翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS AMS Accelerate の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
変更の表については、「」を参照してください[AWS 管理ポリシーの更新を高速化する](#security-iam-awsmanpol-updates)。
## AWS マネージドポリシー: AWSManagedServices\_AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) は `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、AWSManagedServices\_AlarmManager\_ServiceRolePolicy で使用され、AWSServiceRoleForManagedServices\_AlarmManager によって作成された IAM ロールのアクセス許可を制限します。
このポリシーは、 の一部として作成された IAM ロール[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、Config AWS 評価、 AWS Config 読み取りによる Alarm Manager 設定の取得、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセス許可を付与します。
`AWSManagedServices_AlarmManagerPermissionsBoundary` ポリシーは、`AWSServiceRoleForManagedServices_DetectiveControlsConfig`サービスにリンクされたロールにアタッチされます。このロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。
このポリシーは IAM アイデンティティにアタッチできます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `AWS Config` – 設定ルールを評価し、リソース設定を選択するためのアクセス許可を付与します。
+ `AWS AppConfig` – AlarmManager 設定を取得するアクセス許可を付与します。
+ `Amazon S3` – AlarmManager バケットとオブジェクトを操作するアクセス許可を付与します。
+ `Amazon CloudWatch` – AlarmManager マネージドアラームとメトリクスを読み取って配置するアクセス許可を付与します。
+ `AWS Resource Groups and Tags` – リソースタグを読み取るアクセス許可を付与します。
+ `Amazon EC2` – Amazon EC2 リソースを読み取るアクセス許可を付与します。
+ `Amazon Redshift` – Redshift インスタンスとクラスターを読み取るアクセス許可を付与します。
+ `Amazon FSx` – ファイルシステム、ボリューム、リソースタグを記述するアクセス許可を付与します。
+ `Amazon CloudWatch Synthetics` – Synthetics リソースを読み取るアクセス許可を付与します。
+ `Amazon Elastic Kubernetes Service` – Amazon EKS クラスターを記述するアクセス許可を付与します。
+ `Amazon ElastiCache` – リソースを記述するアクセス許可を付与します。
この ZIP: [RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip) でポリシーファイルをダウンロードできます。
## AWS マネージドポリシー: AWSManagedServices\_DetectiveControlsConfig\_ServiceRolePolicy
AWS Managed Services (AMS) は `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-deploy-detect-controls)「」を参照[AMS Accelerate のサービスにリンクされたロールを Detective が制御する](using-service-linked-roles.md#slr-deploy-detect-controls))。`AWSServiceRoleForManagedServices_DetectiveControlsConfig` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。
このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。
AWSManagedServices\_DetectiveControlsConfig\_ServiceRolePolicy ポリシーを IAM エンティティにアタッチできます。
詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
**アクセス許可の詳細**
このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。
+ `CloudFormation` – AMS Detective Controls が s3 バケット、設定ルール、config-recorder などのリソースを使用して CloudFormation スタックをデプロイできるようにします。
+ `AWS Config` – AMS Detective Controls が AMS 設定ルールを作成し、アグリゲータを設定し、リソースにタグを付けることを許可します。
+ `Amazon S3` – AMS Detective Controls が s3 バケットを管理できるようにします。
JSON ポリシーファイルは、次の ZIP でダウンロードできます: [DetectiveControlsConfig\_ServiceRolePolicy.zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)。
## AWS マネージドポリシー: AWSManagedServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) は `AWSManagedServicesDeploymentToolkitPolicy` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-deploy-acc)「」を参照[AMS Accelerate のデプロイツールキットサービスにリンクされたロール](using-service-linked-roles.md#slr-deploy-acc))。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。
**アクセス許可の詳細**
このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。
+ `CloudFormation` – AMS Deployment Toolkit が CDK に必要な S3 リソースを使用して CFN スタックをデプロイできるようにします。
+ `Amazon S3` – AMS Deployment Toolkit が S3 バケットを管理できるようにします。
+ `Elastic Container Registry` – AMS Deployment Toolkit は、AMS CDK アプリケーションに必要なアセットをデプロイするために使用される ECR リポジトリを管理できます。
JSON ポリシーファイルは、次の ZIP でダウンロードできます。[AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)。
## AWS マネージドポリシー: AWSManagedServices\_EventsServiceRolePolicy
AWS Managed Services (AMS) は AWS `AWSManagedServices_EventsServiceRolePolicy` 管理ポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_Events`サービスにリンクされたロール](using-service-linked-roles.html#slr-evb-rule)にアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
`AWSServiceRoleForManagedServices_Events` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。
**アクセス許可の詳細**
このポリシーには、Amazon EventBridge がアカウントから AWS Managed Servicesにアラーム状態変更情報を配信できるようにする以下のアクセス許可があります。
+ `events` – Accelerate が Amazon EventBridge マネージドルールを作成できるようにします。このルールは、 アカウントから にアラーム状態変更情報を配信 AWS アカウント するために必要な インフラストラクチャです AWS Managed Services。
この ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) で JSON ポリシーファイルをダウンロードできます。
## AWS マネージドポリシー: AWSManagedServices\_ContactsServiceRolePolicy
AWS Managed Services (AMS) は AWS `AWSManagedServices_ContactsServiceRolePolicy` 管理ポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_Contacts`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-contacts-service)「」を参照[AMS Accelerate の問い合わせ SLR の作成](using-service-linked-roles.md#slr-contacts-service-create))。このポリシーにより、AMS Contacts SLR は AWS リソースのリソースタグとその値を確認できます。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
**重要**
個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AMS はタグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。
`AWSServiceRoleForManagedServices_Contacts` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。
**アクセス許可の詳細**
このポリシーには、Contacts SLR がリソースタグを読み取って、事前に設定したリソース連絡先情報を取得できるようにする次のアクセス許可があります。
+ `IAM` – Contacts サービスが IAM ロールと IAM ユーザーのタグを確認できるようにします。
+ `Amazon EC2` – Contacts サービスが Amazon EC2 リソースのタグを確認できるようにします。
+ `Amazon S3` – Contacts Service が Amazon S3 バケットのタグを確認できるようにします。このアクションでは、 条件を使用して、AMS が HTTP 認可ヘッダー、SigV4 署名プロトコル、および TLS 1.2 以降の HTTPS を使用してバケットタグにアクセスするようにします。詳細については、[「認証方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)」と[Amazon S3 署名バージョン 4 認証固有のポリシーキー](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)」を参照してください。
+ `Tag` – Contacts サービスが他の AWS リソースのタグを確認できるようにします。
+ 「iam:ListRoleTags」、「iam:ListUserTags」、「tag:GetResources」、「tag:GetTagKeys」、「tag:GetTagValues」、「ec2:DescribeTags」、「s3:GetBucketTagging」
この ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) で JSON ポリシーファイルをダウンロードできます。
## AWS 管理ポリシーの更新を高速化する
このサービスがこれらの変更の追跡を開始してからの Accelerate の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 |
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 |
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 |
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` アクションはポリシーから削除されます。アクションにはリソースがワイルドカード (\*) として含まれていました。「list」は非ミューテーションアクションであるため、すべてのリソースへのアクセスが許可され、ワイルドカードは許可されません。 | 2023 年 3 月 28 日 |
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | ポリシーを更新し、アクセス許可の境界ポリシーを追加しました。 | 2023 年 3 月 21 日 |
| 新しいポリシー – [Contacts Service](#ContactsServiceManagedPolicy) | Accelerate は、リソースタグからアカウントの連絡先情報を確認する新しいポリシーを追加しました。
Accelerate は、事前に設定したリソース連絡先情報を取得できるように、リソースタグを読み取る新しいポリシーを追加しました。 | 2023 年 2 月 16 日 |
| 新しいポリシー – [Events Service](#EventsServiceRolePolicy) | Accelerate は、アカウントから AWS Managed Services にアラーム状態変更情報を配信する新しいポリシーを追加しました。
必要な Amazon EventBridge マネージドルールを作成するための[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)アクセス許可の一部として作成された IAM ロールを付与します。 | 2023 年 2 月 7 日 |
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate からの顧客のオフボーディングをサポートする S3 アクセス許可を追加しました。 | 2023 年 1 月 30 日 |
| 新しいポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | サービスにリンクされたロール [AMS Accelerate のサービスにリンクされたロールを Detective が制御する](using-service-linked-roles.md#slr-deploy-detect-controls)が Accelerate 検出コントロールをデプロイするためのアクションを完了できるようにします。 | 2022 年 12 月 19 日 |
| 新しいポリシー – [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | Accelerate は、アラームマネージャータスクを実行するアクセス許可を付与する新しいポリシーを追加しました。
Config AWS 評価、アラームマネージャー設定を取得するための読み取り AWS 設定、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセス[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可の一部として作成された IAM ロールを付与します。 | 2022 年 11 月 30 日 |
| Accelerate が変更の追跡を開始 | Accelerate は、 AWS マネージドポリシーの変更の追跡を開始しました。 | 2022 年 11 月 30 日 |
| 新しいポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate は、デプロイタスクにこのポリシーを追加しました。
サービスにリンクされたロール [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc) に、デプロイ関連の Amazon S3 バケットと CloudFormation スタックにアクセスして更新するためのアクセス許可を付与します。 | 2022 年 6 月 9 日 |