Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

AWS Health アイデンティティベースのポリシーの例

フォーカスモード
AWS Health アイデンティティベースのポリシーの例 - AWS Health

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトでは、IAM ユーザーおよびロールには、 AWS Health リソースを作成または変更するアクセス許可はありません。また、 AWS Management Console、 AWS CLI、または を使用してタスクを実行することはできません AWS API。IAM 管理者は、必要な指定されたリソースに対して特定のAPIオペレーションを実行するアクセス許可をユーザーとロールに付与するIAMポリシーを作成する必要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

これらのポリシードキュメント例を使用してIAMアイデンティティベースのJSONポリシーを作成する方法については、 IAMユーザーガイドJSON「 タブでのポリシーの作成」を参照してください。

ポリシーに関するベストプラクティス

ID ベースのポリシーは、ユーザーのアカウントで誰かが AWS Health リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与するAWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、「IAMユーザーガイド」の「AWS マネージドポリシー」または「AWS ジョブ機能の管理ポリシー」を参照してください。

  • 最小特権を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM ユーザー ガイドの「IAM のポリシーとアクセス許可」を参照してください。

  • IAMポリシーで条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信するように指定できますSSL。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。 IAMAccess Analyzer は、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項を提供します。詳細については、「 IAMユーザーガイド」のIAM「Access Analyzer を使用したポリシーの検証」を参照してください。

  • 多要素認証を要求する (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化MFAするために をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」の「 を使用した安全なAPIアクセスMFA」を参照してください。

IAM でのベストプラクティスの詳細については、「IAMユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS Health コンソールを使用する

AWS Health コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、 AWS アカウント内の AWS Health リソースの詳細を一覧表示および表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。

これらのエンティティが引き続き AWS Health コンソールを使用できるようにするには、次の AWS 管理ポリシーをアタッチします。 AWSHealthFullAccess.

AWSHealthFullAccess ポリシーでは、エンティティは次のものへのフルアクセスが付与されます。

  • AWS Health 組織内のすべてのアカウントの AWS 組織ビュー機能を有効または無効にする

  • AWS Health コンソール AWS Health Dashboard の

  • AWS Health API オペレーションと通知

  • AWS 組織の一部であるアカウントに関する情報を表示する

  • 管理アカウントの組織単位 (OU) の表示

例 : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
注記

Health_OrganizationsServiceRolePolicy AWS マネージドポリシーを使用して、 が組織内の他のアカウントのイベントを表示 AWS Health できるようにすることもできます。詳細については、「AWS Healthのサービスにリンクされたロールの使用」を参照してください。

AWS CLI または のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません AWS API。代わりに、実行しようとしているAPIオペレーションに一致するアクションのみへのアクセスを許可します。

詳細については、「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加」を参照してください。

自分の権限の表示をユーザーに許可する

この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています AWS API。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

AWS Health Dashboard および へのアクセス AWS Health API

AWS Health Dashboard はすべての AWS アカウントで使用できます。 AWS Health API は、ビジネス、エンタープライズオンランプ、またはエンタープライズサポートプランのアカウントでのみ使用できます。詳細については、「Support」を参照してください。

IAM を使用してエンティティ (ユーザー、グループ、またはロール) を作成し、それらのエンティティに AWS Health Dashboard および へのアクセス許可を付与できます AWS Health API。

デフォルトでは、IAMユーザーは AWS Health Dashboard または にアクセスできません AWS Health API。1 人のユーザー、ユーザーのグループ、またはロールにIAMポリシーをアタッチすることで、ユーザーにアカウントの AWS Health 情報へのアクセスを許可します。詳細については、「アイデンティティ (ユーザー、グループ、ロール)」および「ポリシーの概要」を参照してください。 IAM

IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。その後、アカウント固有のサインインページを使用して、アカウントにサインインし、 AWS Health 情報を表示できます。詳細については、「ユーザーがアカウントにサインインする方法」を参照してください。

注記

を表示するアクセス許可を持つ IAMユーザーは AWS Health Dashboard 、アカウント上のすべての AWS サービス全体のヘルス情報に読み取り専用でアクセスできます。これには、Amazon EC2インスタンス 、EC2インスタンス IP アドレスIDs、一般的なセキュリティ通知IDsなどの AWS リソースが含まれますが、これらに限定されません。

例えば、 IAMポリシーが AWS Health Dashboard および AWS Health にのみアクセスを許可する場合API、ポリシーが適用されるユーザーまたはロールは、他のIAMポリシーがそのアクセスを許可していない場合でも、 AWS サービスおよび関連リソースに関して投稿されたすべての情報にアクセスできます。

APIs には の 2 つのグループを使用できます AWS Health。

使用可能なAPIオペレーションの詳細については、「 AWS Health APIリファレンス」を参照してください。

個々のアクション

IAM ポリシーの Action エレメントを health:Describe* に設定できます。これにより、 AWS Health Dashboard および へのアクセスが許可されます AWS Health。 は、 eventTypeCodeおよび サービスに基づくイベントへのアクセスコントロール AWS Health をサポートします。

アクセスの説明

このポリシーステートメントは、 AWS Health Dashboard および Describe* AWS Health APIオペレーションへのアクセスを許可します。たとえば、このポリシーを持つ IAMユーザーは、 AWS Health Dashboard の にアクセスして AWS Management Console DescribeEventsAPIオペレーションを AWS Health 呼び出すことができます。

例 : アクセスの説明
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }

アクセスを拒否する

このポリシーステートメントは、 AWS Health Dashboard および へのアクセスを拒否します AWS Health API。このポリシーを持つ IAMユーザーは、 AWS Health Dashboard で を表示できず AWS Management Console 、 オペレーションを AWS Health API呼び出すこともできません。

例 : アクセスを拒否する
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }

組織ビュー

の組織ビューを有効にする場合は AWS Health、 AWS Health および AWS Organizations アクションへのアクセスを許可する必要があります。

IAM ポリシーの Action 要素には、次のアクセス許可を含める必要があります。

  • iam:CreateServiceLinkedRole

  • organizations:EnableAWSServiceAccess

  • organizations:DescribeAccount

  • organizations:DisableAWSServiceAccess

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListParents

各 に必要な正確なアクセス許可についてはAPIs、「 IAMユーザーガイド」の「 で AWS Health APIs定義されるアクションと通知」を参照してください。

注記

にアクセスするには AWS Health APIs、組織の管理アカウントの認証情報を使用する必要があります AWS Organizations。詳細については、「アカウント間の AWS Health イベントの集約」を参照してください。

AWS Health 組織ビューへのアクセス許可

このポリシーステートメントは、組織ビュー機能に必要なすべての AWS Health および AWS Organizations アクションへのアクセスを許可します。

例 : AWS Health 組織ビューへのアクセスを許可する
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }

AWS Health 組織ビューへのアクセス拒否

このポリシーステートメントは、 AWS Organizations アクションへのアクセスを拒否しますが、個々のアカウントの AWS Health アクションへのアクセスを許可します。

例 : AWS Health 組織ビューへのアクセスを拒否する
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
注記

アクセス許可を付与するユーザーまたはグループに既に IAMポリシーがある場合は、そのポリシーに AWS Health固有のポリシーステートメントを追加できます。

リソースおよびアクションに基づく条件

AWS Health は、 DescribeAffectedEntitiesおよび DescribeEventDetailsAPIオペレーションIAMの条件をサポートします。リソースおよびアクションベースの条件を使用して、 AWS Health APIがユーザー、グループ、またはロールに送信するイベントを制限できます。

これを行うには、IAM ポリシーの Condition ブロックを更新するか、Resource 要素を設定します。文字列条件を使用して、特定の AWS Health イベントフィールドに基づいてアクセスを制限できます。

ポリシーで AWS Health イベントを指定するときは、次のフィールドを使用できます。

  • eventTypeCode

  • service

メモ
例 : アクションベースの条件

このポリシーステートメントは、 AWS Health Dashboard および AWS Health Describe*APIオペレーションへのアクセスを許可しますが、Amazon に関連する AWS Health イベントへのアクセスを拒否しますEC2。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
例 : リソースベースの条件

次のポリシーでも結果は同じですが、Resource 要素を代わりに使用しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
例 : eventTypeCode 条件

このポリシーステートメントは、 AWS Health Dashboard および AWS Health Describe*APIオペレーションへのアクセスを許可しますが、 eventTypeCodeに一致する を持つ AWS Health イベントへのアクセスを拒否しますAWS_EC2_*

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
重要

DescribeAffectedEntities および DescribeEventDetailsオペレーションを呼び出し、 AWS Health イベントにアクセスするアクセス許可がない場合、AccessDeniedExceptionエラーが表示されます。詳細については、「AWS Health ID とアクセスのトラブルシューティング」を参照してください。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.