

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS がアカウントにアクセスする理由とタイミング
<a name="access-justification"></a>

AMS Accelerate (Accelerate) 演算子は、特定の状況で、 リソースを管理するためにアカウントコンソールとインスタンスにアクセスできます。これらのアクセスイベントは、 AWS CloudTrail (CloudTrail) ログに記録されます。AMS Accelerate Operations チームおよび AMS Accelerate Automation によってアカウントのアクティビティを確認する方法の詳細については、「」を参照してください[AMS Accelerate アカウントの変更の追跡](acc-change-record.md)。

AMS がアカウントにアクセスする理由、タイミング、および方法については、以下のトピックで説明します。

## AMS カスタマーアカウントアクセストリガー
<a name="access-mgmt-triggers"></a>

AMS カスタマーアカウントアクセスアクティビティは、トリガーによって駆動されます。今日のトリガーは、Amazon CloudWatch (CloudWatch) アラームとイベントに応答して問題管理システムで作成された AWS チケット、および送信したインシデントレポートまたはサービスリクエストです。アクセスごとに複数のサービスコールとホストレベルのアクティビティが実行される場合があります。

アクセスの根拠、トリガー、トリガーのイニシエータを次の表に示します。


**アクセストリガー**  

<table>
<thead>
  <tr><th>アクセス</th><th>イニシエータ</th><th>Trigger トリガー)</th></tr>
</thead>
<tbody>
  <tr><td>パッチ適用</td><td>AMS</td><td>パッチの問題</td></tr>
  <tr><td>内部問題調査</td><td>AMS</td><td>問題 (システムとして特定された問題)</td></tr>
  <tr><td>アラートの調査と修復</td><td>AMS</td><td>AWS Systems Manager 運用作業項目 (SSM OpsItems)</td></tr>
  <tr><td>インシデントの調査と修復</td><td>You</td><td rowspan="2">インバウンドサポートケース (送信したインシデントまたはサービスリクエスト)</td></tr>
  <tr><td>インバウンドサービスリクエストのフルフィルメント</td><td>You</td></tr>
</tbody>
</table>


## AMS カスタマーアカウントアクセス IAM ロール
<a name="access-mgmt-iam-roles"></a>

AMS 演算子は、アカウントをサービスするために次のロールを必要とします。

**注記**  
AMS アクセスロールを使用すると、AMS オペレーターはリソースにアクセスして AMS 機能を提供できます (「」を参照[サービスの説明](acc-sd.md))。これらのロールを変更すると、これらの機能を提供する機能が妨げられる可能性があります。AMS アクセスロールを変更する必要がある場合は、Cloud Architect を参照してください。


**カスタマーアカウントへの AMS アクセス用の IAM ロール**  

| ロール名 | 説明 | 
| --- | --- | 
| ams-access-admin | このロールには、制限なしでアカウントへの完全な管理アクセス権があります。AMS サービスは、AMS インフラストラクチャをデプロイしてアカウントを運用するためのアクセスを制限する制限付きセッションポリシーでこのロールを使用します。 | 
| ams-access-admin-operations | このロールは、アカウントを運用するための管理アクセス許可を AMS オペレーターに付与します。このロールは、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに読み取り、書き込み、または削除のアクセス許可を付与しません。このロールを引き受けることができるのは、アクセス管理の知識と背景が豊富な認定 AMS オペレーターのみです。これらのオペレーターは、アクセス管理の問題のエスカレーションポイントとして機能し、アカウントにアクセスして AMS オペレーターのアクセスの問題をトラブルシューティングします。 | 
| ams-access-management | オンボーディング中に手動でデプロイされます。AMS Access システムでは、 `ams-access-roles`と `ams-access-managed-policies`スタックを管理するためにこのロールが必要です。 | 
| ams-access-operations | このロールには、アカウントで管理タスクを実行するアクセス許可があります。このロールには、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに対する読み取り、書き込み、または削除のアクセス許可はありません。 AWS Identity and Access Management 書き込みオペレーションを実行するアクセス許可もこのロールから除外されます。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。 | 
| ams-access-read-only | このロールには、 アカウントへの読み取り専用アクセスがあります。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールには付与されません。 | 
| ams-access-security-analyst | この AMS セキュリティロールには、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するアクセス許可が AMS アカウントに付与されています。このロールを引き受けることができる AMS セキュリティ担当者はほとんどいません。 | 
| ams-access-security-analyst-read-only | この AMS セキュリティロールは、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するための AMS アカウントの読み取り専用アクセス許可に制限されています。 | 

**注記**  
これは、ams-access-management ロールのテンプレートです。これは、クラウドアーキテクト (CAs) がオンボーディング時にアカウント内に手動でデプロイするスタックです: [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)。  
これは、さまざまなアクセスレベルのさまざまなアクセスロールのテンプレートです。ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin: [accelerate-roles.json](https://ams-account-access-templates.s3.amazonaws.com/ams-access-roles.template.json)。
アクセス	イニシエータ	Trigger トリガー)
パッチ適用	AMS	パッチの問題
内部問題調査	AMS	問題 (システムとして特定された問題)
アラートの調査と修復	AMS	AWS Systems Manager 運用作業項目 (SSM OpsItems)
インシデントの調査と修復	You	インバウンドサポートケース (送信したインシデントまたはサービスリクエスト)
インバウンドサービスリクエストのフルフィルメント	You	インバウンドサポートケース (送信したインシデントまたはサービスリクエスト)