翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx のセキュリティ
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – AWS は、Amazon Web Services Cloud で AWS サービスを実行するインフラストラクチャを保護する責任を担います。 は、お客様が安全に使用できるサービス AWS も提供します。[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/) の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon FSx for Windows File Server に適用されるコンプライアンスプログラムについては、「[コンプライアンスプログラムによるスコープ内のAWS サービス](https://aws.amazon.com/compliance/services-in-scope/)」 を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Amazon FSx for Windows File Server を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目標を達成するように Amazon FSx for Windows File Server を設定する方法について説明します。また、Amazon FSx for Windows File Server リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Amazon FSx for Windows File Server でのデータ保護](data-protection-encryption.md)
+ [Windows ACL を使用したファイルレベルおよびフォルダレベルのアクセスコントロール](limit-access-file-folder.md)
+ [Amazon VPC を使用したファイルシステムアクセスコントロール](limit-access-security-groups.md)
+ [ファイルアクセス監査によるエンドユーザーアクセスのログ記録](file-access-auditing.md)
+ [Amazon FSx for Windows File Server の ID およびアクセス管理](security-iam.md)
+ [Amazon FSx for Windows File Server のコンプライアンス検証](fsx-compliance.md)
+ [Amazon FSx for Windows File Server およびインターフェイス VPC エンドポイント](fsx-vpc-endpoints.md)
# Amazon FSx for Windows File Server でのデータ保護
「AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」「」は、Amazon FSx for Windows File Server のデータ保護に適用されます。このモデルで説明されているように、「AWS」 は、「AWS クラウド」 のすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または**名前**フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、またはAWS SDK を使用して FSx for Windows File Server またはその他のAWS のサービスを操作する場合が含まれます。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## FSx for Windows File Server でのデータ暗号化
Amazon FSx for Windows File Server は、保存データの暗号化と転送中のデータの暗号化をサポートしています。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンピューティングインスタンスにマップされたファイル共有でサポートされます。Amazon FSx は、アプリケーションを変更することなくファイルシステムにアクセスする際に、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。
### 暗号化を使用するタイミング
保存中のデータとメタデータの暗号化をリクエストする企業ポリシーまたは規制ポリシーの影響をユーザーの組織が受ける場合は、転送中のデータの暗号化を使用してファイルシステムをマウントする暗号化ファイルシステムを作成することをお勧めします。
ユーザーの組織が、保管中のデータとメタデータの暗号化が必要な企業または規制ポリシーの対象となる場合は、データは保管中に自動的に暗号化されます。また、転送中のデータの暗号化を使用してファイルシステムをマウントすることにより転送中のデータの暗号化を有効にすることも、推奨されています。
# 保管中のデータの暗号化
すべての Amazon FSx ファイルシステムは、AWS Key Management Service (AWS KMS) を使用して管理されるキーを使用して保存時に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[暗号化の基本](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。
**注記**
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 の推奨事項に一致しています。
## Amazon FSx が AWS KMS を使用する方法
Amazon FSx は、AWS KMS キー管理のために統合されています。Amazon FSx は、AWS KMS key を使用してファイルシステムを暗号化します。ファイルシステム (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可は、有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWS マネージドキー** - これはデフォルトの KMS キーで、無料で使用できます。
+ **顧客管理キー** - これは、複数のユーザーまたはサービスに対してキーポリシーと付与を設定できるため、使用するのに最も柔軟な KMS キーです。カスタマーマネージドキーの作成の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。
ファイルデータ暗号化と復号化の KMS キーとして顧客管理キーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、AWS KMS は 1 年に 1 回キーを自動的にローテーションします。さらに、カスタマーマネージドキーを使用すると、いつでも KMS キーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択できます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS keys のローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
## AWS KMSの Amazon FSx キーポリシー
キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS でのキーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストで、Amazon FSx でサポートされる保管時のファイルシステムの暗号化の、AWS KMS に関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストにします。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しい KMS キーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「AWS Key Management Service開発者ガイド」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。この許可は、デフォルトのキーポリシーに含まれています。
# 転送中のデータの暗号化
転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンピューティングインスタンスにマップされたファイル共有でサポートされます。これには、Windows Server 2012 および Windows 8 以降のすべての Windows バージョンと、Samba クライアントバージョン 4.2 以降を搭載したすべての Linux クライアントが含まれます。Amazon FSx for Windows File Server は、アプリケーションを変更することなくファイルシステムにアクセスするときに、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。
SMB 暗号化は、暗号化アルゴリズムとして AES-128-GCM または AES-128-CCM (クライアントが SMB 3.1.1 をサポートしている場合は GCM バリアントが選択されます) を使用し、SMB Kerberos セッションキーを使用した署名によるデータ整合性も提供します。AES-128-GCM を使用すると、パフォーマンスが向上します。例えば、暗号化された SMB 接続を介して大きなファイルをコピーする場合のパフォーマンスが最大 2 倍向上します。
転送中のデータを常に暗号化するためのコンプライアンス要件を満たすために、ファイルシステムへのアクセスを制限して、SMB 暗号化をサポートするクライアントへのアクセスのみを許可することができます。ファイル共有ごと、またはファイルシステム全体への転送中の暗号化を有効または無効にすることもできます。これにより、同じファイルシステム上で暗号化されたファイル共有と暗号化されていないファイル共有を混在させることができます。
## 転送時の暗号化の管理
一連のカスタム PowerShell コマンドを使用して、 FSx for Windows File Server ファイルシステムおよびクライアント間の転送中のデータの暗号化をコントロールできます。SMB 暗号化をサポートするクライアントのみにファイルシステムアクセスを制限して、送信中のデータが常に暗号化されるようにできます。転送中のデータの暗号化の強制を有効にすると、SMB 3.0 暗号化をサポートしていないクライアントからファイルシステムにアクセスするユーザーは、暗号化が有効になっているファイル共有にアクセスできなくなります。
また、ファイルサーバーレベルの代わりに、ファイル共有レベルで転送中のデータの暗号化をコントロールすることもできます。機密データを含む一部のファイル共有に対して転送中の暗号化を強制し、すべてのユーザーが他のファイル共有にアクセスできるようにする場合は、ファイル共有レベルの暗号化コントロールを使用して、暗号化されているファイル共有と暗号化されていないファイル共有を同じファイルシステム上に混在させることができます。サーバー全体の暗号化は、共有レベルの暗号化よりも優先されます。グローバル暗号化が有効になっている場合、特定の共有の暗号化を選択的に無効にすることはできません。
PowerShell でのリモート管理に Amazon FSx CLI を使用して、ファイルシステムの転送中の暗号化を管理できます。この CLI を使用する方法については、「[PowerShell での Amazon FSx CLI の使用](administering-file-systems.md#remote-pwrshell)」を参照してください。
ファイルシステム上でユーザーの転送中の暗号化を管理するために使用できるコマンドは次のとおりです。
| 転送コマンドの暗号化 | 説明 |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | サーバーメッセージブロック (SMB) サーバー設定を取得します。システムレスポンスでは、`EncryptData` および `RejectUnencryptedAccess` プロパティの値に基づいて、ファイルシステムの転送時の暗号化設定を決定できます。 |
| **Set-FSxSmbServerConfiguration** | このコマンドには、ファイルシステム上で転送中の暗号化を全体的に設定するための 2 つのオプションがあります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | – このパラメータを `True` に設定して、共有の転送中のデータ暗号化をオンにします。このパラメータを `False` に設定して、共有の転送中データ暗号化をオフにします。 |
各コマンドのオンラインヘルプには、すべてのコマンドオプションのリファレンスが記載されています。このヘルプにアクセスするには、**-?** (例えば、 **Get-FSxSmbServerConfiguration -?**) のコマンドを実行します。
# Windows ACL を使用したファイルレベルおよびフォルダレベルのアクセスコントロール
Amazon FSx for Windows File Server は、Microsoft アクティブディレクトリを介したサーバーメッセージブロック (SMB) プロトコルへのアイデンティティベースの認証をサポートしています。アクティブディレクトリは、ネットワーク上のオブジェクトに関する情報を保存し、管理者とユーザーがこの情報を簡単に見つけて使用できるようにする Microsoft ディレクトリサービスです。これらのオブジェクトには通常、ファイルサーバー、ネットワークユーザーおよびコンピュータアカウントなどの共有リソースが含まれます。Amazon FSx でのアクティブディレクトリサポートの詳細については、「[Microsoft Active Directory の使用](aws-ad-integration-fsxW.md)」を参照してください。
ドメインを結合しているコンピューティングインスタンスは、アクティブディレクトリ認証情報を使用して Amazon FSx ファイル共有にアクセスできます。きめ細かいファイルおよびフォルダレベルのアクセスコントロールには、スタンダードの Windows アクセスコントロールリスト (ACL) を使用します。Amazon FSx ファイルシステムは、ファイルシステムデータにアクセスするユーザーの認証情報を自動的に検証して、これらの Windows ACL を適用します。
すべての Amazon FSx ファイルシステムには、`share` と呼ばれるデフォルトの Windows ファイル共有が付属しています。この共有フォルダACLs は、ファイルシステムが参加しているドメインのユーザーや、信頼関係を持つドメインのユーザーなど、**認証済み**ユーザーへの読み取り/書き込みアクセスを許可するように設定されています。また、ファイルシステムで管理アクションを実行するように委任されたアクティブディレクトリ内の委任された管理者グループを完全にコントロールできます。ファイルシステムを AWS Managed Microsoft AD と統合する場合、このグループは委任 AWS FSx 管理者です。ファイルシステムをセルフマネージドの Microsoft AD セットアップと統合する場合、このグループはドメイン管理者になることができます。または、ファイルシステムの作成時に指定したカスタムの委任された管理者グループにすることもできます。ACL を変更するには、委任された管理者グループのメンバーであるユーザーとして共有をマッピングできます。
| |
| --- |
| Amazon FSx では、SYSTEM ユーザーがファイルシステム内のすべてのフォルダーに対する **フルコントロール** の NTFS ACL アクセス許可を持っている必要があります。フォルダでこのユーザーの NTFSACL アクセス許可を変更しないでください。これを行うと、ファイル共有にアクセスできなくなり、ファイルシステムのバックアップを使用できなくなる可能性があります。 |
## 関連リンク
+ [「 管理ガイド」の AWS 「 Directory Service とは](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)」。 AWS Directory Service
+ *AWS Directory Service 管理ガイド*の [AWS Managed Microsoft AD ディレクトリを作成します](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)。
+ 「*AWS Directory Service 管理ガイド*」で「[信頼関係を作成するタイミング](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html)」。
+ [ステップ 1. Active Directory のセットアップ](getting-started.md#prereq-step1).
# Amazon VPC を使用したファイルシステムアクセスコントロール
Elastic Network Interface を介して Amazon FSx のファイルシステムにアクセスします。このネットワークインターフェイスは、ファイルシステムに関連付ける Amazon Virtual Private Cloud (Amazon VPC) サービスに基づく仮想プライベートクラウド (VPC) に存在します。ドメインネームサービス (DNS) 名を介して Amazon FSx ファイルシステムに接続します。DNS 名は、VPC 内のファイルシステムの Elastic Network Interface のプライベート IP アドレスにマッピングされます。関連付けられた VPC 内のリソース、 Direct Connect または VPN によって関連付けられた VPC に接続されたリソース、またはピア接続された VPCs 内のリソースのみがファイルシステムのネットワークインターフェイスにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
**警告**
ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。
FSx for Windows File Server は VPC 共有をサポートしています。これにより、別の AWS アカウントが所有する VPC の共有サブネット内のリソースを表示、作成、変更、削除できます。詳細については、「*Amazon VPC ユーザーガイド*」の「[共有VPCの操作](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
## Amazon VPC セキュリティグループ
VPC 内のファイルシステムの Elastic Network Interface を通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。*セキュリティグループ* は、関連するネットワークインターフェイスとの間のトラフィックをコントロールするステートフルファイアウォールです。この場合、関連するリソースはファイルシステムのネットワークインターフェイスです。
セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。
セキュリティグループルールの詳細については、*Amazon EC2 ユーザーガイド*の「[セキュリティグループルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)」を参照してください。
**Amazon FSx のセキュリティグループを作成するには**
1. [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) で Amazon EC2 コンソールを開きます。
1. ナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. **[Create Security Group]** (セキュリティグループの作成) を選択します。
1. セキュリティグループの名前と説明を指定します。
1. **VPC** については、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。
1. 以下のルールを追加して、次のポートでアウトバウンドネットワークトラフィックを許可します。
1. **VPC セキュリティグループ** の場合、デフォルトの Amazon VPC のデフォルトのセキュリティグループは、コンソールのファイルシステムにすでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。
![\[FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
以下の表に、各ポートのロールを示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**重要**
シングル AZ2 およびすべてのマルチ AZ ファイルシステムのデプロイには、TCP ポート 9389 でのアウトバウンドトラフィックを許可する必要があります。
1. これらのトラフィックルールが、AD ドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。
**重要**
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向にのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとVPCネットワーク ACL では、ポートを両方向に開く必要があります。
**注記**
アクティブディレクトリのサイトを定義している場合は、Amazon FSx ファイルシステムに関連付けられている VPC のサブネットがアクティブディレクトリサイトで定義されていること、および VPC のサブネットおよび他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して表示および変更できます。
**注記**
場合によっては、 AWS Managed Microsoft AD セキュリティグループのルールをデフォルト設定から変更した可能性があります。その場合、このセキュリティグループに Amazon FSx ファイルシステムからのトラフィックを許可するために必要なインバウンドルールがあることを確認してください。必要なインバウンドルールの詳細については、「*AWS Directory Service 管理ガイド*」の「[AWS Managed Microsoft AD 前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)」を参照してください。
セキュリティグループを作成したので、それを Amazon FSx ファイルシステムの Elastic Network Interface に関連付けることができます。
**セキュリティグループを Amazon FSx ファイルシステムに関連付けるには**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)で Amazon FSx コンソールを開きます。
1. ダッシュボードで、ファイルシステムを選択して詳細を表示します。
1. **[Network & Security]** (ネットワークとセキュリティ) タブを選択し、ファイルシステムのネットワークインターフェイス (例えば、**[ENI-01234567890123456]**) を選択します。シングル AZ ファイルシステムの場合、1 つのネットワークインターフェイスが表示されます。マルチ AZ ファイルシステムの場合、優先サブネットとスタンバイサブネットに 1 つずつ、ネットワークインターフェイスが表示されます。
1. ネットワークインターフェイスごとにネットワークインターフェイスを選択し、**[Actions]** (アクション) で **[Change Security Groups]** (セキュリティグループを変更) を選択します。
1. **[Change Security Groups]** (セキュリティグループの変更) ダイアログボックスで、使用するセキュリティグループを選択し、**[Save]** (保存) を選択します。
### ファイルシステムへのアクセスを停止する
すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に禁止するには、ファイルシステムの Elastic Network Interface に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールのないグループに置き換えます。
## Amazon VPC ネットワーク ACL
VPC 内のファイルシステムへのアクセスを保護するためのもう 1 つのオプションは、ネットワークアクセスコントロールリスト (ネットワーク ACL) を確立することです。ネットワーク ACL はセキュリティグループとは別のものですが、VPC のリソースにセキュリティのレイヤーを追加するための同様の機能があります。ネットワーク ACL の詳細については、「*Amazon VPC ユーザーガイド*」の「[ネットワーク ACL](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)」を参照してください。
# ファイルアクセス監査によるエンドユーザーアクセスのログ記録
Amazon FSx for Windows File Server は、ファイル、フォルダ、およびファイル共有へのエンドユーザーアクセスの監査をサポートしています。ファイルシステムの監査イベントログを、豊富な機能を提供する他の AWS サービスに送信することを選択できます。これには、ログのクエリ、処理、保存、アーカイブの有効化、通知の発行、セキュリティとコンプライアンスの目標をさらに前進させるためのアクションのトリガーが含まれます。
ファイルアクセス監査を使用してアクセスパターンを把握し、エンドユーザーのアクティビティに関するセキュリティ通知を実装する方法の詳細については、「[File storage access patterns insights](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/)」と「[Implementing security notifications for end user activity](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/)」を参照してください。
**注記**
ファイルアクセス監査は、32 MBps 以上のスループットキャパシティを持つ FSx for Windows のファイルシステムでのみサポートされます。既存のファイルシステムのスループットキャパシティを変更できるようになりました。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。
ファイルアクセス監査を使用すると、ユーザーが定義した監査管理に基づいて、個々のファイル、フォルダ、およびファイル共有のエンドユーザーアクセスをレコードできます。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。既存のファイルデータに監査コントロールがすでに設定されている場合は、ファイルアクセス監査を利用して新しい Amazon FSx for Windows File Server のファイルシステムを作成したり、データを移行することができます。
Amazon FSx は、ファイル、フォルダー、およびファイル共有アクセスのために次の Windows 監査イベントをサポートしています。
+ ファイルアクセスに関しては、次がサポートされます: すべて、フォルダのスキャン / ファイルの実行、フォルダ一覧 / データの読み取り、属性の読み取り、ファイルの作成 / データの書き込み、フォルダの作成 / データの追加、属性の書き込み、サブフォルダとファイルの削除、削除、許可の読み取り、許可の変更、および所有権の取得。
+ ファイル共有アクセスに関しては、次がサポートされます: ファイル共有に接続。
Amazon FSx は、ファイル、フォルダー、およびファイル共有へのアクセス全体で、成功した試行 (ファイルまたはファイル共有に正常にアクセスするための十分なアクセス許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートします。
アクセス監査をファイルとフォルダでのみ行うか、ファイル共有のみ、またはその両方で行うかを設定できます。ログに記録するアクセスの種類 (成功した試行のみ、失敗した試行のみ、またはその両方) を設定することもできます。また、ファイルアクセス監査はいつでも無効にできます。
**注記**
ファイルアクセスの監査では、有効化される時点からのエンドユーザーアクセスデータのみが記録されます。つまり、ファイルアクセスの監査では、ファイルアクセスの監査が有効化される前に発生したエンドユーザーのファイル、フォルダ、ファイル共有アクセスアクティビティの監査イベントログは生成されません。
サポートされるアクセス監査イベントの最大レートは、1 秒あたり 5,000 イベントです。アクセス監査イベントは、ファイルの読み取りおよび書き込みオペレーションごとに生成されるのではなく、ユーザーがファイルを作成したり、開いたり、削除したときなどの、ファイルメタデータオペレーションごとに 1 回生成されます。
**Topics**
+ [監査イベントログの宛先](#faa-log-destinations)
+ [監査コントロールの移行](#migrate-faa)
+ [イベントログの表示](#view-faa-logs)
+ [ファイルとフォルダの監査コントロールの設定](faa-audit-controls.md)
+ [ファイルアクセス監査の管理](manage-faa.md)
## 監査イベントログの宛先
ファイルアクセス監査を有効にするときは、Amazon FSx が監査イベントログを送信する AWS サービスを設定する必要があります。この監査イベントログを、CloudWatch Logs ロググループ内の Amazon CloudWatch Logs ログストリーミングか、Amazon Data Firehose 配信ストリームのいずれかに送信することができます。Amazon FSx for Windows File Server のファイルシステムを作成する際、または既存のファイルシステムを更新する際に、監査イベントログの宛先を選択できます。詳細については、「[ファイルアクセス監査の管理](manage-faa.md)」を参照してください。
以下は、選択する監査イベントログの宛先を決定するのに役立つ推奨事項になります。
+ Amazon CloudWatch コンソールで監査イベントログを保存、表示、検索し、CloudWatch Logs インサイトを使用してログに対してクエリを実行し、CloudWatch アラームまたは Lambda 関数をトリガーする場合は、CloudWatch Logs を選択します。
+ Amazon S3 のストレージ、Amazon Redshift のデータベース、Amazon OpenSearch Service、または詳細な分析のために Splunk や Datadog などの AWS パートナーソリューションにイベントを継続的にストリーミングする場合は、Amazon Data Firehose を選択します。
デフォルトでは、Amazon FSx はアカウントにデフォルトの CloudWatch Logs ロググループを作成し、監査イベントログの宛先として使用します。監査イベントログの宛先としてカスタム CloudWatch Logs ロググループ、または Firehose を使用する場合、監査イベントログの宛先の名前と場所の要件は次のとおりです。
+ CloudWatch Logs ロググループの名前は、`/aws/fsx/` プレフィックスで始まる必要があります。コンソールでファイルシステムを作成または更新する際に既存の CloudWatch Logs ロググループがない場合、Amazon FSx は CloudWatch Logs `/aws/fsx/windows` ロググループでデフォルトのログストリーミングを作成して使用します。デフォルトのロググループを使用しない場合は、コンソールでファイルシステムを作成または更新する際に、設定 UI を使用して CloudWatch Logs ロググループを作成できます。
+ Firehose の配信ストリーム名は、`aws-fsx-` プレフィックスで始まる必要があります。既存の Firehose 配信ストリームがない場合は、コンソールでファイルシステムを作成または更新する際に作成できます。
+ Firehose の配信ストリームは、`Direct PUT` を出典として使用するように設定する必要があります。既存の Kinesis Data Stream を配信ストリームのデータソースとして使用することはできません。
+ 送信先 (CloudWatch Logs ロググループまたは Firehose 配信ストリーム) は AWS リージョン、Amazon FSx ファイルシステム AWS アカウント と同じ AWS パーティションにある必要があります。
監査イベントログの宛先はいつでも変更できます (例えば CloudWatch Logs から Firehose)。これを実行すると、新しい監査イベントログは新たな宛先にのみ送信されます。
### ベストエフォート監査イベントログ配信
通常、監査イベントログレコードは宛先に数分で配信されますが、時間がかかることもあります。ごく稀に、監査イベントログレコードが失われることがあります。ユーザーのユースケースで特定のセマンティクスが必要になる場合 (例えば、監査イベントを必ず見逃さないなど)、ワークフローを設計する際に見逃したイベントを考慮することをお勧めします。ファイルシステム上のファイルおよびフォルダ構造をスキャンして、見逃したイベントを監査できます。
## 監査コントロールの移行
既存のファイルデータに監査コントロール (SACL) がすでに設定されている場合は、Amazon FSx ファイルシステムを作成し、データを新しいファイルシステムに移行できます。 AWS DataSync を使用して、データと関連する SACLs を Amazon FSx ファイルシステムに転送することをお勧めします。別の解決策として、Robocopy (ロバストファイルコピー) を使用できます。詳細については、「[既存のファイルストレージを Amazon FSx に移行する](migrate-to-fsx.md)」を参照してください。
## イベントログの表示
Amazon FSx が監査イベントログの発行を開始した後、それらを表示できます。ログの表示場所と方法は、監査イベントログの宛先によって異なります。
+ CloudWatch Logs を表示するには、CloudWatch コンソールに移動し、監査イベントログの宛先となるロググループとログストリーミングを選択します。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」の「*CloudWatch Logs に送信されたログデータを表示する*」を参照してください。
CloudWatch Logs Insights を使用してログデータをインタラクティブに検索および分析できます。詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Analyzing Log Data with CloudWatch Logs Insights]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」(CloudWatch Logs Insights でログデータを分析) を参照してください。
監査イベントログを Simple Storage Service (Amazon S3) にエクスポートすることもできます。詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Exporting Log Data to Amazon S3]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)」(Simple Storage Service (Amazon S3) にログデーターをエキスポート) を参照してください。
+ Firehose では、監査イベントログを表示できません。ただし、読み取り可能な宛先にログを転送するように Firehose を設定できます。目的地には Simple Storage Service (Amazon S3)、Amazon Redshift、Amazon OpenSearch Service、および Splunk や Datadog などのパートナーソリューションが含まれます。詳細については、「*Amazon Data Firehose デベロッパーガイド*」の「[[Choose destination]](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)」(宛先を選択) を参照してください。
### 監査イベントフィールド
このセクションでは、監査イベントログの情報と、監査イベントの例について説明します。
以下は Windows 監査イベントの顕著なフィールドについての説明になります。
+ **EventID** は、Microsoft 定義の Windows イベントのログイベント ID を指します。[ファイルシステムイベント](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) および [ファイル共有イベント](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share) の情報については、Microsoft のドキュメントを参照してください。
+ **[subjectUsername]** (サブジェクトユーザー名) は、アクセスを実行しているユーザーを指します。
+ **[objectName]** (オブジェクト名) は、アクセスされたターゲットファイル、フォルダ、またはファイル共有を指します。
+ **[shareName]** (共有名) は、ファイル共有アクセス用に生成されたイベントで使用できます。例えば、`EventID 5140` はネットワーク共有オブジェクトにアクセスしたときに生成されます。
+ **[IpAddress]** (IP アドレス) は、ファイル共有イベントのイベントを開始したクライアントを指します。
+ **[Keywords]** (キーワード) は、使用可能な場合に、ファイルアクセスが成功したか障害だったかを指します。成功したアクセスの場合、値は `0x8020000000000000` です。失敗したアクセスの場合、値は `0x8010000000000000` です。
+ **[TimeCreated SystemTime]** (作成時刻 システム時間) は、システム内でイベントが生成さた時刻を指し、Z 形式で表示されます。
+ **[Computer]** (コンピュータ) は、ファイルシステムの Windows リモート PowerShell エンドポイントの DNS 名を参照し、ファイルシステムを識別するために使用できます。
+ **[AccessMask]** (アクセスマスク) は、使用可能な場合、実行されたファイルアクセスの種類 (例えば readData、WriteData など) を指します。
+ **[AccessList]** (アクセスリスト) は、オブジェクトに対してリクエストされた、または許可されたアクセスを指します。詳細については、下記の表および Microsoft のドキュメント (「[イベント 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)」など) を参照してください。
| アクセスタイプ | アクセスマスク | 値 |
| --- | --- | --- |
| データまたはリストディレクトリの読み取り | 0x1 | %%4416 |
| データの書き込みまたはファイルの追加 | 0x2 | %%4417 |
| データの付加またはサブディレクトリの追加 | 0x4 | %%4418 |
| 拡張属性の読み取り | 0x8 | %%4419 |
| 拡張属性の書き込み | 0x10 | %%4420 |
| 実行 / トラバース | 0x20 | %%4421 |
| 子の削除 | 0x40 | %%4422 |
| 属性の読み取り | 0x80 | %%4423 |
| 属性の書き込み | 0x100 | %%4424 |
| 削除 | 0x10000 | %%1537 |
| ACL の読み取り | 0x20000 | %%1538 |
| ACL の書き込み | 0x40000 | %%1539 |
| 所有者の書き込み | 0x80000 | %%1540 |
| 同期 | 0x100000 | %%1541 |
| セキュリティ ACL にアクセスする | 0x1000000 | %%1542 |
以下は、実例を挙げたいくつかのキーイベントです。XML は読みやすさい形式にフォーマットされていることに注意してください。
**イベント ID 4660** は、オブジェクトが削除されたときにログに記録されます。
```
466000
128000
0x8020000000000000
315452
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x50932f71Security
0x12e00x4
{00000000-0000-0000-0000-000000000000}
```
**イベント ID 4659** は、ファイルの削除リクエストでログに記録されます。
```
465900128000
0x8020000000000000
308888
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\shar\event.txt
0x0{00000000-0000-0000-0000-000000000000}
%%1537
%%4423
0x10080-
0x4
```
**イベント ID 4663** は、オブジェクトに対して特定の操作が実行されたときにログに記録されます。次の例はファイルからのデータの読み取りを示しており、これは `AccessList %%4416` で解釈されます。
```
4663< /EventID>10128000
0x8020000000000000
308831
Securityamznfsxgyzohmw8.example.com
< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0x101c%%4416
0x10x4
S:AI
```
次の例はファイルからのデータの書き込み/付加を示しており、これは `AccessList %%4417` で解釈されます。
```
466310128000
0x8020000000000000
308838
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0xa38%%4417
0x20x4
S:AI
```
**イベント ID 4656** は、オブジェクトに対して特定のアクセスがリクエストされたことを示します。次の例では、`0x8010000000000000` の Keywords 値で確認できる通り、ObjectName「permtest」に対して読み取りリクエストが開始され、失敗した試行となっています。
```
465610128000
0x8010000000000000
308919
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0x0{00000000-0000-0000-0000-000000000000}
%%1541
%%4416
%%4423
%%1541: %%1805
%%4416: %%1805
%%4423: %%1811 D:(A;OICI;0x1301bf;;;AU)
0x100081-
00x4
-
```
**イベント ID 4670** は、オブジェクトの許可が変更された際にログに記録されます。次の例は、ユーザー「admin」が ObjectName「permtest」に対する許可を変更して、SID「S-1-5-21-658495921-4185342820-3824891517-1113」にアクセス許可を追加したことを示しています。アクセス許可の解釈方法の詳細については、Microsoft のドキュメントを参照してください。
```
467000
1357000x8020000000000000
308992
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0xcc8
D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)
D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)0x4
```
**イベント ID 5140** は、ファイル共有にアクセスするたびにログに記録されます。
```
514010128080
0x8020000000000000
308947
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-2620
EC2AMAZ-1GP4HMN$example
0x2d4ca529File172.45.6.789
49730\\AMZNFSXCYDKLDZZ\share
\??\D:\share0x1%%4416
```
**イベント ID 5145** は、ファイル共有レベルでアクセスが拒否されたときにログに記録されます。次の例は、ShareName「demosshare01」へのアクセスが拒否されたことを示しています。
```
514500
1281100x8010000000000000
282939
Security
amznfsxtmn9autz.example.com
S-1-5-21-658495921-4185342820-3824891517-
1113Adminexample
0x95b3fb7File
172.31.7.11259979
\\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01
Desktop.ini0x120089
%%1538 %%1541 %%4416 %%4419 %%4423 %%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805
```
CloudWatch Logs Insights を使用してログデータを検索する場合は、次の例に示すように、イベントフィールドに対してクエリを実行できます。
+ 特定のイベント ID をクエリするには。
```
fields @message
| filter @message like /4660/
```
+ 特定のファイル名と一致するすべてのイベントをクエリするには。
```
fields @message
| filter @message like /event.txt/
```
CloudWatch Logs Insights の問い合わせ言語の詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Analyzing Log Data with CloudWatch Logs Insights]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」(CloudWatch Logs Insights によるログデータ分析) を参照してください。
# ファイルとフォルダの監査コントロールの設定
ユーザーアクセスの試行を監査するファイルおよびフォルダーに、監査コントロールを設定する必要があります。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。
監査コントロールは、Windows ネイティブ GUI インターフェイスを使用するか、プログラムで Windows PowerShell コマンドを使用して設定します。継承が有効になっている場合は通常、アクセスをログに記録する最上位フォルダに対してのみ監査コントロールを設定する必要があります。
## Windows GUI を使用した監査アクセスの設定
GUI を使用してファイルとフォルダーに監査コントロールを設定するには、Windows ファイルエクスプローラを使用します。特定のファイルまたはフォルダで、Windows ファイルエクスプローラを開き、**[Properties] (プロパティ) > [Security] (セキュリティ) > [Advanced] (詳細設定) > Auditing] (監査)** タブを選択します。
次の監査コントロールの例では、フォルダの成功したイベントを監査します。Windows イベントログエントリは、そのハンドルが読み取りのため、管理者ユーザーによって正常に開かれるたびに発行されます。
![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)
**[Type]** (タイプ) フィールドは、監査するアクションを示します。成功した試みを監査するにはこのフィールドを **[Success]** (成功) に、失敗した試みを監査するには **[Fail]** (失敗) に、成功と失敗の両方の試みを監査するには **[All]** (すべて) に設定します。
監査エントリフィールドの詳細については、Microsoft ドキュメントの「[ファイルまたはフォルダに基本的な監査ポリシーを適用する](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder)」を参照してください。
## PowerShell コマンドを使用した監査アクセスの設定
Microsoft Windows `Set-Acl` コマンドを使用して、任意のファイルまたはフォルダで監査 SACL を設定できます。このコマンドの設定の詳細については、「Microsoft の [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1) ドキュメント」を参照してください。
以下は、一連の PowerShell コマンドと可変を使用して、正常な試行に監査アクセスを設定する例になります。これらのサンプルコマンドは、ユーザーのファイルシステムのニーズに合わせて調整できます。
```
$path = "C:\Users\TestUser\Desktop\DemoTest\"
$ACL = Get-Acl $path
$ACL | Format-List
$AuditUser = "TESTDOMAIN\TestUser"
$AuditRules = "FullControl"
$InheritType = "ContainerInherit,ObjectInherit"
$AuditType = "Success"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $path
Get-Acl $path -Audit | Format-List
```
# ファイルアクセス監査の管理
新しい Amazon FSx for Windows File Server のファイルシステムを作成する際に、ファイルアクセス監査を有効にできます。Amazon FSx コンソールからファイルシステムを作成すると、ファイルアクセス監査はデフォルトでオフになります。
ファイルアクセス監査が有効になっている既存のファイルシステムでは、ファイルおよびファイル共有アクセスのアクセス試行の種類変更や、監査イベントログの宛先など、ファイルアクセス監査の設定を変更できます。これらのタスクは、Amazon FSx コンソール AWS CLI、または API を使用して実行できます。
**注記**
ファイルアクセス監査は、32 MBps 以上のスループットキャパシティを持つ Amazon FSx for Windows File Server のファイルシステムでのみサポートされます。ファイルアクセス監査が有効になっている場合、32 MBps 未満のスループットキャパシティを持つファイルシステムを作成または更新することはできません。スループットキャパシティは、ファイルシステムを作成した後いつでも変更できます。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。
## ファイルシステムの作成時にファイルアクセス監査を有効にするには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. 「開始方法」セクションの「[ステップ 5. ファイルシステムを作成](getting-started.md#getting-started-step1)」で説明されている新しいファイルシステムを作成するための手順に従います。
1. **監査 - オプション** セクションを開きます。ファイルアクセスの監査は、デフォルトで無効になっています。
![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-create-wizard.png)
1. ファイルアクセス監査を有効にして設定するには、次の手順を実行します。
+ **ファイルやフォルダへのアクセスログを記録する** には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。
+ **ファイル共有へのアクセスを記録する** には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。
+ **[監査イベントログの宛先を選択する]** には、**[CloudWatch Logs]** または **[Firehose]** を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。CloudWatch Logs の場合、Amazon FSx は CloudWatch Logs `/aws/fsx/windows` ロググループでデフォルトのログストリーミングを作成して使用します。
以下は、エンドユーザーによるファイル、フォルダ、およびファイル共有への成功および失敗したアクセス試行を監査する、ファイルアクセス監査設定の例になります。監査イベントログは、デフォルトの CloudWatch Logs `/aws/fsx/windows` ロググループの宛先に送信されます。
![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-create-advanced.png)
1. ファイルシステム作成ウィザードの次のセクションに進みます。
ファイルシステムが **[Available]** (利用可能) の場合は、ファイルアクセス監査機能が有効になります。
## ファイルシステムの作成時にファイルアクセス監査を有効にするには (CLI)
1. 新しいファイルシステムを作成する場合は、[CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) API オペレーションで `AuditLogConfiguration` プロパティを使用し、新しいファイルシステムのファイルアクセス監査を有効にします。
```
aws fsx create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--subnet-ids subnet-123456 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
1. ファイルシステムが **[Available]** (利用可能) の場合は、ファイルアクセス監査機能が有効になります。
## ファイルアクセス監査の設定を変更するには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. **[Files systems]** (ファイルシステム) に移動し、ファイルアクセス監査を管理する Windows ファイルシステムを選択します。
1. **[Administration]** (管理) タブを選択します。
1. **[File Access Auditing]** (ファイルアクセスの監査) パネルで、**[Manage]** (管理) を選択します。
![\[ファイルアクセス監査の設定を表示する、FSx コンソールのファイルアクセス監査パネル。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-admin-panel.png)
1. **[Manage file access auditing settings]** (ファイルアクセス監査設定の管理) ダイアログで、希望の設定を変更します。
![\[FSx コンソールのファイルアクセス監査パネルで、このパネルを使用してファイルアクセス監査の設定を変更します。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-update-config.png)
+ **ファイルやフォルダへのアクセスログを記録する** には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。
+ **ファイル共有へのアクセスを記録する** には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。
+ **[監査イベントログの宛先を選択する]** には、**[CloudWatch Logs]** または **[Firehose]** を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。
1. **[Save]** (保存) を選択します。
## ファイルアクセス監査設定を変更するには (CLI)
+ [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) CLI コマンドまたは同等の [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) API オペレーションを使用します。
```
aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
FileShareAccessAuditLogLevel="FAILURE_ONLY", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
# Amazon FSx for Windows File Server の ID およびアクセス管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に FSx for Windows File Server リソースの使用を*承認する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon FSx for Windows File Server と IAM の連携の仕組み](security_iam_service-with-iam.md)
+ [Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)
+ [AWS Amazon FSx for Windows File Server の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon FSx for Windows File Server のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)
+ [Amazon FSx でのタグの使用](using-tags-fsx.md)
+ [FSx for Windows File Server のサービスリンクロールの使用](using-service-linked-roles.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon FSx for Windows File Server のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon FSx for Windows File Server と IAM の連携の仕組み](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
( AWS IAM アイデンティティセンター IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID ソースの認証情報 AWS のサービス を使用して Directory Service にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon FSx for Windows File Server と IAM の連携の仕組み
IAM を使用して FSx for Windows File Server へのアクセスを管理する前に、FSx for Windows File Server で利用できる IAM の機能について説明します。
**Amazon FSx for Windows File Server で使用できる IAM の機能**
| IAM 機能 | FSx のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | はい |
| [転送アクセスセッション](#security_iam_service-with-iam-principal-permissions) | はい |
| [サービスロール](#security_iam_service-with-iam-roles-service) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
FSx およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## FSx のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### FSx のアイデンティティベースのポリシー例
FSx for Windows File Server のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## FSx 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## FSx のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
FSx のアクションの一覧を確認するには、「*サービス認可リファレンス*」の「[Amazon FSx for Windows File Server で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」を参照してください。
FSx のポリシーアクションでは、アクションの前に以下のプレフィックスを使用します。
```
fsx
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
FSx for Windows File Server のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## FSx のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
FSx リソースのタイプとその ARN の一覧を確認するには、「*サービス認可リファレンス*」の「[Amazon FSx for Windows File Server によって定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies)」を参照してください。各リソースの ARN を指定するためのアクションについては、「[Amazon FSx for Windows File Server で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」を参照してください。
FSx for Windows File Server のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## FSx 向けのポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
FSx の条件キーの一覧については、「*サービス認可リファレンス*」の「[Amazon FSx for Windows File Server の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、「[Amazon FSx for Windows File Server で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」を参照してください。
FSx for Windows File Server のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for Windows File Server のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## FSx の ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## FSx での ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## FSx での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## FSx の転送アクセスセッション
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## FSx のサービスロール
**サービスロールのサポート:** なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、FSx の機能が阻害される可能性があります。FSx が指示する場合にのみ、サービスロールを編集します。
## FSx のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
FSx for Windows File Server でのサービスにリンクされたロールの作成または管理の詳細については、「[FSx for Windows File Server のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
# Amazon FSx for Windows File Server のアイデンティティベースのポリシー例
デフォルトでは、ユーザーおよびロールには FSx for Windows File Server リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
リソースタイプごとの ARN の形式を含む、FSx で定義されるアクションとリソースタイプの詳細については、サービス認可リファレンスの「[Amazon FSx for Windows File Server のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [FSx コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウント内で誰かが FSx for Windows File Server リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## FSx コンソールの使用
Amazon FSx for Windows File Server コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。アクセス許可により、 AWS アカウントの FSx for Windows File Server リソースの詳細をリストおよび表示できます。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き FSx コンソールを使用できるようにするには、FSx `AmazonFSxConsoleReadOnlyAccess` AWS 管理ポリシーもエンティティにアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Amazon FSx for Windows File Server の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AmazonFSxServiceRolePolicy
Amazon FSx がユーザーに代わって AWS リソースを管理できるようにします。詳細については、「[FSx for Windows File Server のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシー: AmazonFSxDeleteServiceLinkedRoleAccess
IAM エンティティには `AmazonFSxDeleteServiceLinkedRoleAccess` をアタッチできません。このポリシーはサービスにリンクされ、そのサービス用のサービスにリンクされたロールでのみ使用されます。このポリシーをアタッチ、デタッチ、変更、または削除することはできません。詳細については、「[FSx for Windows File Server のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーは、Amazon FSx for Lustre によって Amazon FSx でのみ使用する Simple Storage Service (Amazon S3) アクセスのサービスリンクロールを削除できるようにする管理者許可を付与します。
**許可の詳細**
このポリシーには、Amazon FSx が Simple Storage Service (Amazon S3) アクセスの FSx サービスリンクロールの削除ステータスを表示、削除、および表示できる `iam` での許可が含まれます。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxDeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxFullAccess
IAM エンティティに AmazonFSxFullAccess をアタッチできます。また、このポリシーはユーザーに代わってアクションを実行できることを Amazon FSx に許可するためのサービスロールにも添付されます。
Amazon FSx へのフルアクセスと関連 AWS サービスへのアクセスを提供します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `fsx` – プリンシパルに、Amazon FSx のすべてのアクション (`BypassSnaplockEnterpriseRetention` を除く) を実行するためのフルアクセスを付与します。
+ `ds` – プリンシパルが Directory Service ディレクトリに関する情報を表示できるようにします。
+ `ec2`
+ プリンシパルが指定した条件下でタグを作成できるようにします。
+ VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
+ `iam` - プリンシパルに、ユーザーに代わって Amazon FSx サービスにリンクされたロールを作成することを許可します。これは、Amazon FSx がユーザーに代わって AWS リソースを管理できるようにするために必要です。
+ `firehose` - プリンシパルに Amazon Data Firehose へのレコード書き込みを許可します。これは、ユーザーが Firehose に監査アクセスログを送信して、FSx for Windows File Server のファイルシステムアクセスをモニタリングできるようにするために必要です。
+ `logs` - プリンシパルに、ロググループ、ログストリームの作成、ログストリームへのイベントの書き込みを許可します。これは、ユーザーが CloudWatch Logs に監査アクセスログを送信して、FSx for Windows File Server のファイルシステムアクセスをモニタリングできるようにするために必要です。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxConsoleFullAccess
`AmazonFSxConsoleFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Amazon FSx へのフルアクセスと、 を介した関連 AWS サービスへのアクセスを許可する管理アクセス許可を付与します AWS マネジメントコンソール。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `fsx` – プリンシパルに、Amazon FSx マネジメントコンソールのすべてのアクション (`BypassSnaplockEnterpriseRetention` を除く) を実行することを許可します。
+ `cloudwatch` ‒ プリンシパルが、Amazon FSx マネジメントコンソールで CloudWatch Alarms およびメトリクスを表示できるようにします。
+ `ds` – プリンシパルが Directory Service ディレクトリに関する情報を一覧表示できるようにします。
+ `ec2`
+ プリンシパルが、ルートテーブルにタグを作成し、ネットワークインターフェイス、ルートテーブル、セキュリティグループ、サブネット、および Amazon FSx ファイルシステムに関連付けられた VPC を一覧表示できるようにします。
+ プリンシパルは、VPC で使用できるすべてのセキュリティグループの高度なセキュリティグループ検証を提供します。
+ Amazon FSx ファイルシステムに関連付けられた Elastic Network Interfaces をプリンシパルに表示できるようにします。
+ `kms` – プリンシパルが AWS Key Management Service キーのエイリアスを一覧表示できるようにします。
+ `s3` - プリンシパルが、Simple Storage Service (Amazon S3) バケット内のオブジェクトの一部またはすべてを一覧表示できるようにします (最大 1000)。
+ `secretsmanager` – プリンシパルがドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するためのシークレットを に一覧表示できるようにします。
+ `iam` - Amazon FSx がユーザーに代わってアクションを実行できるようにするサービスリンクロールを作成する許可を付与します。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxConsoleReadOnlyAccess
`AmazonFSxConsoleReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが でこれらの AWS サービスに関する情報を表示できるように、Amazon FSx および関連サービスに読み取り専用アクセス許可を付与します AWS マネジメントコンソール。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `fsx` - プリンシパルが Amazon FSx マネジメントコンソールで、すべてのタグを含む Amazon FSx ファイルシステムに関する情報を表示できるようにします。
+ `cloudwatch` ‒ プリンシパルが、Amazon FSx マネジメントコンソールで CloudWatch Alarms およびメトリクスを表示できるようにします。
+ `ds` – プリンシパルが Amazon FSx マネジメントコンソールで Directory Service ディレクトリに関する情報を表示できるようにします。
+ `ec2`
+ Amazon FSx マネジメントコンソールで、プリンシパルが Amazon FSx ファイルシステムに関連付けられている、ネットワークインターフェイス、セキュリティグループ、サブネット、および VPC を表示できるようにします。
+ プリンシパルは、VPC で使用できるすべてのセキュリティグループの高度なセキュリティグループ検証を提供します。
+ Amazon FSx ファイルシステムに関連付けられた Elastic Network Interfaces をプリンシパルに表示できるようにします。
+ `kms` – プリンシパルが Amazon FSx マネジメントコンソールで AWS Key Management Service キーのエイリアスを表示できるようにします。
+ `log` - プリンシパルが、リクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるようにします。これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。
+ `secretsmanager` – プリンシパルがドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するためのシークレットを に一覧表示できるようにします。
+ `firehose` - プリンシパルが、リクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるようにします。これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxReadOnlyAccess
`AmazonFSxReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
+ `fsx` - プリンシパルが Amazon FSx マネジメントコンソールで、すべてのタグを含む Amazon FSx ファイルシステムに関する情報を表示できるようにします。
+ `ec2` – VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシーに対する Amazon FSx の更新
このサービスがこれらの変更の追跡を開始してからの Amazon FSx の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon FSx [ドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`secretsmanager:ListSecrets`これにより、プリンシパルはドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するために でシークレットを一覧表示できます。 | 2025 年 11 月 5 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`secretsmanager:ListSecrets`これにより、プリンシパルはドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するために でシークレットを一覧表示できます。 | 2025 年 11 月 3 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスに IPv6 アドレスを割り当てることを許可する新しいアクセス許可 `ec2:AssignIpv6Addresses` を追加しました。 | 2025 年 7 月 22 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスから IPv6 アドレスの割り当てを解除できるようにする新しいアクセス許可 `ec2:UnassignIpv6Addresses` を追加しました。 | 2025 年 7 月 22 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:CreateAndAttachS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを作成し、FSx ボリュームにアタッチできます。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`fsx:DescribeS3AccessPointAttachments`これにより、プリンシパルは 内のすべての S3 アクセスポイントを AWS アカウント に一覧表示できます AWS リージョン。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:DetachAndDeleteS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを削除できます。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:CreateAndAttachS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを作成し、FSx ボリュームにアタッチできます。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`fsx:DescribeS3AccessPointAttachments`これにより、プリンシパルは 内のすべての S3 アクセスポイントを AWS アカウント に一覧表示できます AWS リージョン。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:DetachAndDeleteS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを削除できます。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `ec2:DescribeNetworkInterfaces` が追加されました。これにより、プリンシパルはファイルシステムに関連付けられた Elastic Network Interface を表示できます。 | 2025 年 2 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `ec2:DescribeNetworkInterfaces` が追加されました。これにより、プリンシパルはファイルシステムに関連付けられた Elastic Network Interface を表示できます。 | 2025 年 2 月 7 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) – 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for OpenZFS ファイルシステムに対してクロスリージョンおよびクロスアカウントのデータレプリケーションを実行できるようにする新しいアクセス許可が追加されました。 | 2023 年 12 月 20 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for OpenZFS ファイルシステムに対してクロスリージョンおよびクロスアカウントのデータレプリケーションを実行できるようにする新しいアクセス許可が追加されました。 | 2023 年 12 月 20 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、ユーザーが FSx for OpenZFS ファイルシステムのボリュームのオンデマンドレプリケーションを実行できるように、新しいアクセス許可を追加しました。 | 2023 年 11 月 26 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、ユーザーが FSx for OpenZFS ファイルシステムのボリュームのオンデマンドレプリケーションを実行できるように、新しいアクセス許可を追加しました。 | 2023 年 11 月 26 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for ONTAP マルチ AZ ファイルシステムに対して共有 VPC サポートを表示、有効化、無効化できるようにする新しいアクセス許可が追加されました。 | 2023 年 11 月 14 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for ONTAP マルチ AZ ファイルシステムに対して共有 VPC サポートを表示、有効化、無効化できるようにする新しいアクセス許可が追加されました。 | 2023 年 11 月 14 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx に FSx for OpenZFS Multi-AZ ファイルシステムのネットワーク設定を管理できるように、新しいアクセス許可を追加しました。 | 2023 年 8 月 9 日 |
| [AWS マネージドポリシー: AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 既存のポリシーの更新 | Amazon FSx は、Amazon FSx が CloudWatch メトリクスを `AWS/FSx` 名前空間に公開するように既存の `cloudwatch:PutMetricData` アクセス許可を変更しました。 | 2023 年 7 月 24 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx のポリシーが更新され、`fsx:*` アクセス権限が削除され、特定の `fsx` アクションが追加されました。 | 2023 年 7 月 13 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx のポリシーが更新され、`fsx:*` アクセス権限が削除され、特定の `fsx` アクションが追加されました。 | 2023 年 7 月 13 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、FSx for Windows File Server ファイルシステム用の強化されたパフォーマンスメトリクスと推奨アクションをユーザーが Amazon FSx コンソールで表示できるように、新しいアクセス許可を追加しました。 | 2022 年 9 月 21 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、FSx for Windows File Server ファイルシステム用の強化されたパフォーマンスメトリクスと推奨アクションをユーザーが Amazon FSx コンソールで表示できるように、新しいアクセス許可を追加しました。 | 2022 年 9 月 21 日 |
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) - トラッキングポリシーをスタートしました | このポリシーにより、すべての Amazon FSx のリソースと、それらに関連付けられたすべてのタグへの読み取り専用アクセスを許可します。 | 2022 年 2 月 4 日 |
| [AmazonFSxDeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) - トラッキングポリシーをスタートしました | このポリシーは、Amazon FSx が Simple Storage Service (Amazon S3) アクセスのサービスにリンクされたロールを削除することを許可する管理者許可を付与します。 | 2022 年 1 月 7 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx for NetApp ONTAP ファイルシステムのネットワーク設定を管理できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx がスコープダウン呼び出し用の EC2 ルートテーブルにタグを作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が Amazon FSx for NetApp ONTAP マルチ AZ を作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx がスコープダウン呼び出し用の EC2 ルートテーブルにタグを作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が CloudWatch Logs ログストリームを記述および書き込むことを許可にする新しいパーミッションを追加しました。 これは、ユーザーが CloudWatch Logs を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が Amazon Data Firehose 配信ストリームを記述および書き込みできるようにする新しいアクセス許可を追加しました。 これは、ユーザーが Amazon Data Firehose を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx では、プリンシパルが CloudWatch Logs ログのロググループ、ログストリーミング、およびログストリームへのイベントの書き込みを記述および作成できる新しいアクセス許可が追加されました。 これは、プリンシパルが CloudWatch Logs を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが Amazon Data Firehose にレコードを記述および書き込むことを許可する新しい許可を追加しました。 これは、ユーザーが Amazon Data Firehose を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるように、新しいアクセス許可を追加しました。 これは、FSx for Windows File Server ファイルシステムのファイルアクセス監査を設定するときに、プリンシパルが既存の CloudWatch Logs ロググループを選択できるために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるように、新しいアクセス許可を追加しました。 これは、FSx for Windows File Server ファイルシステムのファイルアクセス監査を設定する際に、プリンシパルが既存の Firehose 配信ストリームを選択できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるように、新しいアクセス許可を追加しました。 これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるように、新しいアクセス許可を追加しました。 これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。 | 2021 年 6 月 8 日 |
| Amazon FSx が変更の追跡をスタートしました | Amazon FSx は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 8 日 |
# Amazon FSx for Windows File Server のアイデンティティとアクセスのトラブルシューティング
以下の情報は、FSx for Windows File Server for Research と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [FSx でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに FSx リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## FSx でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `fsx:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
この場合、`fsx:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して FSx for Windows File Server にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して FSx for Windows File Server でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに FSx リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ FSx for Windows File Serverh がこれらの機能をサポートしているかどうかを確認するには、「[Amazon FSx for Windows File Server と IAM の連携の仕組み](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント する のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント する別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Amazon FSx でのタグの使用
タグを使用すると、Amazon FSx リソースへのアクセスを制御したり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。ユーザーは、作成時に Amazon FSx リソースにタグを適用する権限を持っている必要があります。
## リソース作成時にタグ付けするアクセス許可の付与
一部のリソース作成 FSx for Windows File Server API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、「*IAM ユーザーガイド*」の「[AWSの ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
ユーザーが作成時にリソースにタグを付けることができるようにするには、`fsx:CreateFileSystem` や `fsx:CreateBackup` などのリソースを作成するアクションを使用するためのアクセス許可が必要です。タグがリソース作成アクションで指定されている場合、Amazon は `fsx:TagResource` アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーには`fsx:TagResource` アクションを使用する明示的なアクセス権限が必要です。
次の例は、特定の での作成中に、ユーザーがファイルシステムを作成し、ファイルシステムにタグを適用できるようにするポリシーを示しています AWS アカウント。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
同様に、次のポリシーにより、ユーザーは特定のファイルシステムにバックアップを作成し、バックアップの作成中に任意のタグをバックアップに適用できます。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
`fsx:TagResource` アクションは、リソース作成アクション中にタグが適用された場合にのみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持っているユーザー (タグ付け条件がないと仮定) には`fsx:TagResource` アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグを使用してリソースを作成しようとした場合、ユーザーが `fsx:TagResource` アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
Amazon FSx リソースのタグ付けの詳細については、[Amazon FSx リソースのタグ付け](tag-resources.md) を参照してください。タグを使用して FSx リソースへのアクセスをコントロールするためには「[タグを使用した Amazon FSx リソースへのアクセスのコントロール](#restrict-fsx-access-tags)」を参照してください。
## タグを使用した Amazon FSx リソースへのアクセスのコントロール
Amazon FSx リソースとアクションへのアクセスを制御するには、タグに基づいて AWS Identity and Access Management (IAM) ポリシーを使用できます。コントロールは 2 つの方法で提供できます。
1. それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールします。
1. IAM リクエストの条件でどのタグを渡せるかをコントロールする。
タグを使用して AWS リソースへのアクセスを制御する方法については、*IAM ユーザーガイド*の[「タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「[リソース作成時にタグ付けするアクセス許可の付与](#supported-iam-actions-tagging)」を参照してください。リソースのタグ付けの詳細については、「[Amazon FSx リソースのタグ付け](tag-resources.md)」を参照してください
### リソースのタグに基づいてアクセスのコントロール
ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。
**Example ポリシー - 特定のタグを指定するときにファイルシステムを作成する**
このポリシーにより、ユーザーは特定のタグとキーバリューのペア (この例では `key=Department, value=Finance`) でタグ付けした場合にのみファイルシステムを作成できます。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example ポリシー - 特定のタグを持つ Amazon FSx ファイルシステムのみでバックアップを作成する**
このポリシーにより、ユーザーはキーと値のペア `key=Department, value=Finance` でタグ付けされたファイルシステムのみでバックアップを作成でき、バックアップはタグ `Deparment=Finance` で作成されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシー - 特定のタグを持つバックアップから特定のタグを持つファイルシステムを作成する**
このポリシーにより、ユーザーは、`Department=Finance` でタグ付けされたバックアップからのみ `Department=Finance` でタグ付けされたファイルシステムを作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシー - 特定のタグを持つファイルシステムを削除する**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは `Department=Finance` でタグ付けされる必要があります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# FSx for Windows File Server のサービスリンクロールの使用
Amazon FSx for Windows File Server は AWS Identity and Access Management 、(IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクされたロールは、FSx for Windows File Server に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは、FSx for Windows File Server によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がなくなり、より簡単に FSx for Windows File Server をセットアップできるようになります。サービスリンクロールの許可は FSx for Windows File Server が定義し、別段の定義がない限り、FSx for Windows File Server のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、FSx for Windows File Server リソースを保護します。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## FSx for Windows File Server のサービスにリンクされたロールのアクセス許可
FSx for Windows File Server では、`AWSServiceRoleForAmazonFSx` という名前が付けられたサービスにリンクされたロールを使用します。これは、VPC でファイルシステム用の Elastic Network Interface を作成するなど、アカウントで特定のアクションを実行するものです。
ロールのアクセス許可ポリシーにより、FSx for Windows File Server は該当するすべての AWS リソースに対して次のアクションを実行できます。
IAM エンティティに AmazonFSxServiceRolePolicy をアタッチすることはできません。このポリシーは、FSx がユーザーに代わって AWS リソースを管理できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[FSx for Windows File Server のサービスリンクロールの使用](#using-service-linked-roles)」を参照してください。
このポリシーの更新については、「[AmazonFSxServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy)」を参照してください
このポリシーは、FSx がユーザーに代わって AWS リソースを管理できるようにする管理アクセス許可を付与します。
**アクセス許可の詳細**
AmazonFSxServiceRolePolicy ロールのアクセス許可は、AmazonFSxServiceRolePolicy AWS 管理ポリシーによって定義されます。AmazonFSxServiceRolePolicy には次のアクセス許可があります。
**注記**
AmazonFSxServiceRolePolicy はすべての Amazon FSx ファイルシステムタイプで使用されます。記載されているアクセス許可の一部は、FSx for Windows には適用されない場合があります。
+ `ds` – FSx が Directory Service ディレクトリ内のアプリケーションを表示、認可、および認可解除できるようにします。
+ `ec2` - FSx に以下のことを許可します:
+ Amazon FSx ファイルシステムに関連付けられたネットワークインターフェイスを表示、作成、および関連付け解除します。
+ Amazon FSx ファイルシステムに関連付けられた 1 つ以上の Elastic IP アドレスを表示します。
+ Amazon FSx ファイルシステムに関連付けられている Amazon VPC、セキュリティグループ、およびサブネットを表示します。
+ `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスに IPv6 アドレスを割り当てます。
+ `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスから IPv6 アドレスの割り当てを解除します。
+ VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
+ AWS認可されたユーザーがネットワークインターフェイスで特定のオペレーションを実行するためのアクセス許可を作成します。
+ `cloudwatch` – FSx がメトリクスデータポイントを AWS/FSx 名前空間の CloudWatch に発行できるようにします。
+ `route53` - FSx に Amazon VPC をプライベートホストゾーンに関連付けることを許可します。
+ `logs` - FSx が CloudWatch Logs のログストリームを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを CloudWatch Logs ストリーミングに送信できるようにするためです。
+ `firehose` - FSx に Amazon Data Firehose 配信ストリームを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを Amazon Data Firehose 配信ストリームに公開できるようにするためです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
本ポリシーの更新については、[AWS マネージドポリシーに対する Amazon FSx の更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) に記載されています。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## FSx for Windows File Server のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、IAM CLI、または IAM API でファイルシステムを作成すると、FSx for Windows File Server によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。ファイルシステムの作成時に、FSx for Windows File Server はサービスリンクロールを再作成します。
## FSx for Windows File Server のサービスにリンクされたロールの編集
FSx for Windows File Server では、サービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## FSx for Windows File Server のサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。これにより、積極的にモニタリングまたは保守されない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する前に、すべてのファイルシステムとバックアップを削除する必要があります。
**注記**
FSx for Windows File Server サービスがリソース削除時に当該ロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用してサービスリンクロールを手動で削除するには**
サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## FSx for Windows File Server サービスにリンクされたロール向けのサポートされているリージョン
FSx for Windows File Server では、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# Amazon FSx for Windows File Server のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、「[コンプライアンスプログラムによる対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」をご覧いただき、関心のあるコンプライアンスプログラムを選択してください。一般的な情報については、「[AWSコンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「[AWS Artifact でレポートをダウンロードする](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
AWS のサービス を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性や貴社のコンプライアンス目的、適用可能な法律および規制によって決定されます。AWS のサービスを使用する際のコンプライアンス責任の詳細については、「[AWS セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Amazon FSx for Windows File Server およびインターフェイス VPC エンドポイント
インターフェイス VPC エンドポイントを使用するように Amazon FSx を設定することで、VPC のセキュリティ体制を強化できます。インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、Direct Connect 接続のいずれも必要とせずに Amazon FSx API にプライベートにアクセスできるテクノロジー、[AWS PrivateLink](https://aws.amazon.com/privatelink) を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon FSx API と通信できます。VPC と Amazon FSx 間のトラフィックは、AWS ネットワークを離れません。
各インターフェイス VPC エンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。ネットワークインターフェイスは、Amazon FSx API へのトラフィックのエントリポイントとなるプライベート IP アドレスを提供します。Amazon FSx は、IPv4 専用およびデュアルスタック (IPv4 および IPv6) の IP アドレスタイプで設定された VPC エンドポイントをサポートします。詳細については、*Amazon VPC ユーザーガイド* の [インターフェイス VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) をご参照ください。
## Amazon FSx インターフェイス VPC エンドポイントに関する考慮事項
Amazon FSx のインターフェイス VPC エンドポイントを設定する前に、「*Amazon VPC ユーザーガイド*」の「[インターフェイス VPC エンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)」を確認してください。
VPC から任意の Amazon FSx API オペレーションを呼び出すことができます。例えば、VPC 内で CreateFileSystem API を呼び出すことで、FSx for Windows File Server ファイルシステムを作成できます。Amazon FSx API の詳細なリストについては、「Amazon FSx API Reference」(Amazon FSx API リファレンス) の「[Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html)」(アクション) を参照してください。
### VPC ピアリングに関する考慮事項
他の VPC には、インターフェイス VPC エンドポイントを使用して、VPC ピアリングによって接続できます。VPC ピアリングは2 つの VPC 間のネットワーク接続です。自分が所有者である 2 つの VPC 間や、他の AWS アカウント アカウント内の VPC との間で、VPC ピアリング接続を確立できます。VPC は 2 つの異なる AWS リージョン の間でも使用できます。
ピア接続された VPC 間のトラフィックは AWS ネットワーク上に留まり、パブリックインターネットを経由しません。VPC がピア接続されると、双方の VPC にある Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、いずれかの VPC で作成されたインターフェイス VPC エンドポイントを介して Amazon FSx API にアクセスできます。
## Amazon FSx API 用のインターフェイス VPC エンドポイントの作成
Amazon FSx API 用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) で作成できます。詳細については、*Amazon VPC ユーザーガイド* の [インターフェイス VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) をご参照ください。
Amazon FSx のインターフェイス VPC エンドポイントを作成するには、次のいずれかを使用します。
+ `com.amazonaws.region.fsx` – Amazon FSx API オペレーションのエンドポイントを作成します。
+ **`com.amazonaws.region.fsx-fips`** — [連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/) に準拠した Amazon FSx API のエンドポイントを作成します。
オプションとしてプライベート DNS を使用するには、VPC の `enableDnsHostnames` および `enableDnsSupport` 属性を設定する必要があります。詳細については、*Amazon VPC ユーザーガイド* の [VPC の DNS サポートを表示および更新する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) を参照してください。
中国の AWS リージョン を除き、エンドポイントでプライベート DNS を有効にすると、AWS リージョン のデフォルト DNS 名 (`fsx.us-east-1.amazonaws.com` など) を使用して、VPC エンドポイントで Amazon FSx に API リクエストを行うことができます。中国 (北京) および 中国 (寧夏) AWS リージョン の場合、それぞれ `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` および `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn` を使用して VPC エンドポイントで API リクエストを行うことができます。
詳細については、*Amazon VPC ユーザーガイド*の[「インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)を介したサービスへのアクセス」をご参照ください。
## Amazon FSx 用の VPC エンドポイントポリシーの作成
Amazon FSx API へのアクセスをさらに制御するために VPC エンドポイントに AWS Identity and Access Management (IAM) ポリシーをアタッチすることも可能です。本ポリシーでは、以下を規定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、*Amazon VPC ユーザーガイド*の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。