• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# Systems Manager Explorer と OpsCenter の開始方法
AWS Systems Manager では、統合セットアップエクスペリエンスを使用して、Systems Manager Explorer と Systems Manager OpsCenter の利用を開始できます。このドキュメントでは、Explorer と OpsCenter のセットアップは*統合セットアップ*と呼ばれます。すでに OpsCenter をセットアップしている場合は、統合セットアップを完了して、設定とオプションを確認する必要があります。OpsCenter をセットアップしていない場合は、統合セットアップを使用することで両方のツールの使用を開始できます。
**注記**
統合セットアップは、Systems Manager コンソールでのみ使用できます。Explorerまたは OpsCenter をプログラム的にセットアップすることはできません。
統合セットアップでは、以下のタスクを実行します。
+ [ロールとアクセス権限を設定する](Explorer-setup-permissions.md): 統合セットアップでは、AWS Identity and Access Management (IAM)ロールを作成します。このロールを使用すると、Amazon EventBridge OpsItemsがデフォルトのルールに基づいて OpsItems を自動的に作成できます。設定後、このセクションの説明に従って、OpsCenter のユーザー、グループ、ロールのアクセス許可を設定する必要があります。
+ [OpsItem 作成のデフォルトルールを許可](Explorer-setup-default-rules.md): 統合セットアップでは、EventBridge にデフォルトルールが作成されます。これらのルールに従って、イベントに応じて OpsItems が自動的に作成されます。これらのイベントの例としては、AWS リソースの状態の変更、セキュリティ設定の変更、サービス使用不可などがあります。
+ OpsData ソースのアクティブ化: 統合セットアップでは、Explorer ウィジェットに入力される次のデータソースがアクティブ化されます。
+ サポート センター (このソースをアクティブにするには、ビジネスまたはエンタープライズサポートプランが必要です)。
+ AWS Compute Optimizer (このソースをアクティブにするには、ビジネスまたはエンタープライズサポートプランが必要です)。
+ Systems Manager State Manager の関連付けのコンプライアンス
+ AWS Config Compliance
+ Systems Manager OpsCenter
+ Systems Manager Patch Manager のパッチコンプライアンス
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Systems Manager Inventory
+ AWS Trusted Advisor (このソースをアクティブにするには、ビジネスまたはエンタープライズサポートプランが必要です)。
+ AWS Security Hub CSPM
**注記**
セットアップ設定は、[**設定**] ページでいつでも変更できます。
統合セットアップが完了したら、[複数のリージョンおよびアカウントのデータを表示するように Explorer をセットアップ](Explorer-resource-data-sync.md)することをお勧めします。Explorer と OpsCenter は、統合セットアップの完了時に使用した AWS アカウント と AWS リージョン の OpsData と OpsItems を自動的に同期します。他のアカウントやリージョンから OpsData と OpsItems を集約するには、リソースデータ同期を作成します。
# Explorer のための関連サービスのセットアップ
AWS Systems Manager Systems Manager Explorer と AWS Systems Manager OpsCenter は、他の AWS のサービスおよび Systems Manager ツールから情報を収集するか、またはインタラクションします。統合セットアップを使用する前に、これらの他のサービスやツールをセットアップおよび設定することをお勧めします。
次の表には、Explorer と OpsCenter が他の AWS のサービスや Systems Manager ツールから情報を収集したり、それらと対話したりできるようにするタスクが含まれています。
****
| タスク | 情報 |
| --- | --- |
| Systems Manager Automation でアクセス許可を確認する | Explorer と OpsCenter では、Systems Manager Automation ランブックを使用して AWS リソースに関する問題を修復できます。この修復ツールを使用するには、Systems Manager Automation ランブックを実行するためのアクセス許可が必要です。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。 |
| Systems Manager Patch Manager をセットアップして設定する | Explorer には、パッチのコンプライアンスに関する情報を提供するウィジェットが含まれています。Explorer でこのデータを表示するには、パッチ適用を設定する必要があります。詳細については、「[AWS Systems Manager Patch Manager](patch-manager.md)」を参照してください。 |
| Systems Manager State Manager をセットアップして設定する | Explorer には、Systems Manager State Manager 関連付けのコンプライアンスに関する情報を提供するウィジェットが含まれています。Explorer でこのデータを表示するには、State Manager を設定する必要があります。詳細については、「[AWS Systems Manager State Manager](systems-manager-state.md)」を参照してください。 |
| AWS Config 設定レコーダーの有効化 | Explorer は、AWS Config 設定レコーダーから提供されるデータを使用して、EC2 インスタンスに関する情報をウィジェットに入力します。Explorer でこのデータを表示するには、AWS Config 設定レコーダーを有効にします。詳細については、「[設定レコーダーの管理](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。 設定レコーダーを有効にした後、Systems Manager が EC2 インスタンスに関する情報を表示する Explorer ウィジェットにデータを表示できるようになるまでに、最大 6 時間かかる場合があります。 |
| AWS Trusted Advisor をオンにする | Explorer では、Amazon EC2 リザーブドインスタンスのベストプラクティスチェックでの (コストの最適化、セキュリティ、耐障害性、パフォーマンス、サービスの制限に関する) ステータスを表示するために、Trusted Advisor によって提供されるデータを使用します。Explorer でこのデータを表示するには、ビジネスサポートプランまたはエンタープライズサポートプランが必要です。詳細については、「[サポート](https://aws.amazon.com/premiumsupport/)」を参照してください。 |
| AWS Compute Optimizer をオンにする | Explorer は、Compute Optimizer によって提供されるデータを使用して、**アンダープロビジョニング**および**オーバープロビジョニング**された EC2 インスタンスの数、最適化の結果、オンデマンド料金の詳細、インスタンスタイプと料金の推奨事項を表示します。Explorer でこのデータを表示するには、Compute Optimizer を有効にします。詳細については、「[AWS Compute Optimizer の使用開始](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html)」を参照してください。 |
| AWS Security Hub CSPM をオンにする | Explorer は、Security Hub CSPM から提供されたデータを使用して、セキュリティ検出結果に関する情報をウィジェットに入力します。このデータを Explorer で表示するには、Security Hub CSPM の統合を有効にします。詳細については、「[AWS Security Hub CSPM とは](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。 |
# Systems Manager Explorer のロールとアクセス許可の設定
統合セットアップは、AWS Systems Manager Explorer と AWS Systems Manager OpsCenter の AWS Identity and Access Management (IAM) ロールを自動的に作成および設定します。統合セットアップを完了した場合、Explorer のロールとアクセス権限を設定するために追加のタスクを実行する必要はありません。ただし、このトピックで後述するように、OpsCenter のアクセス権限を設定する必要があります。
統合セットアップでは、Explorer および OpsCenter を操作するための以下のロールが作成、設定されます。
+ `AWSServiceRoleForAmazonSSM`: Systems Manager が管理または使用する AWS リソースへのアクセスを提供します。
+ `OpsItem-CWE-Role`: 一般的なイベントに応答して、CloudWatch Events と EventBridge が OpsItems を作成することを許可します。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`: Systems Manager が、データの同期時に他の AWS のサービスを呼び出して AWS アカウント 情報を検出できるようにします。このロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。
+ `AmazonSSMExplorerExport`: Explorer が OpsData をカンマ区切り値 (CSV) ファイルにエクスポートできるようにします。
AWS Organizations とリソースデータ同期を使用して複数のアカウントとリージョンのデータを表示するように Explorer を設定すると、Systems Manager が `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを作成します。Systems Manager は、このロールを使用して、AWS Organizations の AWS アカウント に関する情報を取得します。ロールは以下のアクセス権限ポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
`AWSServiceRoleForAmazonSSM_AccountDiscovery` ロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。
## Systems Manager OpsCenter のアクセス許可を設定する
統合セットアップを完了したら、ユーザーが OpsCenter でアクションを実行できるように、ユーザー、グループ、ロールのアクセス許可を設定する必要があります。
**[開始する前に]**
OpsCenter では、OpsItems を 1 つのアカウントのみで作成および管理するように設定することも、あるいは複数のアカウントにわたって作成および管理するように設定することもできます。複数のアカウントにわたって OpsItems を作成および管理するように OpsCenter を設定した場合、Systems Manager 委任管理者アカウントまたは AWS Organizations 管理アカウントから他のアカウントの OpsItems を手動で作成、表示、編集することができます。Systems Manager 委任管理者アカウントの詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。
ただし、1 つのアカウントのみで作成および管理するよう OpsCenter を設定した場合は、OpsItems を作成したアカウントでのみ OpsItems を表示または編集できます。AWS アカウント 間で OpsItems を共有または転送することはできません。そのため、AWS ワークロードの実行に使用している AWS アカウント で、OpsCenter のアクセス権限を設定することをお勧めします。これで、そのアカウントで ユーザーまたはグループを作成することができます。このように、複数のオペレーションエンジニアまたは IT プロフェッショナルが同じ AWS アカウント で OpsItems を作成、表示、編集することができます。
Explorer と OpsCenter では、次の API オペレーションを使用します。ユーザー、グループ、ロールにこれらのアクションへのアクセス権がある場合は、Explorer および OpsCenter のすべての機能を使用できます。このセクションで後述するように、より制限的なアクセスを作成することもできます。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
必要に応じて次のインラインポリシーをアカウント、グループ、ロールに追加することで、読み取り専用のアクセス許可を指定できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
IAM ユーザーポリシーの作成と編集の詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。このポリシーを IAM グループに割り当てる方法については、「[IAM グループへのポリシーのアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)」を参照してください。
以下を使用してアクセス許可を作成し、ユーザー、グループ、ロールに追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
組織で使用しているアイデンティティアプリケーションに応じて、次のオプションのいずれかを選択し、ユーザーアクセスを設定できます。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
### タグを使用した OpsItems へのアクセスの制限
また、タグを指定するインライン IAM ポリシーを使用して、OpsItems へのアクセスを制限することもできます。タグキー *Department* とタグ値 *Finance* を指定する例を以下に示します。このポリシーでは、ユーザーは *GetOpsItem* API オペレーションを呼び出して、以前、Key=Department および Value=Finance とタグ付けされていた OpsItems のみを表示できます。それ以外の OpsItems を表示することはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
OpsItems を表示し、更新するための API オペレーションを指定する例を以下に示します。このポリシーでは、タグキーと値の 2 組のペア (Department-Finance と Project-Unity) も指定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
OpsItem へのタグの追加については、「[OpsItems を手動で作成する](OpsCenter-manually-create-OpsItems.md)」を参照してください。
# 統合セットアップで作成されたデフォルト EventBridge ルールを理解する
Explorer と OpsCenter の統合セットアッププロセス中に、Amazon EventBridge によって検出されたイベントに基づいて特定のデフォルトルールを有効にすることができます。これらのイベントが検出されると、システムは自動的に AWS Systems Manager の OpsCenter 内に OpsItems を作成します。
例えば、EC2 自動スケーリング インスタンスの終了が失敗すると、ルール `SSMOpsItems-Autoscaling-instance-termination-failure` によって OpsItem が作成されます。
このルール `SSMOpsItems-SSM-maintenance-window-execution-failed` は、Systems Manager のメンテナンスウィンドウが正常に完了しなかった場合に OpsItem を作成します。
セットアップ手順と、セットアッププロセス中に有効にできるすべての EventBridge ルールの詳細については、[OpsCenter を設定する](OpsCenter-setup.md) を参照してください。
EventBridge でこれらのイベントの OpsItems を作成しないようにするには、「統合セットアップ」でこのオプションをオフにすることができます。必要に応じて、特定の EventBridge イベントのターゲットとして OpsCenter を指定できます。詳細については、「[EventBridge ルールを設定して OpsItems を作成する](OpsCenter-automatically-create-OpsItems-2.md)」を参照してください。
デフォルトのルールを無効にするか、もしくは OpsCenter の **[設定]** ページで **[OpsCenter 設定]** を選択してカテゴリと重要度レベルを変更してから **[OpsItem ルール]** エリアで **[編集]** を選択します。
または、Systems Manager コンソールで、これらのルールから作成された個別の OpsItem に割り当てられたカテゴリまたは重要度を編集することもできます。詳細については、「[OpsItem の編集](OpsCenter-working-with-OpsItems-editing-details.md)」を参照してください。
![\[Systems Manager Explorer で OpsItems を作成するためのデフォルトの規則\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/explorer-default-rules.png)
# Explorer のための委任された管理者の設定
AWS Organizations とのリソースデータの同期を使用して、複数の AWS リージョン とアカウントから AWS Systems Manager Explorer データを集約する場合は、Explorer の委任管理者を設定することをお勧めします。委任管理者は、次の方法で Explorer のセキュリティを強化します。
+ マルチアカウントおよびリージョンの、リソースデータでの同期を作成または削除する権限を持つ Explorer 管理者の数は、1 つの AWS アカウント のみに制限します。
+ Explorer でリソースデータ同期を管理するために、AWS Organizations 管理アカウントにログインする必要がなくなりました。
代理管理者は、以下のコンソール、SDK、AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell を使用して次の Explorer リソースデータ同期 API を使用できます。
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
委任管理者は、コンソールから、または SDK、AWS CLI、AWS Tools for Windows PowerShell などのプログラムツールを使用して、Explorer データを検索、フィルタ、および集計できます。検索、フィルタリング、およびデータ集約では、[GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API オペレーションを使用します。
委任管理者は、組織全体または組織単位のサブセットに対してリソースデータの同期を最大 5 つ作成できます。委任管理者によって作成されたリソースデータ同期は、委任管理者アカウントでのみ使用できます。AWS Organizations 管理アカウントで同期や集計データを表示することはできません。
**注記**
委任管理者アカウントを使用して、[オプトイン AWS リージョン](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)でリソースデータ同期を作成することはできません。AWS Organizations 管理アカウントを使用する必要があります。
リソースデータ同期の詳細については、「[複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定する](Explorer-resource-data-sync.md)」を参照してください。AWS Organizations の詳細については、*AWS Organizations ユーザーガイド*の[AWS Organizations とは](https://docs.aws.amazon.com/organizations/latest/userguide/)を参照してください。
**Topics**
+ [[開始する前に]](#Explorer-setup-delegated-administrator-before-you-begin)
+ [Explorer 委任管理者の設定](Explorer-setup-delegated-administrator-configure.md)
+ [Explorer 委任管理者の登録解除](Explorer-setup-delegated-administrator-deregister.md)
## [開始する前に]
次のリストには、Explorer の委任管理に関する重要な情報が含まれています。
+ Explorer の管理のために委任できるアカウントは 1 つだけです。
+ Explorer 委任管理者として指定するアカウント ID は、AWS Organizations でメンバーアカウントとしてリストされている必要があります。詳細については、*AWS Organizations ユーザーガイド*の[組織での AWS アカウント の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)を参照してください。
+ 委任管理者は、コンソールですべての Explorer リソースデータ同期 API オペレーションを使用でき、これには SDK、AWS Command Line Interface (AWS CLI)、または AWS Tools for Windows PowerShell などのプログラムツールを使用することもできます。リソースデータ同期 API オペレーションには、[CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)、[DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)、[ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)、および [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html) があります。
+ 委任管理者は、コンソールで、または SDK、AWS CLI、AWS Tools for Windows PowerShell などのプログラムツールを使用して、Explorer データを検索、フィルタ、および集計できます。検索、フィルタリング、およびデータ集約では、[GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API オペレーションを使用します。
+ 委任管理者によって作成されたリソースデータ同期は、委任管理者アカウントでのみ使用できます。AWS Organizations 管理アカウントで同期や集計データを表示することはできません。
+ 委任管理者は、リソースデータの同期を最大 5 つまで作成できます。
+ 委任管理者は、AWS Organizations 内の組織全体または組織単位のサブセットに対してリソースデータの同期を作成できます。
# Explorer 委任管理者の設定
Explorer 委任管理者を登録するには、次の手順に従います。
**Explorer 委任管理者を登録するには**
1. AWS Organizations 管理アカウントにログインします。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Explorer]** を選択します。
1. **[設定]** を選択します。
1. [**Explorer の委任管理者**] セクションで、サービスにリンクされた必要なロールとサービスアクセスオプションを設定したことを確認します。必要に応じて、[**Create role (ロールの作成)**] ボタンと [**Enable access (アクセスの有効化)**] ボタンを選択して、これらのオプションを設定します。
1. [**アカウント ID**] に AWS アカウント ID を入力します。このアカウントは、AWS Organizations のメンバーアカウントである必要があります。
1. [**Register delegated administrator (委任管理者の登録)**] を選択します。
委任管理者は、[**リソースデータ同期の作成**] ページの [**AWS Organizations の設定からすべてのアカウントを含める**] および [**AWS Organizations の組織単位を選択する**] オプションにアクセスできるようになりました。
# Explorer 委任管理者の登録解除
Explorer 委任管理者の登録を解除するには、次の手順に従います。委任管理者アカウントは、AWS Organizations 管理アカウントでのみ登録解除できます。委任管理者アカウントが登録解除されると、委任管理者によって作成されたすべての AWS Organizations リソースデータの同期が削除されます。
**Explorer の委任管理者の登録を解除するには**
1. AWS Organizations 管理アカウントにログインします。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Explorer]** を選択します。
1. **[設定]** を選択します。
1. [**Explorer の委任管理者**]セクションで、[**登録解除**] を選択します。警告が表示されます。
1. アカウント ID を入力し、[**削除**] を選択します。
アカウントは、AWS Organizations リソースデータの同期 API オペレーションにアクセスできなくなりました。アカウントによって作成されたすべての AWS Organizations リソースデータの同期が削除されます。
# 複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定する
AWS Systems Manager は、統合セットアップエクスペリエンスによって、AWS Systems Manager Explorer と AWS Systems Manager OpsCenter の使用開始を支援します。統合セットアップが完了すると、Explorer と OpsCenter は自動でデータを同期します。より具体的には、これらのツールは、統合セットアップの完了時に使用した AWS アカウントおよび AWS リージョンの OpsData と OpsItems を同期化します。他のアカウントやリージョンの OpsData と OpsItems を集約するには、このトピックの説明に従ってリソースデータの同期を作成する必要があります。
**注記**
統合セットアップの詳細については、「[Systems Manager Explorer と OpsCenter の開始方法](Explorer-setup.md)」を参照してください。
**Topics**
+ [Explorer のリソースデータ同期について](Explorer-resource-data-sync-understanding.md)
+ [複数のアカウントとリージョンのリソースデータの同期について](Explorer-resource-data-sync-multiple-accounts-and-regions.md)
+ [リソースデータ同期の作成](Explorer-resource-data-sync-configuring-multi.md)
# Explorer のリソースデータ同期について
Explorer のリソースデータの同期では、次の 2 つの集約オプションが提供されています。
+ **単一アカウント/複数リージョン:** 複数の AWS リージョン から OpsItems および OpsData データを集約するように Explorer を設定できます。ただし、データセットは現在の AWS アカウント に制限されます。
+ **複数アカウント/複数リージョン**: 複数の AWS リージョン とアカウントのデータを集約するように Explorer を設定できます。このオプションでは、AWS Organizations をセットアップおよび設定する必要があります。AWS Organizations をセットアップして設定した後、Explorer で組織単位(OU)別または組織全体のデータを集約できます。Systems Manager は、データをAWS Organizations 管理アカウントに集約してから Explorer に表示します。詳細については、「*AWS Organizations ユーザーガイド*」の「[What is AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)」を参照してください。
**警告**
AWS Organizations の組織からデータを集約するよう Explorer を設定する場合、組織内のすべてのメンバーアカウントで OpsData が有効になります。すべてのメンバーアカウントで OpsData ソースを有効にすると、[CreateOpsItem](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateOpsItem.html) や [GetOpsSummary](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetOpsSummary.html) のような OpsCenter API への呼び出し回数が増えます。これらの API アクションへの呼び出しに対して課金されます。
次の図に、AWS Organizations を使用して設定されたリソースデータの同期を示します。このシナリオでは、ユーザーには AWS Organizations で定義された 2 つのアカウントがあります。リソースデータの同期により、両方のアカウントと複数の AWS リージョン のデータが AWS Organizations 管理アカウントに集約されてから Explorer に表示されます。
![\[Systems Manager Explorer のリソースデータ同期\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/ExplorerSyncFromSource.png)
# 複数のアカウントとリージョンのリソースデータの同期について
このセクションでは、AWS Organizations を使用する複数のアカウントおよび複数のリージョンリソースデータ同期に関する重要な詳細について説明します。具体的には、このセクションの情報は、[**Create resource data sync**] (リソースデータの同期を作成する) のページで次のいずれかのオプションを選択した場合に適用されます。
+ AWS Organizations の設定からすべてのアカウントを含める
+ AWS Organizations の組織単位を選択する
これらのオプションのいずれかを使用する予定がない場合は、このセクションを省略できます。
SSM コンソールでリソースデータ同期を作成するときに、AWS Organizations オプションのいずれかを選択すると、Systems Manager は、組織内 (または選択した組織単位内) のすべての AWS アカウント について、選択したリージョンのすべての OpsData ソースを自動的に有効にします。例えば、リージョンで Explorer を有効にしていない場合でも、リソースデータ同期で AWS Organizations オプションを選択すると、Systems Manager はそのリージョンから OpsData を自動的に収集します。OpsData ソースを許可せずにリソースデータ同期を作成するには、データ同期を作成するときに **EnableAllOpsDataSources** を false に指定します。詳細については、*「Amazon EC2 Systems Manager API リファレンス」*の[ResourceDataSyncSource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResourceDataSyncSource.html) データ型の `EnableAllOpsDataSources` パラメータの詳細を参照してください。
リソースデータ同期の AWS Organizations オプションのいずれかを選択しない場合は、Explorer がデータにアクセスするアカウントとリージョンごとに、統合セットアップを完了する必要があります。この作業を行っていない場合は、統合セットアップを完了しなかったアカウントとリージョンの OpsData と OpsItems が Explorer に表示されません。
組織に子アカウントを追加すると、Explorer はそのアカウントのすべての OpsData ソースを自動的に有効にします。後で組織から子アカウントを削除した場合、Explorer は引き続きアカウントから OpsData を収集します。
AWS Organizations オプションのいずれかを使用する既存のリソースデータ同期を更新すると、変更の影響を受けるすべてのアカウントおよびリージョンのすべての OpsData ソースの収集を承認するよう求められます。
AWS アカウント に新しいサービスを追加し、Explorer がそのサービスの OpsData を収集する場合、Systems Manager はその OpsData を収集するように Explorer を自動的に設定します。例えば、以前にリソースデータ同期を作成したときに AWS Trusted Advisor を使用せず、組織がこのサービスにサインアップする場合、Explorer はリソースデータ同期を自動的に更新してこの OpsData を収集します。
**重要**
複数のアカウントおよびリージョンのリソースデータ同期に関する次の重要な情報を書き留めます。
リソースデータ同期を削除しても、Explorer の OpsData ソースは無効になりません。
複数のアカウントからの OpsData と OpsItems を表示するには、AWS Organizations の [**All features** (すべての機能)] モードを有効にし、AWS Organizations 管理アカウントにサインインする必要があります。
ほとんどの AWS リージョンはデフォルトでユーザーの AWS アカウントに対してアクティブになっていますが、特定のリージョンは手動で選択した場合にのみアクティブ化されます。これらのリージョンは、[オプトインリージョン](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)と呼ばれます。デフォルトでは、Explorer クロスアカウント/クロスリージョンのリソースデータ同期は、オプトインリージョンのデータ集約をサポートしていません。次のオプトインリージョンのサポートが 2025 年 6 月 30 日に追加されました。
欧州 (ミラノ)
アフリカ (ケープタウン)
中東 (バーレーン)
アジアパシフィック (香港)
委任管理者アカウントを使用して、オプトインリージョンでリソースデータ同期を作成することはできません。AWS Organizations 管理アカウントを使用する必要があります。
# リソースデータ同期の作成
Explorer のリソースデータ同期を設定する前に、次の詳細を書き留めます。
+ Explorer は、最大 5 つのリソースデータ同期をサポートしています。
+ リージョンのリソースデータ同期を作成した後、その同期の*アカウントオプション*を変更することはできません。例えば、us-east-2 (オハイオ) リージョンで同期を作成し、[**現在のアカウントのみを含める)**] オプションを選択した場合、後でその同期を編集して [**自分用の AWS Organizations 設定のすべてのアカウントを含める**] オプションを選択することはできません。代わりに、最初のリソースデータ同期を削除し、新しいリソースデータ同期を作成する必要があります。
+ Explorer で表示される OpsData は読み取り専用です。
以下の手順を使用して、Explorer のリソースデータ同期を作成します。
**リソースデータの同期を作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Explorer]** を選択します。
1. [**設定**] を選択します。
1. [**Configure resource data sync (リソースデータ同期の設定)**] セクションで、[**Create resource data sync (リソースデータ同期の作成)**] を選択します。
1. [**Resource data sync name (リソースデータ同期名)**] に名前を入力します。
1. [**Add accounts (アカウントの追加)**] セクションでオプションを選択します。
**注記**
いずれかの AWS Organizations オプションを使用するには、AWS Organizations 管理アカウント、または Explorer の委任管理者アカウントにログインしている必要があります。委任管理者アカウントの詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。
1. [**Regions to include (含めるリージョン)**] セクションで、以下のいずれかのオプションを選択します。
+ **[All current and future regions] (現在および将来のすべてのリージョン)** を選択すると、現在のすべての AWS リージョン と将来オンラインになる新しいリージョンのデータが自動的に同期されます。
+ **[All regions] (すべてのリージョン)** を選択すると、現在のすべての AWS リージョン リージョンからのデータが自動的に同期されます。
+ 含めるリージョンを個別に選択します。
1. [**Create resource data sync (リソースデータ同期の作成)**] を選択します。
リソースデータ同期を作成した後、Explorer にデータが入力されるまで、数分かかる場合があります。同期を表示するには、Explorer で [**Select a resource data sync (リソースデータ同期を選択)**] リストから同期を選択します。