• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# AWS Systems Manager でのセキュリティ
クラウドセキュリティはアマゾン ウェブ サービスの最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。
セキュリティはAWS とお客様の間の共有責任です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** — AWS は、AWS クラウド で AWS のサービス を実行するインフラストラクチャを保護する責任を負います。また AWS は、お客様が使用するサービスを安全に提供します。[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Systems Manager に適用されるコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** — お客様の責任は、使用する AWS のサービス に応じて異なります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、AWS Systems Manager を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Systems Manager を設定する方法を示します。また、Systems Manager リソースのモニタリングや保護に役立つ、他の AWS のサービスの使用方法についても説明します。
**Topics**
+ [AWS Systems Manager でのデータ保護](data-protection.md)
+ [AWS Systems Manager におけるデータ境界](data-perimeters.md)
+ [AWS Systems Manager のためのアイデンティティおよびアクセス管理](security-iam.md)
+ [Systems Manager のサービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [AWS Systems Manager でのログ記録とモニタリング](logging-and-monitoring.md)
+ [AWS Systems Manager のコンプライアンス検証](compliance-validation.md)
+ [AWS Systems Manager での耐障害性](disaster-recovery-resiliency.md)
+ [AWS Systems Manager 内のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [AWS Systems Manager での構成と脆弱性の分析](vulnerability-analysis-and-management.md)
+ [Systems Manager のセキュリティに関するベストプラクティス](security-best-practices.md)
# AWS Systems Manager でのデータ保護
データ保護には、*転送中* (Systems Manager 間でデータを送受信するとき) のデータを保護するものと、*保管時* (AWS データセンター内のディスクに格納されているとき) のデータを保護するものがあります。
AWS[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) は、AWS Systems Manager でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護するがあります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「AWS CloudTrail ユーザーガイド**」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で Systems Manager または他の AWS のサービス を使用する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## データ暗号化
### 保管中の暗号化
**Parameter Store パラメータ**
AWS Systems Manager のツールである Parameter Store で作成できるパラメータのタイプには、`String`、`StringList`、`SecureString` があります。
すべてのパラメータは、タイプに関係なく、転送中および保管時の両方で暗号化されます。転送中、パラメータは Transport Layer Security (TLS) を使用して暗号化され、API リクエストの安全な HTTPS 接続が作成されます。保管時には、AWS Key Management Service (AWS KMS) の AWS 所有のキー で暗号化されます。AWS 所有のキー 暗号化の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS 所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
`SecureString` タイプには追加の暗号化オプションが用意されており、すべての機密データに推奨されます。次のタイプの AWS KMS キーから選択して、`SecureString` パラメータの値を暗号化および復号できます。
+ アカウントの AWS マネージドキー
+ アカウントで作成したカスタマーマネージドキー (CMK)
+ 共有されている別の AWS アカウント の CMK
AWS KMS 暗号化の詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
**S3 バケット内のコンテンツ**
Systems Manager オペレーションの一環として、1 つまたは複数の Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードまたは保存できます。
S3 バケット暗号化の詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)」および「[Amazon S3 におけるデータ保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)」を参照してください。
Systems Manager アクティビティの一環として S3 バケットにアップロードまたは保存できるデータのタイプは次の通りです。
+ AWS Systems Manager のツールである Run Command のコマンドの出力
+ AWS Systems Manager のツールである Distributor のパッケージ
+ AWS Systems Manager のツールである Patch Manager のパッチ適用オペレーションログ
+ Patch Managerのパッチ上書きリスト
+ Automation のランブックワークフローで実行するスクリプトまたは Ansible プレイブック (AWS Systems Manager のツール)
+ Compliance (AWS Systems Manager のツール) のスキャンで使用する Chef InSpec プロファイル
+ AWS CloudTrail ログ
+ AWS Systems Manager のツールである Session Manager のセッション履歴ログ
+ AWS Systems Manager のツールである Explorer からのレポート
+ AWS Systems Manager のツールである OpsCenter からの OpsData
+ Automation ワークフローで使用する AWS CloudFormation テンプレート
+ リソースデータ同期スキャンからのコンプライアンスデータ
+ マネージドノードの State Manager (AWS Systems Manager のツール) の関連付けを作成または編集するリクエストの出力
+ AWS 管理対象の SSM ドキュメント `AWS-RunDocument` を使用して実行できる Systems Manager のカスタムドキュメント (SSM ドキュメント)
**CloudWatch Logs ロググループ**
Systems Manager オペレーションの一環として、1 つ以上の Amazon CloudWatch Logs ロググループにデータをストリーミングできます。
CloudWatch Logs ロググループの暗号化の詳細については、*Amazon CloudWatch Logs ユーザーガイド*の「[AWS Key Management Service を使用した CloudWatch Logs でのログデータの暗号化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)」を参照してください。
アクティビティの一環として CloudWatch Logs ロググループにSystems Managerストリーミングした可能性のあるデータのタイプは次の通りです。
+ Run Command コマンドの出力
+ オートメーション runbook 内の `aws:executeScript` アクションを使用して実行されるスクリプトの出力
+ Session Manager セッションの履歴ログ
+ マネージド型ノードの SSM Agent のログ
### 転送中の暗号化
Transport Layer Security (TLS) のような暗号化プロトコルを使用してクライアントとユーザーノードの間で送受信される機密データを暗号化することをお勧めします。
Systems Manager では、転送中のデータの暗号化について、次のサポートが提供されます。
**Systems Manager API エンドポイントへの接続**
Systems Manager API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Systems Manager リソースを AWS マネジメントコンソール、AWS SDK、または Systems Manager API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、「Amazon Web Services 全般のリファレンス」の「[AWS のサービス エンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
**マネージドインスタンス**
AWS は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間のセキュアでプライベートな接続を提供します。また、同じ Virtual Private Cloud (VPC) 内やピア接続された VPC 内のサポートされているインスタンス間で転送中のトラフィックを自動的に暗号化します。これには、256 ビット暗号化の AEAD アルゴリズムを使用します。この暗号化機能は、基盤となるハードウェアのオフロード機能を使用し、ネットワークパフォーマンスには影響を及ぼしません。サポートされているインスタンスは、C5n、G4、I3en、M5dn、M5n、P3dn、R5dn、R5n です。
**Session Manager セッション**
デフォルトでは、Session Manager は、TLS 1.3 を使用して、アカウント内のユーザーのローカルマシンと EC2 インスタンス間で送信されるセッションのデータを暗号化します。AWS KMS で作成された AWS KMS key を使用して、転送中のデータをさらに暗号化することもできます。AWS KMS 暗号化は、`Standard_Stream`、`InteractiveCommands`、および `NonInteractiveCommands` セッションタイプで使用できます。
**Run Command アクセス**
デフォルトで、Run Command を使用してノードへのリモートアクセスは、TLS 1.3 を使用して暗号化され、接続確立のリクエストは SigV4 を使用して署名されます。
## インターネットトラフィックのプライバシー
Amazon Virtual Private Cloud (Amazon VPC) を使用して、マネージドノード内のリソース間に境界を作成し、それらの間のトラフィック、オンプレミス ネットワーク、インターネットを制御できます。詳細については、「[Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する](setup-create-vpc.md)」を参照してください。
Amazon Virtual Private Cloud セキュリティの詳細については、*Amazon VPC ユーザーガイド*の「[Amazon VPC でのインターネットワークトラフィックのプライバシー](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)」を参照してください。
# AWS Systems Manager におけるデータ境界
データ境界は、想定されるネットワークおよびリソースから信頼できる ID だけがデータにアクセスできるようにするために使用する、AWS 環境内の予防的ガードレールのセットです。データ境界コントロールを実装する場合、Systems Manager がユーザーに代わってアクセスする AWS サービス所有リソースの例外を含める必要がある場合があります。
**シナリオ例: SSM ドキュメントカテゴリ S3 バケット**
Systems Manager は AWS マネージド S3 バケットにアクセスして、[AWS Systems Manager ドキュメント](documents.md) のドキュメントカテゴリ情報を取得します。このバケットには、コンソールで SSM ドキュメントを整理および分類するのに役立つドキュメントカテゴリに関するメタデータが含まれています。
リソースの ARN パターン
`arn:aws:s3:::ssm-document-categories-region`
リージョンの例:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
アクセスするタイミング
このリソースは、Systems Manager コンソールで SSM ドキュメントを表示するとき、またはドキュメントのメタデータとカテゴリを取得する API を使用するときにアクセスされます。
保存されるデータ
バケットには、ドキュメントのカテゴリ定義とメタデータを含む JSON ファイルが含まれています。このデータは読み取り専用で、顧客固有の情報は含まれません。
使用される ID
Systems Manager は、ユーザーのリクエストに代わって AWS サービス認証情報を使用してこのリソースにアクセスします。
必要なアクセス許可
バケットコンテンツの `s3:GetObject`。
**データ境界ポリシーに関する考慮事項**
サービスコントロールポリシー (SCP) または VPC エンドポイントポリシーを使用して `aws:ResourceOrgID` などの条件付きでデータ境界コントロールを実装する場合は、Systems Manager が必要とする AWS サービス所有リソースの例外を作成する必要があります。
例えば、SCP で `aws:ResourceOrgID` を使用して組織外のリソースへのアクセスを制限する場合は、SSM ドキュメントカテゴリバケットに例外を追加する必要があります。
このポリシーは組織外のリソースへのアクセスを必要としますが、適切な S3 バケットに関する例外が含まれているので、Systems Manager は引き続き正常に機能します。
同様に、VPC エンドポイントポリシーを使用して S3 アクセスを制限する場合は、SSM ドキュメントカテゴリバケットが VPC エンドポイントを介してアクセス可能であることを確認する必要があります。
**詳細情報**
AWS のデータ境界の詳細については、次のトピックを参照してください。
+ [Data perimeters on AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)
+ 「IAM ユーザーガイド」の「*データ境界を使用してアクセス許可ガードレールを確立する*」
+ GitHub の *AWS Samples* リポジトリの「[Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md)」および「[Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)」
# AWS Systems Manager のためのアイデンティティおよびアクセス管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するために役立つ AWS のサービス です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Systems Manager リソースの使用を*許可する* (権限を持たせる) かを制御します。IAM は、無料で使用できる AWS のサービスです。
**Topics**
+ [対象者](#security_iam_audience)
+ [アイデンティティによる認証](#security_iam_authentication)
+ [ポリシーを使用したアクセス権の管理](#security_iam_access-manage)
+ [AWS Systems Manager と IAM の連携方法](security_iam_service-with-iam.md)
+ [AWS Systems Manager アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Systems Manager の AWS マネージドポリシー](security-iam-awsmanpol.md)
+ [AWS Systems Manager ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## 対象者
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Systems Manager ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[AWS Systems Manager と IAM の連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[AWS Systems Manager アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティによる認証
認証とは、アイデンティティ認証情報を使用して AWS にサインインする方法です。ユーザーは、IAM ユーザー の AWS アカウントのルートユーザー として、または IAM ロールを引き受けることによって、認証される 必要があります。
AWS IAM アイデンティティセンター (IAM アイデンティティセンター)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーテッドアイデンティティとしてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、AWS はリクエストに暗号で署名するための SDK と CLI を提供します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対する AWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント のルートユーザー
AWS アカウントを作成すると、すべての AWS のサービスとリソースに対する完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインイン ID を使用して開始します。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細は「*IAM ユーザーガイド*」の「[人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには ID プロバイダーとのフェデレーションの使用が必要です](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替える](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)、または AWS CLI や AWS API オペレーションを呼び出すことで、ロールを引き受けることができます。詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセス権の管理
AWS でアクセスを制御するには、ポリシーを作成して AWS ID またはリソースにアタッチします。ポリシーは、アイデンティティやリソースとの関連付けに伴うアクセス許可を定義します。AWS は、プリンシパルがリクエストを行うときに、これらのポリシーを評価します。大半のポリシーは JSON ドキュメントとして AWS に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
AWS マネージドポリシーの詳細については、をSystems Manager参照[AWS Systems Manager マネージドポリシー](security_iam_service-with-iam.md#managed-policies)してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは IAM の AWSマネージドポリシーは使用できません。
### ポリシー条件キー
ユーザーとロールが実行できるアクションと、それらのアクションを実行できるリソースは、特定の*条件*によってさらに制限を加えることが可能です。
JSON ポリシードキュメントでは、`Condition` 要素 (または `Condition` ブロック) を使用して、特定のステートメントが有効な条件を指定できます。`Condition` 要素はオプションです。`StringEquals` や `StringNotLike` といった[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成し、ポリシーの条件とリクエスト内の値とを一致させることができます。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、AWS では `AND` 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーの要素: 変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。
AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。条件キーの詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) の「*AWS グローバル条件コンテキストキー」* を参照してください。
**重要**
Systems Manager Automation を使用する場合は、ポリシーで [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 条件キーを使用しないようにしてください。この条件キーの動作は、オートメーションランブック実行の IAM ロールが指定されているかどうかや、ランブックで使用されるオートメーションアクションの内容など、複数の要因によって異なります。その結果、条件キーによって予期しない動作が発生する可能性があります。このため、使用しないことをお勧めします。
Systems Manager は、独自の条件キーを多数サポートしています。詳細については、「*Service Authorization Reference*」の「[Condition keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)」を参照してください。Systems Manager に固有の条件キーを使用できるアクションとリソースは、「*Service Authorization Reference*」の「[Resource types defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)」に記載しています。
Systems Manager サービスが所有するサービスプリンシパル名に、ポリシーを依存させる必要がある場合は、`aws:PrincipalServiceName` 条件キーではなく、`aws:PrincipalServiceNamesList` [複数値の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)を使用してその有無を確認することが推奨されます。`aws:PrincipalServiceName` 条件キーには、サービスプリンシパル名のリストの 1 つのエントリのみが含まれ、また、想定されるサービスプリンシパル名ではない場合もあります。次の `Condition` ブロックでは、`ssm.amazonaws.com` の有無をチェックしています。
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
Systems Manager でのアイデンティティベースのポリシーの例は、「[AWS Systems Manager アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」でご確認ください。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、AWS WAF、および Amazon VPC は、ACL をサポートするサービスの例です。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### 他のポリシータイプ
AWS は、より一般的なポリシータイプで付与された最大数のアクセス許可を設定できる、追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations 内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法の詳細については、*IAM ユーザーガイド*の[ポリシーの評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)を参照してください。
# AWS Systems Manager と IAM の連携方法
AWS Identity and Access Management (IAM) を使用して、AWS Systems Manager へのアクセスを管理するには、Systems Manager で使用できる IAM の機能を理解しておく必要があります。Systems Manager およびその他の AWS のサービス のサービスが IAM と連携する方法の概要については、IAM ユーザーガイドの「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Systems Manager アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Systems Manager タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM ロール](#security_iam_service-with-iam-roles)
## Systems Manager アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。Systems Manager は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については「*IAM ユーザーガイド*」の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどのような**リソース**にどのような**条件**で**アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Systems Manager のポリシーアクションは、アクションの前に次のプレフィックスを使用します: `ssm:`。たとえば、Systems Manager `PutParameter` API オペレーションを使用して Systems Manager パラメータ (SSM パラメータ) を作成するアクセス許可を付与するには、ポリシーに `ssm:PutParameter` アクションを含めます。ポリシーステートメントには、`Action` 要素または `NotAction` 要素のいずれかを含める必要があります。 Systems Manager は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
単一のステートメントに複数のアクションを指定するには、次のようにカンマで区切ります。
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**注記**
AWS Systems Manager の以下のツールは、アクションの前に異なるプレフィックスを使用します。
AWS AppConfig は、アクションの前にプレフィックス `appconfig:` を使用します。
インシデントマネージャーは、アクションの前にプレフィックス `ssm-incidents:` または `ssm-contacts:` を使用します。
Systems Manager GUI Connect は、アクションの前にプレフィックス `ssm-guiconnect:` を使用します。
Quick Setup は、アクションの前にプレフィックス `ssm-quicksetup:` を使用します。
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "ssm:Describe*"
```
Systems Manager アクションのリストを確認するには、*サービス認可リファレンス*の「[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)」を参照してください。
### リソース
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
たとえば、Systems Manager メンテナンスウィンドウリソースには次の ARN 形式があります。
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
米国東部 (オハイオ) リージョンにおいて、ステートメントで mw-0c50858d01EXAMPLE メンテナンスウィンドウを指定するには、次のような ARN を使用します。
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
特定のアカウントに属するすべてのメンテナンスウィンドウを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
`Parameter Store` API オペレーションで、階層の 1 レベルのすべてのパラメータに対するアクセスを許可または制限するには、次のように階層名と AWS Identity and Access Management (IAM) ポリシーを使用できます。
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
リソースの作成など、一部の Systems Manager アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (\$1) を使用する必要があります。
```
"Resource": "*"
```
一部の Systems Manager API オペレーションは、複数のリソースを受け入れます。1 つのステートメントで複数のリソースを指定するには、次のように ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
**注記**
ほとんどの AWS のサービスでは、ARN 内のコロン (:) またはスラッシュ (/) は同じ文字として扱われます。ただし、Systems Manager では、リソースパターンおよびルールで完全一致が必要です。イベントパターンの作成時に、リソースの ARN と一致する正しい ARN 文字を使用します。
以下の表は、Systems Manager でサポートされているリソースタイプの ARN 形式を示しています。
**注記**
ARN 形式には以下の例外があることに注意してください。
AWS Systems Manager の以下のツールは、アクションの前に異なるプレフィックスを使用します。
AWS AppConfig は、アクションの前にプレフィックス `appconfig:` を使用します。
インシデントマネージャーは、アクションの前にプレフィックス `ssm-incidents:` または `ssm-contacts:` を使用します。
Systems Manager GUI Connect は、アクションの前にプレフィックス `ssm-guiconnect` を使用します。
Amazon が所有するドキュメントやオートメーション定義リソース、および Amazon とサードパーティの両方のソースから提供されるパブリックパラメータには、ARN 形式のアカウント ID は含まれていません。例えば、次のようになります。
SSM ドキュメント `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
オートメーションランブック `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
パブリックパラメータ `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
これらの 3 種類のリソースタイプの詳細については、次のトピックを参照してください。
[ドキュメントでの作業](documents-using.md)
[Systems Manager Automation を使用した自動オペレーションを実行する](running-simple-automations.md)
[Parameter Store でのパブリックパラメータの使用](parameter-store-public-parameters.md)
Quick Setup は、アクションの前にプレフィックス `ssm-quicksetup:` を使用します。
| リソースタイプ | ARN 形式 |
| --- | --- |
| アプリケーション (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id |
| 関連付け | arn:aws:ssm:region:account-id:association/association-id |
| 自動化の実行 | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id |
| 自動化定義 (およびバージョンサブリソース) | arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1** |
| 設定プロファイル (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id |
| 連絡先 (Incident Manager) | arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias* |
| デプロイ戦略 (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id |
| ドキュメント | arn:aws:ssm:*region*:*account-id*:document/*document-name* |
| 環境 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id |
| インシデント | arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id* |
| メンテナンスウィンドウ | arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id* |
| マネージドノード | arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id* |
| マネージドノードインベントリ | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id |
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id |
| パラメータ | 1 レベルのパラメータ: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security_iam_service-with-iam.html) 階層構造を反映したパラメータ名: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| パッチベースライン | arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id* |
| 対応計画 | arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name* |
| Session | arn:aws:ssm:*region*:*account-id*:session/*session-id* **3** |
| すべての Systems Manager リソース | arn:aws:ssm:\$1 |
| 特定の AWS リージョン の特定の AWS アカウント が所有するすべての Systems Manager リソース | arn:aws:ssm:*region*:*account-id*:\$1 |
**注記**
自動化定義リソースは廃止されています。IAM ポリシーを更新して、`document` リソースと `automation-execution` リソース上の `ssm:StartAutomationExecution` または `ssm:StartChangeRequestExecution` の許可を含めてください。IAM アクセス許可を設定するためのベストプラクティスと例については、[「Setting up identity based policies example](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html)」を参照してください。
**1** オートメーションの定義について、Systems Manager は第 2 レベルのリソース、*バージョン ID* をサポートしています。AWS では、これらの第 2 レベルのリソースは*サブリソース*と呼ばれます。オートメーション定義リソースのバージョンサブリソースを指定することで、特定バージョンの自動化定義にアクセスできます。たとえば、ノード管理においてオートメーション定義の最新バージョンのみが使用される場合があります。
**2** パラメータを編成して管理するには、階層構造を反映したパラメータ名を作成できます。階層構造では、パラメータ名のパスの定義にスラッシュを使用できます。パラメータリソース名には、最大 15 レベルを反映できます。作成する階層には、環境の既存の階層構造を反映するようお勧めします。詳細については、「[Systems Manager での Parameter Store パラメータの作成](sysman-paramstore-su-create.md)」を参照してください。
**3** ほとんどの場合、セッション ID はアカウントの ID を使用して作成され、セッションを開始したユーザー、および英数字サフィックスを付けます。例えば、次のようになります。
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
ただし、ユーザー ID が使用できない場合、ARN は次の方法で構築されます。
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
ARN の形式の詳細については、「Amazon Web Services 全般のリファレンス」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
Systems Manager リソースのタイプとその ARN のリストを確認するには、*サービス認可リファレンス*の「[AWS Systems Manager で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)」を参照してください。
### Systems Manager の条件キー
管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)を参照してください。
Systems Manager の条件キーのリストを確認するには、*サービス認可リファレンス*の[AWS Systems Manager の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)を参照してください。
`ssm:resourceTag/*` 条件キーの使用については、以下のトピックを参照してください。
+ [SSM Agent を介してルートレベルコマンドへのアクセスを制限する](ssm-agent-restrict-root-level-commands.md)
+ [タグによる Run Command アクセスを制限](run-command-setting-up.md#tag-based-access)
+ [Restrict session access based on instance tags (インスタンスタグに基づくセッションのアクセスの制限)](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
`ssm:Recursive`、`ssm:Policies`、および `ssm:Overwrite` 条件キーの使用については、「[Parameter Store API オペレーションへのアクセスの防止](parameter-store-policy-conditions.md)」を参照してください。
### 例
Systems Manager アイデンティティベースのポリシーの例を表示するには、[AWS Systems Manager アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)を参照してください。
## Systems Manager リソースベースのポリシー
Amazon Simple Storage Service (Amazon S3) などの他の AWS のサービスでは、リソースベースのアクセス権限ポリシーがサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。
Systems Manager では、リソースベースのポリシーはサポートされていません。
## Systems Manager タグに基づく認可
タグを Systems Manager リソースにアタッチすることも、Systems Manager へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`ssm:resourceTag/key-name`、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` 条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。タグを作成または更新するときに、次のリソースタイプにタグを追加できます。
+ ドキュメント
+ マネージドノード
+ メンテナンスウィンドウ
+ Parameter
+ パッチベースライン
+ OpsItem
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく Systems Manager ドキュメントの表示](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)」を参照してください。
## Systems Manager IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定のアクセス許可を持つ、AWS アカウント 内のエンティティです。
### Systems Manager での一時的な認証情報の使用
テンポラリ認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。テンポラリセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS Security Token Service AWS STSAPI オペレーションを呼び出します。
Systems Manager では、一時認証情報の使用をサポートしています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)は、AWS のサービスが他のサービスのリソースにアクセスして自動的にアクションを完了することを許可します。サービスリンクロールは、IAM アカウント内に表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
Systems Manager はサービスにリンクされたロールをサポートします。Systems Manager サービスにリンクされたロールの作成または管理の詳細については、「[Systems Manager のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了できます。サービスロールは、IAM アカウントに表示され、アカウントによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Systems Manager はサービスロールをサポートします。
### Systems Manager で IAM ロールを選択
Systems Manager がマネージドノードとやり取りするには、ユーザーに代わって Systems Manager がノードにアクセスできるようにロールを選択する必要があります。サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、Systems Manager は選択できるロールのリストを示します。マネージドノードの起動と停止を許可するロールを選択することが重要です。
EC2 インスタンスにアクセスするには、インスタンスのアクセス許可を設定する必要があります。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)の非 EC2 ノードにアクセスするには、AWS アカウント に IAM サービスロールが必要です。詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」を参照してください。
Automation ワークフローは、サービスロール (または継承ロール) のコンテキストで開始できます。これにより、サービスがユーザーに代わってアクションを実行できるようになります。継承ロールを指定しない場合、オートメーションは、実行を呼び出したユーザーのコンテキストを使用します。ただし、特定の条件では、Automation のサービスロールを指定する必要があります。詳細については、「[オートメーションのサービスロール(ロールを引き受ける)アクセスの設定](automation-setup.md#automation-setup-configure-role)」を参照してください。
### AWS Systems Manager マネージドポリシー
AWS は、 によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。AWSこれらの AWS *管理ポリシー*では、一般的ユースケースに必要なアクセス権限を付与されるため、どのアクセス権限が必要であるかを調べる必要がありません。(独自のカスタム IAM ポリシーを作成して、Systems Manager アクションとリソースのための権限を許可することもできます。)
Systems Manager のマネージドポリシーの詳細については、「[AWS Systems Manager の AWS マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。
マネージドポリシー全般については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
# AWS Systems Manager アイデンティティベースポリシーの例
デフォルトでは、AWS Identity and Access Management (IAM) エンティティ (ユーザーやロール) には、AWS Systems Manager リソースを作成または変更するアクセス許可は付与されていません。また、Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、また AWS API を使用してタスクを実行しません。IAM 管理者は、指定されたリソースで特定の API 操作を実行するための許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なユーザーまたはグループにそのポリシーをアタッチします。
次の許可ポリシーの例では、米国東部 (オハイオ) (us-east-2) AWS リージョン で **MyDocument-** で始まる名前のドキュメントを削除することをユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、*IAM ユーザーガイド*の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [例: Systems Manager コンソールを使用するためのアクセス許可](#security_iam_id-based-policy-examples-console)
+ [例: ユーザーに自分のアクセス許可の表示を許可するアクセス許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [例: 個々のパラメータを読み取り、記述するアクセス許可](#security_iam_id-based-policy-examples-view-one-parameter)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
+ [カスタマーマネージドポリシーの例](#customer-managed-policies)
+ [タグに基づく Systems Manager ドキュメントの表示](#security_iam_id-based-policy-examples-view-documents-tags)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが Systems Manager リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、AWS アカウント に料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ **AWS マネージドポリシーの使用を開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードへのアクセス許可の付与を開始するには、多くの一般的なユースケースのためにアクセス許可を付与する *AWS マネージドポリシー*を使用します。これらは AWS アカウントで使用できます。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能の AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。また、CloudFormation などの特定の AWS のサービス を介して使用する場合、条件を使用してサービスアクションへのアクセスを許可することもできます。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – AWS アカウントで IAM ユーザーまたはルートユーザーを要求するシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## 例: Systems Manager コンソールを使用するためのアクセス許可
Systems Manager コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウント の Systems Manager リソースおよび他のリソースの詳細をリストおよび表示できます。
最小限必要なアクセス許可よりも厳しく制限されたアイデンティティベースのポリシーを作成すると、そのポリシーを持つ IAM エンティティ (ユーザーやロール) に対してコンソールが意図したとおりに機能しなくなります。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソール許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーおよびロールが引き続き Systems Manager コンソールを使用できるようにするには、エンティティに [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) または [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS マネージドポリシーもアタッチしてください。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 例: ユーザーに自分のアクセス許可の表示を許可するアクセス許可
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 例: 個々のパラメータを読み取り、記述するアクセス許可
**Example 1 つのパラメータを読み取り、記述する**
次のポリシーをアイデンティティにアタッチすると、パラメータへのアクセスを許可することができます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましによって、混乱した代理問題が発生する場合があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、AWS では、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) のグローバル条件コンテキストキーを使用して、AWS Systems Manager が別のサービスをリソースに付与する許可を制限することをお勧めします。`aws:SourceArn` 値に、S3 バケットの Amazon リソースネーム (ARN) などのアカウント ID が含まれていない場合は、アクセス許可を制限するために、両方のグローバル条件コンテキストキーを使用する必要があります。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID に`aws:SourceArn` の値が含まれていない場合、`aws:SourceAccount` 値と `aws:SourceArn` 値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、`aws:SourceAccount` を使用します。
以下のセクションは AWS Systems Manager ツールにおけるポリシーの例を示します。
## ハイブリッドアクティベーション ポリシーの例
[ハイブリッドアクティベーション](activations.md)で使用されるサービスロールの場合、`aws:SourceArn` の値は AWS アカウント の ARN である必要があります。ハイブリッドアクティベーションを作成したときの ARN の AWS リージョン を必ず指定してください。リソースの ARN 全体が不明または複数のリソースを指定する場合、ARN の未知部分にワイルドカード (`*`) が付いた `aws:SourceArn` グローバルコンテキスト条件キー を使用します。例えば、`arn:aws:ssm:*:region:123456789012:*`。
次の例は、オートメーションの `aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、米国東部 (オハイオ) リージョン (us-east-2) での混乱した使節の問題を防止する方法を示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## リソースデータ同期ポリシーの例
Systems Manager Inventory、Explorer、コンプライアンスはリソースデータ同期の作成を実現して、オペレーションデータ (OpsData) のストレージを中央の Amazon Simple Storage Service バケットに一元化できます。AWS Key Management Service (AWS KMS) を使用してリソースデータの同期を暗号化する場合、次のポリシーを含む新しいキーを作成するか、既存のキーを更新してこのポリシーを追加する必要があります。このポリシー内の `aws:SourceArn` と `aws:SourceAccount` の条件キーは「混乱した使節の問題」を防止します。次の通り、ポリシーの例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**注記**
ポリシー例の ARN は、システムに対して AWS Security Hub CSPM を除くすべてのソースにおける OpsData の暗号化を実現します。Security Hub CSPM データを暗号化する必要がある場合 (Explorer で Security Hub CSPM データを収集した場合など)、次の ARN を指定する追加ポリシーをアタッチする必要があります。
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## カスタマーマネージドポリシーの例
スタンドアロンポリシーを作成して独自の AWS アカウント で管理できます。このようなポリシーは、*カスタマー管理ポリシー*と呼ばれます。これらのポリシーは、AWS アカウント の複数のプリンシパルエンティティにアタッチできます。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。詳細については、*[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*の「[お客様が管理するポリシーの例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)」を参照してください。
以下のユーザーポリシーの例では、さまざまな Systems Manager アクションのアクセス許可を付与します。これらを使用して、IAM エンティティ (ユーザーやロール) の Systems Manager アクセス許可を制限します。これらのポリシーは、Systems Manager API、AWS SDK、または AWS CLI でアクションを実行するときに機能します。コンソールを使用するユーザーに対しては、コンソールに固有の追加のアクセス権限を付与する必要があります。詳細については、「」を参照してください[例: Systems Manager コンソールを使用するためのアクセス許可](#security_iam_id-based-policy-examples-console)
**注記**
すべての例で、米国西部 (オレゴン) リージョン (us-west-2) を使用し、架空のアカウント ID を使用しています。AWS パブリックドキュメント (`AWS-*` で始まるドキュメント) については、Amazon リソースネーム (ARN) にアカウント ID を指定しないでください。
**例**
+ [例 1: ユーザーに単一リージョンで Systems Manager オペレーションを実行することを許可する](#identity-based-policies-example-1)
+ [例 2: 単一リージョンのドキュメントの一覧表示をユーザーに許可する](#identity-based-policies-example-2)
### 例 1: ユーザーに単一リージョンで Systems Manager オペレーションを実行することを許可する
次の例では、米国東部 (オハイオ) リージョン (us-east-2) でのみ Systems Manager オペレーションを実行するための許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### 例 2: 単一リージョンのドキュメントの一覧表示をユーザーに許可する
次の例で付与する許可では、米国東部 (オハイオ) リージョン (us-east-2) の **Update** で始まるすべてのドキュメント名を一覧表示できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### 例3: ユーザーが特定 SSM ドキュメントを使用して特定ノードでコマンドを実行することを許可します。
次の IAM ポリシーの例は、ユーザーが米国東部 (オハイオ) リージョン (us-east-2) で次の操作を実行することを許可します。
+ Systems Manager のドキュメント (SSM ドキュメント) とドキュメントバージョンを一覧表示します。
+ ドキュメントに関する詳細の表示。
+ ポリシーに指定されたドキュメントを使用してコマンドを送信します。ドキュメント名は次のエントリによって決定します。
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ コマンドを 3 つのノードに送信します。ノードは 2 番目の `Resource` セクションにある以下のエントリによって決定されます。
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ 送信後のコマンドの詳細を表示。
+ AWS Systems Manager のツールである Automation でワークフローを開始および停止します。
+ 自動化ワークフローに関する情報を取得します。
ユーザーがアクセスできる任意のノードで同ユーザーがこのドキュメントを使用してコマンドを送信する許可を付与する場合、`Resource` セクションで次のようなエントリを指定してその他のノードエントリを削除します。次の例では、米国東部 (オハイオ) リージョン (us-east-2) を使用しています。
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## タグに基づく Systems Manager ドキュメントの表示
アイデンティティベースのポリシーの条件を使用して、タグに基づいて Systems Manager リソースへのアクセスをコントロールできます。この例では、SSM ドキュメントを表示できるポリシーを作成する方法を示します。ただし、ドキュメントタグ `Owner` にそのユーザーのユーザー名の値がある場合のみ、アクセス許可は付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
このポリシーをアカウントの ユーザーにアタッチできます。`richard-roe` という名前のユーザーが Systems Manager ドキュメントを表示しようとする場合、ドキュメントに `Owner=richard-roe` または `owner=richard-roe` というタグが付いている必要があります。タグが付いていない場合は、アクセスが拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー `Owner` は `Owner` と `owner` に一致します。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
# AWS Systems Manager の AWS マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Topics**
+ [AWS 管理ポリシー: AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS マネージドポリシー: AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS マネージドポリシー: SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS マネージドポリシー: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS マネージドポリシー: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS マネージドポリシー: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS マネージドポリシーに対する Systems Manager の更新](#security-iam-awsmanpol-updates)
+ [Systems Manager 用の追加のマネージドポリシー](#policies-list)
## AWS 管理ポリシー: AmazonSSMServiceRolePolicy
このポリシーを使用すると、AWS Systems Manager によって管理されているか、Systems Manager オペレーションで使用されている数多くの AWS リソースにアクセスできます。
AWS Identity and Access Management (IAM) エンティティに `AmazonSSMServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって AWS Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してインベントリの収集と OpsData の表示を行う](using-service-linked-roles-service-action-1.md)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Run Command と Automation の両方を開始およびステップ実行すること、Run Command と Automation オペレーションに関する情報を取得すること、Parameter Store パラメータである Change Calendar カレンダーに関する情報を取得すること、OpsCenter リソースの Systems Manager サービス設定に関する情報を更新および取得すること、リソースに適用されたタグに関する情報を読み込むことを許可します。
+ `cloudformation` – プリンシパルがスタックセットオペレーションとスタックセットインスタンスに関する情報を取得すること、リソース `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 上のスタックセットを削除することを許可します。プリンシパルが次のリソースに関連付けられているスタックインスタンスを削除することを許可します。
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch` – プリンシパルが Amazon CloudWatch アラームに関する情報を取得することを許可します。
+ `compute-optimizer` – プリンシパルが AWS Compute Optimizer サービスに対するアカウントの登録 (オプトイン) ステータスを取得すること、特定の規定要件セットを満たす Amazon EC2 インスタンスの推奨事項を取得することを許可します。
+ `config` – プリンシパルが AWS Config で情報修正設定と設定レコーダーを取得すること、指定された AWS Config ルールと AWS リソースに準拠するかどうかを決定することを許可します。
+ `events` – プリンシパルが EventBridge ルールに関する情報を取得すること、Systems Manager サービス (`ssm.amazonaws.com`) 専用の EventBridge ルールとターゲットを作成すること、リソース `arn:aws:events:*:*:rule/SSMExplorerManagedRule` のルールとターゲットを削除することを許可します。
+ `ec2` – プリンシパルが Amazon EC2 インスタンスに関する情報を取得することを許可します。
+ `iam` – プリンシパルが Systems Manager サービス (`ssm.amazonaws.com`) のロールのアクセス許可を渡すことを許可します。
+ `lambda` – プリンシパルが特に Systems Manager で使用するために設定された Lambda 関数を呼び出すことを許可します。
+ `resource-explorer-2` – プリンシパルが EC2 インスタンスに関するデータを取得して、各インスタンスが現在 Systems Manager によって管理されているかどうかを確認することを許可します。
アクション `resource-explorer-2:CreateManagedView` は、`arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` リソースに対して許可されます。
+ `resource-groups` – プリンシパルがリソースグループに属する AWS Resource Groups リソースからリソースグループとそのメンバーのリストを取得することを許可します。
+ `securityhub` – プリンシパルが現在のアカウントの AWS Security Hub CSPM ハブリソースに関する情報を取得することを許可します。
+ `states` – プリンシパルが特に Systems Manager で使用するために設定された AWS Step Functions を開始してその情報を取得することを許可します。
+ `support` – プリンシパルが AWS Trusted Advisor のチェックとケースに関する情報を取得することを許可します。
+ `tag` – プリンシパルがアカウントの指定された AWS リージョンにあるすべてのタグ付けされたリソースまたは以前にタグ付けされていたリソースに関する情報を取得することを許可します。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AmazonSSMAutomationRole
`AmazonSSMAutomationRole` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、AWS Systems Manager オートメーションサービスに、自動化ランブックで定義されているアクティビティを実行するためのアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `lambda` – プリンシパルに、Automation から始まる名前で Lambda 関数を呼び出すことを許可します。これは、自動化ランブックがワークフローの一部として Lambda 関数を実行するために必要です。
+ `ec2` – プリンシパルに、さまざまな Amazon EC2 オペレーション (イメージの作成、コピー、登録解除、スナップショットの管理、インスタンスの開始、実行、停止、終了、インスタンスステータスの管理、タグの作成、削除、記述など) の実行を許可します。これらのアクセス許可により、自動化ランブックは実行中に Amazon EC2 リソースを管理することができます。
+ `cloudformation` – プリンシパルに、CloudFormation スタックの作成、記述、更新、削除を許可します。これにより、自動化ランブックは CloudFormation を介してコードとしてのインフラストラクチャを管理することができます。
+ `ssm` – プリンシパルに、Systems Manager のすべてのアクションを使うことを許可します。この包括的アクセスは、自動化ランブックが Systems Manager のすべての機能とやり取りするために必要になります。
+ `sns` – プリンシパルに、Automation から始まる名前で Amazon SNS トピックにメッセージを発行することを許可します。これにより、自動化ランブックは実行中に通知を送信することができます。
+ `ssmmessages` – プリンシパルが Systems Manager セッションへのデータチャネルを開くことを許可します。これにより、オートメーションランブックはセッションベースのオペレーションの通信チャネルを確立できます。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)」を参照してください。
## AWS マネージドポリシー: AmazonSSMReadOnlyAccess
`AmazonSSMReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、`Describe*`、`Get*`、`List*` など、AWS Systems Manager API オペレーションへの読み取り専用アクセスを許可します。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy
IAM エンティティに `AWSSystemsManagerOpsDataSyncServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用して、Explorer の OpsData および OpsItems を作成](using-service-linked-roles-service-action-3.md)」を参照してください。
`AWSSystemsManagerOpsDataSyncServiceRolePolicy` は、`AWSServiceRoleForSystemsManagerOpsDataSync` サービスリンクロールが AWS Security Hub CSPM 結果で OpsItems および OpsData を作成して更新できるようにします。
ポリシーでは、Systems Manager がすべての関連リソース (`"Resource": "*"`) に対して、以下のアクションを実行できます。ただし、後述しているような例外があります。
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] `ssm:GetOpsItem` および `ssm:UpdateOpsItem` のアクションは以下の条件でのみ Systems Manager のサービスに許可されます。
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] `ssm:AddTagsToResource` アクションは以下のリソースにのみ許可されます。
```
arn:aws:ssm:*:*:opsitem/*
```
[3] `ssm:UpdateServiceSetting` および `ssm:GetServiceSetting` アクションは以下のリソースにのみ許可されます。
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] `securityhub:BatchUpdateFindings` は以下の条件でのみ、Systems Manager のサービスへのアクセス許可が拒否されます。
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
JSON ポリシードキュメントの最新バージョンを確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy
Systems Manager 機能を使用するアクセス許可が必要な Amazon EC2 インスタンスの IAM ロールにのみ `AmazonSSMManagedEC2InstanceDefaultPolicy` をアタッチする必要があります。このロールは、IAM ユーザーや IAM グループなど、他の IAM エンティティや、他の目的を果たす IAM ロールにはアタッチしないでください。詳細については、「[Default Host Management Configuration を使用した EC2 インスタンスの自動管理](fleet-manager-default-host-management-configuration.md)」を参照してください。
このポリシーは、さまざまなタスクを実行するために、Amazon EC2 インスタンス上の SSM Agent がクラウド内の Systems Manager サービスと通信することを可能にする許可を付与します。また、認可トークンを提供する 2 つのサービスの許可を付与して、オペレーションが正しいインスタンスで実行されることも確実にします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – ドキュメントの取得、Run Command を使用したコマンドの実行、Session Manager を使用したセッションの確立、インスタンスのインベントリの収集、および Patch Manager を使用したパッチとパッチコンプライアンスのスキャンを実行することをプリンシパルに許可します。
+ `ssmmessages` – 各インスタンスで、*[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。
+ `ec2messages` – 各インスタンスで、*[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。
`ssmmessages` および `ec2messages` エンドポイントに関連する情報 (2 つのエンドポイント間の違いなど) については、「[エージェント関連の API オペレーション (`ssmmessages` および `ec2messages` エンドポイント)](systems-manager-setting-up-messageAPIs.md#message-services)」を参照してください。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html)」を参照してください。
## AWS マネージドポリシー: SSMQuickSetupRolePolicy
SSMQuickSetupRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する](using-service-linked-roles-service-action-5.md)」を参照してください。
このポリシーは、Systems Manager が設定の正常性をチェックし、パラメータとプロビジョニングされたリソースが確実に一貫して使用されるようにするとともに、ドリフトが検出された場合にリソースを修復することを許可する読み取り専用許可を付与します。また、サービスリンクロールを作成するための管理アクセス許可も付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが委任管理者アカウントなど Systems Manager でリソースデータ同期と SSM ドキュメントの情報を読み取ることを許可します。これは、設定されたリソースについて意図されている状態を Quick Setup が判別するために必要です。
+ `organizations` – プリンシパルが、AWS Organizations で設定されている組織に属するメンバーアカウントに関する情報を読み取るのを許可します。これは、Quick Setup がリソースのヘルスチェックを実行する組織内のすべてのアカウントを識別するために必要です。
+ `cloudformation` – プリンシパルが CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される CloudFormation スタックに関するデータを収集するために必要です。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy
マネージドポリシー `AWSQuickSetupDeploymentRolePolicy` は複数の Quick Setup 設定タイプをサポートします。これらの設定タイプは、推奨されるベストプラクティスを使用して、頻繁に使用される Amazon Web Services のサービスと機能を設定する IAM ロールとオートメーションを作成します。
IAM エンティティに `AWSQuickSetupDeploymentRolePolicy` をアタッチできます。
このポリシーは、次の Quick Setup 設定に関連付けられたリソースを作成するために必要な管理許可を付与します。
+ [Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md)
+ [Quick Setup を使用して AWS Config 設定レコーダーを作成する](quick-setup-config.md)
+ [Quick Setup を使用して AWS Config 適合パックをデプロイする](quick-setup-cpack.md)
+ [Quick Setup を使用して DevOps Guru をセットアップする](quick-setup-devops.md)
+ [Quick Setup を使用して Distributor パッケージをデプロイする](quick-setup-distributor.md)
+ [Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する](quick-setup-scheduler.md)
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが CloudFormation を介して呼び出されたときに名前が「AWSQuickSetup-」または「AWSOperationsPack-」で始まる SSM ドキュメントの読み取り、作成、更新、削除を行うこと、「AWSQuickSetupType-ManageInstanceProfile」、「AWSQuickSetupType-ConfigureDevOpsGuru」、「AWSQuickSetupType-DeployConformancePack」を始めとする特定の AWS 所有ドキュメントを読み取ること、CloudFormation を介して呼び出されたときに Quick Setup ドキュメントと AWS 所有ドキュメントの関連付けを作成、更新、削除すること、および `QuickSetupID` でタグ付けされたレガシーリソースをクリーンアップすることを許可します。これにより、Quick Setup は自動化ワークフローと関連付けをデプロイおよび管理できます。
+ `cloudformation` – プリンシパルが CloudFormation スタックとスタックセットに関する情報を読み取ること、および名前が「StackSet-AWS-QuickSetup-」で始まるリソースの CloudFormation スタックと変更セットを作成、更新、削除することを許可します。これにより、Quick Setup はアカウントとリージョン間のインフラストラクチャのデプロイを管理できます。
+ `config` – プリンシパルが AWS Config コンフォーマンスパックとそのステータスに関する情報を読み取ること、および CloudFormation を介して呼び出されたときに名前が「AWS-QuickSetup-」で始まるコンフォーマンスパックを作成および削除することを許可します。これにより、Quick Setup はコンプライアンスモニタリング設定をデプロイできます。
+ `events` – プリンシパルが名前に「QuickSetup-」を含むリソースの EventBridge ルールとターゲットを管理することを許可します。これにより、Quick Setup はスケジュールされた自動化ワークフローを作成できます。
+ `iam` – プリンシパルが AWS Config および Systems Manager のサービスリンクロールを作成すること、CloudFormation を介して呼び出されたときに名前が「AWS-QuickSetup-」または「AWSOperationsPack-」で始まる IAM ロールを作成、管理、削除すること、これらのロールを Systems Manager および EventBridge サービスに渡すこと、特定の AWS マネージドポリシーをこれらのロールにアタッチすること、および特定の Quick Setup マネージドポリシーを使用してアクセス許可の境界を設定することを許可します。これにより、Quick Setup はオペレーションに必要なサービスロールを作成できます。
+ `resource-groups` – プリンシパルがリソースグループクエリを取得することを許可します。これにより、Quick Setup は構成管理のために特定のリソースセットをターゲットにできます。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy
マネージドポリシー `AWSQuickSetupPatchPolicyDeploymentRolePolicy` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
`AWSQuickSetupPatchPolicyDeploymentRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Quick Setup がパッチポリシー設定に関連付けられたリソースを作成することを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。
+ `cloudformation` – プリンシパルが CloudFormation スタック情報を読み取り、CloudFormation スタックセットを使用して Quick Setup によって作成された CloudFormation スタックを制御するのを許可します。
+ `ssm` – プリンシパルが設定タスクに必要なオートメーションランブックを作成、更新、読み取り、削除し、State Manager 関連付けを作成、更新、削除するのを許可します。
+ `resource-groups` – プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。
+ `s3` – プリンシパルが Amazon S3 バケットを一覧表示し、パッチポリシーアクセスログを保存するためのバケットを管理するのを許可します。
+ `lambda` – プリンシパルが設定を正しい状態に維持する AWS Lambda 修復機能を管理するのを許可します。
+ `logs` – プリンシパルが Lambda 設定リソースのロググループを記述および管理するのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess
マネージドポリシー `AWSQuickSetupPatchPolicyBaselineAccess` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
`AWSQuickSetupPatchPolicyBaselineAccess` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、現在の AWS アカウント または組織内の管理者が Quick Setup を使用して設定したパッチベースラインにアクセスするための読み取り専用許可を付与します。パッチベースラインは Amazon S3 バケットに保存され、単一のアカウントまたは組織全体のインスタンスへのパッチ適用に使用できます。
**アクセス許可の詳細**
このポリシーには、次の許可が含まれています。
+ `s3` – プリンシパルが Amazon S3 バケットに保存されているパッチベースラインオーバーライドを読み取るのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)」を参照してください。
## AWS マネージドポリシー: `AWSSystemsManagerEnableExplorerExecutionPolicy`
マネージドポリシー `AWSSystemsManagerEnableExplorerExecutionPolicy` は AWS Systems Manager のツールである Explorer の有効化をサポートします。
`AWSSystemsManagerEnableExplorerExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Explorer を有効にするための管理許可を付与します。これには、関連する Systems Manager サービス設定を更新し、Systems Manager のためにサービスにリンクされたロールを作成する許可が含まれます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `iam` – プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
マネージドポリシー `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` は [Quick Setup を使用して AWS Config 設定レコーダーを作成する](quick-setup-config.md) Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、AWS Config のために選択した AWS リソースタイプに対する変更を追跡および記録するよう Quick Setup を有効にできます。また、記録されたデータの配信および通知オプションを設定するよう Quick Setup を有効にすることもできます。
`AWSSystemsManagerEnableConfigRecordingExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Quick Setup が AWS Config 設定記録を有効にして設定することを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルが設定記録の配信用に Amazon S3 バケットを作成および設定するのを許可します。
+ `sns` – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。
+ `config` – プリンシパルが設定レコーダーを設定して起動し、Explorer の有効化をサポートするのを許可します。
+ `iam` – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡して、Systems Manager のためにサービスにリンクされたロールを作成し、Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupDevOpsGuruPermissionsBoundary` は [Quick Setup を使用して DevOps Guru をセットアップする](quick-setup-devops.md) タイプをサポートします。この設定タイプにより、機械学習を活用した Amazon DevOps Guru が有効になります。DevOps Guru サービスは、アプリケーションの運用パフォーマンスと可用性の向上に役立ちます。
Quick Setup を使用して `AWSQuickSetupDevOpsGuruPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が Amazon DevOps Guru を有効にして設定するのを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが DevOps Guru および Systems Manager のためにサービスにリンクされたロールを作成し、Explorer を有効にするのに役立つロールを一覧表示するのを許可します。
+ `cloudformation` — プリンシパルが CloudFormation スタックを一覧表示および記述することを許可します。
+ `sns` – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。
+ `devops-guru` – プリンシパルが DevOps Guru を設定し、通知チャネルを追加するのを許可します。
+ `config` – – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、および Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupDistributorPermissionsBoundary` は [Quick Setup を使用して Distributor パッケージをデプロイする](quick-setup-distributor.md) Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Systems Manager のツールである Distributor を使用して、エージェントなどのソフトウェアパッケージの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの配布の有効化をサポートします。
Quick Setup を使用して `AWSQuickSetupDistributorPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、ディストリビューターを使用した、エージェントなどのソフトウェアパッケージの Amazon EC2 インスタンスへの配布を Quick Setup が有効にすることを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがディストリビューターオートメーションロールを取得して渡すこと、デフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。
+ `ec2` – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付け、Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルがインスタンスを設定してパッケージをインストールするオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローの開始をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupSSMHostMgmtPermissionsBoundary` は [Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md) Quick Setup 設定タイプをサポートします。この設定タイプは、IAM ロールを設定し、一般的に使用される Systems Manager のツールを有効にして、Amazon EC2 インスタンスを安全に管理します。
Quick Setup を使用して `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が EC2 インスタンスを安全に管理するために必要な Systems Manager のツールを有効にして設定することを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがサービスロールを取得してオートメーションに渡すのを許可します。プリンシパルがデフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。
+ `ec2` – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けたり、関連付けを解除したりするのを許可します
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、Explorer サービス設定を読み取ったり、更新したりすること、インスタンスを設定すること、インスタンスで Systems Manager のツールを有効にすることを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupPatchPolicyPermissionsBoundary` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
Quick Setup を使用して `AWSQuickSetupPatchPolicyPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが Patch Manager オートメーションロールを取得すること、オートメーションロールを Patch Manager パッチ適用オペレーションに渡すこと、デフォルトのインスタンスロール `AmazonSSMRoleForInstancesQuickSetup` を作成すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、選択した AWS マネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、インスタンスプロファイルとロールに関する情報を読み取ること、デフォルトのインスタンスプロファイルを作成すること、パッチベースラインオーバーライドを読み取るための許可を持つロールにタグ付けすることを許可します。
+ `ssm` – プリンシパルが Systems Manager によって管理されるインスタンスロールを更新すること、Quick Setup で作成された Patch Manager パッチポリシーによって作成された関連付けを管理すること、パッチポリシー設定の対象となるインスタンスにタグ付けすること、インスタンスとパッチ適用ステータスに関する情報を読み取ること、インスタンスパッチを設定、有効化、修復するオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローを開始すること、Explorer の有効化をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `ec2` – プリンシパルが、デフォルトのインスタンスプロファイルの EC2 インスタンスへの関連付けおよび関連付け解除、パッチポリシー設定の対象となるインスタンスへのタグ付け、Explorer の有効化のサポートを実行するのを許可します。
+ `s3` – プリンシパルがパッチベースラインオーバーライドを保存するために S3 バケットを作成および設定するのを許可します。
+ `lambda` – プリンシパルがパッチ適用を設定する AWS Lambda 関数を呼び出し、Quick Setup パッチポリシー設定が削除された後にクリーンアップオペレーションを実行するのを許可します。
+ `logs` – プリンシパルが Patch Manager Quick Setup AWS Lambda 関数についてのログ記録を設定するのを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupSchedulerPermissionsBoundary` は [Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する](quick-setup-scheduler.md) Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、指定した時刻に EC2 インスタンスや他のリソースを停止および起動できます。
Quick Setup を使用して `AWSQuickSetupSchedulerPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがインスタンス管理オートメーションアクション用のロールを取得して渡すこと、EC2 インスタンス管理用のデフォルトのインスタンスロールを管理およびアタッチしたり、渡したりすること、デフォルトのインスタンスプロファイルを作成すること、インスタンスプロファイルにデフォルトのインスタンスロールを追加すること、Systems Manager のためにサービスにリンクされたロールを作成すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、デフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けること、ならびにオートメーションワークフローを開始してインスタンスを設定し、それらで Systems Manager ツールを有効にすることを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始し、Explorer サービス設定を読み取ったり、更新したりするのを許可します。
+ ec2 – プリンシパルがターゲットインスタンスを見つけて、スケジュールに従ってそれらのインスタンスを起動および停止するのを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – プリンシパルがアカウントの AWS Trusted Advisor チェックへの読み取り専用アクセスを提供することで、Explorer の有効化をサポートするのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary
**注記**
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
マネージドポリシー `AWSQuickSetupCFGCPacksPermissionsBoundary` は [Quick Setup を使用して AWS Config 適合パックをデプロイする](quick-setup-cpack.md) Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Config 適合パックをデプロイします。適合パックは、単一のエンティティとしてデプロイできる AWS Config ルールと修復アクションをまとめたものです。
Quick Setup を使用して `AWSQuickSetupCFGCPacksPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が AWS Config 適合パックをデプロイすることを許可する管理許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡すのを許可します。
+ `sns` – プリンシパルが Amazon SNS でプラットフォームアプリケーションを一覧表示するのを許可します。
+ `config` – プリンシパルが AWS Config 適合パックをデプロイすること、適合パックのステータスを取得すること、設定レコーダーに関する情報を取得することを許可します。
+ `ssm` – プリンシパルが SSM ドキュメントとオートメーションワークフローに関する情報を取得すること、リソースタグに関する情報を取得すること、サービス設定に関する情報を取得し、サービス設定を更新することを許可します。
+ `compute-optimizer` – プリンシパルがアカウントのオプトインステータスを取得するのを許可します。
+ `support` – プリンシパルが AWS Trusted Advisor チェックに関する情報を取得するのを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupStartStopInstancesExecutionPolicy
IAM エンティティに `AWSQuickSetupStartStopInstancesExecutionPolicy` をアタッチできます。このポリシーは、Quick Setup が Systems Manager オートメーションを使用して Amazon EC2 インスタンスの開始と停止を管理するためのアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ec2` – プリンシパルが Amazon EC2 インスタンス、そのステータス、リージョン、タグを表示することを許可します。また、特定の Amazon EC2 インスタンスの起動と停止も許可します。
+ `ssm` – プリンシパルが Quick Setup 変更カレンダーからカレンダー状態を取得すること、関連付けを開始すること、およびインスタンススケジューリングのオートメーションドキュメントを実行することを許可します。
+ `iam` – ssm.amazonaws.com と特定のリソース ARN へのサービスアクセスを制限する条件付きで プリンシパルが Quick Setup IAM ロールを Systems Manager 渡すことを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupStartSSMAssociationsExecutionPolicy
このポリシーは、Quick Setup が `AWSQuickSetupType-Scheduler-ChangeCalendarState` Automation ランブックを実行することを許可するアクセス許可を付与します。このランブックは、Quick Setup 設定でスケジュールされたオペレーションの変更カレンダーの状態を管理するために使用されます。
`AWSQuickSetupStartSSMAssociationsExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが `AWSQuickSetupType-Scheduler-ChangeCalendarState` ドキュメント専用の自動化実行を開始することを許可します。これは、スケジュールされたオペレーションの変更カレンダーの状態を Quick Setup で管理するために必要です。
+ `iam` – プリンシパルが名前が「AWS-QuickSetup-」で始まるロールを Systems Manager サービスに渡すことを許可します。このアクセス許可は、変更カレンダー管理に関連する特定の SSM ドキュメントでの使用に制限されています。これは、Quick Setup が自動化プロセスに適切な実行ロールを渡すために必要です。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
ポリシー `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` では、ノードが管理されているアカウントとリージョンで Automation ワークフローを開始することで、Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。
`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わって診断アクションを実行することを許可するサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、ノードの問題を診断する自動化ランブックを実行し、ワークフローの実行ステータスにアクセスし、自動化実行の詳細を取得することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、診断関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `kms` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `sts` – プリンシパルが診断実行ロールを引き受けて同じアカウントで Automation ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisExecutionRole` 命名パターンを持つロールに制限され、リソースアカウントとプリンシパルアカウントを一致させるための条件が含まれています。
+ `iam` – プリンシパルに、診断管理ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisAdminRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
+ `s3` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内のオブジェクトのアクセス、読み取り、書き込み、削除を許可します。このアクセス許可は、`do-not-delete-ssm-diagnosis-` 命名パターンを持つバケットに制限され、同じアカウント内でオペレーションが実行されるようにするための条件が含まれています。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
マネージドポリシー `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` では、ターゲットの AWS アカウントとリージョンで Automation ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードの問題を診断するための管理アクセス許可を付与できます。
`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ec2` – プリンシパルに、Amazon EC2 および Amazon VPC のリソースとその設定を記述して、Systems Manager サービスに関する問題を診断することを許可します。これには、VPC、VPC 属性、VPC エンドポイント、サブネット、セキュリティグループ、インスタンス、インスタンスステータス、ネットワーク ACL、インターネットゲートウェイを記述するアクセス許可が含まれます。
+ `ssm` – プリンシパルが診断固有の Automation ランブックを実行し、Automation ワークフローのステータスと実行メタデータにアクセスすることを許可します。これには、自動化ステップ実行の記述、インスタンス情報の記述、オートメーション実行の記述、アクティベーションの記述、オートメーション実行の詳細の取得、サービス設定の取得、特定の AWS アンマネージド EC2 診断ドキュメントのオートメーション実行の開始を目的としたアクセス許可が含まれます。
+ `kms` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、診断バケット用の、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `iam` – プリンシパルに、診断実行ロールを Systems Manager に渡して自動化ドキュメントを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisExecutionRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
このポリシー `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` は、自動化ドキュメント内で定義されたアクティビティを実行することにより Systems Manager サービスの問題を修正するアクセス許可を提供し、主に自動化ドキュメントの実行に使用されます。このポリシーにより、接続と設定の問題に対処するためにノードが管理されているアカウントとリージョンで、自動化ワークフローを開始することができます。
`AWS-SSM-RemediationAutomation-AdministrationRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、このポリシーを、Systems Manager がユーザーに代わり修正アクションを実行することを許可するサービスロールにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、ノードの問題を修正する自動化ランブックを実行し、ワークフローの実行ステータスにアクセスし、自動化実行の詳細を取得することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、修正関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `kms` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `sts` – プリンシパルに、修正実行ロールを引き受けて同じアカウントで自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationExecutionRole` 命名パターンを持つロールに制限され、リソースアカウントとプリンシパルアカウントを一致させるための条件が含まれています。
+ `iam` – プリンシパルに、修正管理ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationAdminRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
+ `s3` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内のオブジェクトのアクセス、読み取り、書き込み、削除を許可します。このアクセス許可は、`do-not-delete-ssm-diagnosis-` 命名パターンを持つバケットに制限され、同じアカウント内でオペレーションが実行されるようにするための条件が含まれています。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
マネージドポリシー `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` では、特定のターゲットアカウントとリージョンで自動化ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードのネットワークと接続の問題を修復するためのアクセス許可を付与できます。このポリシーにより、自動化ドキュメント内で定義された修正アクティビティが有効になります。これは主に、接続と設定の問題への対処を目的として自動化ドキュメントを実行するために使用されます。
IAM エンティティに ポリシーをアタッチできます。また、Systems Manager はこのポリシーを、ユーザーに代わって修正アクションを実行することを Systems Manager に許可するサービスロールにもアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、自動化実行とその手順の実行に関する情報を取得し、`AWS-OrchestrateUnmanagedEC2Actions` および `AWS-RemediateSSMAgent` ドキュメントを含む特定の修正自動化ランブックを開始することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、修正関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `ec2` – プリンシパルに、Amazon VPC ネットワークリソースを記述および変更して、接続の問題を修正することを許可します。これには、以下が含まれます。
+ Amazon VPC 属性、サブネット、Amazon VPC エンドポイント、セキュリティグループの記述。
+ 必要なタグを使用した Systems Manager サービス (`ssm`、`ssmmessages`、`ec2messages`) 用の Amazon VPC エンドポイントの作成。
+ DNS サポートとホスト名を有効にするための Amazon VPC 属性の変更。
+ Amazon VPC エンドポイントのアクセス用の、特定のタグを持つセキュリティグループの作成と管理。
+ 適切なタグを使用した HTTPS アクセス用の、セキュリティグループルールの承認および取り消し。
+ リソース作成時の Amazon VPC エンドポイント、セキュリティグループ、セキュリティグループルールへのタグの作成。
+ `kms` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `iam` – プリンシパルに、修正実行ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationExecutionRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSSMManageResourcesExecutionPolicy
このポリシーは、Quick Setup が `AWSQuickSetupType-SSM-SetupResources` Automation ランブックを実行することを許可するアクセス許可を付与します。このランブックは Quick Setup 関連付けの IAM ロールを作成し、関連付けは `AWSQuickSetupType-SSM` のデプロイによって作成されます。また、Quick Setup 削除オペレーション時に関連する Amazon S3 バケットをクリーンアップするためのアクセス許可も付与します。
このポリシーを IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが Quick Setup Systems Manager Explorer オペレーションで使用する IAM ロールをリストおよび管理すること、Quick Setup および Systems Manager Explorer で使用する IAM ポリシーを表示、アタッチ、デタッチすることを許可します。これらのアクセス許可は、Quick Setup で一部の設定オペレーションに必要なロールを作成するために必要です。
+ `s3` – プリンシパルがプリンシパルアカウントの Amazon S3 バケットにあるオブジェクトのうち、特に Quick Setup 設定オペレーションに使用されるオブジェクトの情報を取得すること、そのオブジェクトを Amazon S3 バケットから削除することを許可します。これは、設定後に不要になった S3 オブジェクトを削除するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
`AWSQuickSetupSSMLifecycleManagementExecutionPolicy` ポリシーは、Systems Manager に Quick Setup をデプロイする際にライフサイクルイベントに対して CloudFormation カスタムリソースを実行することを Quick Setup に許可する管理アクセス許可を付与します。
このポリシーを IAM エンティティにアタッチできます。Systems Manager は、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールにも、このポリシーをアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルがオートメーションの実行に関する情報を取得し、特定の Quick Setup オペレーションをセットアップするためのオートメーションの実行を開始することを許可します。
+ `iam` – プリンシパルが特定の Quick Setup リソースをセットアップするためのロールを IAM から渡すことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSSMDeploymentRolePolicy
マネージドポリシー `AWSQuickSetupSSMDeploymentRolePolicy` は、Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与します。
このポリシーを IAM エンティティに手動でアタッチすることもできますがお勧めしません。Quick Setup は、ユーザーに代わってアクションを実行することを Systems Manager に許可するサービスロールにこのポリシーをアタッチするエンティティを作成します。
このポリシーは、[`SSMQuickSetupRolePolicy` ポリシー](using-service-linked-roles-service-action-5.md)とは関係ありません。これは、`AWSServiceRoleForSSMQuickSetup` サービスリンクロールにアクセス許可を付与するために使用するポリシーです。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが AWS CloudFormation テンプレートと特定の SSM ドキュメントセットを使用して作成された特定のリソースの関連付けを管理すること、CloudFormation テンプレートを使用してマネージドノードを診断して修復するためのロールとロールポリシーを管理すること、Quick Setup ライフサイクルイベントのポリシーをアタッチおよび削除することを許可します。
+ `iam` – プリンシパルが Systems Manager サービスと Lambda サービスのロールにタグ付けすることとロールのアクセス許可を渡すこと、診断オペレーションのロールのアクセス許可を渡すことを許可します。
+ `lambda` – プリンシパルが CloudFormation テンプレートを使用してプリンシパルアカウントの Quick Setup ライフサイクルの関数をタグ付けおよび管理することを許可します。
+ `cloudformation` – プリンシパルが CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される CloudFormation スタックに関するデータを収集するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` ポリシーは、アカウント内のすべての S3 バケットをリストするためのアクセス許可と、プリンシパルアカウントで CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得するためのアクセス許可を付与します。
`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルがアカウント内のすべての S3 バケットをリストすること、プリンシパルアカウントで CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupEnableDHMCExecutionPolicy
このポリシーは、プリンシパルが `AWSQuickSetupType-EnableDHMC` Automation ランブックを実行してデフォルトのホスト管理設定を有効にすることを許可する管理アクセス許可を付与します。デフォルトのホスト管理設定では、Systems Manager が Amazon EC2 インスタンスを*マネージドインスタンス*として自動的に管理できます。マネージドインスタンスとは、Systems Manager で使用するために設定された EC2 インスタンスです。このポリシーは、Systems Manager サービス設定に SSM Agent のデフォルトのロールとして指定されている IAM ロールを作成するためのアクセス許可も付与します。
`AWSQuickSetupEnableDHMCExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Systems Manager サービス設定に関する情報を更新および取得することを許可します。
+ `iam` – プリンシパルが Quick Setup オペレーションの IAM ロールに関する情報を作成および取得することを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupEnableAREXExecutionPolicy
このポリシーは、`AWSQuickSetupType-EnableAREX` Automation ランブックを実行して Systems Manager で AWS Resource Explorer を使用できるようにすることを Systems Manager に許可する管理アクセス許可を付与します。Resource Explorer を使用すると、インターネット検索エンジンと似た検索エクスペリエンスでアカウントのリソースを表示できます。このポリシーは、Resource Explorer のインデックスとビューを管理するためのアクセス許可も付与します。
`AWSQuickSetupEnableAREXExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが AWS Identity and Access Management (IAM) サービスにサービスリンクロールを作成することを許可します。
+ `resource-explorer-2` – プリンシパルが Resource Explorer のビューとインデックスに関する情報を取得すること、Resource Explorer のビューとインデックスを作成すること、Quick Setup に表示されているインデックスのインデックスタイプを変更することを許可します。
ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupManagedInstanceProfileExecutionPolicy
このポリシーは、Quick Setup ツールのデフォルトの IAM インスタンスプロファイルを作成して、まだインスタンスプロファイルがアタッチされていない Amazon EC2 インスタンスにアタッチすることを Systems Manager に許可する管理アクセス許可を付与します。このポリシーは、既存のインスタンスプロファイルにアクセス許可をアタッチする機能も Systems Manager に付与します。その目的は、Systems Manager が EC2 インスタンス上の SSM Agent と通信するために必要なアクセス許可を確実に付与することです。
`AWSQuickSetupManagedInstanceProfileExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Quick Setup プロセスに関連付けられている Automation ワークフローを開始することを許可します。
+ `ec2` – プリンシパルが Quick Setup によって管理される EC2 インスタンスに IAM インスタンスプロファイルをアタッチすることを許可します。
+ `iam` – プリンシパルが Quick Setup プロセスに使用されるロールに関する情報を作成、更新、および IAM から取得すること、IAM インスタンスプロファイルを作成すること、IAM インスタンスプロファイルに `AmazonSSMManagedInstanceCore` マネージドポリシーをアタッチすることを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupManageJITNAResourcesExecutionPolicy
マネージドポリシー `AWSQuickSetupManageJITNAResourcesExecutionPolicy` により、Systems Manager のツールである Quick Setup がジャストインタイムノードアクセスを設定できるようになります。
`AWSQuickSetupManageJITNAResourcesExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Systems Manager がジャストインタイムノードアクセスに関連付けられたリソースを作成することを許可する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルがジャストインタイムノードアクセスの ID プロバイダーを指定するサービス設定を取得および更新することを許可します。
+ `iam` – プリンシパルがロールを作成、タグ付け、および取得すること、ジャストインタイムノードアクセスマネージドポリシーのロールポリシーをアタッチすること、ジャストインタイムノードアクセスと通知のサービスにリンクされたロールを作成することを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSQuickSetupJITNADeploymentRolePolicy
マネージドポリシー `AWSQuickSetupJITNADeploymentRolePolicy` は、Quick Setup がジャストインタイムノードアクセスの設定に必要な設定タイプをデプロイすることを許可します。
`AWSQuickSetupJITNADeploymentRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Systems Manager がジャストインタイムノードアクセスに関連付けられたリソースを作成することを許可する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `cloudformation` – プリンシパルが CloudFormation スタックの作成、更新、削除、および読み取りを行うことを許可します。
+ `ssm` – プリンシパルが CloudFormation によって呼び出される State Manager の関連付けの作成、削除、更新、および読み取りを行うことを許可します。
+ `iam` – プリンシパルが CloudFormation によって呼び出される IAM ロールの作成、削除、読み取り、およびタグ付けを行うことを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy
マネージドポリシー `AWSSystemsManagerJustInTimeAccessServicePolicy` は、AWS Systems Manager のジャストインタイムアクセスフレームワークによって管理または使用される AWS リソースへのアクセスを付与します。このポリシーの更新により、自動化実行のタグ付けアクセス許可が追加され、お客様は特定のタグにオペレーターアクセス許可の範囲を絞り込むことができます。
IAM エンティティに `AWSSystemsManagerJustInTimeAccessServicePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してジャストインタイムノードアクセスを有効にする](using-service-linked-roles-service-action-8.md)」を参照してください。
このポリシーは、ジャストインタイムノードアクセスに関連付けられたリソースへのアクセスを許可する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが OpsItems を作成および管理すること、OpsItems と自動化実行にタグを追加すること、OpsItems を取得して更新すること、ドキュメントを取得して記述すること、OpsItems とセッションを記述すること、マネージドインスタンスのドキュメントとタグを一覧表示することを許可します。
+ `ssm-guiconnect` – プリンシパルが接続を一覧表示することを許可します。
+ `identitystore` – ユーザー ID とグループ ID を取得すること、ユーザーを記述すること、グループメンバーシップを一覧表示することを許可します。
+ `sso-directory` – プリンシパルがユーザーを記述すること、ユーザーがグループのメンバーであるかどうかを判断することを許可します。
+ `sso` – プリンシパルが登録されているリージョンを記述すること、インスタンスとディレクトリの関連付けを一覧表示することを許可します。
+ `cloudwatch` – プリンシパルが `AWS/SSM/JustInTimeAccess` 名前空間のメトリクスデータを配置することを許可します。
+ `ec2` – プリンシパルがタグを記述することを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenPolicy
マネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenPolicy` は、ジャストインタイムのノードアクセスワークフローの一部として Session Manager と Systems Manager GUI Connect RDP を介して Amazon EC2 インスタンスとマネージドインスタンスへの安全な接続を確立するアクセス許可を提供します。
IAM エンティティに `AWSSystemsManagerJustInTimeAccessTokenPolicy` をアタッチできます。
このポリシーは、ユーザーがジャストインタイムノードアクセスの安全なセッションの開始と管理、RDP 接続の確立、必要な暗号化オペレーションを行うことのできる寄稿者アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが SSM-SessionManagerRunShell ドキュメントを使用して Amazon EC2 インスタンスとマネージドインスタンスで Session Manager セッションを開始することを許可します。また、Systems Manager GUI Connect を介して呼び出された場合、セッションの終了と再開、コマンド呼び出しの詳細の取得、SSO ユーザー設定のインスタンスへのコマンドの送信も許可します。さらに、Systems Manager GUI Connect を介して呼び出されるた場合、RDP 接続のポート転送セッションを開始できます。
+ `ssmmessages` – Session Manager セッション中にプリンシパルが安全な通信のためにデータチャネルを開くことを許可します。
+ `ssm-guiconnect` – プリンシパルがインスタンスへの Systems Manager GUI Connect RDP 接続の開始、詳細の取得、キャンセルを行うことを許可します。
+ `kms` – プリンシパルが Session Manager 暗号化用のデータキーを生成し、RDP 接続の許可を作成することを許可します。これらのアクセス許可は、`SystemsManagerJustInTimeNodeAccessManaged=true` でタグ付けされた AWS KMS キーに制限されます。許可の作成は、Systems Manager GUI Connect サービスを介してのみ使用するようにさらに制限されています。
+ `sso` – Systems Manager GUI Connect を介して呼び出された場合、プリンシパルがディレクトリの関連付けを一覧表示することを許可します。これは RDP SSO ユーザーのセットアップに必要です。
+ `identitystore` – Systems Manager GUI Connect を介して呼び出された場合、プリンシパルが ID ストア内のユーザーを表示することを許可します。これは RDP SSO ユーザーのセットアップに必要です。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
マネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` は、Systems Manager がスコープダウンされたアクセス許可をジャストインタイムノードアクセストークンに適用することを許可します。
IAM エンティティに `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` をアタッチできます。
このポリシーは、Systems Manager がジャストインタイムノードアクセストークンのアクセス許可をスコープダウンすることを許可する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが `SSM-SessionManagerRunShell` ドキュメントを使用して Session Manager セッションを開始することを許可します。また、`ssm-guiconnect` によって最初に呼び出されたときに、`AWS-StartPortForwardingSession` ドキュメントを使用してセッションを開始し、コマンド呼び出しを一覧表示し、`AWSSSO-CreateSSOUser` ドキュメントを使用してコマンドを送信します。
+ `ssm-guiconnect` – プリンシパルがすべてのリソースで接続をキャンセル、取得、および開始することを許可します。
+ `kms` – AWS サービスを介して `ssm-guiconnect` によって呼び出されたときに `SystemsManagerJustInTimeNodeAccessManaged` でタグ付けされたキーについて、プリンシパルが権限を作成すること、データキーを生成することを許可します。
+ `sso` – `ssm-guiconnect` によって呼び出されたときに、プリンシパルがディレクトリの関連付けを一覧表示することを許可します。
+ `identitystore` – `ssm-guiconnect` によって呼び出されたときに、プリンシパルがユーザーを記述することを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
マネージドポリシー `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` は、Systems Manager が委任管理者アカウントからメンバーアカウントにアクセス拒否ポリシーを共有すること、ポリシーを複数の AWS リージョンにレプリケートすることを許可します。
IAM エンティティに `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` をアタッチできます。
このポリシーは、Systems Manager がアクセス拒否ポリシーを共有および作成するために必要な管理アクセス許可を提供します。これにより、ジャストインタイムノードアクセス用に設定された AWS Organizations の組織とリージョン内のすべてのアカウントにアクセス拒否ポリシーが適用されます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが SSM ドキュメントとリソースポリシーを管理することを許可します。
+ `ssm-quicksetup` – プリンシパルが Quick Setup 設定マネージャーを読み取ることを許可します。
+ `organizations` – プリンシパルが AWS Organizations の組織と委任管理者に関する詳細を一覧表示することを許可します。
+ `ram` – プリンシパルがリソース共有を作成、タグ付け、および記述することを許可します。
+ `iam` – プリンシパルがサービスロールを記述することを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWSSystemsManagerNotificationsServicePolicy
マネージドポリシー `AWSSystemsManagerNotificationsServicePolicy` は、Systems Manager がジャストインタイムノードアクセスリクエストの E メール通知を送信して、リクエスト承認者にアクセスすることを許可します。
IAM エンティティに `AWSSystemsManagerJustInTimeAccessServicePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してジャストインタイムノードアクセスリクエスト通知を送信する](using-service-linked-roles-service-action-9.md)」を参照してください。
このポリシーは、Systems Manager がアクセスリクエスト承認者にジャストインタイムノードアクセスリクエストの E メール通知を送信することを許可する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `identitystore` – プリンシパルがユーザーとグループのメンバーシップを一覧表示および記述することを許可します。
+ `sso` – プリンシパルがインスタンスとディレクトリを一覧表示すること、登録されたリージョンを記述することを許可します。
+ `sso-directory` – プリンシパルがユーザーを記述すること、グループのメンバーを一覧表示することを許可します。
+ `iam` – プリンシパルがロールに関する情報を取得することを許可します。
JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-Automation-DiagnosisBucketPolicy
マネージドポリシー `AWS-SSM-Automation-DiagnosisBucketPolicy` では、問題の診断と修復に使用される S3 バケットにアクセスして、AWS Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。
`AWS-SSM-Automation-DiagnosisBucketPolicy` ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルがオブジェクトにアクセスして Amazon S3 バケットに書き込むことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
マネージドポリシー `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。
`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` を IAM ID にアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。
+ `sts` – プリンシパルが修復実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
マネージドポリシー `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。
`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。
+ `sts` – プリンシパルが診断実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)」を参照してください。
## AWS マネージドポリシーに対する Systems Manager の更新
以下の表には、このサービスによりこれらの変更の追跡が開始された 2021 年 3 月 12 日以降に行われた Systems Manager 用 AWS マネージドポリシーに対する更新の詳しい説明が記載されています。Systems Manager サービスの他のマネージドポリシーについては、このトピックの後半の「[Systems Manager 用の追加のマネージドポリシー](#policies-list)」を参照してください。このページの変更に関する自動通知については、[Systems Manager [ドキュメント履歴](systems-manager-release-history.md)] ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 既存のポリシーの更新 | Systems Manager に `cloudformation:TagResource` および `cloudformation:UntagResource` のアクセス許可を追加しました。これらのアクセス許可により、CloudFormation スタックを作成する Automation ランブックがリソースにタグを追加および削除できるようになります。 | 2026 年 3 月 20 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – マネージドポリシーの更新 | Systems Manager は、マネージドポリシーを更新して、診断機能を強化するために EC2 および SSM のアクセス許可を追加しました。このポリシーには、EC2 インスタンスのステータスとネットワーク ACL、SSM のアクティベーションとサービス設定を記述するアクセス許可が含まれ、マネージドノードの問題のトラブルシューティングを行うためのより包括的な診断情報が提供されるようになりました。 | 2025 年 12 月 19 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 管理ポリシーの更新 | Systems Manager は、マネージドポリシー `AWSQuickSetupDeploymentRolePolicy` を更新して、2 つの SSM ドキュメント (`AWSQuickSetupType-ConfigureDevOpsGuru` と `AWSQuickSetupType-DeployConformancePack`) のサポートを追加しました。これらの追加により、Quick Setup はポリシーを介して DevOps Guru 設定とコンフォーマンスパックをデプロイできます。 | 2025 年 12 月 15 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 既存のポリシーの更新 | Systems Manager でマネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenPolicy` が更新されました。ステートメント (`SID`) `TerminateAndResumeSession` の名前が `TerminateAndResumeSessionAndOpenDataChannel` に変更され、セッション管理とデータチャネルのアクセス許可を 1 つのステートメントにまとめる `ssmmessages:OpenDataChannel` アクションが含まれるようになりました。 | 2025 年 9 月 25 日 |
| マネージドポリシーの更新 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager で 3 つのマネージドポリシーが更新され、特定のオートメーションランブックと SSM コマンドドキュメントを始めとする追加の Systems Manager リソースでオートメーション実行を開始するためのサポートが追加されました。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 更新されたマネージドポリシー | Systems Manager でマネージドポリシーが更新され、Quick Setup スケジューラ設定のアクセス許可が調整されました。このポリシーでは、Amazon EC2 インスタンスの起動と停止、変更カレンダーへのアクセス、強化されたセキュリティ条件でのオートメーションドキュメントの実行に関するより具体的なアクセス許可が提供されるようになりました。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 更新されたマネージドポリシー | Systems Manager でマネージドポリシーが更新され、オートメーションドキュメントが `AWSQuickSetupType-StartSSMAssociations` から `AWSQuickSetupType-Scheduler-ChangeCalendarState` に変更されました。この更新により、ポリシーの目的がSSM 関連付けの開始から、スケジュールされたオペレーションの変更カレンダーの状態の管理に変更されます。 | 2025 年 9 月 12 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 既存のポリシーの更新 | Systems Manager で新しいアクセス許可が追加され、オートメーションランブックがセッションベースのオペレーションの通信チャネルを確立することが可能になりました。 リソース `arn:*:ssm:*:*:session/*` に対する `ssmmessages:OpenDataChannel` アクセス許可が追加されました。 | 2025 年 9 月 11 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – マネージドポリシーの更新 | Systems Manager は、自動化実行のタグ付けのアクセス許可を追加するようにマネージドポリシーを更新しました。サービスでは、自動化実行に `SystemsManagerJustInTimeNodeAccessManaged=true` タグを付けて、お客様がオペレーターのアクセス許可を特定のタグに絞り込むことができるようにする必要があります。 | 2025 年 8 月 25 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 新しいポリシー | Systems Manager は、Quick Setup が `AWSQuickSetupType-StartSSMAssociations` 自動化ランブックを実行することを許可する新しいポリシーを追加しました。このランブックは、Quick Setup 構成によって作成される State Manager 関連付けを開始するために使用されます。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 新しいポリシー | Systems Manager は、Quick Setup がスケジュールに従って Amazon EC2 インスタンスを起動および停止することを許可する新しいポリシーを追加しました。このポリシーは、定義されたスケジュールに基づいてインスタンスの状態を管理するために必要なアクセス許可を Quick Setup スケジューラ設定タイプに付与します。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – ドキュメントの更新 | Systems Manager は、追加のリソースに対するアクセス許可を付与するために `AWSQuickSetupDeploymentRolePolicy` マネージドポリシーを更新しました。さらに、`AWSQuickSetupDeploymentRolePolicy` のドキュメントが更新され、Quick Setup 設定管理オペレーションのためにこのポリシーによって付与されるアクセス許可の詳細な説明が追加されました。 | 2025 年 8 月 12 日 |
| [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – 既存のポリシーの更新 | Systems Manager でマネージドポリシーが更新され、document と automation-execution の両方のリソースタイプにアクセス許可を要求することで、ssm:StartAutomationExecution API のセキュリティ体制が強化されました。更新されたポリシーでは、ネットワーク修復機能のより詳細な説明、より具体的な Amazon VPC エンドポイントの作成のためのアクセス許可、詳細なセキュリティグループ管理のためのアクセス許可、修正オペレーションのリソースタグ付けコントロールの改善など、修正自動化の実行に関するより包括的で詳細なアクセス許可が提供されています。 | 2025 年 7 月 16 日 |
| [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – 既存のポリシーの更新 | Systems Manager で、修正自動化オペレーションの、API 認証の改善をサポートするようにマネージドポリシーが更新されました。このポリシー更新により、自動化ドキュメント内で定義されたアクティビティを実行するためのアクセス許可が強化され、修復ワークフローのセキュリティコントロールとリソースアクセスパターンが改善されました。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 既存のポリシーの更新 | Systems Manager で、診断自動化実行のためのより詳細で正確なアクセス許可を提供するようにマネージドポリシーが更新されました。このポリシー更新により、Amazon EC2 および Amazon VPC のリソースアクセスの説明が改善され、SSM オートメーションのアクセス許可がより具体的になり、AWS KMS および IAM アクセス許可の説明が適切なリソース制限とともに改善されました。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – 既存のポリシーの更新 | Systems Manager で、診断自動化オペレーションに、より具体的なアクセス許可とセキュリティ条件を含めるようにマネージドポリシーが更新されました。このポリシー更新により、AWS KMS キーの使用、Amazon S3 バケットアクセス、ロールの前提条件に対するセキュリティコントロールが強化され、リソースベースの条件とアカウントレベルの制限がこれまでよりも厳格になりました。 | 2025 年 7 月 16 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – ポリシーへの更新 | Systems Manager は、Amazon 所有のランブック [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content) にアクセスするためのアクセス許可をマネージドポリシー `AWSQuickSetupDeploymentRolePolicy` に追加しました。このアクセス許可により、Quick Setup はインラインポリシーではなく管理ポリシーを使用して関連付けを作成できます。 | 2025 年 7 月 14 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – ドキュメントの更新 | Systems Manager に既存の `AmazonSSMAutomationRole` ポリシーの包括的なドキュメントが追加されました。このポリシーは、Systems Manager の自動化サービスが、自動化ランブック内で定義されたアクティビティを実行するためのアクセス許可を提供するものです。 | 2025 年 7 月 15 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – ポリシーの更新 | ジャストインタイムノードアクセスのために AWS Resource Access Manager により共有されているリソースに、Systems Manager がタグを付けることを許可するアクセス許可が Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – ポリシーへの更新 | ジャストインタイムノードアクセスのために作成された IAM ロールにタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新しいポリシー | ジャストインタイムノードアクセストークンにスコープダウンされたアクセス許可を適用することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新しいポリシー | ジャストインタイムノードアクセスリクエストの E メール通知をアクセスリクエスト承認者に送信することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新しいポリシー | 承認ポリシーを異なるリージョンにレプリケートすることを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新しいポリシー | ジャストインタイムノードアクセスのために使用されるアクセストークンを生成することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新しいポリシー | Systems Manager のジャストインタイムノードアクセス機能によって管理または使用される AWS リソースへのアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新しいポリシー | ジャストインタイムノードアクセスのために必要な IAM ロールを作成することを、Systems Manager のツールである Quick Setup に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新しいポリシー | ジャストインタイムノードアクセスを設定するために必要な設定タイプをデプロイすることを Quick Setup に許可するアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – ポリシーの更新 | ジャストインタイムノードアクセスのために AWS Resource Access Manager により共有されているリソースに、Systems Manager がタグを付けることを許可するアクセス許可が Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – ポリシーの更新 | ジャストインタイムノードアクセスのために作成された IAM ロールにタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新しいポリシー | ジャストインタイムノードアクセストークンにスコープダウンされたアクセス許可を適用することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新しいポリシー | ジャストインタイムノードアクセスリクエストの E メール通知をアクセスリクエスト承認者に送信することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新しいポリシー | 承認ポリシーを異なるリージョンにレプリケートすることを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新しいポリシー | ジャストインタイムノードアクセスのために使用されるアクセストークンを生成することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新しいポリシー | Systems Manager のジャストインタイムノードアクセス機能によって管理または使用される AWS リソースへのアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新しいポリシー | ジャストインタイムノードアクセスのために必要な IAM ロールを作成することを、Systems Manager のツールである Quick Setup に許可する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新しいポリシー | ジャストインタイムノードアクセスを設定するために必要な設定タイプをデプロイすることを Quick Setup に許可するアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。 | 2025 年 4 月 30 日 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) - 新しいポリシー | 組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) - 新しいポリシー | 組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 既存ポリシーへの更新 | AWS Resource Explorer に Amazon EC2 インスタンスに関する詳細を収集し、結果を新しい Systems Manager ダッシュボードのウィジェットに表示することを許可する新しいアクセス許可が Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 既存ポリシーへの更新 | Systems Manager のマネージドポリシー SSMQuickSetupRolePolicy が更新されました。この更新により、関連付けられたサービスリンクロール AWSServiceRoleForSSMQuickSetup でリソースデータの同期を管理できるようになります。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – ポリシーの更新 | 統合コンソール用に作成された IAM ロールと Lambda にタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。 | 2025 年 5 月 7 日 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) - 新しいポリシー | Quick Setup で Quick Setup 関連付けの IAM ロールを作成するオペレーションを実行できるように、新しいポリシーが Systems Manager に追加されました。関連付けは AWSQuickSetupType-SSM のデプロイによって作成されます。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) - 新しいポリシー | Quick Setup のデプロイ時に Quick Setup がライフサイクルイベントで CloudFormation カスタムリソースを実行できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) - 新しいポリシー | Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) - 新しいポリシー | CloudFormation テンプレートを使用して管理されるプリンシパルアカウントの特定のバケットに関する情報を管理および取得できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) - 新しいポリシー | 自ら既存の [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) を使用する IAM ロールを作成することを Quick Setup に許可する新しいポリシーが Systems Manager に導入されます。このポリシーには、SSM Agent が Systems Manager サービスと通信するために必要なアクセス許可がすべて含まれています。この新しいポリシーでは、Systems Manager サービス設定に変更を加えることもできます。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) - 新しいポリシー | Quick Setup が AWS Resource Explorer のサービスリンクロールを作成して Resource Explorer のビューとアグリゲーターインデックスにアクセスできるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) - 新しいポリシー | Quick Setup がデフォルトの Quick Setup インスタンスプロファイルを作成して、関連付けられたインスタンスプロファイルがない任意の Amazon EC2 インスタンスにアタッチできるように、新しいポリシーが Systems Manager に追加されました。この新しいポリシーにより、Quick Setup は既存のプロファイルにアクセス許可をアタッチして、必要なすべての Systems Manager アクセス許可を確実に付与できるようになります。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 既存ポリシーへの更新 | Quick Setup で作成した追加の AWS CloudFormation スタックセットの健全性をチェックできるよう、Systems Manager で新しいアクセス許可を追加しました。 | 2024 年 8 月 13 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – 既存ポリシーへの更新 | Systems Manager が、AmazonSSMManagedEC2InstanceDefaultPolicy の JSON ポリシーにステートメント ID (Sid) を追加しました。これらの Sid は、各ポリシーステートメントの目的のインライン記述を提供します。 | 2024 年 7 月 18 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 新しいポリシー | Systems Manager は、デプロイされたリソースの正常性をチェックし、元の設定からドリフトしたインスタンスを修復することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 新しいポリシー | Systems Manager は、IAM ロールとオートメーションを作成する (これは、推奨されるベストプラクティスを使用して頻繁に使用される Amazon Web Services サービスと機能を設定します) 複数の Quick Setup 設定タイプをサポートする新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) – 新しいポリシー | Systems Manager は、Patch Manager パッチポリシー Quick Setup 設定に関連付けられたリソースを作成することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – 新しいポリシー | Systems Manager は、読み取り専用許可で Patch Manager のパッチベースラインにアクセスすることを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – 新しいポリシー | Systems Manager は、Explorer を有効にするための管理許可を付与することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – 新しいポリシー | Systems Manager は、AWS Config 設定記録を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – 新しいポリシー | Systems Manager は、Amazon DevOps Guru を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – 新しいポリシー | Systems Manager は、AWS Systems Manager のツールである Distributor を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) – 新しいポリシー | Systems Manager は、Amazon EC2 インスタンスを安全に管理するための Systems Manager のツールを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – 新しいポリシー | Systems Manager は、AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – 新しいポリシー | Systems Manager は、Amazon EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) – 新しいポリシー | Systems Manager は、AWS Config 適合パックをデプロイすることを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – 既存ポリシーへの更新 | OpsCenter は、OpsData 関連のオペレーションを管理するための Explorer のサービスにリンクされたロール内のサービスコードのセキュリティを強化することを目的として、ポリシーを更新しました。 | 2023 年 7 月 3 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) - 新しいポリシー | Systems Manager は、IAM インスタンスプロファイルを使用せずに、Amazon EC2 インスタンスで Systems Manager 機能を許可する新しいポリシーを追加しました。 | 2022 年 8 月 18 日 |
| [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 既存のポリシーを更新します | Systems Manager では、Explorer または OpsCenter から Security Hub CSPM を有効にしたときに、Explorer が管理ルールを作成できるようにする新しいアクセス許可が追加されました。OpsData を許可する前に、その設定と Compute Optimizer コンピュートオプティマイザが、必要な要件を満たしていることを確認するための新しいアクセス許可が追加されました。 | 2021 年 4 月 27 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) - 新しいポリシー | Systems Manager は、Explorer と OpsCenter の Security Hub CSPM の検出結果から OpsItems と OpsData を作成および更新する新しいポリシーを追加しました。 | 2021 年 4 月 27 日 |
| `AmazonSSMServiceRolePolicy` – 既存ポリシーへの更新 | Systems Manager では、Explorer の複数のアカウントと AWS リージョン からの集計 OpsData と OpsItems の詳細を表示できるようにする新しいアクセス許可が追加されました。 | 2021 年 3 月 24 日 |
| Systems Manager は変更の追跡を開始しました | Systems Manager が AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 3 月 12 日 |
## Systems Manager 用の追加のマネージドポリシー
Systems Manager では、このトピックで前述したマネージドポリシーに加えて、次のポリシーもサポートされています。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – オートメーションの実行を表示するアクセスと、承認待ちのオートメーションへの承認決定を送信するアクセスを許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html) – マネージドノードによるドメインの参加リクエストに対して、SSM Agent による Directory Service へのアクセスをユーザーに代わって許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) – Systems Manager API およびドキュメントに対するフルアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – Systems Manager API へのアクセス許可をメンテナンスウィンドウに付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – ノードに Systems Manager サービスコア機能の使用を許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – パッチ関連付け操作用の子インスタンスへのアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – Systems Manager の読み取り専用 API オペレーション (`Get*` や `List*` など) へのアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) – Systems Manager でオペレーションインサイトの *OpsItems* を作成して更新するアクセス許可を付与する AWS マネージドポリシー。サービスにリンクされたロール [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) を通じてアクセス許可を付与するために使用されます。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html) – Systems Manager に AWS アカウント 情報を検出するアクセス許可を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – このポリシーはサポートされなくなったため、使用しないでください。代わりに、`AmazonSSMManagedInstanceCore` ポリシーを使用して、EC2 インスタンスで Systems Manager サービスコア機能を有効にします。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
# AWS Systems Manager ID とアクセスのトラブルシューティング
次の情報は、AWS Systems Manager と AWS Identity and Access Management (IAM) の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Systems Manager でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の AWS アカウント 以外のユーザーに Systems Manager リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Systems Manager でアクションを実行する権限がない
AWS マネジメントコンソール から、アクションを実行する権限がないと通知された場合は、管理者に問い合わせてサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。
以下の例のエラーは、`mateojackson` ユーザーがコンソールを使用して、ドキュメントの詳細を表示しようとしているが、`ssm:GetDocument` アクセス許可がない場合に発生します。
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
この場合、Mateo は、`ssm:GetDocument` アクションを使用して `MyExampleDocument` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Systems Manager にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Systems Manager でアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。
## 自分の AWS アカウント 以外のユーザーに Systems Manager リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください。
+ Systems Manager がこれらの機能をサポートしているかどうかを確認するには、「[AWS Systems Manager と IAM の連携方法](security_iam_service-with-iam.md)」をご参照ください。
+ 所有している AWS アカウント 全体のリソースへのアクセス権を提供する方法については、*IAM ユーザーガイド*の[所有している別の AWS アカウント アカウントへのアクセス権を IAM ユーザーに提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)を参照してください。
+ サードパーティの AWS アカウント にリソースへのアクセス権を提供する方法については、「*IAM ユーザーガイド*」の「[サードパーティが所有する AWS アカウント へのアクセス権を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# Systems Manager のサービスにリンクされたロールの使用
AWS Systems Manager では AWS Identity and Access Management (IAM) の[サービスリンクロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Systems Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Systems Manager によって事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべてのアクセス許可が含まれています。
**注記**
「サービスロール」のロールはサービスにリンクされたロールとは異なります。サービスロールは、サービスが AWS のリソースにアクセスできるように、AWS のサービス にアクセス許可を付与する AWS Identity and Access Management (IAM) ロールのタイプです。サービスロールを必要とする Systems Manager のシナリオはごくわずかです。Systems Manager のサービスロールを作成する場合は、他の AWS リソースにアクセスまたは通信するために付与するアクセス許可を選択します。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Systems Manager の設定が簡単になります。このサービスリンクロールのアクセス許可は Systems Manager で定義します。特に定義されている場合を除き、Systems Manager のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、Systems Manager リソースは保護されます。
**注記**
[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境内の非 EC2 ノードの場合、それらのマシンが Systems Manager サービスと通信できるようにする追加の IAM ロールが必要です。これは、Systems Manager の IAM サービスロールです。このロールは、Systems Manager サービスに対して AWS Security Token Service (AWS STS) *AssumeRole* 信頼を付与します。`AssumeRole` アクションは、一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成) を返します。これらの一時的な認証情報を使用して、通常はアクセスできない AWS リソースにアクセスします。詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」および「[AWS Security Token Service API リファレンス](https://docs.aws.amazon.com/STS/latest/APIReference/)」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「**サービスにリンクされたロール**」の列内で「**はい**」と表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [ロールを使用してインベントリの収集と OpsData の表示を行う](using-service-linked-roles-service-action-1.md)
+ [ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)
+ [ロールを使用して、Explorer の OpsData および OpsItems を作成](using-service-linked-roles-service-action-3.md)
+ [ロールを使用して Systems Manager OpsCenter で運用上のインサイト OpsItems を作成する](using-service-linked-roles-service-action-4.md)
+ [ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する](using-service-linked-roles-service-action-5.md)
+ [ロールを使用した Explorer OpsData のエクスポート](using-service-linked-roles-service-action-6.md)
+ [ロールを使用してジャストインタイムノードアクセスを有効にする](using-service-linked-roles-service-action-8.md)
+ [ロールを使用してジャストインタイムノードアクセスリクエスト通知を送信する](using-service-linked-roles-service-action-9.md)
# ロールを使用してインベントリの収集と OpsData の表示を行う
Systems Manager は、**`AWSServiceRoleForAmazonSSM`** と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、このIAM サービスロールを使用して、ユーザーに代わって AWS リソースを管理します。
## インベントリ、OpsData、OpsItems のサービスにリンクされたロールアクセス権限
`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールは、このロールを引き受ける上で `ssm.amazonaws.com` のみを信頼します。
Systems Manager のサービスリンクロールの `AWSServiceRoleForAmazonSSM` は、次の目的で使用することができます。
+ Systems Manager Inventory ツールは、サービスリンクロールの `AWSServiceRoleForAmazonSSM` を使用して、インベントリのメタデータをタグおよびリソースグループから収集します。
+ Explorer ツールは、サービスリンクロールの `AWSServiceRoleForAmazonSSM` を使用して、複数のアカウントから OpsData および OpsItems を表示できるようにします。また、このサービスにリンクされたロールでは、Explorer または OpsCenter からデータソースとして Security Hub CSPM を有効にすると、Explorer がマネージドルールを作成できます。
**重要**
以前は、Systems Manager コンソールが、AWS マネージド IAM サービスリンクロール `AWSServiceRoleForAmazonSSM` を選択して、タスクのメンテナンスロールとして使用する機能を提供していました。メンテナンスウィンドウのタスクにおける、このロールとそれに関連するポリシーである `AmazonSSMServiceRolePolicy` の使用は推奨されなくなりました。このロールをメンテナンスウィンドウのタスクに使用している場合は、使用を中止することをお勧めします。代わりに、メンテナンスウィンドウのタスクが実行されたときに、Systems Manager と他の AWS のサービス間の通信を可能にする独自の IAM ロールを作成します。
詳細については、「[Maintenance Windows を設定する](setting-up-maintenance-windows.md)」を参照してください。
`AWSServiceRoleForAmazonSSM` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AmazonSSMServiceRolePolicy` です。付与されるアクセス許可の詳細については、「[AWS 管理ポリシー: AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールの作成
**EC2** ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用できます。IAM のコマンドを AWS Command Line Interface (AWS CLI) で使用するか、IAM API を使用して、`ssm.amazonaws.com` サービス名でサービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。
## Systems Manager の `AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM` サービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。サービスにリンクされたロールは、IAM コンソール、AWS CLI、または IAM API を使用して手動で削除することができます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。
`AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールは複数のツールで使用されていることがあるため、削除する前に、そのロールが使用されていないことを確認してください。
+ **Inventory**: インベントリツールで使用される、サービスにリンクされたロールを削除すると、タグとリソースグループのインベントリデータは同期されなくなります。手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
+ **Explorer:** Explorer ツールで使用されるサービスにリンクされたロールを削除すると、クロスアカウント、クロスリージョン OpsData および OpsItems は表示できなくなります。
**注記**
タグまたはリソースグループを削除する際に、Systems Manager サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**`AWSServiceRoleForAmazonSSM` で使用されている Systems Manager リソースを削除するには**
1. タグを削除するには、「[個々のリソースでのタグの追加と削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)」を参照してください。
1. リソースグループを削除するには、「[AWS Resource Groups からのグループの削除](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)」を参照してください。
**IAM を使用して `AWSServiceRoleForAmazonSSM` サービスリンクロールを手動で削除するには**
`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールを削除するには、IAM コンソール、AWS CLI、または IAM API を使用します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForAmazonSSM` サービスにリンクされたロールをサポートするリージョン
Systems Manager では、このサービスが利用可能なすべての AWS リージョン で、`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。
# ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集
Systems Manager は、**`AWSServiceRoleForAmazonSSM_AccountDiscovery`** と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用して、AWS アカウント 情報を検出するために他の AWS のサービスを呼び出します。
## Systems Manager アカウント検出のためのサービスにリンクされたロールの許可
`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `accountdiscovery.ssm.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールの作成
Systems Manager のツールである Explorer および OpsCenter を複数の AWS アカウントで使用する場合は、サービスにリンクされたロールを作成する必要があります。OpsCenter では、サービスにリンクされたロールを手作業で作成する必要があります。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。
Explorer では、AWS マネジメントコンソール で Systems Manager を使用してリソースデータ同期を作成する場合、**[Create role]** (ロールの作成) ボタンを選択して、サービスにリンクされたロールを作成できます。リソースデータの同期をプログラムで作成する場合は、リソースデータの同期を作成する前に、ロールを作成する必要があります。[CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API オペレーションを使用してロールを作成できます。
## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
### `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールのクリーンアップ
IAM を使用して `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを削除するには、最初に、Explorer リソースデータ同期をすべて削除する必要があります。
**注記**
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
### `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを手動で削除する
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールをサポートするリージョン
Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。
## AWSServiceRoleForAmazonSSM\$1AccountDiscovery のサービスにリンクされたロールへの更新
このサービスがこれらの変更の追跡を開始して以降行われた、AWSServiceRoleForAmazonSSM\$1AccountDiscovery のサービスにリンクされたロールの更新に関する詳細を表示します。このページの変更に関する自動通知については、[Systems Manager [ドキュメント履歴](systems-manager-release-history.md)] ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 新しいアクセス許可の追加 | このサービスにリンクされたロールに、`organizations:DescribeOrganizationalUnit` および `organizations:ListRoots` のアクセス許可が含まれるようになりました。これらのアクセス許可により、AWS Organizations の管理アカウントまたは Systems Manager の委任された管理者アカウントが複数のアカウントで OpsItems を使用できるようになります。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 | 2022 年 10 月 17 日 |
# ロールを使用して、Explorer の OpsData および OpsItems を作成
Systems Manager は、**`AWSServiceRoleForSystemsManagerOpsDataSync`** と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、この Explorer の IAM サービスロールを使用して OpsData と OpsItems を作成します。
## Systems Manager OpsData 同期ためのサービスにリンクされたロールの許可
`AWSServiceRoleForSystemsManagerOpsDataSync` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `opsdatasync.ssm.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ Systems Manager Explorer には、OpsItem が更新された際のセキュリティに関する検出結果の更新、OpsItem の作成および更新、SSM マネージドルールが削除された場合の Security Hub CSPM データソースの無効化のための許可が、サービスにリンクされたロールから付与される必要があります。
`AWSServiceRoleForSystemsManagerOpsDataSync` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AWSSystemsManagerOpsDataSyncServiceRolePolicy` です。付与されるアクセス許可の詳細については、「[AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)」を参照してください。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerOpsDataSync` のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール で Explorer を有効にすると、Systems Manager によって、サービスにリンクされたロールが作成されます。
**重要**
このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、サービスにリンクされたロールのサポートが開始された 2017 年 1 月 1 日よりも前に Systems Manager サービスを使用していた場合は、Systems Manager によって `AWSServiceRoleForSystemsManagerOpsDataSync` ロールがアカウントに作成されています。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AWS マネジメントコンソール で Explorer を有効にすると、Systems Manager によって、サービスにリンクされたロールが再度作成されます。
**AWS のサービスロール (Explorer による OpsData とOpsItems** ユースケースの作成を許可) を指定してサービスにリンクされたロールを作成する場合にも、IAM コンソールを使用できます。AWS CLI または AWS API では、`opsdatasync.ssm.amazonaws.com` サービス名を使用してサービスリンクロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## Systems Manager の `AWSServiceRoleForSystemsManagerOpsDataSync` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForSystemsManagerOpsDataSync` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerOpsDataSync` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
`AWSServiceRoleForSystemsManagerOpsDataSync` ロールによる Systems Manager のリソースを削除する手順は、Security Hub CSPM と統合できるように Explorer または OpsCenter を構成しているかどうかによって異なります。
**`AWSServiceRoleForSystemsManagerOpsDataSync` ロールで使用されている Systems Manager リソースを削除するには**
+ Explorer がSecurity Hub CSPM の検出結果に対して新しい OpsItems を作成しないようにするには、「[検出結果の受け取りを停止する方法](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)」を参照してください。
+ OpsCenter がSecurity Hub CSPM の検出結果に対して新しい OpsItems を作成しないようにするには、「」を参照してください。
**IAM を使用して `AWSServiceRoleForSystemsManagerOpsDataSync` サービスリンクロールを手動で削除するには**
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForSystemsManagerOpsDataSync` サービスリンクロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` サービスにリンクされたロールをサポートするリージョン
Systems Manager は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。
Systems Manager は、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。以下のリージョンでは、`AWSServiceRoleForSystemsManagerOpsDataSync` ロールを使用できます。
****
| AWS リージョン 名 | リージョン識別子 | Systems Manager でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | いいえ |
# ロールを使用して Systems Manager OpsCenter で運用上のインサイト OpsItems を作成する
Systems Manager は **`AWSServiceRoleForAmazonSSM_OpsInsights`** と呼ばれるサービスリンクロールを使用します。AWS Systems Manager はこの IAM サービスロールを使用し、Systems Manager OpsCenter でオペレーションインサイトの OpsItems を作成して更新します。
## Systems Manager 運用上のインサイト OpsItems のための `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールの許可
`AWSServiceRoleForAmazonSSM_OpsInsights` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `opsinsights.ssm.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM_OpsInsights` のサービスにリンクされたロールの作成
サービスリンクされたロールを作成する必要があります。AWS マネジメントコンソール で Systems Manager を使用してオペレーションインサイトを有効にした場合、[**Enable** (有効化)] ボタンを選択すると、サービスにリンクされたロールを作成できます。
## Systems Manager の `AWSServiceRoleForAmazonSSM_OpsInsights` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForAmazonSSM_OpsInsights` のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
### `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールのクリーンアップ
IAM を使用して `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールを削除するには、最初に Systems Manager OpsCenter でオペレーションのインサイトを無効化する必要があります。詳細については、「[OpsItems を減らすために運用上のインサイトを分析する](OpsCenter-working-operational-insights.md)」を参照してください。
### `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールを手動で削除する
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールをサポートするリージョン
Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForAmazonSSM\$1OpsInsights ロールは、以下の各リージョンで使用できます。
****
| リージョン名 | リージョン識別子 | Systems Manager でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (香港) | ap-east-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 欧州 (ミラノ) | eu-south-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| 中東 (バーレーン) | me-south-1 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | はい |
| AWS GovCloud (US) | us-gov-east-1 | はい |
# ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する
Systems Manager では、**`AWSServiceRoleForSSMQuickSetup`** という名前のサービスにリンクされたロールを使用します。
## Systems Manager の `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールの許可
`AWSServiceRoleForSSMQuickSetup` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager は、この IAM サービスロールを使用して、設定の正常性をチェックし、パラメータとプロビジョニングされたリソースが確実に一貫して使用されるようにするとともに、ドリフトが検出されたときにリソースを修復します。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `ssm` (Systems Manager) – 委任管理者アカウントなど、設定されたリソースの意図される状態に関する情報を読み取ります。
+ `iam` (AWS Identity and Access Management) – これは、AWS Organizations の組織全体にわたってリソースデータの同期にアクセスするために必要です。
+ `organizations` (AWS Organizations) – Organizations で設定された組織に属するメンバーアカウントに関する情報を読み取ります。
+ `cloudformation` (CloudFormation) – リソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される CloudFormation スタックに関する情報を読み取ります。
`AWSServiceRoleForSSMQuickSetup` ロールのアクセス許可を提供するために使用される管理ポリシーは、`SSMQuickSetupRolePolicy` です。付与されるアクセス許可の詳細については、「[AWS マネージドポリシー: SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy)」を参照してください。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForSSMQuickSetup` のサービスにリンクされたロールの作成
AWSServiceRoleForSSMQuickSetup サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール で Quick Setup 設定を作成すると、Systems Manager は、サービスにリンクされたロールを自動的に作成します。
## Systems Manager の `AWSServiceRoleForSSMQuickSetup` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForSSMQuickSetup` のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
### `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールのクリーンアップ
IAM を使用して `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールを削除する前に、まずそのロールを使用している Quick Setup 設定を削除する必要があります。詳細については、「[設定の編集と削除](quick-setup-using.md#quick-setup-edit-delete)」を参照してください。
### `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールを手動で削除する
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールを削除します。詳細については、以下の各トピックを参照してください。
+ 「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」
+ 「AWS CLI リファレンス」内の Quick Setup セクションの「[https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)」
+ 「*[https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) API リファレンス*」の「Quick Setup」
## Systems Manager `AWSServiceRoleForSSMQuickSetup` サービスにリンクされたロールをサポートするリージョン
Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForSSMQuickSetup ロールは、以下のリージョンで使用できます。
+ 米国東部(オハイオ)
+ 米国東部 (バージニア北部)
+ 米国西部 (北カリフォルニア)
+ 米国西部 (オレゴン)
+ アジアパシフィック (ムンバイ)
+ アジアパシフィック (ソウル)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (東京)
+ カナダ (中部)
+ 欧州 (フランクフルト)
+ 欧州 (ストックホルム)
+ 欧州 (アイルランド)
+ 欧州 (ロンドン)
+ 欧州 (パリ)
+ 南米 (サンパウロ)
# ロールを使用した Explorer OpsData のエクスポート
AWS Systems Manager Explorer は、**AmazonSSMExplorerExportRole** サービスロールを使用して、`AWS-ExportOpsDataToS3` オートメーションランブックを使用して運用データ (OpsData) をエクスポートします。
## Explorer のサービスリンクロールのアクセス許可
`AmazonSSMExplorerExportRole` サービスにリンクされたロールは、このロールを引き受ける上で `ssm.amazonaws.com` のみを信頼します。
`AmazonSSMExplorerExportRole` サービスにリンクされたロールと `AWS-ExportOpsDataToS3` オートメーションランブックを使用してオペレーションデータ (OpsData) をエクスポートできます。カンマ区切り (.csv) ファイルとして、Explorer から 5,000 個の OpsData の項目を Amazon Simple Storage Service (Amazon S3) バケットにエクスポートできます。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AmazonSSMExplorerExportRole` のサービスにリンクされたロールの作成
ユーザーが Systems Manager コンソールで Explorer を使用して OpsData をエクスポートする際に、Systems Manager は `AmazonSSMExplorerExportRole` サービスにリンクされたロールを作成します。詳細については、「[Systems Manager Explorer から OpsData をエクスポートする](Explorer-exporting-OpsData.md)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。
## Systems Manager の `AmazonSSMExplorerExportRole` のサービスにリンクされたロールの編集
Systems Manager では、`AmazonSSMExplorerExportRole` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AmazonSSMExplorerExportRole` サービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。サービスにリンクされたロールは、IAM コンソール、AWS CLI、または IAM API を使用して手動で削除することができます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。
**注記**
タグまたはリソースグループを削除する際に、Systems Manager サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**`AmazonSSMExplorerExportRole` で使用されている Systems Manager リソースを削除するには**
1. タグを削除するには、「[個々のリソースでのタグの追加と削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)」を参照してください。
1. リソースグループを削除するには、「[AWS Resource Groups からのグループの削除](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)」を参照してください。
**IAM を使用して `AmazonSSMExplorerExportRole` サービスリンクロールを手動で削除するには**
`AmazonSSMExplorerExportRole` サービスにリンクされたロールを削除するには、IAM コンソール、AWS CLI、または IAM API を使用します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AmazonSSMExplorerExportRole` サービスにリンクされたロールをサポートするリージョン
Systems Manager では、このサービスが利用可能なすべての AWS リージョン で、`AmazonSSMExplorerExportRole` サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。
# ロールを使用してジャストインタイムノードアクセスを有効にする
Systems Manager は、**`AWSServiceRoleForSystemsManagerJustInTimeAccess`** という名前のサービスリンクロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用してジャストインタイムノードアクセスを有効にします。
## Systems Manager ジャストインタイムノードアクセス用のサービスリンクロールアクセス許可
`AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `ssm.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
`AWSServiceRoleForSystemsManagerJustInTimeAccess` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AWSSystemsManagerEnableJustInTimeAccessPolicy` です。付与されるアクセス許可の詳細については、「[AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)」を参照してください。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が自動的にサービスリンクロールを作成します。
**重要**
このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、サービスリンクロールのサポートが開始された 2024 年 11 月 19 日より前に Systems Manager サービスを使用していた場合、Systems Manager がアカウント内に `AWSServiceRoleForSystemsManagerJustInTimeAccess` ロールを既に作成しています。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が再度自動的にサービスリンクロールを作成します。
また、**Systems Manager でジャストインタイムノードアクセスを有効にできるようにする AWS サービスロール**というユースケースでも、IAM コンソールを使用してサービスリンクロールを作成できます。AWS CLI または AWS API では、`ssm.amazonaws.com` サービス名を使用してサービスリンクロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用して `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールを手動で削除するには**
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスにリンクされたロールをサポートするリージョン
****
| AWS リージョン 名 | リージョン識別子 | Systems Manager でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | いいえ |
# ロールを使用してジャストインタイムノードアクセスリクエスト通知を送信する
Systems Manager は、**`AWSServiceRoleForSystemsManagerNotifications`** という名前のサービスリンクロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用してアクセスリクエスト承認者に通知を送信します。
## Systems Manager ジャストインタイムノードアクセス通知用のサービスリンクロールアクセス許可
`AWSServiceRoleForSystemsManagerNotifications` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `ssm.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
`AWSServiceRoleForSystemsManagerNotifications` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AWSSystemsManagerNotificationsServicePolicy` です。付与されるアクセス許可の詳細については、「[AWS マネージドポリシー: AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)」を参照してください。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerNotifications` のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が自動的にサービスリンクロールを作成します。
**重要**
このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、サービスリンクロールのサポートが開始された 2024 年 11 月 19 日より前に Systems Manager サービスを使用していた場合、Systems Manager がアカウント内に `AWSServiceRoleForSystemsManagerNotifications` ロールを既に作成しています。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が再度自動的にサービスリンクロールを作成します。
また、**Systems Manager でアクセスリクエスト承認者に通知を送信できるようにする AWS サービスロール**というユースケースでも、IAM コンソールを使用してサービスリンクロールを作成できます。AWS CLI または AWS API では、`ssm.amazonaws.com` サービス名を使用してサービスリンクロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## Systems Manager の `AWSServiceRoleForSystemsManagerNotifications` のサービスにリンクされたロールの編集
Systems Manager では、`AWSServiceRoleForSystemsManagerNotifications` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Systems Manager の `AWSServiceRoleForSystemsManagerNotifications` サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用して `AWSServiceRoleForSystemsManagerNotifications` サービスリンクロールを手動で削除するには**
IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForSystemsManagerNotifications` サービスリンクロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Systems Manager `AWSServiceRoleForSystemsManagerNotifications` サービスにリンクされたロールをサポートするリージョン
****
| AWS リージョン 名 | リージョン識別子 | Systems Manager でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | いいえ |
# AWS Systems Manager でのログ記録とモニタリング
モニタリングは、AWS Systems Manager と AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。マルチポイント障害が発生した場合は、その障害をデバッグできるように、AWS ソリューションのすべての部分からモニタリングデータを収集する必要があります。AWS には、Systems Manager およびその他のリソースをモニタリングし、潜在的なインシデントに対応するための複数のツールが用意されています。
**AWS CloudTrail ログ**
CloudTrail は、Systems Manager のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。CloudTrail で収集した情報を使用して、Systems Manager に対して行ったリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、「[AWS CloudTrail による AWS Systems Manager API コールのログ記録](monitoring-cloudtrail-logs.md)」を参照してください。
**Amazon CloudWatch アラーム**
Amazon CloudWatch アラームを使用して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスやその他のリソースに対して指定した期間にわたって 1 つのメトリクスを監視します。メトリクスが特定のしきい値を超えると、Amazon Simple Notification Service (Amazon SNS) のトピックまたは AWS Auto Scaling のポリシーに通知が送信されます。CloudWatch アラームは、特定の状態にあるという理由でアクションを呼び出すことはしません。状態が変わり、それが指定した期間だけ維持される必要があります。詳細については、『*Amazon CloudWatch ユーザーガイド*』の「[Amazon CloudWatch アラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
**Amazon CloudWatch ダッシュボード**
CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なホームページであり、異なる AWS リージョン にまたがっているリソースでも、1 つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームのカスタマイズされたビューを作成できます。詳細については、「」を参照してください[Systems Manager がホストする Amazon CloudWatch ダッシュボードの使用](systems-manager-cloudwatch-dashboards.md)
**Amazon EventBridge**
Amazon EventBridge を使用すると、Systems Manager リソースの変更を警告するようにルールを設定し、EventBridge がそれらのイベントの内容に基づいてアクションを実行するように指示できます。EventBridge は、さまざまな Systems Manager ツールによって発行される多数のイベントをサポートします。詳細については、「[Amazon EventBridge を使用して Systems Manager イベントをモニタリングする](monitoring-eventbridge-events.md)」を参照してください。
**Amazon CloudWatch Logs とSSM Agent ログ**
SSM Agent は実行、スケジュールされたアクション、エラー、ヘルスステータスに関連した情報をまとめて各ノードのログファイルに書き込みます。ノードに手動で接続してログファイルを閲覧できます。分析のために、エージェントログデータを CloudWatch Logs のロググループに自動的に送信することをお勧めします。詳細については、「[統合された CloudWatch Logs へのノードログの送信 (CloudWatch エージェント)](monitoring-cloudwatch-agent.md)」および「[SSM Agent ログの表示](ssm-agent-logs.md)」を参照してください。
**AWS Systems Manager Compliance**
AWS Systems Manager のツールである Compliance を使ってマネージドノードのフリートをスキャンし、パッチコンプライアンスと設定の不整合を調べるために使用できます。複数の AWS アカウント と AWS リージョン からデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトで、Compliance は、AWS Systems Manager のツールである Patch Manager でのパッチ適用、および AWS Systems Manager のツールである State Manager での関連付けに関する現在のコンプライアンスデータを表示します。詳細については、「[AWS Systems Manager のコンプライアンス](systems-manager-compliance.md)」を参照してください。
**AWS Systems Manager Explorer**
AWS Systems Manager のツールである Explorer は、AWS リソースに関する情報を報告するカスタマイズ可能なオペレーションダッシュボードです。Explorer には、AWS アカウントおよび AWS リージョン全体のオペレーションデータ (OpsData) の集約ビューが表示されます。Explorer では、OpsData に EC2 インスタンス、パッチコンプライアンスの詳細、および運用作業項目 (OpsItems) に関するメタデータが含まれています。Explorer では、OpsItems が事業部門またはアプリケーション全体にどのように分散されているか、それらが時間の経過とともにどのような傾向を示すか、およびカテゴリによってどのように異なるかに関するコンテキストが提供されます。Explorer で情報をグループ化およびフィルタリングすると、自身に関連する項目や、アクションが必要な項目に注目することができます。詳細については、「[AWS Systems Manager Explorer](Explorer.md)」を参照してください。
**AWS Systems Manager OpsCenter**
AWS Systems Manager のツールである OpsCenter は、オペレーションエンジニアと IT プロフェッショナルが AWS リソースに関連するオペレーション作業項目 (OpsItems) を一元的に表示、調査、および解決できる場所を提供します。OpsCenter は、各 OpsItem、関連する OpsItems、および関連リソースに関するコンテキスト調査データを提供しながら、複数のサービスの OpsItems を集約および標準化します。OpsCenter は、問題をすばやく解決するために使用できる Automation (AWS Systems Manager のツール) でランブックも提供します。OpsCenter は Amazon EventBridge と統合されています。つまり、Eventbridge にイベントを発行するすべての AWS のサービスに対して自動的に OpsItems を作成する Eventbridge ルールを作成できます。詳細については、「[AWS Systems Manager OpsCenter](OpsCenter.md)」を参照してください。
**Amazon Simple Notification Service**
Amazon Simple Notification Service (Amazon SNS) を設定して、AWS Systems Manager のツールである Run Command または Maintenance Windows を使用して送信したコマンドのステータスに関する通知を送信できます。Amazon SNS は、Amazon SNS トピックをサブスクライブしているクライアントまたはエンドポイントへの通知の送信および配信を管理します。コマンドが新しい状態に変更されるたび、または `Failed` や `Timed Out` などの特定の状態に変更されるたびに通知を受け取ることができます。複数のノードにコマンドを送信する場合、特定ノードに送信されたコマンドの各コピーに対して通知を受けることができます。詳細については、「[Amazon SNS 通知を使用した Systems Manager のステータス変更のモニタリング](monitoring-sns-notifications.md)」を参照してください。
**AWS Trusted Advisor および AWS Health Dashboard **
Trusted Advisor は、AWS の数十万のお客様にサービスを提供することにより得られた、運用実績から学んだベストプラクティスを活用しています。Trusted Advisor はお客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させたりセキュリティギャップを埋めたりする機会がある場合には、推奨事項を作成します。すべての AWS のお客様は、Trusted Advisor の 5 つのチェックにアクセスできます。AWS サポート のビジネスまたはエンタープライズプランをご利用のお客様は、すべての Trusted Advisor チェックを表示できます。詳細については、「AWS サポート ユーザーガイド」および「[AWS Health ユーザーガイド](https://docs.aws.amazon.com/health/latest/ug/)」の「[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)」を参照してください。
**詳細情報**
+ [AWS Systems Manager でのログ記録とモニタリング](monitoring.md)
# AWS Systems Manager のコンプライアンス検証
このトピックでは、サードパーティーの保証プログラムへの AWS Systems Manager のコンプライアンスについて説明します。マネージドノードのコンプライアンス データの閲覧に関する情報については、 [AWS Systems Manager のコンプライアンス](systems-manager-compliance.md) をご参照ください 。
サードパーティーの監査者は、さまざまな AWS コンプライアンスプログラムの一環として Systems Manager のセキュリティとコンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
特定のコンプライアンスプログラムの対象となる AWS のサービスのリストについては、「[コンプライアンスプログラムによる対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、[AWSコンプライアンスプログラム](https://aws.amazon.com/compliance/programs/) を参照してください。
AWS Artifact を使用して、サードパーティの監査レポートをダウンロードできます。詳細については、の[AWS Artifact におけるレポートのダウンロードレポート](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)を参照してください。
Systems Manager を使用する際のユーザーのコンプライアンス責任は、ユーザーのデータの機密性や貴社のコンプライアンス目的、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ次のリソースを提供しています。
+ [セキュリティ&コンプライアンス クイックリファレンスガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、AWS でセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするためのステップが記載されています。
+ [HIPAA のセキュリティとコンプライアンスに関するホワイトペーパーを作成する](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
+ [AWS コンプライアンスのリソース](https://aws.amazon.com/compliance/resources/) - このワークブックおよびガイドのコレクションは、ユーザーの業界や地域で使用できるかもしれません。
+ 「AWS Config デベロッパーガイド」の「[ルールでのリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」 — AWS Config のサービスでは、自社のプラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) — この AWS のサービス では、AWS 内のセキュリティ状態が包括的に示されており、セキュリティ業界の標準およびベストプラクティスへの準拠の確認に役立ちます。
# AWS Systems Manager での耐障害性
AWS グローバルインフラストラクチャは AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。AWS リージョン は、低レイテンシー、高スループット、そして高度な冗長ネットワークで接続される物理的に独立、隔離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンを使用すると、中断することなくゾーン間で自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用できます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性が高く、フォールトトレラントで、スケーラブルです。
AWS リージョン とアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# AWS Systems Manager 内のインフラストラクチャセキュリティ
マネージドサービスである AWS Systems Manager は、AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「[AWSクラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、*セキュリティの柱 - AWS Well-Architected Framework*の[インフラストラクチャ保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)を参照してください。
AWS の発行済み API コールを使用して、ネットワーク経由で Systems Manager にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
# AWS Systems Manager での構成と脆弱性の分析
AWS は、ファイアウォールの設定やディザスタリカバリなどの基本的なセキュリティタスクを処理します。これらの手順は適切な第三者によって確認され、証明されています。詳細については、以下のリソースを参照してください。
+ [AWS Systems Manager のコンプライアンス検証](compliance-validation.md)
+ [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [セキュリティ、アイデンティティ、コンプライアンスのベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/)
# Systems Manager のセキュリティに関するベストプラクティス
AWS Systems Manager には、独自のセキュリティポリシーを開発および実装する際に考慮する必要のあるいくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションに相当するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
**Topics**
+ [Systems Manager の予防的セキュリティのベストプラクティス](#security-best-practices-prevent)
+ [SSM Agent のインストールのベストプラクティス](#security-best-practices-ssm-agent)
+ [Systems Manager のモニタリングと監査のベストプラクティス](#security-best-practices-detect)
## Systems Manager の予防的セキュリティのベストプラクティス
Systems Manager の以下のベストプラクティスはセキュリティ問題を防ぐのに役立ちます。
**最小特権アクセスの実装**
アクセス許可を付与する場合、どのユーザーにどの Systems Manager リソースに対するアクセス許可を付与するかは、お客様が決定します。つまり、該当リソースに対して許可する特定のアクションを許可するということです。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小限の特権アクセスの実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での基本となります。
以下のツールは、最小限の特権アクセスを実装するために使用できます。
+ [IAM ユーザーポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)と [IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**プロキシを使用する設定になっている場合は、SSM Agent の推奨設定を使用します。**
プロキシを使用するように SSM Agent を設定する場合は、Systems Manager インスタンスメタデータサービスの IP アドレスを持つ `no_proxy` 変数を使用し、Systems Manager への呼び出しがプロキシサービスのアイデンティティを引き受けないようにします。
詳細については、「[Linux ノードでプロキシを使用するための SSM Agent の設定](configure-proxy-ssm-agent.md)」および「[SSM Agent が Windows Server インスタンス用にプロキシを使用するように設定する](configure-proxy-ssm-agent-windows.md)」を参照してください。
**SecureString パラメータを使用して機密データを暗号化および保護する**
AWS Systems Manager のツールである Parameter Store にある `SecureString` パラメータは、セキュアな方法で保存および参照する必要のある機密データです。パスワードやライセンスキーなどプレーンテキストで、ユーザーに変更または参照させたくないデータがある場合は、`SecureString` データ型を使用してこれらのパラメータを作成します。Parameter Store は AWS Key Management Service (AWS KMS) で AWS KMS key を使用してパラメータ値を暗号化します。AWS KMS は、パラメータ値を暗号化する際、カスタマーマネージドキーまたは AWS マネージドキー のいずれかを使用します。セキュリティを最大限に高めるため、独自の KMS キーを使用することをお勧めします。AWS マネージドキー を使用する場合、アカウントで [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) アクションと [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) アクションを実行する権限のあるユーザーは、すべての `SecureString` パラメータのコンテンツを表示または取得できます。カスタマーマネージドキーを使用してセキュアな `SecureString` 値を暗号化する場合、IAM ポリシーとキーポリシーを使用して、パラメータの暗号化と復号化のアクセス許可を管理できます。
AWS マネージドキー を使用する場合、これらのオペレーションのためにアクセスコントロールポリシーを確立することはより困難です。例えば、AWS マネージドキー を使用して `SecureString` パラメータを暗号化し、ユーザーが `SecureString` パラメータを操作しないようにする場合は、ユーザーの IAM ポリシーでデフォルトキーへのアクセスを明示的に拒否する必要があります。
詳細については、*AWS Key Management Service デベロッパーガイド*の「[IAM ポリシーを使用して Parameter Store パラメータへのアクセスを制限する](sysman-paramstore-access.md)」と「[AWS Systems ManagerParameter Store が AWS KMS を使用する方法](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)」を参照してください。
**ドキュメントパラメータの allowedValues および allowedPattern を定義する**
`allowedValues` および `allowedPattern` を定義することで、Systems Manager ドキュメント (SSM ドキュメント) のパラメータのユーザー入力を検証できます。`allowedValues` では、パラメータに使用できる値の配列を定義します。使用できない値をユーザーが入力すると、実行の開始に失敗します。`allowedPattern` では、ユーザー入力がパラメータに対して定義されたパターンと一致するかどうかを検証する正規表現を定義します。ユーザー入力が使用できるパターンと一致しない場合、実行は開始されません。
`allowedValues` と `allowedPattern` の詳細については、「[データ要素とパラメータ](documents-syntax-data-elements-parameters.md)」を参照してください。
**ドキュメントのパブリック共有をブロックする**
ユースケースでパブリック共有を有効にする必要がある場合を除き、Systems Manager ドキュメントコンソールの [**Preferences**] (詳細設定) セクションで、SSM ドキュメントのパブリック共有のブロックの設定をオンにすることをお勧めします。
**Amazon Virtual Private Cloud (Amazon VPC) および VPC エンドポイントを使用する**
Amazon VPC を使用して、定義した仮想ネットワーク内で AWS リソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、 のスケーラブルなインフラストラクチャを使用できるというメリットがありますAWS
VPC エンドポイントを実装することにより、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続の必要なく、AWS PrivateLink でサポートされる AWS のサービスおよび VPC エンドポイントサービスに VPC を非公開で接続できます。VPC のインスタンスでは、サービスのリソースと通信するためにパブリック IP アドレスを必要としません。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れることはありません。
Amazon VPC セキュリティの詳細については、「Amazon VPC ユーザーガイド」の「[Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する](setup-create-vpc.md)」および「[Amazon VPC のインターネットワークトラフィックのプライバシー](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)」を参照してください。
**Session Manager ユーザーを、対話型コマンドと特定の SSM セッションドキュメントを使用しているセッションに限定する**
AWS Systems Manager のツールである Session Manager はマネージドノードに[セッションを開始する複数の方法](session-manager-working-with-sessions-start.md)を提供します。最も安全な接続を実現するため、*対話型コマンド*方式を使用して接続するようにユーザーに要求し、ユーザーの操作を特定のコマンドまたはコマンドシーケンスに制限できます。これにより、ユーザーが実行できる対話型アクションを管理できます。詳細については、「[セッションの開始 (対話形式と非対話形式のコマンド)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands)」を参照してください。
セキュリティを強化するために、特定の Amazon EC2 Session Manager インスタンスと特定の Session Manager セッションドキュメントへのアクセスを制限できます。この方法で、AWS Identity and Access Management (IAM) Session Manager ポリシーを使用してアクセスを許可または取り消すことができます。詳細については、「[ステップ 3: マネージドノードへのセッションアクセスを制御](session-manager-getting-started-restrict-access.md)」を参照してください。
**オートメーション ワークフローに対して一時的なノード許可を付与します**
AWS Systems Manager のツールである Automation のワークフロー中に、その実行のためにのみ、ノードが許可を必要とする場合がありますが、他の Systems Manager オペレーションには不要です。例えばオートメーション ワークフローでは、特定の API オペレーションを呼び出すためのノードに加え、特にワークフロー中では AWS リソースへのアクセスなどが必要となる場合があります。このような呼び出しまたはリソースへのアクセスを制限する場合、IAM インスタンスプロファイルにアクセス許可を追加する代わりに、オートメーション ランブック自体の中にあるノードに対して一時的かつ付随するアクセス許可を付与できます。Automation のワークフローが終了すると、一時的なアクセス許可は削除されます。詳細については、 *AWS Management and Governance Blog* の「[Providing temporary instance permissions with AWS Systems Manager Automations](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/)」を参照してください。
**AWS と Systems Manager ツールを最新の状態に維持する**
AWS は、AWS および Systems Manager オペレーションで使用できるツールおよびプラグインの更新バージョンを定期的にリリースします。これらのリソースを最新の状態に維持することで、アカウント内のユーザーとノードがこれらツールの最新の機能性やセキュリティ機能にアクセスできるようにします。
+ SSM Agent – AWS Systems Manager エージェント (SSM Agent) は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、オンプレミスサーバー、仮想マシン (VM) にインストールして設定することができる Amazon のソフトウェアです。SSM Agent により、Systems Manager がこれらのリソースを更新、管理、設定できるようなります。少なくとも 2 週間ごとに新しいバージョンをチェックするか、エージェントの更新を自動化することをお勧めします。詳細については、「[SSM Agent への更新の自動化](ssm-agent-automatic-updates.md)」を参照してください。また、更新プロセスの一環として SSM Agent の署名を確認することをお勧めします。詳細については、「[SSM Agent の署名の確認](verify-agent-signature.md)」を参照してください。
+ AWS CLI – AWS Command Line Interface (AWS CLI) は、コマンドラインシェルでコマンドを使用して AWS のサービスとやり取りするためのオープンソースツールです。AWS CLI を更新するには、AWS CLI のインストールに使用したコマンドと同じコマンドを実行します。オペレーティングシステムに適したコマンドを実行するために、少なくとも 2 週間に 1 回ローカルマシンでスケジュールされたタスクを作成することをお勧めします。インストールコマンドの詳細については、*AWS Command Line Interface ユーザーガイド*の「[AWS CLI バージョン 2 のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
+ AWS Tools for Windows PowerShell – Tools for Windows PowerShell は、AWS SDK for .NET によって公開されている機能を基盤として構築された PowerShell モジュールです。AWS Tools for Windows PowerShell を使用することにより、PowerShell コマンドラインから AWS リソースに対する操作をスクリプト処理できます。または Tools for Windows PowerShell のアップデートバージョンが定期的にリリースされているため、ローカルで実行しているバージョンを更新する必要があります。詳細については、*IAM ポリシーシミュレーターユーザーガイド*の「[Updating the AWS Tools for Windows PowerShell on Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating)」または「[Updating the AWS Tools for Windows PowerShell on Linux or macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux)」 を参照してください。
+ Session Manager プラグイン – Session Manager を使用する許可を持つ組織内のユーザーが AWS CLI を使用してノードに接続を希望する場合、まずユーザーのローカルマシンに Session Manager のプラグインをインストールする必要があります。プラグインを更新するには、プラグインのインストールに使用したのと同じコマンドを実行します。オペレーティングシステムに適したコマンドを実行するために、少なくとも 2 週間に 1 回ローカルマシンでスケジュールされたタスクを作成することをお勧めします。詳細については、[AWS CLI 用の Session Manager プラグインをインストールする](session-manager-working-with-install-plugin.md) を参照してください。
+ CloudWatch エージェント – CloudWatch エージェントを設定および使用すると、EC2 インスタンス、オンプレミスインスタンス、仮想マシン (VM) からメトリクスとログを収集できます。これらのログは、モニタリングおよび分析のために Amazon CloudWatch Logs に送信できます。少なくとも 2 週間ごとに新しいバージョンをチェックするか、エージェントの更新を自動化することをお勧めします。最も簡単な更新を行うには、AWS Systems Manager Quick Setup を使用します。詳細については、「[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)」を参照してください。
## SSM Agent のインストールのベストプラクティス
SSM Agent をインストールするときは、マシンタイプに適したインストール方法を使用します。特に、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境のすべての非 EC2 インストールには `ssm-setup-cli` ツールを使用します。このツールは、非 EC2 マシンに追加のセキュリティ保護を提供します。
エージェントをオンプレミスサーバーおよび仮想マシンにインストールするには、以下のトピックで説明されているように `ssm-setup-cli` ツールを使用します。
+ [ハイブリッド Linux ノードで SSM Agent をインストールする](hybrid-multicloud-ssm-agent-install-linux.md)
+ [ハイブリッド Windows Server ノードに SSM Agent をインストールする](hybrid-multicloud-ssm-agent-install-windows.md)
エージェントを EC2 インスタンスにインストールするには、オペレーティングシステムのタイプに適したインストール手順を使用します。
+ [Linux 用 EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-linux.md)
+ [macOS 用の EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-macos.md)
+ [Windows Server 用の EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-windows.md)
## Systems Manager のモニタリングと監査のベストプラクティス
以下の Systems Manager のベストプラクティスは、潜在的なセキュリティ上の弱点とインシデントを検出するのに役立ちます。
**Systems Manager のすべてのリソースの特定と監査**
IT アセットの特定はガバナンスとセキュリティの重要な側面です。セキュリティの状態を評価し、潜在的な弱点に対処するには、すべての Systems Manager リソースを特定する必要があります。
タグエディターを使用してセキュリティまたは監査で注意を要するリソースを識別してから、それらのタグを、リソースを検索する必要があるときに使用します。詳細については、*AWS Resource Groups ユーザーガイド*の「[タグ付けするリソースの検索](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html)」を参照してください。
Systems Manager リソースのリソースグループを作成します。詳細については、 [リソースグループとは](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)を参照してください。
**Amazon CloudWatch モニタリングツールを使用したモニタリングの実装**
モニタリングは、Systems Manager および AWS ソリューションの信頼性、セキュリティ、可用性、パフォーマンスを維持する上で重要です。Amazon CloudWatch には、Systems Manager と他の AWS のサービスのモニタリングに役立つツールとサービスが含まれています。詳細については、「[統合された CloudWatch Logs へのノードログの送信 (CloudWatch エージェント)](monitoring-cloudwatch-agent.md)」および「[Amazon EventBridge を使用して Systems Manager イベントをモニタリングする](monitoring-eventbridge-events.md)」を参照してください。
**CloudTrail の使用**
AWS CloudTrail は、Systems Manager のユーザー、ロール、または AWS のサービスによって実行されたアクションのレコードを提供します。CloudTrail で収集した情報を使用して、Systems Manager に対して行ったリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、「[AWS CloudTrail による AWS Systems Manager API コールのログ記録](monitoring-cloudtrail-logs.md)」を参照してください。
**AWS Config をオンにする**
AWS Config を使用すると、AWS リソースの設定を評価して監査することができます。AWS Config はリソースの設定を監視し、必要となるセキュアな設定に照らし合わせて、記録された設定を評価できます。AWS Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対して、全体的なコンプライアンスを確認できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化できます。詳細については、[AWS Config デベロッパーガイド](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)の*コンソールを使用した AWS Config の設定* を参照してください。記録するリソースタイプを指定するときは、必ず Systems Manager リソースを含めてください。
**AWS セキュリティアドバイザリを監視する**
AWS アカウント について Trusted Advisor に投稿されたセキュリティ勧告を定期的に確認してください。これは、[describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html) を使用してプログラムにより行うことができます。
さらに、各 AWS アカウント に登録されているメインの E メールアドレスを注意してモニタリングしてください。AWS は、この E メールアドレスを使用して、お客様に影響を与える可能性のあるセキュリティ問題が新たに発生した場合に連絡します。
広範な影響を与える AWS の運用上の問題は [AWS Service Health Dashboard](https://status.aws.amazon.com/) に投稿されます。運用上の問題は Personal Health ダッシュボードを介して個々のアカウントにも投稿されます。詳細については、[AWS Health のドキュメント](https://docs.aws.amazon.com/health/)を参照してください。
**詳細情報**
+ [セキュリティ、アイデンティティ、コンプライアンスのベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [開始する: AWS リソースの設定時にセキュリティのベストプラクティスに従う](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (AWS セキュリティブログ)
+ [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS CloudTrail でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Amazon S3 のセキュリティのベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [AWS Key Management Service のセキュリティのベストプラクティス](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)