翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Resource Groups
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。[「AWS 」 コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。「 AWS Resource Groups」 に適用されるコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる対象範囲内の 「AWS 」 のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Resource Groups を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Resource Groups を設定する方法を示します。また、Resource Groups リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [でのデータ保護 AWS Resource Groups](security_data-protection.md)
+ [の ID とアクセスの管理 AWS Resource Groups](security-iam.md)
+ [Resource Groups でのログ記録とモニタリング](security_logging-monitoring.md)
+ [Resource Groups のコンプライアンス検証](security_compliance.md)
+ [Resource Groups での耐障害性](security_resilience.md)
+ [Resource Groups のインフラストラクチャセキュリティ](security_infrastructure.md)
+ [インターフェイスエンドポイント (AWS PrivateLink) AWS Resource Groups を使用した へのアクセス](vpc-interface-endpoints.md)
+ [Resource Groups のセキュリティのベストプラクティス](security_best-practices.md)
# でのデータ保護 AWS Resource Groups
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Resource Groups。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Resource Groups AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## データ暗号化
他の AWS サービスと比較して、 AWS Resource Groups には最小限のアタックサーフェスがあります。これは、グループ以外の AWS リソースを変更、追加、または削除する方法がないためです。Resource Groups はユーザーから次のサービス固有の情報を収集します。
+ グループ名 (暗号化されていない、プライベートではない)
+ グループの説明 (暗号化されていないが、プライベート)
+ グループ内のメンバーリソース (これらはログに保存され、暗号化されていない)
### 保管中の暗号化
Resource Groups 固有のサービスまたはネットワークトラフィックを分離するその他の方法はありません。該当する場合は、 AWS固有の分離を使用します。VPC で Resource Groups API とコンソールを使用することで、プライバシーとインフラストラクチャのセキュリティを最大限に高めることができます。
### 転送中の暗号化
AWS Resource Groups データは、バックアップのためにサービスの内部データベースへの転送中に暗号化されます。これはユーザーが設定できません。
### キー管理
AWS Resource Groups は現在 と統合されておらず AWS Key Management Service 、 をサポートしていません AWS KMS keys。
## ネットワーク間のトラフィックのプライバシー
AWS Resource Groups は、Resource Groups ユーザーと 間のすべての送信に HTTPS を使用します AWS。Resource Groups は Transport Layer Security (TLS) 1.2 を使用しますが、TLS 1.0 および 1.1 もサポートします。
# の ID とアクセスの管理 AWS Resource Groups
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Resource Groups リソースの使用を*許可する* (アクセス許可を持たせる) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience_arg-te)
+ [アイデンティティを使用した認証](#security_iam_authentication_arg-te)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage-arg-te)
+ [Resource Groups で IAM を使用する方法](security_iam_service-with-iam.md)
+ [AWS の マネージドポリシー AWS Resource Groups](security_iam_awsmanpol.md)
+ [Resource Groups でサービスにリンクされたロールの使用](security_iam_service-linked-roles.md)
+ [AWS Resource Groups アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Resource Groups ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Resource Groups ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Resource Groups で IAM を使用する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[AWS Resource Groups アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Resource Groups で IAM を使用する方法
Resource Groups へのアクセスを管理するために IAM を使用する前に、Resource Groups でどの IAM 機能が使用できるかを理解しておく必要があります。Resource Groups およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM ユーザーガイド」の 「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Resource Groups のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [リソースベースのポリシー](#security_iam_resource-based-policies)
+ [Resource Groups タグに基づいた承認](#security_iam_tags)
+ [Resource Groups の IAM ロール](#security_iam_roles)
## Resource Groups のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Resource Groups は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Resource Groups のポリシーアクションは、アクションの前にプレフィックス `resource-groups:` を使用します。タグエディタのアクションはコンソールで完全に実行されますが、ログエントリにプレフィックス `resource-explorer` が付けられます。
例えば、Resource Groups `CreateGroup` API オペレーションを使用して Resource Groups グループを作成するアクセス許可を付与するには、ポリシーに `resource-groups:CreateGroup` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Resource Groups は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数の Resource Groups およびタグエディタのアクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "resource-groups:List*"
```
Resource Groups アクションのリストを表示するには、「IAM ユーザーガイド」の「[AWS Resource Groupsのアクション、リソース、および条件キー](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Resource Groups の唯一のリソースは、グループです。グループリソースには、次の形式の ARN があります。
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `my-test-group` リソースグループを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
特定のアカウントに属するすべてのグループを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
リソースの作成など、一部の Resource Groups アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
一部の Resource Groups API アクションには、複数のリソースを関連させることができます。例えば、`DeleteGroup` はグループを削除するため、呼び出し元のプリンシパルは特定のグループまたはすべてのグループを削除するためのアクセス許可を持っている必要があります。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
Resource Groups のリソースタイプとその ARN のリスト、およびどのアクションで各リソースの ARN を指定できるかについては、「[IAM ユーザーガイド](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)」の「 AWS Resource Groupsのアクション、リソース、および条件キー」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Resource Groups は独自の条件キーを定義し、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Resource Groups の条件キーのリスト、およびどのアクションおよびリソースで条件キーを使用できるかについては、「IAM ユーザーガイド」の「[AWS Resource Groupsのアクション、リソース、条件キー](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)」を参照してください。
### 例
Resource Groups のアイデンティティベースポリシーの例を確認するには、「[AWS Resource Groups アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## リソースベースのポリシー
Resource Groups では、リソースベースのポリシーはサポートされていません。
## Resource Groups タグに基づいた承認
Resource Groups のグループにタグをアタッチしたり、リクエスト内のタグを Resource Groups に渡したりできます。タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの [[条件要素](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html)] でタグ情報を提供します。グループを作成または更新するときに、グループにタグを適用することができます。Resource Groups でのグループのタグ付けの詳細については、このガイドの「[でのクエリベースのグループの作成 AWS Resource Groups](gettingstarted-query.md)」および「[でのグループの更新 AWS Resource Groups](updating-resource-groups.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「[タグに基づいたグループの表示](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags)」を参照してください。
## Resource Groups の IAM ロール
[IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。Resource Groups にはサービスロールがないか、または使用しません。
### Resource Groups を使用した一時的な認証情報の使用
Resource Groups では、一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。
Resource Groups にはサービスリンクロールがないか、または使用しません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。
Resource Groups にはサービスロールがないか、または使用しません。
# AWS の マネージドポリシー AWS Resource Groups
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Resource Groups のAWSマネージドポリシー**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS マネージドポリシー: ResourceGroupsServiceRolePolicy
IAM エンティティに自分で `ResourceGroupsServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Resource Groups がアクションを実行することを許可する、サービスにリンクされたロールにのみアタッチされます。詳細については、「[Resource Groups でサービスにリンクされたロールの使用](security_iam_service-linked-roles.md)」を参照してください。
このポリシーは、リソースグループ内のリソースおよびそれらのリソースが属する CloudFormation スタックに関する情報を取得するために必要なアクセス許可を付与します。これにより、グループライフサイクルイベント機能用の Resource Groups 生成 CloudWatch イベントを生成できます。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)`の「」を参照してください。
## AWS マネージドポリシー: ResourceGroupsandTagEditorFullAccess
プリンシパルエンティティにポリシーをアタッチする場合、ポリシーで定義されているエンティティのアクセス許可を付与します。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。
このポリシーは、Resource Groups およびタグエディタ機能にフルアクセス権限を付与します。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)`の「」を参照してください。
このポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)」を参照してください。
## AWS マネージドポリシー: ResourceGroupsandTagEditorReadOnlyAccess
プリンシパルエンティティにポリシーをアタッチする場合、ポリシーで定義されているエンティティのアクセス許可を付与します。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。
このポリシーは、Resource Groups およびタグエディタ機能への読み取り専用アクセス許可を付与します。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)`の「」を参照してください。
このポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: ResourceGroupsTaggingAPITagUntagSupportedResources
プリンシパルエンティティにポリシーをアタッチする場合、ポリシーで定義されているエンティティのアクセス許可を付与します。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。
このポリシーは、、`AWS::ApiGateway`、、 **を除く** Tagging API でサポートされているすべてのリソースタイプの AWS Resource Groups タグ付け`AWS::CloudFormation``AWS::CodeBuild`とタグ付け解除に必要なアクセス許可を付与します`AWS::ServiceCatalog`。これらの除外されたリソースタイプのタグ付けとタグ付け解除には、タグ付けとタグ付け解除以外のアクションを許可する追加のサービス固有のアクセス許可が必要です。次のリストは、ポリシーから除外されたリソースタイプのタグ付けとタグ付け解除に必要なアクセス許可を示しています。
+ `AWS::ApiGateway` リソースタイプには API Gateway リソースに対する アクセス`apigateway:Patch`許可が必要であり、タグの子リソースには `apigateway:Put`、`apigateway:Get`、 アクセス`apigateway:Delete`許可が必要です。
+ `AWS::CloudFormation` リソースタイプには、 `cloudformation:UpdateStack`および アクセス`cloudformation:UpdateStackSet`許可が必要です。
+ `AWS::CodeBuild` リソースタイプには アクセス`codebuild:UpdateProject`許可が必要です。
+ `AWS::ServiceCatalog` リソースタイプには、`servicecatalog:TagResource`、`servicecatalog:UntagResource`、`servicecatalog:UpdatePortfolio`、および アクセス`servicecatalog:UpdateProduct`許可が必要です。
また、このポリシーは、リソースグループタグ付け API を使用して、タグ付けされた、または以前にタグ付けされたすべてのリソースを取得するのに必要な許可を付与します。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)`の「」を参照してください。
このポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)」を参照してください。
## AWS 管理ポリシーに対する Resource Groups の更新
このサービスがこれらの変更の追跡を開始してからの Resource Groups の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[[Resource Groups ドキュメントの履歴] ](doc-history.md)ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 更新されたポリシー — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups は、Amazon Application Recovery Controller (ARC) や Amazon VPC Lattice を含む 8 つの新しいサービスのアクセス許可を含めるようにこのポリシーを更新しました。次のアクセス許可がポリシーに追加されました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ARG/latest/userguide/security_iam_awsmanpol.html) | 2024 年 12 月 20 日 |
| 新しいポリシー – [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups は、 AWS Resource Groups Tagging API でサポートされているすべてのリソースタイプにタグ付けおよびタグ解除するために必要なアクセス許可を提供する新しいポリシーを追加しました。 | 2024 年 10 月 11 日 |
| ポリシーの更新 - [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | Resource Groups は、追加の AWS CloudFormation アクセス許可を含めるようにポリシーを更新しました。 | 2023 年 8 月 10 日 |
| ポリシーの更新 - [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | Resource Groups は、追加の AWS CloudFormation アクセス許可を含めるようにポリシーを更新しました。 | 2023 年 8 月 10 日 |
| 新しいポリシー - [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | Resource Groups は、サービスにリンクされたロールをサポートする新しいポリシーを追加しました。 | 2022 年 11 月 17 日 |
| Resource Groups が変更の追跡を開始 | Resource Groups は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2022 年 11 月 17 日 |
# Resource Groups でサービスにリンクされたロールの使用
AWS Resource Groups は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Resource Groups に直接リンクされている固有のタイプの IAM ロールです。サービスにリンクされたロールは、Resource Groups によって事前定義されており、お客様の代わりにサービスから他の AWS のサービス を呼び出す必要のある許可がすべて含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Resource Groups の設定が簡単になります。Resource Groups は、サービスにリンクされたロールのアクセス許可を定義し、Resource Groups サービスのみがそのロールを引き受けることができるようにする信頼ポリシーを設定します。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
## Resource Groups のサービスにリンクされたロールにおけるアクセス許可
Resource Groups は、以下のサービスにリンクされたロールを使用して、グループライフサイクルイベントをサポートします。ロール名のリンクを選択すると、作成後に IAM コンソールにそのロールが表示されます。
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`
Resource Groups は、このロールのアクセス許可を使用して、リソースを所有 AWS のサービス する をクエリし、グループのメンバーシップを解決し、グループup-to-date保ちます。また、Resource Groups サービス関連のイベントを Amazon EventBridge サービスに発行できます。
`AWSServiceRoleForResourceGroups` サービスにリンクされたロールはその引き受け時に、以下のサービス**のみ**を信頼します。
+ `resourcegroups.amazonaws.com`
ロールにアタッチされたアクセス許可は、次の AWS 管理ポリシーから取得されます。ポリシー名のリンクを選択すると、IAM コンソールにポリシーが表示されます。
+ `AWS の マネージドポリシー AWS Resource Groups`
## Resource Groups 用のサービスにリンクされたロールの作成
**重要**
このサービスリンクロールは、このロールでサポートされている機能が必要な別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、[「新しいロールが AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
サービスにリンクされたロールを作成するには、[グループライフサイクルイベント機能を有効にします](monitor-groups-turn-on.md)。
## Resource Groups のサービスにリンクされたロールの編集
Resource Groups では、AWSServiceRoleForResourceGroups のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「サービスにリンクされたロールの編集」を参照してください。
## Resource Groups のサービスにリンクされたロールの削除
グループライフサイクルイベント機能を無効にした後にのみ、サービスにリンクされたロールを削除することができます。
**重要**
AWS では、サービスにリンクされたロールを作成した[グループライフサイクルイベント機能を最初に無効に](monitor-groups-turn-off.md)するまで削除できません。
にリソースグループがある限り、サービスにリンクされたロールを削除しないことをお勧めします AWS アカウント。このロールを削除した場合、Resource Groups サービスは他の とやり取り AWS のサービス してグループを管理することはできません。
### サービスリンク役割の手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForResourceGroups サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
------
#### [ Console ]
**Resource Groups のサービスにリンクされたロールを削除するには**
1. [ロールページへの IAM コンソール](https://console.aws.amazon.com/iam/home#/roles)を開きます。
1. AWSServiceRoleForResourceGroups という名前のロールを探し、その横にあるチェックボックスを選択します。
1. [**削除**] をクリックします。
1. ボックスにロール名を入力して、ロールを削除するかどうかを確認し、[**削除**] を選択します。
IAM コンソールのロールのリストからロールが表示されなくなります。
------
#### [ AWS CLI ]
**Resource Groups のサービスにリンクされたロールを削除するには**
ロールを削除するには、表示されているとおりのパラメータで、次のコマンドを入力します。いずれの値も置換しないでください。
```
$ aws iam delete-service-linked-role \
--role-name AWSServiceRoleForResourceGroups
{
"DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```
コマンドはタスク ID を返します。実際のロール削除は非同期的に行われます。指定されたタスク識別子を次の AWS CLI コマンドに渡すことで、ロールの削除のステータスを確認できます。
```
$ aws iam get-service-linked-role-deletion-status \
--deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
"Status": "SUCCEEDED"
}
```
------
## Resource Groups のサービスにリンクされたロールをサポートするリージョン
Resource Groups は、サービス AWS リージョン が利用可能なすべての でサービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# AWS Resource Groups アイデンティティベースのポリシーの例
デフォルトでは、ロールおよびユーザーといった IAM プリンシパルには、Resource Groups リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をプリンシパルに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なプリンシパルに、そのポリシーをアタッチします。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_policy-best-practices)
+ [Resource Groups コンソールと API の使用](#security_iam_policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_policy-examples-own-permissions)
+ [タグに基づいたグループの表示](#security_iam_policy-examples-view-tags)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが Resource Groups を作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Resource Groups コンソールと API の使用
AWS Resource Groups およびタグエディタコンソールと API にアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 AWS アカウントの Resource Groups リソースの詳細を一覧表示および表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースポリシーを作成すると、そのポリシーをアタッチしたプリンシパル (IAM ロールまたはユーザー) に対してはコンソールおよび API コマンドが意図したとおりに機能しません。
これらのエンティティがまだ Resource Groups を使用できるように、エンティティに次のポリシー (または次のポリシーに記載されているアクセス許可を含むポリシー) をアタッチします。詳細については、「IAM ユーザーガイド」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:List*"
],
"Resource": "*"
}
]
}
```
------
Resource Groups へのアクセス権限を付与する方法については、このガイドの「[AWS Resource Groups とタグエディタを使用するためのアクセス許可の付与](gettingstarted-prereqs-permissions-howto.md)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## タグに基づいたグループの表示
アイデンティティベースのポリシーの条件を使用して、タグに基づいて Resource Groups リソースへのアクセスをコントロールできます。この例では、リソースを表示できるポリシーを作成する方法を示します。ここでは、例としてリソースグループが挙げられます。ただし、アクセス許可が付与されるのは、グループタグ `project` が、呼び出し元のプリンシパルに付けられた `project` タグと同じ値がある場合のみです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "resource-groups:GetGroup",
"Resource": "arn:aws:resource-groups:us-east-1:111122223333:group/group_name",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}
]
}
```
------
このポリシーをアカウントのプリンシパルにアタッチできます。タグキー `project` とタグ値 `alpha` を持つプリンシパルがリソースグループを表示しようとする場合、そのグループにもタグ `project=alpha` を付ける必要があります。それ以外の場合、ユーザーはアクセスを拒否されます。条件キー名では大文字と小文字が区別されないため、条件タグキー `project` は `Project` と `project` の両方に一致します。詳細については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
# AWS Resource Groups ID とアクセスのトラブルシューティング
次の情報は、Resource Groups と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Resource Groups でアクションを実行する権限がない](#security_iam_troubleshoot-permissions-arg-te)
+ [iam:PassRole を実行する権限がない](#security_troubleshoot-passrole)
+ [AWS アカウント以外のユーザーに Resource Groups へのアクセスを許可したい](#security_troubleshoot-cross-account)
## Resource Groups でアクションを実行する権限がない
でアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。
以下の例のエラーは、ユーザー `mateojackson` がコンソールを使用して、グループの詳細を表示しようとしているが、`resource-groups:ListGroups` のアクセス許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group
```
この場合、Mateo は、`resource-groups:ListGroups` アクションを使用して `my-test-group` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Resource Groups にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Resource Groups でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## AWS アカウント以外のユーザーに Resource Groups へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Resource Groups がこれらの機能をサポートしているかどうかを確認するには、[Resource Groups で IAM を使用する方法](security_iam_service-with-iam.md) を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# Resource Groups でのログ記録とモニタリング
すべての AWS Resource Groups アクションがログインされます AWS CloudTrail。
## を使用した AWS Resource Groups API コールのログ記録 AWS CloudTrail
AWS Resource Groups およびタグエディタは AWS CloudTrail、Resource Groups またはタグエディタでユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、Resource Groups またはタグエディタのコンソールからの呼び出しや Resource Groups API へのコード呼び出しを含む、Resource Groups のすべての API コールをイベントとしてキャプチャします。証跡を作成する場合は、Resource Groups のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [**イベント履歴**] で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、Resource Groups に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
### CloudTrail での Resource Groups に関する情報
CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。Resource Groups またはタグエディタコンソールでアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。
Resource Groups のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。
+ [証跡を作成するための概要](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [CloudTrail 用 Amazon SNS 通知の構成](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
すべての Resource Groups アクションは CloudTrail によりログに記録されます。これらのアクションについては、[AWS Resource Groups API リファレンス](https://docs.aws.amazon.com//ARG/latest/APIReference/)で説明されています。CloudTrail での Resource Groups アクションは、API エンドポイント `resource-groups.amazonaws.com` をソースとしたイベントとして表示されます。例えば、`CreateGroup`、`GetGroup`、`UpdateGroupQuery` の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。コンソール内のタグエディタのアクションは CloudTrail によってログに記録され、内部 API エンドポイント `resource-explorer` をソースとしたイベントとして表示されます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。同一性情報は次の判断に役立ちます。
+ リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。
+ リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。
詳細については、[CloudTrail `userIdentity` 要素](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
### Resource Groups のログファイルエントリの理解
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
以下の例は、`CreateGroup` アクションを示す CloudTrail ログエントリです。
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:AWSResourceGroupsUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2018-06-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2018-06-05T22:18:23Z",
"eventSource":"resource-groups.amazonaws.com",
"eventName":"CreateGroup",
"awsRegion":"us-west-2",
"sourceIPAddress":"100.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"Description": "EC2 instances that we are using for application staging.",
"Name": "Staging",
"ResourceQuery": {
"Query": "string",
"Type": "TAG_FILTERS_1_0"
},
"Tags": {
"Key":"Phase",
"Value":"Stage"
}
},
"responseElements":{
"Group": {
"Description":"EC2 instances that we are using for application staging.",
"groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging",
"Name":"Staging"
},
"resourceQuery": {
"Query":"string",
"Type":"TAG_FILTERS_1_0"
}
},
"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6",
"eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# Resource Groups のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによるスコープ](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Resource Groups での耐障害性
AWS Resource Groups は、内部サービスリソースへの自動バックアップを実行します。これらのバックアップはユーザーが設定できません。バックアップは、保管時と転送中のいずれも暗号化されます。Resource Groups は Amazon DynamoDB に顧客データを保存します。
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、および高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。
ユーザーリソースグループが完全に失われた場合でも、ほとんどの顧客データは AWS アベイラビリティーゾーン (AZs) 間でレプリケートされるため、顧客データは失われません。グループを誤って削除した場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。
AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# Resource Groups のインフラストラクチャセキュリティ
Resource Groups によって提供されるサービスまたはネットワークトラフィックを分離するその他の方法はありません。該当する場合は、 AWS固有の分離を使用します。VPC で Resource Groups API とコンソールを使用することで、プライバシーとインフラストラクチャのセキュリティを最大限に高めることができます。
マネージドサービスである AWS Resource Groups は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で Resource Groups にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
Resource Groups では、リソースベースのポリシーはサポートされていません。
# インターフェイスエンドポイント (AWS PrivateLink) AWS Resource Groups を使用した へのアクセス
を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS Resource Groups。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Resource Groups にアクセスできます。VPC 内のインスタンスは、リソースグループにアクセスするためにパブリック IP アドレスを必要としません。
このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Resource Groups 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。
詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。
## Resource Groups に関する考慮事項
Resource Groups のインターフェイスエンドポイントを設定する前に、「 *AWS PrivateLink ガイド*」の[「考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を参照してください。
Resource Groups は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。
## Resource Groups のインターフェイスエンドポイントを作成する
Resource Groups のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
次のサービス名を使用して、Resource Groups のインターフェイスエンドポイントを作成します。
```
com.amazonaws.region.resource-groups
```
インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して Resource Groups に API リクエストを行うことができます。例えば、`resource-groups.us-east-1.amazonaws.com`。
## インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して Resource Groups へのフルアクセスを許可します。VPC から Resource Groups に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。
詳細については、*AWS PrivateLink ガイド*の[Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を参照してください。
**例: Resource Groups アクションの VPC エンドポイントポリシー**
以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Resource Groups アクションへのアクセスが許可されます。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:GetAccountSettings",
"resource-groups:GetGroupQuery"
],
"Resource":"*"
}
]
}
```
# Resource Groups のセキュリティのベストプラクティス
以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
+ **最小限の特権アクセスの原則を使用**して、グループにアクセス権を付与します。Resource Groups は、リソースレベルのアクセス許可をサポートします。特定のユーザーに必要な場合にのみ、特定のグループへのアクセス権を付与します。すべてのユーザーまたはすべてのグループにアクセス許可を割り当てるポリシーステートメントでは、アスタリスクを使用しないでください。最小限の特権の詳細については、「IAM ユーザーガイド」の「[最小特権を付与する](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」を参照してください。
+ **個人情報をパブリックフィールドに公開しないでください。**グループの名前はサービスメタデータとして扱われます。グループ名は暗号化されません。グループ名に機密情報を含めないでください。グループの説明は非公開です。
プライベート情報や機密情報をタグキーやタグ値に入れないでください。
+ 適切な場合にはいつでも**タグに基づいた承認を使用してください**。Resource Groups は、タグに基づいた承認をサポートします。グループにタグを付けて、IAM ユーザー、IAM ロールなどのプリンシパルにアタッチされているポリシーを更新することで、グループに適用されるタグに基づいてアクセスレベルを設定できます。タグに基づいて認可を使用する方法の詳細については、*IAM ユーザーガイド*の[AWS 「リソースタグを使用したリソースへのアクセスの制御](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html)」を参照してください。
多くの AWS サービスは、リソースのタグに基づく認可をサポートしています。タグに基づいた承認は、グループ内のメンバーリソースに対して設定される可能性があることに注意してください。グループのリソースへのアクセスがタグによって制限されている場合、承認されていないユーザーまたはグループはそれらのリソースに対してアクションや自動化を実行できないことがあります。例えば、いずれかのグループの Amazon EC2 インスタンスがタグキー `Confidentiality` とタグ値 `High` でタグ付けされているとします。ここで、`Confidentiality:High` とタグ付けされたリソースに対してコマンドを実行する権限がない場合、リソースグループ内の他のリソースに対してアクションが成功した場合でも、EC2 インスタンスで実行するアクションまたは自動化は失敗します。リソースに対してタグに基づいた承認をサポートするサービスの詳細については、*IAM ユーザーガイド*の [IAM と連携するAWS サービス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照してください。
AWS リソースのタグ付け戦略の開発の詳細については、[AWS 「タグ付け戦略](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)」を参照してください。