto Scaling `DescribeAutoScalingGroups`アクションへのアクセスを許可するようになりました。  | 2021 年 4 月 27 日 | 
|  DevOps Guru が変更の追跡を開始しました  |  DevOps Guru が AWS マネージドポリシーの変更の追跡を開始しました。  | 2020 年 12 月 10 日 |