翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Outposts
のセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。が適用されるコンプライアンスプログラムの詳細については AWS Outposts、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
のセキュリティとコンプライアンスの詳細については AWS Outposts、[AWS Outposts 「 ラックのよくある質問](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance)」を参照してください。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Outposts。ここでは、セキュリティとコンプライアンスの目標を満たす方法を説明します。また、 リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [データ保護](data-protection.md)
+ [ID とアクセス管理](identity-access-management.md)
+ [インフラストラクチャセキュリティ](infrastructure-security.md)
+ [耐障害性](disaster-recovery-resiliency.md)
+ [コンプライアンス検証](compliance-validation.md)
+ [インターネットアクセス](internet-access.md)
# でのデータ保護 AWS Outposts
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Outposts。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。このコンテンツには、 AWS のサービス 使用する のセキュリティ設定および管理タスクが含まれます。
データ保護の目的で、 AWS アカウント 認証情報を保護し、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。
データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、[AWS セキュリティブログ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)に投稿されたAWS 責任共有モデルおよび GDPR ブログを参照してください。
## 保管中の暗号化
では AWS Outposts、すべてのデータは保管時に暗号化されます。キーマテリアルは、リムーバブル デバイスである Nitro Security Key (NSK) に保存される外部キーにラップされます。NSK は Outposts ラック上のデータを復号化するために必要です。
EBS ボリュームとスナップショットに Amazon EBS 暗号化を使用できます。Amazon EBS 暗号化は AWS Key Management Service (AWS KMS) と KMS キーを使用します。詳細については、[「Amazon EBS ユーザーガイド](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)*」の「Amazon EBS* 暗号化」を参照してください。
## 転送中の暗号化
AWS は、Outpost とその AWS リージョン間の転送中のデータを暗号化します。詳細については、「[サービスリンク経由の接続](service-links.md)」を参照してください。
Transport Layer Security (TLS) などの暗号化プロトコルを使用して、ローカルゲートウェイを介してローカルネットワークに送信される転送中の機密データを暗号化できます。
## データの削除
EC2 インスタンスを停止または終了すると、そのインスタンスに割り当てられていたメモリをハイパーバイザーがスクラブ (ゼロに設定) し、そのメモリが新たなインスタンスに割り当てられ、すべてのストレージブロックがリセットされます。
Nitro セキュリティ キーを破棄すると、Outpost 上のデータが暗号的に細断されます。
# の Identity and Access Management (IAM) AWS Outposts
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS Outposts リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAMは追加料金なしでご利用いただけます。
**Topics**
+ [AWS Outposts と IAM の連携方法](security_iam_service-with-iam.md)
+ [ポリシーの例](security_iam_id-based-policy-examples.md)
+ [サービスリンクロール](using-service-linked-roles.md)
+ [AWS マネージドポリシー](security-iam-awsmanpol.md)
# AWS Outposts と IAM の連携方法
IAM を使用して AWS Outposts へのアクセスを管理する前に、Outposts で使用できる IAM AWS 機能を確認してください。
| IAM 機能 | AWS Outposts のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| リソースベースのポリシー | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| ACL | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions) | あり |
| サービスロール | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
## AWS Outposts のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### AWS Outposts のアイデンティティベースのポリシーの例
AWS Outposts アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Outposts ポリシーの例](security_iam_id-based-policy-examples.md)。
## AWS Outposts のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
AWS Outposts アクションのリストを確認するには、*「サービス認可リファレンス*」の[「 で定義されるアクション AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)」を参照してください。
AWS Outposts のポリシーアクションは、アクションの前に次のプレフィックスを使用します。
```
outposts
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "outposts:List*"
```
## AWS Outposts のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
一部の AWS Outposts API アクションは、複数のリソースをサポートしています。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
AWS Outposts リソースタイプとその ARNs「 [で定義されるリソースタイプ AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、「[AWS Outpostsで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)」を参照してください。
## AWS Outposts のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Outposts 条件キーのリストを確認するには、*「サービス認可リファレンス*」の「 [の条件キー AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)」を参照してください。
AWS Outposts アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Outposts ポリシーの例](security_iam_id-based-policy-examples.md)。
## AWS Outposts での ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## AWS Outposts での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## AWS Outposts のクロスサービスプリンシパルアクセス許可
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## AWS Outposts のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
AWS Outposts サービスにリンクされたロールの作成または管理の詳細については、「」を参照してください[のサービスにリンクされたロール AWS Outposts](using-service-linked-roles.md)。
# AWS Outposts ポリシーの例
デフォルトでは、ユーザーとロールには AWS Outposts リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARN の形式など、 AWS Outposts で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[「 のアクション、リソース、および条件キー AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)」を参照してください。 ARNs
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [例: リソースレベルのアクセス許可の使用](#outposts-policy-examples)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内で Outposts AWS リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## 例: リソースレベルのアクセス許可の使用
以下の例では、リソースレベルの権限を使用して、指定した Outpost に関する情報を取得する権限を付与しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
以下の例では、リソースレベルの権限を使用して、指定されたサイトに関する情報を取得する権限を付与しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# のサービスにリンクされたロール AWS Outposts
AWS Outposts は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 に直接リンクされたサービスロールの一種です AWS Outposts。 は、サービスにリンクされたロール AWS Outposts を定義し、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可を含みます。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Outposts がより効率的になります。 は、サービスにリンクされたロールのアクセス許可 AWS Outposts を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け AWS Outposts ることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これにより、 AWS Outposts リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
## のサービスにリンクされたロールのアクセス許可 AWS Outposts
AWS Outposts は、**AWSServiceRoleForOutposts\$1*OutpostID* **という名前のサービスにリンクされたロールを使用します。このロールは、ユーザーに代わってプライベート接続を有効にするネットワークリソースを管理するアクセス許可を Outposts に付与します。このロールにより、Outposts はネットワークインターフェイスの作成と設定、セキュリティグループの管理、サービスリンクエンドポイントインスタンスへのインターフェイスのアタッチも行うことができます。これらのアクセス許可は、オンプレミスの Outpost と AWS サービス間の安全なプライベート接続を確立して維持し、Outpost デプロイの信頼性の高いオペレーションを確保するために必要です。
AWSServiceRoleForOutposts\$1*OutpostID* サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `outposts.amazonaws.com`
### サービスにリンクされたロールポリシー
AWSServiceRoleForOutposts\$1*OutpostID* サービスにリンクされたロールには、次のポリシーが含まれています。
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
この`AWSOutpostsServiceRolePolicy`ポリシーは、 によって管理される AWS リソースへのアクセスを有効にします AWS Outposts。
このポリシーにより AWS Outposts 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション: すべての AWS リソース`ec2:DescribeNetworkInterfaces`で
+ アクション: すべての AWS リソース`ec2:DescribeSecurityGroups`で
+ アクション: すべての AWS リソース`ec2:DescribeSubnets`で
+ アクション: すべての AWS リソース`ec2:DescribeVpcEndpoints`で
+ アクション: 次の AWS リソース`ec2:CreateNetworkInterface`で:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ アクション: 次の条件`"arn:*:ec2:*:*:network-interface/*"`に一致する AWS リソース`ec2:CreateNetworkInterface`。
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ アクション: 次の AWS リソース`ec2:CreateSecurityGroup`で:
```
"arn:*:ec2:*:*:vpc/*"
```
+ アクション: 次の条件`"arn:*:ec2:*:*:security-group/*"`に一致する AWS リソース`ec2:CreateSecurityGroup`。
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
この`AWSOutpostsPrivateConnectivityPolicy_OutpostID`ポリシーにより AWS Outposts 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:AuthorizeSecurityGroupIngress`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:AuthorizeSecurityGroupEgress`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:CreateNetworkInterfacePermission`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:CreateTags`。
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:RevokeSecurityGroupIngress`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:RevokeSecurityGroupEgress`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:DeleteNetworkInterface`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ アクション: 次の条件に一致するすべての AWS リソース`ec2:DeleteSecurityGroup`。
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。
## のサービスにリンクされたロールを作成する AWS Outposts
サービスリンクロールを手動で作成する必要はありません。で Outpost のプライベート接続を設定すると AWS マネジメントコンソール、 によってサービスにリンクされたロールが自動的に AWS Outposts 作成されます。
詳細については、「[サービスリンクのプライベート接続オプション](private-connectivity.md)」を参照してください。
## のサービスにリンクされたロールを編集する AWS Outposts
AWS Outposts では、AWSServiceRoleForOutposts\$1*OutpostID* サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)」を参照してください。
## のサービスにリンクされたロールを削除する AWS Outposts
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
リソースを削除しようとしたときに AWS Outposts サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForOutposts\$1*OutpostID* サービスにリンクされたロールを削除する前に、Outpost を削除する必要があります。
開始する前に、Outpost が AWS Resource Access Manager () を使用して共有されていないことを確認してくださいAWS RAM。詳細については、[「共有 Outpost リソースの共有解除](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare)」を参照してください。
**AWSServiceRoleForOutposts\$1*OutpostID* で使用される AWS Outposts リソースを削除するには**
Outpost を削除するには、 AWS エンタープライズサポートにお問い合わせください。
**サービスリンクロールを IAM で手動削除するには**
詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください。
## AWS Outposts サービスにリンクされたロールでサポートされているリージョン
AWS Outposts は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、FAQs[https://aws.amazon.com/outposts/rack/faqs/](https://aws.amazon.com/outposts/rack/faqs/)」を参照してください。
# AWS AWS Outposts の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSOutpostsServiceRolePolicy
このポリシーは、 AWS Outposts がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[サービスリンクロール](using-service-linked-roles.md)」を参照してください。
## AWS AWS 管理ポリシーに対する Outposts の更新
このサービスがこれらの変更の追跡を開始した以降の AWS Outposts の AWS 管理ポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWS Identity and Access Management サービスにリンクされたロール AWSServiceRoleForOutposts\$1OutpostID の更新 | AWSServiceRoleForOutposts\$1OutpostID サービスにリンクされたロールのアクセス許可が更新され、 がプライベート接続のネットワークリソース AWS Outposts を管理する方法を絞り込み、サービスリンクエンドポイントインスタンスに必要なネットワークインターフェイスとセキュリティグループのオペレーションをより正確に制御できるようになりました。 | 2025 年 4 月 18 日 |
| AWS Outposts が変更の追跡を開始しました | AWS Outposts は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2019 年 12 月 3 日 |
# のインフラストラクチャセキュリティ AWS Outposts
マネージドサービスである AWS Outposts は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で AWS Outposts にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
Outpost で実行されている EC2 インスタンスと EBS ボリュームに提供されるインフラストラクチャセキュリティの詳細については、「[Amazon EC2 のインフラストラクチャ セキュリティ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html)」を参照してください。
VPC フローログは、 AWS リージョンと同じように機能します。これは、分析のために CloudWatch Logs、Amazon S3、または Amazon GuardDuty に公開できることを意味します。データはこれらのサービスに公開するためにリージョンに送り返される必要があるため、Outpost が切断状態にあるときは CloudWatch や他のサービスからデータを参照することはできません。
## AWS Outposts 機器の改ざんモニタリング
誰も機器を変更、変更、リバースエンジニア、改ざん AWS Outposts していないことを確認してください。 AWS Outposts 機器には、 [AWS サービス条件](https://aws.amazon.com/service-terms/)への準拠を確保するために改ざんモニタリングが装備されている場合があります。
# の耐障害性 AWS Outposts
AWS Outposts は高可用性を実現するように設計されています。Outposts ラックは冗長な電源とネットワーキング機器を備えて設計されています。追加の耐障害性を確保するために、Outpost にはデュアルの電源源と冗長なネットワーク接続を提供することをお勧めします。
高可用性を実現するために、Outposts ラックには追加の組み込みおよび常時アクティブな容量を確保したり、。Outpost の容量構成は、本番環境での運用を想定しており、容量を確保する際には各インスタンスファミリーに対して N\$11 のインスタンスをサポートします。推奨されるのは、 AWS 基盤となるホストに問題が発生した場合にリカバリーとフェイルオーバーを可能にするため、ミッションクリティカルなアプリケーションに十分な追加容量を割り当てることです。Amazon CloudWatch の容量可用性メトリクスを使用して、アプリケーションの健康状態を監視し、アラームを設定できます。CloudWatch アクションを作成して自動リカバリオプションを構成し、Outposts の容量利用状況を時間とともにモニターすることができます。
Outpost を作成するときは、 AWS リージョンからアベイラビリティーゾーンを選択します。このアベイラビリティーゾーンは、API コールへの応答、Outpost のモニタリング、および Outpost の更新などのコントロールプレーンの操作をサポートしています。アベイラビリティーゾーンが提供する弾力性を活用するために、それぞれが異なるアベイラビリティーゾーンに接続された複数の Outposts にアプリケーションをデプロイすることができます。これにより、アプリケーションの耐障害性をさらに高め、単一のアベイラビリティーゾーンへの依存を回避できます。リージョンとアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
インスタンスが異なる Outposts ラックに配置されるようにするために、スプレッド戦略を使用した配置グループを利用できます。これにより、相関した障害を減少させるのに役立ちます。詳細については、「[Outpost の配置グループ](outposts-optimizations.md#placement-groups-outpost)」を参照してください。
Amazon EC2 Auto Scaling を使用して Outposts でインスタンスを起動し、Application Load Balancer を作成して、インスタンス間でトラフィックを分散させることができます。詳細については、「[AWS Outpostsでの Application Load Balancer の設定](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/)」を参照してください。
# のコンプライアンス検証 AWS Outposts
AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# AWS Outposts ワークロードのインターネットアクセス
このセクションでは、 AWS Outposts ワークロードが次の方法でインターネットにアクセスする方法について説明します。
+ 親 AWS リージョン経由
+ ローカルデータセンターのネットワーク経由
## 親 AWS リージョンを介したインターネットアクセス
このオプションでは、Outposts のワークロードは、サービスリンクを介してインターネットにアクセスし、親 AWS リージョンのインターネットゲートウェイ (IGW) を介してインターネットにアクセスします。インターネットへのアウトバウンドトラフィックは、VPC でインスタンス化された NAT ゲートウェイを介して通信できます。イングレストラフィックとエグレストラフィックのセキュリティを強化するには、 AWS リージョンで AWS WAF AWS Shieldや Amazon CloudFront などの AWS セキュリティサービスを使用できます。
Outposts サブネットのルートテーブル設定については、「[Local gateway route tables](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)」を参照してください。
### 考慮事項
+ このオプションは、次の場合に使用します。
+ AWS リージョン内の複数の AWS サービスでインターネットトラフィックを柔軟に保護する必要があります。
+ データセンターやコロケーション施設にインターネットの接続ポイントがない場合。
+ このオプションでは、トラフィックは親 AWS リージョンを通過する必要があり、レイテンシーが発生します。
+ AWS リージョンのデータ転送料金と同様に、親アベイラビリティーゾーンから Outpost へのデータ転送には料金が発生します。データ転送の詳細については、「[Amazon EC2 オンデマンド料金](https://aws.amazon.com/ec2/pricing/on-demand/)」を参照してください。
+ サービスリンク帯域幅の使用率が増加することになります。
次の図は、Outposts インスタンスのワークロードと、親 AWS リージョンを通過するインターネット間のトラフィックを示しています。
![\[Outposts インスタンスのワークロードと、親 AWS リージョンを通過するインターネット間のトラフィックを表示します。\]](http://docs.aws.amazon.com/ja_jp/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## ローカルデータセンターのネットワーク経由のインターネットアクセス
このオプションでは、Outposts に存在するワークロードがローカルデータセンターを経由してインターネットにアクセスします。インターネットにアクセスするワークロードのトラフィックは、ローカルインターネットのプレゼンスポイントを通過し、ローカルに出力されます。ローカルデータセンターのネットワークのセキュリティレイヤーは、Outposts ワークロードのトラフィックを保護する役割があります。
Outposts サブネットのルートテーブル設定については、「[Local gateway route tables](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)」を参照してください。
### 考慮事項
+ このオプションは、次の場合に使用します。
+ ワークロードには、インターネットサービスに短いレイテンシーでアクセスする必要がある。
+ データ転送 (DTO) 料金が発生しないように検討している。
+ コントロールプレーントラフィックのサービスリンク帯域幅を保持する必要がある。
+ セキュリティレイヤーは、Outposts ワークロードのトラフィックを保護する役割があります。
+ ダイレクト VPC ルーティング (DVR) を選択した場合は、Outposts CIDR がオンプレミス CIDR と競合しないようにする必要があります。
+ デフォルトルート (0/0) がローカルゲートウェイ (LGW) を介して伝播する場合、インスタンスはサービスエンドポイントに到達できない可能性があります。代わりに、VPC エンドポイントを選択すると、目的のサービスに到達できます。
次の図は、Outposts インスタンスのワークロードと、ローカルデータセンターを通過するインターネット間のトラフィックを示しています。
![\[Outposts インスタンスのワークロードと、データセンターのネットワークを経由するインターネット間のトラフィックを示しています。\]](http://docs.aws.amazon.com/ja_jp/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)