翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ID とアクセス管理
<a name="sec-iam"></a>

AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立つウェブサービスです。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。AMS オンボーディング中、各マネージドアカウント内にクロスアカウント IAM 管理者ロールを作成する責任があります。

## マルチアカウントランディングゾーン (MALZ) IAM 保護
<a name="access-how-works"></a>

AMS マルチアカウントランディングゾーン (MALZ) では、各組織 (AMS と顧客の両方) が自分の ID のライフサイクルを管理できるように、AMS アクセス管理の主な設計目標として Active Directory (AD) 信頼が必要です。これにより、相互の ディレクトリに認証情報を持つ必要がなくなります。一方向信頼は、 内の Managed Active Directory がカスタマー所有またはマネージド AD を AWS アカウント 信頼してユーザーを認証するように設定されます。信頼は 1 つの方法にすぎないため、マネージド AD がカスタマーアクティブディレクトリによって信頼されているわけではありません。

この設定では、ユーザー ID を管理するカスタマーディレクトリはユーザーフォレストと呼ばれ、Amazon EC2 インスタンスがアタッチされている Managed AD はリソースフォレストと呼ばれます。これは Windows 認証用に一般的に活用されている Microsoft 設計パターンです。詳細については、[「フォレスト設計モデル](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models)」を参照してください。

このモデルにより、両方の組織がそれぞれのライフサイクルを自動化し、従業員が組織を離れた場合に AMS とユーザーの両方がアクセスを迅速に取り消すことができます。このモデルがないと、両方の組織が共通のディレクトリを使用した場合 (または、互いのディレクトリにユーザー/グループを作成した場合）、両方の組織は、開始および退出する従業員を考慮して、追加のワークフローとユーザー同期を導入する必要があります。これにより、プロセスにレイテンシーがあり、エラーが発生しやすいため、リスクが発生します。

### MALZ アクセスの前提条件
<a name="access-how-works-prereqs"></a>

 AWS/AMS コンソール、CLI、SDK にアクセスするための MALZ Identity Provider Integration。

![\[ID プロバイダーと IAM、 AWS マネジメントコンソール、および AMS AWS 変更管理との関係。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/malz-access-prereqs-1.png)


AMS アカウントの Amazon EC2 インスタンスに対する一方向の信頼。

![\[信頼の方向は、Amazon EC2 インスタンスから組織の Active Directory ドメインへの一方向です。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/malz-access-prereqs-2.png)


## Amazon Inspector のセキュリティ
<a name="inspector-sec"></a>

Amazon Inspector サービスは、AMS マネージドスタックのセキュリティをモニタリングします。Amazon Inspector は、デプロイされたインフラストラクチャのセキュリティとコンプライアンスのギャップを特定するのに役立つ自動セキュリティ評価サービスです AWS。Amazon Inspector セキュリティ評価では、Amazon EC2 インスタンスの意図しないネットワークアクセシビリティと脆弱性をチェックすることで、スタックの露出、脆弱性、ベストプラクティスからの逸脱を自動的に評価できます。評価を実行した後、Amazon Inspector は、重要度のレベルごとに優先順位が付けられたセキュリティ結果の詳細なリストを作成します。Amazon Inspector の評価は、一般的なセキュリティのベストプラクティスと定義にマッピングされた事前定義されたルールパッケージとして提供されます。これらのルールは、 AWS セキュリティ研究者によって定期的に更新されます。Amazon Inspector の詳細については、[Amazon Inspector](https://aws.amazon.com/inspector)」を参照してください。

**AMS Amazon Inspector FAQs**
+ Amazon Inspector はデフォルトで AMS アカウントにインストールされていますか?

  いいえ。Amazon Inspector はデフォルトの AMI ビルドまたはワークロード取り込みの一部ではありません。
+ Amazon Inspector にアクセスしてインストールするにはどうすればよいですか?

  RFC (管理 \$1 その他 \$1 その他 \$1 作成) を送信して、アカウントアクセスとインストールを Inspector にリクエストします。AMS オペレーションチームは Customer\$1ReadOnly\$1Role を変更して、Amazon Inspector コンソールアクセス (SSM アクセスなし) を提供します。
+ Amazon Inspector エージェントは、評価するすべての Amazon EC2 インスタンスにインストールする必要がありますか?

  いいえ。ネットワーク到達可能性ルールパッケージを使用した Amazon Inspector 評価は、Amazon EC2 インスタンスのエージェントなしで実行できます。エージェントはホスト評価ルールパッケージに必要です。エージェントのインストールの詳細については、[Amazon Inspector エージェントのインストール](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html)」を参照してください。
+ このサービスには追加料金がかかりますか?

  はい。Amazon Inspector の料金は、[Amazon Inspector の料金](https://aws.amazon.com/inspector/pricing/)サイトで確認できます。
+ Amazon Inspector の検出結果とは

  検出結果は、選択した評価ターゲットの Amazon Inspector 評価中に検出された潜在的なセキュリティ問題です。結果は Amazon Inspector コンソールまたは API に表示され、セキュリティの問題の詳細な説明とそれらを解決するための推奨事項の両方が含まれます。
+ Amazon Inspector 評価のレポートは利用できますか?

  はい。評価レポートは評価の実行で行われたテストの詳細と、評価の結果を記述したドキュメントです。評価の結果はスタンダードレポート形式です。このレポートはチーム内で結果を共有できるように生成し、コンプライアンスの監査データの強化または今後の参照情報として保存することができます。Amazon Inspector 評価レポートは、評価が正常に完了すると、評価の実行用に生成できます。
+ タグを使用して、Amazon Inspector レポートを実行するスタックを識別できますか?

  はい。
+ AMS オペレーションチームは Amazon Inspector の評価結果にアクセスできますか?

  はい。AWS で Amazon Inspector コンソールにアクセスできるユーザーは、結果と評価レポートを表示できます。
+ AMS オペレーションチームは、Amazon Inspector レポートの結果に基づいて推奨またはアクションを実行しますか?

  いいえ。Amazon Inspector レポートの結果に基づいて変更を行う場合は、RFC (管理 \$1 その他 \$1 その他 \$1 更新) を通じて変更をリクエストする必要があります。
+ Amazon Inspector レポートを実行すると、AMS に通知されますか?

  Amazon Inspector アクセスをリクエストすると、RFC を実行している AMS オペレーターがリクエストを CSDM に通知します。

詳細については、[Amazon Inspector のFAQs](https://aws.amazon.com/inspector/faqs/)」を参照してください。

## AMS マルチアカウントランディングゾーン EPS のデフォルト以外の設定
<a name="malz-eps-settings"></a>

このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。

## AMS ガードレール
<a name="detective-rules"></a>

ガードレールは、AMS 環境全体に継続的なガバナンスを提供する高レベルのルールです。

このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。

## MALZ サービスコントロールポリシー
<a name="malz-scp"></a>

このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。