• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# OpsCenter を設定する
AWS Systems Manager では、Systems Manager のツールである統合セットアップエクスペリエンスを使用して、OpsCenter と Explorer の利用を開始できます。Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能な運用ダッシュボードです。このドキュメントでは、Explorer と OpsCenter のセットアップは統合セットアップと呼ばれます。
OpsCenter を Explorer でセットアップするには、統合セットアップを使用する必要があります。統合セットアップは、AWS Systems Manager コンソールでのみ使用できます。Explorer と OpsCenter をプログラムで設定することはできません。詳細については、「[Systems Manager Explorer と OpsCenter の開始方法](Explorer-setup.md)」を参照してください。
**[開始する前に]**
OpsCenter のセットアップ時に、OpsItems を自動的に作成する Amazon EventBridge のデフォルトルールを有効にします。次の表では、OpsItems を自動的に作成する、デフォルトの EventBridge ルールについて説明します。EventBridge のルールは、**[OpsItem ルール]** の下にある OpsCenter の **[設定]** ページで無効にできます。
**重要**
アカウントには、デフォルトルールで作成された OpsItems の料金も請求されます。詳細については、[AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。
****
| ルール名 | 説明 |
| --- | --- |
| SSMOpsItems-Autoscaling-instance-launch-failure | このルールは、EC2 自動スケーリングインスタンスの起動が失敗した場合に OpsItems を作成します。 |
| SSMOpsItems-Autoscaling-instance-termination-failure | このルールは、EC2 自動スケーリングインスタンスの終了が失敗した場合に OpsItems を作成します。 |
| SSMOpsItems-EBS-snapshot-copy-failed | このルールは、Amazon Elastic Block Store (Amazon EBS) スナップショットをコピーできなかったときに OpsItems を作成します。 |
| SSMOpsItems-EBS-snapshot-creation-failed | このルールは、システムが Amazon EBS スナップショットを作成できなかったときに OpsItems を作成します。 |
| SSMOpsItems-EBS-volume-performance-issue | このルールは AWS Health 追跡ルールに対応しています。このルールは、Amazon EBS ボリューム (health event = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`) にパフォーマンス上の問題があるたびに OpsItems を作成します。 |
| SSMOpsItems-EC2-issue | このルールは、AWS サービスやリソースに影響する予期しないイベントの AWS Health 追跡ルールに対応しています。このルールは、サービスの低下を引き起こしているオペレーション上の問題、またはローカライズされたリソースレベルの問題に関する認識を高めるために、サービスが通信を送信するときに OpsItems を作成します。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_EC2_OPERATIONAL_ISSUE`。 |
| SSMOpsItems-EC2-scheduled-change | このルールは AWS Health 追跡ルールに対応しています。AWS は、再起動、停止、またはインスタンスの開始など、インスタンスのイベントを予定できます。このルールは EC2 の予定されたイベントに OpsItems を作成します。予定されたイベントの詳細については、「Amazon EC2 ユーザーガイド」の「[インスタンスの予定されたイベント](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)」を参照してください。 |
| SSMOpsItems-RDS-issue | このルールは、AWS サービスやリソースに影響する予期しないイベントの AWS Health 追跡ルールに対応しています。このルールは、サービスの低下を引き起こしているオペレーション上の問題、またはローカライズされたリソースレベルの問題に関する認識を高めるために、サービスが通信を送信するときに OpsItems を作成します。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`、`AWS_RDS_EXPORT_TASK_FAILED`、および `AWS_RDS_CONNECTIVITY_ISSUE`。 |
| SSMOpsItems-RDS-scheduled-change | このルールは AWS Health 追跡ルールに対応しています。このルールは Amazon RDS の予定されたイベントに OpsItems を作成します。これらのイベントは、Amazon RDS サービスへの今後の変更に関する情報を提供します。サービスの中断を回避するためにアクションの実行を推奨するイベントもあります。ユーザー側のアクションなしで自動的に発生するイベントもあります。予定された変更アクティビティの間、リソースが一時的に利用できないことがあります。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` および `AWS_RDS_MAINTENANCE_SCHEDULED`。予定されているイベントについて詳しくは、「**AWS Health ユーザーガイド」の「[イベントタイプのカテゴリ](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories)」を参照してください。 |
| SSMOpsItems-SSM-maintenance-window-execution-failed | このルールは、Systems Manager メンテナンスウィンドウの処理が失敗したときに OpsItems を作成します。 |
| SSMOpsItems-SSM-maintenance-window-execution-timedout | このルールは、Systems Manager のメンテナンスウィンドウのローンチがタイムアウトになったときに OpsItems を作成します。 |
次の手順に従って、OpsCenter を設定します。
**OpsCenter をセットアップする**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[OpsCenter]** を選択します。
1. OpsCenter ホームページで、**[開始]** を選択します。
1. OpsCenter セットアップページで、**[このオプションを有効にすると、Explorer で AWS Config および Amazon CloudWatch Events が設定され、一般的に使用されるルールとイベントに基づいて OpsItems が自動的に作成されるようになります]** を選択します。このオプションを選択しない場合、OpsCenter は無効のままになります。
**注記**
Amazon EventBridge (以前の Amazon CloudWatch Events) は、CloudWatch Events のすべての機能の他に、カスタムイベントバス、サードパーティーのイベントソース、スキーマレジストリなどのいくつかの新機能を提供します。
1. **[有効化]OpsCenter** を選択します。
OpsCenter を有効にすると、**[設定]** から以下のことを実行できます。
+ **[CloudWatch コンソールを開く]** ボタンをクリックして、CloudWatch アラームを作成します。詳細については、「[OpsItems を作成するように CloudWatch を設定する](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)」を参照してください。
+ 運用上のインサイトを無効にします。詳細については、「[OpsItems を減らすために運用上のインサイトを分析する](OpsCenter-working-operational-insights.md)」を参照してください。
+ AWS Security Hub CSPM の検出結果のアラームを有効にします。詳細については、「[OpsCenter と AWS Security Hub CSPM の統合について](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)」を参照してください。
**Topics**
+ [(オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する](OpsCenter-setting-up-cross-account.md)
+ [(オプション) OpsItems に関する通知を受け取るように Amazon SNS を設定する](OpsCenter-getting-started-sns.md)
# (オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する
Systems Manager OpsCenter を使用すると、選択した AWS リージョン 内の複数の AWS アカウント 間で OpsItems を一元管理できます。この機能は AWS Organizations にお客様の組織をセットアップした後に利用可能になります。AWS Organizations は、作成し一元管理する組織に、複数の AWS アカウントを統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たすアカウント管理および一括請求機能が備わっています。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations とは何か](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。
AWS Organizations 管理アカウントに属するユーザーは、Systems Manager の委任管理者をセットアップできます。OpsCenter のコンテキストでは、委任管理者はメンバーアカウントで OpsItems を作成、編集、表示できます。委任管理者は Systems Manager Automation ランブックを使用して、OpsItems を生成している AWS リソースに関する OpsItems を一括解決または問題を修復することもできます。
**注記**
Systems Manager に対して、委任管理者を 1 人だけ割り当てることができます。詳細については、「[Systems Manager 用の AWS Organizations 委任された管理者の作成](setting_up_delegated_admin.md)」を参照してください。
Systems Manager では、OpsCenter複数の AWS アカウント 間で OpsItems を一元管理するための設定方法として、次の方法が用意されています。
+ **Quick Setup**: Systems Manager ツールの 1 つであるクイックセットアップを使用すると、Systems Manager ツールのセットアップタスクと設定タスクを簡略化できます。詳細については、「[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)」を参照してください。
OpsCenter の Quick Setup を使用すると、複数のアカウント間で OpsItems を管理するために次のタスクを実行できます。
+ アカウントを委任管理者として登録する (委任管理者がまだ指定されていない場合)
+ 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する
+ 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織または組織単位 (OU) を指定する
詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。
**注記**
Quick Setup は、Systems Manager が現在利用可能なすべての AWS リージョン 地域で利用できるわけではありません。複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動で対応する必要があります。Quick Setup を利用できる AWS リージョン のリストを表示するには、[AWS リージョン に Quick Setup の可用性](systems-manager-quick-setup.md#quick-setup-getting-started-regions) を参照してください。
+ **手動セットアップ**: 複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動手順で対応できます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。
# (オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定
AWS Systems Manager のツールである Quick Setup により、Systems Manager ツールの設定タスクと構成タスクが簡略化されます。OpsCenter 用の Quick Setup は、複数のアカウント間で OpsItems を管理するための次のタスクの実行に有用です。
+ 委任された管理者のアカウントを指定する
+ 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する
+ 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織、またはメンバーアカウントのサブセットを指定する
Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定すると、Quick Setup は指定されたアカウントに次のリソースを作成します。これらのリソースは、OpsItems を生成する AWS リソース生成に関する問題を解決するため、OpsItems をで作業し、オートメーションランブックを使用する権限を指定されたアカウントに付与します。
****
| リソース | アカウント |
| --- | --- |
| `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management (IAM) サービスリンクロール このロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。 | AWS Organizations 管理アカウントと委任された管理者アカウント |
| `OpsItem-CrossAccountManagementRole` IAM ロール `AWS-SystemsManager-AutomationAdministrationRole` IAM ロール | 委任された管理者アカウント |
| `OpsItem-CrossAccountExecutionRole` IAM ロール `AWS-SystemsManager-AutomationExecutionRole` IAM ロール デフォルトの OpsItem グループ (`OpsItemGroup`) に対する `AWS::SSM::ResourcePolicy` Systems Manager リソースポリシー | すべての AWS Organizations メンバーアカウント |
**注記**
[手動](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)で複数のアカウント間で OpsItems を管理するように OpsCenter を設定していた場合は、そのプロセスのステップ 4 と 5 で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。以下の手順を実行したときにそれらのリソースがアカウントに存在する場合、Quick Setup はクロスアカウント OpsItem 管理を適切に設定できません。
**Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定するには**
1. AWS Organizations 管理アカウントを使用して AWS マネジメントコンソール にログインします。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Quick Setup]** を選択します。
1. [**ライブラリ**] タブを選択します。
1. 一番下までスクロールして、**OpsCenter** 設定タイルを探します。**[作成]** を選択します。
1. Quick SetupOpsCenter ページの [**委任管理者**] セクションに、アカウント ID を入力します。このフィールドを編集できない場合は、Systems Manager の委任管理者アカウントがすでに指定されています。
1. [**ターゲット**] セクションで、オプションを選択してください。[**カスタム**] を選択した場合は、複数のアカウント間で OpsItems を管理する組織単位 (OU) を選択します。
1. **[作成]** を選択します。
Quick Setup は OpsCenter 設定を作成し、必要な AWS リソースを指定された OU にデプロイします。
**注記**
複数のアカウント間で OpsItems を管理しない場合は、Quick Setup から設定を削除できます。設定を削除すると、Quick Setup は設定が最初にデプロイされたときに作成された次の IAM ポリシーとロールを削除します。
委任された管理者のアカウントからの `OpsItem-CrossAccountManagementRole`
`OpsItem-CrossAccountExecutionRole` と `SSM::ResourcePolicy` をすべての Organizations のメンバーアカウントから
Quick Setup は、すべての組織単位および設定が最初にデプロイされた AWS リージョン から、設定を削除します。
## OpsCenter に対する Quick Setupの設定に関する問題のトラブルシューティング
このセクションには、Quick Setup を使用してクロスアカウント OpsItem 管理を設定する場合の問題のトラブルシューティングに役立つ情報が含まれています。
**Topics**
+ [次の StackSet へのデプロイに失敗しました: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [Quick Setup 設定ステータスが [失敗] となっている](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### 次の StackSet へのデプロイに失敗しました: delegatedAdmin
OpsCenter 設定を作成するときに、Quick Setup が Organizations 管理アカウントに 2 つの AWS CloudFormation スタックセットをデプロイします。スタックセットには次のプレフィックス: `AWS-QuickSetup-SSMOpsCenter` を使用します。Quick Setup が次のエラー「`Deployment to these StackSets failed: delegatedAdmin`」表示する場合は、次の手順を使用してこの問題を解決してください。
**StackSets failed:delegatedAdmin エラーをトラブルシューティングするには**
1. Quick Setup コンソールに赤いバナーで `Deployment to these StackSets failed: delegatedAdmin` エラーが表示された場合は、委任された管理者アカウントと、Quick Setup ホームリージョンとして指定された AWS リージョン にサインインします。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。
**注記**
CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。
1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。
1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。
**注記**
CloudFormation のトラブルシューティングに関するステップによりデプロイの失敗を解決できない場合は、設定を削除したうえで再試行します。
### Quick Setup 設定ステータスが [失敗] となっている
[**構成の詳細**] ページの [**構成の詳細**] テーブルに設定ステータスが `Failed` と表示されている場合は、障害が発生した AWS アカウント およびリージョンにサインインします。
**Quick Setup が OpsCenter 設定の作成に失敗した場合のトラブルシューティングを行うには**
1. 障害が発生した AWS アカウントと AWS リージョンにサインインしてください。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。
**注記**
CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。
1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。
1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。
#### メンバーアカウント設定で ResourcePolicyLimitExceededException と表示されている
スタックのステータスが `ResourcePolicyLimitExceededException` と示されている場合、アカウントは[手動で](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)、以前 OpsCenter クロスアカウント管理にオンボーディングされたことがあります。この問題を解決するには、手動オンボーディングプロセスのステップ 4 と 5 で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの削除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html)」と「[CloudFormation コンソールでスタックを削除する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)」を参照してください。
# (オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する
このセクションでは、クロスアカウント OpsItem 管理の OpsCenter を手動で設定する方法について説明します。このプロセスは引き続きサポートされていますが、Systems Manager Quick Setup を使用する新しいプロセスに置き換えられています。詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。
中央アカウントを設定して、メンバーアカウントの OpsItems 手動を作成し、それらの OpsItems を管理および修正することができます。中央アカウントには、AWS Organizations 管理アカウントか、AWS Organizations 管理アカウントと Systems Manager 委任管理者アカウントの両方を使用することができます。Systems Manager 委任管理者アカウントを中央アカウントとして使用することをお勧めします。この機能は、AWS Organizations を設定した後にのみ使用できます。
AWS Organizations では、ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合することができます。セントラルアカウントユーザーは、選択したすべてのメンバーアカウント用の OpsItems を同時に作成して、これらの OpsItems を管理できます。
このセクションの手順を使用して、Organizations の Systems Manager サービスプリンシパルを有効にし、アカウント間で OpsItems を操作するための AWS Identity and Access Management (IAM) アクセス許可を設定します。
**Topics**
+ [[開始する前に]](#OpsCenter-before-you-begin)
+ [ステップ 1: リソースデータの同期を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**注記**
アカウント間で OpsCenter を使用する場合、`/aws/issue` タイプの OpsItems のみがサポートされます。
## [開始する前に]
アカウント間で OpsItems を操作するように OpsCenter を設定する前に、以下を設定してください。
+ Systems Manager の委任管理者アカウント 詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。
+ Organizations 内で 1 つの組織をセットアップして設定します。詳細については、「AWS Organizations ユーザーガイド」の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。
+ 複数の AWS リージョン アカウントと AWS にわたって自動化ランブックを実行するように Systems Manager Automation を設定しました。詳細については、「[複数の AWS リージョン とアカウントでのオートメーションの実行](running-automations-multiple-accounts-regions.md)」を参照してください。
## ステップ 1: リソースデータの同期を作成する
AWS Organizations のセットアップと設定の完了後、リソースデータ同期を作成することで、組織全体について OpsCenter の OpsItems を集計できるようになります。詳細については、「[リソースデータ同期の作成](Explorer-resource-data-sync-configuring-multi.md)」を参照してください。同期を作成するときは、**[アカウントの追加]** セクションで、必ず **[AWS Organizations 設定のすべてのアカウントを含める]** オプションを選択します。
## ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする
ユーザーがアカウントをまたいで OpsItems を使用できるようにするには、AWS Organizations で Systems Manager サービスプリンシパルを有効にしておく必要があります。以前に、他のツールを使用してマルチアカウントシナリオ用に Systems Manager を設定済みの場合は、Organizations 内で、既に Systems Manager サービスプリンシパルの設定が完了している場合があります。これを確認するには、 AWS Command Line Interface (AWS CLI) から以下のコマンドを実行します。他のマルチアカウントシナリオで Systems Manager を設定していない場合は、次の「AWS Organizations で Systems Manager サービスプリンシパルを有効にする」の手順に進んでください。
**Systems Manager サービスプリンシパルが AWS Organizations で有効になっていることを確認するには**
1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。
1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。
```
aws configure
```
以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 次のコマンドを実行して、AWS Organizations のために Systems Manager サービスプリンシパルが有効になっていることを確認します。
```
aws organizations list-aws-service-access-for-organization
```
このコマンドは、下記の例のような情報を返します。
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**AWS Organizations で Systems Manager サービスプリンシパルを有効化する**
まだ、Systems Manager サービスプリンシパルを Organizations 用に設定していない場合は、次に説明する手順に従って設定します。このコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)」を参照してください。
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。詳細については、「[CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[CLI の設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)」を参照してください。
1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。
1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。
```
aws configure
```
以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 以下のコマンドを実行して、AWS Organizations 用に Systems Manager サービスプリンシパルを有効にします。
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する
`AWSServiceRoleForAmazonSSM_AccountDiscovery` ロールなどサービスにリンクされたロールは、AWS のサービス (例えば Systems Manager) に直接リンクされた、一意のタイプの IAM ロールです。サービスにリンクされたロールはサービスによって事前定義されており、サービスがお客様の代わりに他の AWS のサービス サービスを呼び出す際に必要な、すべてのアクセス許可が含まれています。`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールの詳細については、[Systems Manager アカウント検出のためのサービスにリンクされたロールの許可](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2)を参照してください。
AWS CLI を使用してサービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成するためには、次の手順を実行します。この手順で使用するコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)」を参照してください。
**`AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールを作成するには**
1. AWS Organizations 管理アカウントにサインインします。
1. Organizations の管理アカウントにサインインした状態で、次のコマンドを実行します。
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する
AWS CloudFormation スタックセットを使用して、アカウント間で OpsItems を操作するアクセス許可をユーザーに付与する `OpsItemGroup` リソースポリシーと IAM 実行ロールを作成します。これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountMembers.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックセットを作成すると、CloudFormation は、アカウント内で、自動的に `OpsItemCrossAccountResourcePolicy` リソースポリシーと `OpsItemCrossAccountExecutionRole` 実行ロールを作成します。シークレットを作成する方法については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)」を参照してください。
**重要**
このタスクに関しては、次の重要事項に留意してください。
このスタックセットは、AWS Organizations 管理アカウントにサインインした状態でデプロイする必要があります。
この手順は、代理管理者アカウントを含むアカウント間で OpsItems を操作するすべてのアカウントにサインインして、繰り返し実行する必要があります。
別の AWS リージョン でクロスアカウントの OpsItems 管理を有効にする場合は、テンプレートの **[Specify regions]** (リージョンの指定) セクションで、**[Add all regions]** (すべてのリージョンを追加) を選択します。クロスアカウントの OpsItem 管理は、オプトインリージョンではサポートされていません。
## タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する
OpsItem には、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Simple Storage Service (Amazon S3) バケットなど、影響を受けたリソースの詳細情報を含めることができます。前のステップ 4 で作成した `OpsItemCrossAccountExecutionRole` 実行ロールにより、メンバーアカウントの関連リソースを表示するための読み取り専用のアクセス許可が OpsCenter に付与されます。これと同時に、管理アカウントが関連リソースを表示したり操作したりするための許可を付与する、IAM ロールを作成する必要があります。この処理はこのタスクで完了します。
これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountManagementRole.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックを作成すると、CloudFormation はアカウント内で、自動的に `OpsCenterCrossAccountManagementRole` IAM ロールを作成します。スタック作成の詳細については、「AWS CloudFormation ユーザーガイド」の「[AWS CloudFormation コンソールでのスタックの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)」 を参照してください。
**重要**
このタスクに関しては、次の重要事項に留意してください。
アカウントを、OpsCenter の委任管理者として指定する予定の場合は、スタックの作成時に必ずその AWS アカウント を指定してください。
この手順は、AWS Organizations の管理アカウントにログインした状態で実行し、委任管理者アカウントに再度ログインした後にも実行する必要があります。
# (オプション) OpsItems に関する通知を受け取るように Amazon SNS を設定する
システムが OpsItem を作成するか、既存の OpsItem を更新したときに、Amazon Simple Notification Service (Amazon SNS) トピックで通知を受け取るように OpsCenter を設定できます。
OpsItems の通知を受信するには、次のステップを実行します。
+ [ステップ 1: Amazon SNS トピックを作成してサブスクライブする](#OpsCenter-getting-started-sns-create-topic)
+ [ステップ 2: Amazon SNS アクセスポリシーを更新する](#OpsCenter-getting-started-sns-encryption-policy)
+ [ステップ 3: AWS KMS のアクセスポリシーを更新する](#OpsCenter-getting-started-sns-KMS-policy)
**注記**
ステップ 2 で AWS Key Management Service (AWS KMS) サーバー側の暗号化をオンにした場合は、ステップ 3 を完了する必要があります。それ以外の場合は、ステップ 3 をスキップできます。
+ [ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する](#OpsCenter-getting-started-sns-default-rules)
## ステップ 1: Amazon SNS トピックを作成してサブスクライブする
通知を受け取るには、Amazon SNS トピックを作成してサブスクライブする必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)」および「[Amazon SNS トピックへサブスクライブする](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)」を参照してください。
**注記**
OpsCenter を複数の AWS リージョン またはアカウントで使用している場合は、OpsItem 通知を受け取る各リージョンまたはアカウントで Amazon SNS トピックを作成してサブスクライブする必要があります。
## ステップ 2: Amazon SNS アクセスポリシーを更新する
Amazon SNS トピックを OpsItems に関連付ける必要があります。以下の手順を使用して Amazon SNS アクセスポリシーをセットアップし、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItems 通知を発行できるようにします。
1. AWS マネジメントコンソール にサインインして Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。
1. ナビゲーションペインで、[**トピック**] を選択してください。
1. ステップ 1 で作成したトピックを選択し、**[編集]** をクリックします。
1. [**アクセスポリシー**] を展開します。
1. 既存のポリシーに次の `Sid` ブロックを追加します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
```
{
"Sid": "Allow OpsCenter to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner
}
}
}
```
**注記**
混乱した代理シナリオから保護する `aws:SourceAccount` グローバル条件キー。この条件キーを使用するには、値を OpsItem 所有者のアカウント ID に設定します。詳細については、「*IAM ユーザーガイド*」の「[混乱した代理の問題](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)」を参照してください。
1. **[Save changes]** (変更の保存) をクリックします。
OpsItems が作成または更新されると、システムは Amazon SNS トピックに通知を送信するようになります。
**重要**
ステップ 2 で AWS Key Management Service (AWS KMS) サーバー側暗号化キーを使用して Amazon SNS トピックを設定した場合は、ステップ 3 を完了します。それ以外の場合は、ステップ 3 をスキップできます。
## ステップ 3: AWS KMS のアクセスポリシーを更新する
Amazon SNS トピックの AWS KMS サーバー側の暗号化をオンにした場合、トピックを設定したときに選択した AWS KMS key のアクセスポリシーも更新する必要があります。以下の手順を使用してアクセスポリシーを更新し、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItem 通知を発行できるようにします。
**注記**
OpsCenter は、AWS マネージドキー を使用して設定された Amazon SNS トピックへの OpsItems の発行をサポートしていません。
1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。
1. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. トピックの作成時に選択した KMS キーの ID を選択します。
1. [**Key Policy**] (キーポリシー) セクションで、[**Switch to policy view**] (ポリシービューへの切り替え) を選択します。
1. [**Edit**] を選択します。
1. 既存のポリシーに次の `Sid` ブロックを追加します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
```
{
"Sid": "Allow OpsItems to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
"Resource": "arn:aws:kms:region:account ID:key/key ID"
}
```
次の例では、新しいブロックが行 14 に入力されています。
![\[Amazon SNS トピックの AWS KMS アクセスポリシーを編集する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png)
1. **[Save changes]** (変更の保存) をクリックします。
## ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する
Amazon EventBridge のデフォルトの OpsItems ルールには、Amazon SNS 通知の Amazon リソースネーム (ARN) が設定されていません。次の手順に従って EventBridge でルールを編集し、`notifications` ブロックを入力します。
**デフォルトの OpsItem ルールに通知ブロックを追加するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[OpsCenter]** を選択します。
1. [**OpsItems**] タブを選択し、[**Configure sources (ソースの設定)**] を選択します。
1. 次の例に示すように、`notifications` ブロックを使用して設定するソースルールの名前を選択します。
![\[Amazon SNS 通知ブロックを追加するための Amazon EventBridge ルールを選択する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png)
ルールは Amazon EventBridge で開きます。
1. ルールの詳細ページの [**Targets**] (ターゲット) タブで [**Edit**] (編集) を選択します。
1. [**Additional settings**] (追加設定) セクションの [**Configure target input**] (ターゲット入力の設定) を選択します。
1. **[テンプレート]** ボックスに、次の形式で `notifications` ブロックを追加します。
```
"notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],
```
以下に例を示します。
```
"notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],
```
米国西部 (オレゴン) (us-west-2) リージョンについての次の例に示すように、`resources` ブロックの前に通知ブロックを入力します。
```
{
"title": "EBS snapshot copy failed",
"description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
"category": "Availability",
"severity": "2",
"source": "EC2",
"notifications": [{
"arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
}],
"resources": ,
"operationalData": {
"/aws/dedup": {
"type": "SearchableString",
"value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
},
"/aws/automations": {
"value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
},
"failure-cause": {
"value":
},
"source": {
"value":
},
"start-time": {
"value":
},
"end-time": {
"value":
}
}
}
```
1. **[確認]** を選択します。
1. [**次へ**] を選択します。
1. [**次へ**] を選択します。
1. [**ルールの更新**] を選択します。
次回システムがデフォルトルールの OpsItem を作成するときに、Amazon SNS トピックに通知を発行します。