翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM ロールとプロファイルを使用した AMS でのアクセス許可の設定
<a name="setting-permissions"></a>

AMS は AWS Identity and Access Management (IAM) を使用して、ユーザー、アクセスキーなどのセキュリティ認証情報、およびユーザーとアプリケーションがアクセスできるリソースを制御する AWS アクセス許可を管理します。AMS は、デフォルトの IAM ユーザーロールとデフォルトの Amazon EC2 インスタンスプロファイル (デフォルトの IAM ユーザーロールへのリソースアクセスを許可するステートメントを含む) を提供します。

## 新しい IAM ユーザーロールまたはインスタンスプロファイルのリクエスト
<a name="request-new-role-or-profile"></a>

AMS は IAM ロールを使用して、フェデレーションサービスと IAM インスタンスプロファイルを通じてその IAM ロールのコンテナとしてユーザーアクセス許可を設定します。

デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 Create entity or policy (マネージドオートメーション) change type (ct-3dpd8mdd9jn1r)、または Management \$1 Applications \$1 IAM インスタンスプロファイル \$1 Create Management \$1 Applications \$1 IAM インスタンスプロファイル \$1 Create (マネージドオートメーション) change type (ct-0ixp4ch2tiu04) を使用して IAM インスタンスプロファイルをリクエストできます。このセクションの各 の説明を参照してください。

**注記**  
AMS には、危険な名前空間とアクションをブロック`customer_deny_policy`する IAM ポリシーがあります。このポリシーはデフォルトですべての AMS カスタマーロールにアタッチされ、ユーザーにとって問題になることはほとんどありません。IAM ユーザーとロールのリクエストにはこのポリシーは含まれませんが、IAM ロールのリクエスト`customer_deny_policy`に を自動的に含めることで、AMS は新しい IAM インスタンスプロファイルをより迅速にデプロイできます。`customer_deny_policy` ポリシーの除外をリクエストできます。ただし、このリクエストは重いセキュリティレビューを受け、セキュリティ上の理由から拒否される可能性があります。

# IAM ロールポリシーステートメントを使用してアクセス許可を制限する
<a name="request-iam-user"></a>

AMS は IAM ロールを使用して、フェデレーションサービスを通じてユーザーアクセス許可を設定します。

**単一アカウントランディングゾーン AMS**: [「SALZ: デフォルトの IAM ユーザーロール](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role)」を参照してください。

**マルチアカウントランディングゾーン AMS**: [「MALZ: デフォルトの IAM ユーザーロール](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz)」を参照してください。

IAM ロールは、 AWS サービスリクエストを行うための一連のアクセス許可を定義する IAM エンティティです。IAM ロールは、特定のユーザーまたはグループに関連付けられていません。代わりに、信頼されたエンティティは、IAM ユーザー、アプリケーション、Amazon EC2 などの AWS サービスなどのロールを引き受けます。詳細については、[「IAM ロール」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。

`Policy` リクエストフィールドでより制限の厳しい IAM ポリシーを渡すことで、 AWS Security Token Service (STS) API オペレーション [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) を使用して、AMS IAM ユーザーロールを引き受けるユーザーに必要なポリシーの範囲を絞り込むことができます。

次に、CT アクセスを制限するために使用できるポリシーステートメントの例を示します。

設定した Active Directory (AD) グループと AWS Security Token Service (STS) API オペレーション [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) を使用して、特定の変更タイプ (CTs) へのアクセスの制限など、特定のユーザーまたはグループのアクセス許可を設定できます。以下に示すポリシーステートメントを使用して、さまざまな方法で CT アクセスを制限できます。

すべての AMS API コール (amscm および amsskms) およびすべての変更タイプへのアクセスを許可するデフォルトの IAM インスタンスプロファイルの AMS 変更タイプステートメント:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. 指定された 2 つの CTs「アクション」は AMS API オペレーション ( `amscm`または `amsskms`) で、「リソースIDs とバージョン番号を表します。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. 指定された 2 つの CTs でのみ CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

1. 使用可能なすべての CTs で CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

1. 制限付き CT に対するすべてのアクションのアクセスを拒否し、他の CTs で許可するステートメント:

# Amazon EC2 IAM インスタンスプロファイルを使用してアクセス許可を制限する
<a name="request-instance-profile"></a>

IAM インスタンスプロファイルは、インスタンスの起動時にロール情報を Amazon EC2 インスタンスに渡すために使用できる IAM ロールのコンテナです。

現在、インスタンスにログインするユーザーではなく`customer-mc-ec2-instance-profile`、インスタンスで実行されているアプリケーションにアクセス許可を付与する AWS Managed Services (AMS) のデフォルトインスタンスプロファイル が 1 つあります。インスタンスに何かへのアクセス権を付与する場合は、他のインスタンスにもアクセス権を付与せずに、デフォルトのインスタンスプロファイルを変更したり、新しいインスタンスプロファイルを作成したりできます。Management \$1 Applications \$1 IAM インスタンスプロファイル \$1 Create change type (ct-0ixp4ch2tiu04) を使用して、新しい IAM インスタンスプロファイルをリクエストできます。RFC を送信するときは、独自のインスタンスプロファイルを構成して InstanceProfileDescription として含めるか、AMS に (同じフィールドを使用して) 必要な変更を通知するだけで済みます。これは手動 CT であるため、AMS は変更を承認する必要があり、それについて連絡します。

Amazon IAM ポリシーに慣れていない場合は、[「IAM ポリシーの概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」で重要な情報を参照してください。良いブログ記事[Amazon EC2 リソースレベルのアクセス許可をわかりやすくする](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)」もあります。AMS は現在リソースベースのアクセスコントロールをサポートしていませんが、IAM ロールポリシーを使用したリソースレベルのコントロールをサポートしていることに注意してください (違いについては、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**単一アカウントランディングゾーン AMS**：

デフォルトの AMS IAM インスタンスプロファイルが付与するアクセス許可の表を確認するには、[EC2 IAM インスタンスプロファイル](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html)」を参照してください。