• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# Systems Manager Explorer のロールとアクセス許可の設定
<a name="Explorer-setup-permissions"></a>

統合セットアップは、AWS Systems Manager Explorer と AWS Systems Manager OpsCenter の AWS Identity and Access Management (IAM) ロールを自動的に作成および設定します。統合セットアップを完了した場合、Explorer のロールとアクセス権限を設定するために追加のタスクを実行する必要はありません。ただし、このトピックで後述するように、OpsCenter のアクセス権限を設定する必要があります。

統合セットアップでは、Explorer および OpsCenter を操作するための以下のロールが作成、設定されます。
+ `AWSServiceRoleForAmazonSSM`: Systems Manager が管理または使用する AWS リソースへのアクセスを提供します。
+ `OpsItem-CWE-Role`: 一般的なイベントに応答して、CloudWatch Events と EventBridge が OpsItems を作成することを許可します。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`: Systems Manager が、データの同期時に他の AWS のサービスを呼び出して AWS アカウント 情報を検出できるようにします。このロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。
+ `AmazonSSMExplorerExport`: Explorer が OpsData をカンマ区切り値 (CSV) ファイルにエクスポートできるようにします。

AWS Organizations とリソースデータ同期を使用して複数のアカウントとリージョンのデータを表示するように Explorer を設定すると、Systems Manager が `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを作成します。Systems Manager は、このロールを使用して、AWS Organizations の AWS アカウント に関する情報を取得します。ロールは以下のアクセス権限ポリシーを使用します。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}
```

------

`AWSServiceRoleForAmazonSSM_AccountDiscovery` ロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。

## Systems Manager OpsCenter のアクセス許可を設定する
<a name="Explorer-getting-started-user-permissions"></a>

統合セットアップを完了したら、ユーザーが OpsCenter でアクションを実行できるように、ユーザー、グループ、ロールのアクセス許可を設定する必要があります。

**[開始する前に]**  
OpsCenter では、OpsItems を 1 つのアカウントのみで作成および管理するように設定することも、あるいは複数のアカウントにわたって作成および管理するように設定することもできます。複数のアカウントにわたって OpsItems を作成および管理するように OpsCenter を設定した場合、Systems Manager 委任管理者アカウントまたは AWS Organizations 管理アカウントから他のアカウントの OpsItems を手動で作成、表示、編集することができます。Systems Manager 委任管理者アカウントの詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。

ただし、1 つのアカウントのみで作成および管理するよう OpsCenter を設定した場合は、OpsItems を作成したアカウントでのみ OpsItems を表示または編集できます。AWS アカウント 間で OpsItems を共有または転送することはできません。そのため、AWS ワークロードの実行に使用している AWS アカウント で、OpsCenter のアクセス権限を設定することをお勧めします。これで、そのアカウントで ユーザーまたはグループを作成することができます。このように、複数のオペレーションエンジニアまたは IT プロフェッショナルが同じ AWS アカウント で OpsItems を作成、表示、編集することができます。

Explorer と OpsCenter では、次の API オペレーションを使用します。ユーザー、グループ、ロールにこれらのアクションへのアクセス権がある場合は、Explorer および OpsCenter のすべての機能を使用できます。このセクションで後述するように、より制限的なアクセスを作成することもできます。
+  [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) 
+  [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html) 
+  [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) 
+  [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html) 
+  [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) 
+  [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) 
+  [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html) 
+  [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html) 
+  [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html) 

必要に応じて次のインラインポリシーをアカウント、グループ、ロールに追加することで、読み取り専用のアクセス許可を指定できます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}
```

------

IAM ユーザーポリシーの作成と編集の詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。このポリシーを IAM グループに割り当てる方法については、「[IAM グループへのポリシーのアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)」を参照してください。

以下を使用してアクセス許可を作成し、ユーザー、グループ、ロールに追加します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}
```

------

組織で使用しているアイデンティティアプリケーションに応じて、次のオプションのいずれかを選択し、ユーザーアクセスを設定できます。

アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

### タグを使用した OpsItems へのアクセスの制限
<a name="OpsCenter-getting-started-user-permissions-tags"></a>

また、タグを指定するインライン IAM ポリシーを使用して、OpsItems へのアクセスを制限することもできます。タグキー *Department* とタグ値 *Finance* を指定する例を以下に示します。このポリシーでは、ユーザーは *GetOpsItem* API オペレーションを呼び出して、以前、Key=Department および Value=Finance とタグ付けされていた OpsItems のみを表示できます。それ以外の OpsItems を表示することはできません。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}
```

------

OpsItems を表示し、更新するための API オペレーションを指定する例を以下に示します。このポリシーでは、タグキーと値の 2 組のペア (Department-Finance と Project-Unity) も指定します。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}
```

------

OpsItem へのタグの追加については、「[OpsItems を手動で作成する](OpsCenter-manually-create-OpsItems.md)」を参照してください。