# AWSジョブ機能の 管理ポリシー
<a name="access_policies_job-functions"></a>

[最小権限を付与する](best-practices.md#grant-least-privilege)ポリシーを使用するか、タスクの実行に必要な権限のみを付与することをお勧めします。最小限の権限を付与する最も安全な方法は、チームに必要な権限のみを使用してカスタムポリシーを作成することです。必要に応じて、チームがより多くの権限を要求できるようにプロセスを作成する必要があります。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](access_policies_create-console.md)には時間と専門知識が必要です。

[AWS マネージドポリシー](access_policies_managed-vs-inline.md#aws-managed-policies) を使用して、IAM ID (ユーザー、ユーザーのグループ、およびロール) へのアクセス許可の追加を開始。AWS 管理ポリシーは一般的な使用例をカバーし、AWS アカウント で利用できます。AWS 管理ポリシーは、最小特権のアクセス許可を付与しません。プリンシパルにジョブに必要な以上のアクセス許可を付与すると、セキュリティ上のリスクを考慮する必要があります。

ジョブ機能を含む AWS 管理ポリシーを任意の IAM ID にアタッチできます。最小特権のアクセス許可に切り替えるには、AWS Identity and Access Management and Access Analyzer を実行して、AWS マネージドポリシーを使用するプリンシパルをモニタリングします。どのアクセス許可を使用しているかを学習したら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成できます。これは安全性は低くなりますが、チームが AWS をどのように使用しているかを学習するにつれて柔軟性が高まります。

AWSジョブ機能の 管理ポリシーは、IT 業界の一般的なジョブ機能と密接に連携するように設計されています。これらのポリシーを使用すると、特定のジョブ機能を持つ人によるタスクの実行に必要な権限を簡単に付与することができます。これらのポリシーは、多くのサービスの権限を一つのポリシーに統合しているため、権限が様々なポリシーに分散している場合に比べてより作業しやすくなっています。

**ロールを使用してサービスを連動する**  
他の AWS サービスにある機能の活用を促すために IAM サービスのロールを使用するポリシーもあります。これらのポリシーは、`iam:passrole` にアクセス許可を付与します。これによりポリシーが適用されるユーザーは AWS のサービスにロールを渡すことができます。このロールは、お客様に代わってアクションを実行するための IAM アクセス許可を AWS のサービスに委任します。

必要に応じてロールを作成する必要があります。たとえば、ネットワーク管理者のポリシーでは、ポリシーを利用するユーザーは「flow-logs-vpc」というロールを Amazon CloudWatch サービスに渡すことができます。CloudWatch は、そのロールを使用して、ユーザーが作成した VPC の IP トラフィックをログに記録し、キャプチャします。

セキュリティのベスト プラクティスに従うは、渡すことができる有効なロール名を制限するフィルタを、ジョブ機能のポリシーに含めます。これは不要な権限の付与を避けるのに役立ちます。ご自分のユーザーにオプション サービス ロールが必要な場合は、ポリシーで指定されている命名規則に従うロールを作成する必要があります。その後、ロールに権限を付与します。この処理が終わると、ユーザーは、ロールを使用するサービスを設定して、そのロールが提供する権限を付与することができます。

次のセクションでは、各ポリシーの名前は AWS マネジメントコンソール のポリシー詳細ページへのリンクです。ここでは、ポリシードキュメントを表示し、そのポリシーによって付与されるアクセス許可を確認できます。

## 管理者ジョブ関数
<a name="jf_administrator"></a>

**AWS 管理ポリシー名:** [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)

**ユースケース:** このユーザーはフルアクセスが許可され、AWS のあらゆるサービスおよびリソースにアクセス許可を委任できます。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、アカウントの AWS のすべてのサービスおよびリソースに対するすべてのアクションを許可します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html)」を参照してください。

**注記**  
IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。このためには、「[請求コンソールへのアクセス権の付与](getting-started-account-iam.md)」の指示に従って、請求コンソールへのアクセスを委任します。

## 請求ジョブ関数
<a name="jf_accounts-payable"></a>

**AWS 管理ポリシー名:** [Billing](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)

**ユースケース:** このユーザーは請求情報の確認、支払いの設定、支払いの承認を行う必要があります。ユーザーは、AWS のサービス全体の累計されたコストをモニタリングできます。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、請求、コスト、支払い方法、予算、レポートを管理するためのフルアクセス許可を付与します。その他のコスト管理ポリシーの例については、「AWS Billing and Cost Management ユーザーガイド」の「[AWS Billing ポリシーの例](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html)」を参照してください。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[Billing](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html)」を参照してください。

**注記**  
IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。このためには、「[請求コンソールへのアクセス権の付与](getting-started-account-iam.md)」の指示に従って、請求コンソールへのアクセスを委任します。

## データベース管理者のジョブ機能
<a name="jf_database-administrator"></a>

**AWS 管理ポリシー名:** [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)

**ユースケース:** このユーザーは AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、データベースの作成、設定、メンテナンスを行うためのアクセス許可を付与します。これは、へのアクセスが含まれていますAWSAmazon DynamoDB、Amazon Relational Database Service (RDS)、Amazon Redshift などのデータベースサービスを利用できます。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html)」を参照してください。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。このポリシーは、次の表で示されるロールに対してのみ `iam:PassRole` アクションを許可します。詳細については、このトピックで後述する「[ロールの作成とポリシーのアタッチ (コンソール)](access_policies_job-functions_create-policies.md)」を参照してください。


| ユースケース | ロール名 (\$1 はワイルドカードです) | 選択するサービスロールの種類 | この AWS 管理ポリシーを選択します。 | 
| --- | --- | --- | --- | 
| ユーザーに RDS データベースのモニタリングを許可します | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | 拡張モニタリング用 Amazon RDS ロール | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| AWS Lambda に、データベースのモニタリングと外部データベースへのアクセスを許可します | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) | 
| Lambda が DynamoDB を使用して Amazon S3 および Amazon Redshift クラスターにファイルをアップロードすることを許可する | [lambda\$1exec\$1role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | [AWS ビッグデータブログ](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader)で定義されているように新しい管理ポリシーを作成します | 
| Lambda 関数に、DynamoDB テーブルのトリガーとしての動作を許可します | [lambda-dynamodb-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 
| Lambda 関数が VPC 内の Amazon RDS へのアクセスを許可する | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) に定義されているように、信頼ポリシーを適用したロールを作成します | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) | 
| AWS Data Pipeline に、AWS へのアクセスを許可します | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 開発者ガイド](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) に定義されているように、信頼ポリシーを適用したロールを作成します | AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「[AWS Data Pipelineの IAM ロール](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)」を参照してください。 | 
| Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 開発者ガイド](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) に定義されているように、信頼ポリシーを適用したロールを作成します | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## データサイエンティストジョブ関数
<a name="jf_data-scientist"></a>

**AWS 管理ポリシー名:** [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)

**ユースケース:** このユーザーは Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、Amazon EMR クラスターでクエリを作成、管理、実行し、Amazon QuickSight などのツールでデータを分析するアクセス許可を付与します。このポリシーには、追加のデータサイエンティストサービス (AWS Data Pipeline、Amazon EC2、Amazon Kinesis、Amazon Machine Learning、および SageMaker AI など) へのアクセスが含まれます。このポリシーがサポートしているデータサイエンティストサービスの詳細なリストに対するポリシーを表示します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html)」を参照してください。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。一方のステートメントは、任意のロールを SageMaker AI に渡すことを許可します。別のステートメントは、次の表で示されるロールに対してのみ `iam:PassRole` アクションを許可します。詳細については、このトピックで後述する「[ロールの作成とポリシーのアタッチ (コンソール)](access_policies_job-functions_create-policies.md)」を参照してください。


| ユースケース | ロール名 (\$1 はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー | 
| --- | --- | --- | --- | 
| Amazon EC2 インスタンスの、クラスターに適したサービスおよびリソースへのアクセスを許可します。 | [EMR-EC2\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | EC2 の Amazon EMR  | [AmazonElasticMapReduceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) | 
| Amazon EMR アクセスを許可して Amazon EC2 サービスおよびクラスターのリソースにアクセスする | [EMR\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) | 
| Kinesis Managed Service for Apache Flink を許可してストリーミングデータソースにアクセスする | [kinesis-\$1](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | [AWS ビッグデータブログ](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader)に定義されているように、信頼ポリシーを適用したロールを作成します。 | ユースケースに応じて選択できる 4 つのオプションの概要については、「[AWS ビッグデータブログ](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader)」を参照してください。 | 
| AWS Data Pipeline に、AWS へのアクセスを許可します | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 開発者ガイド](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) に定義されているように、信頼ポリシーを適用したロールを作成します | AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「[AWS Data Pipelineの IAM ロール](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)」を参照してください。 | 
| Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AWS Data Pipeline 開発者ガイド](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) に定義されているように、信頼ポリシーを適用したロールを作成します | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## 開発者パワーユーザージョブ機能
<a name="jf_developer-power-user"></a>

**AWS 管理ポリシー名:** [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)

**ユースケース:** このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。

**ポリシーの更新** AWS: このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの説明:** このポリシーの最初のステートメントでは、[`NotAction`](reference_policies_elements_notaction.md) 要素を使用して、すべての AWS のサービスのすべてのアクションと、すべてのリソース (AWS Identity and Access Management、AWS Organizations、AWS アカウント管理 を除く) のすべてのアクションを許可します。2 つめのステートメントでは、サービスにリンクされたロールを作成する IAM アクセス許可を付与します。これは、別のサービスのリソース (Amazon S3 バケットなど) にアクセスしなければならないサービスに必要です。また、管理アカウントの E メールや組織の制限など、ユーザーの組織に関する情報を表示する AWS Organizations アクセス許可を付与します。このポリシーは、IAM、AWS Organizations を制限しますが、IAM アイデンティティセンターが有効化されている場合には、ユーザーがすべてのIAM アイデンティティセンターアクションを実行できるようにします。また、アカウントに対してどの AWS リージョンが有効か無効かを表示するためのアカウント管理のアクセス許可も付与されます。

## ネットワーク管理者のジョブ機能
<a name="jf_network-administrator"></a>

**AWS 管理ポリシー名:** [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)

**ユースケース:** このユーザーは AWS; ネットワークリソースの設定とメンテナンスを担当します。

**ポリシーの更新:** AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの説明:**このポリシーは、Auto Scaling、Amazon EC2 、AWS Direct Connect、 Route 53、Amazon CloudFront、Elastic Load Balancing 、AWS Elastic Beanstalk、 Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM、Amazon Virtual PrivateCloud でネットワークリソースを作成および維持するためのアクセス許可を付与します 。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html)」を参照してください。

このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ `iam:GetRole` と `iam:PassRole` を付与します。詳細については、このトピックで後述する「[ロールの作成とポリシーのアタッチ (コンソール)](access_policies_job-functions_create-policies.md)」を参照してください。


| ユースケース | ロール名 (\$1 はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー | 
| --- | --- | --- | --- | 
| Amazon VPC に、ユーザーに代わって CloudWatch Logs でログを作成および管理し、VPC を出入りする IP トラフィックをモニタリングするのを許可します | [flow-logs-\$1](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | [ Amazon VPC ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam)に定義されているように、信頼ポリシーを適用したロールを作成します。 | このユースケースには、既存の AWS 管理ポリシーがありませんが、ドキュメントには必要な権限が記載されています。[Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) を参照してください。 | 

## 読み取り専用アクセス
<a name="awsmp_readonlyaccess"></a>

**AWS 管理ポリシー名:** [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)

**ユースケース:** このユーザーには、AWS アカウント のすべてのリソースへの読み取り専用アクセス権が必要です。

**重要**  
このユーザーは、Amazon S3 バケットや Amazon DynamoDB テーブルなどのストレージサービスでデータを読み取ることもできます。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの説明:**このポリシーは、リソースとその属性を一覧表示、取得、説明、その他の表示するためのアクセス許可を付与します。これは、作成や削除のような突然変異機能が含まれていません。このポリシーには、AWS や AWS Identity and Access Management などのセキュリティ関連の AWS Billing and Cost Management サービスへの読み取り専用アクセスが含まれています。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html)」を参照してください。ストレージサービス内のデータの読み取りアクセスを許可しない同様のポリシーが必要な場合は、「[閲覧専用ユーザージョブ関数](#jf_view-only-user)」を参照してください。

## MCP サービスアクションのフルアクセス
<a name="jf_mcp-service-actions"></a>

**AWS マネージドポリシー名:** [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)

**ユースケース:** このユーザーは AWS サービスに AWS MCP サーバーを使ってアクセスする必要があります。このポリシーは、MCP サービスが実行したアクションへのアクセス許可を、他の AWS サービスに付与しません。

**ポリシーの更新** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの説明:** このポリシーは、任意の AWS MCP サービスアクションを呼び出すためのアクセス許可を付与します。アクセス許可を AWS MCP サービスごとに指定する必要がないときに使用できます。MCP サービスが実行するアクションに対するアクセス許可は、他の AWS サービスに付与されません。これらのアクセス許可は、MCP サービスのアクションに加えて、必ず個別に付与する必要があります。マネージドポリシーの詳細については、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html)」を参照してください。

## セキュリティ監査ジョブ機能
<a name="jf_security-auditor"></a>

**AWS 管理ポリシー名:** [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)

**ユースケース:** このユーザーはセキュリティ要件の遵守についてアカウントをモニタリングします。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。

**ポリシーの更新:** AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、AWS の多数のサービスの設定データを表示し、それらのログを確認するアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html)」を参照してください。

## Support ユーザジョブ機能
<a name="jf_support-user"></a>

**AWS マネージドポリシー名:** [AWSSupportAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)

**ユースケース:** このユーザーは AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。

**ポリシーの更新:** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、サポート ケースを作成および更新するアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[AWSSupportAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html)」を参照してください。

## システム管理者のジョブ機能
<a name="jf_system-administrator"></a>

**AWS 管理ポリシー名:** [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)

**ユースケース:** このユーザーは開発運用リソースのセットアップおよびメンテナンスを行います。

**ポリシーの更新:** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの説明:**このポリシーでは、AWS CloudTrail、Amazon CloudWatch、AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor、Amazon VPC などのさまざまな AWS サービスにわたってリソースを作成および維持するためのアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html)」を参照してください。

このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ `iam:GetRole` と `iam:PassRole` を付与します。詳細については、このトピックで後述する「[ロールの作成とポリシーのアタッチ (コンソール)](access_policies_job-functions_create-policies.md)」を参照してください。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。


| ユースケース | ロール名 (\$1 はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー | 
| --- | --- | --- | --- | 
| Amazon ECS クラスターの EC2 インスタンスで実行されるアプリケーションに Amazon ECS へのアクセスを許可します | [ecr-sysadmin-\$1](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | EC2 コンテナサービスの Amazon EC2 のロール  | [AmazonEC2ContainerServiceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) | 
| ユーザーがデータベースをモニタリングすることを許可します | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | 拡張モニタリング用 Amazon RDS ロール | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| EC2 インスタンスで実行されるアプリケーションの、AWS リソースへのアクセスを許可します。 | [ec2-sysadmin-\$1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | 「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)」に示されている、S3 バケットへのアクセスを許可するロールのサンプルポリシー (必要に応じてカスタマイズします)。 | 
| Lambda が DynamoDB Streams の読み取り、CloudWatch Logs への書き込みを許可する | [lambda-sysadmin-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 

## 閲覧専用ユーザージョブ関数
<a name="jf_view-only-user"></a>

**AWS 管理ポリシー名:** [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)

**ユースケース:** このユーザーは、サービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。

**ポリシーの更新:** AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、**ポリシーバージョン**タブを選択します。ジョブ関数のポリシーの更新の詳細については、「[ジョブ機能の AWS 管理ポリシー](#security-iam-awsmanpol-jobfunction-updates)」を参照してください。

**ポリシーの詳細:** このポリシーでは、AWS サービスのリソースに対する `List*`、`Describe*`、`Get*`、`View*`、および `Lookup*` アクセス許可を付与します。このポリシーに含まれる各サービスのアクションを確認するには、「[ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)」を参照してください。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「[ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html)」を参照してください。

## ジョブ機能の AWS 管理ポリシー
<a name="security-iam-awsmanpol-jobfunction-updates"></a>

これらのポリシーはすべて AWS によって維持され、AWS サービスによって追加された新しいサービスや新機能のサポートを含めるよう最新の状態に保たれます。これらのポリシーは、お客様が変更することはできません。ポリシーのコピーを作成してそのコピーを変更できますが、AWS での新しいサービスや API オペレーションの導入時に、そのコピーは自動的に更新されません。

ジョブ機能ポリシーの場合、IAM コンソールでバージョン履歴と各更新の日時を表示できます。これを行うには、このページのリンクを使用して、ポリシーの詳細を表示します。次に、[**ポリシーのバージョン**] タブをクリックして、バージョンを表示します。このページには、ポリシーの最後の 25 バージョンが表示されます。ポリシーのすべてのバージョンを表示するには、[get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) AWS CLI コマンドまたは [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html) API オペレーションを呼び出します。

**注記**  
カスタマー管理ポリシーには最大 5 つのバージョンを含めることができますが、AWS は AWS 管理ポリシーの完全なバージョン履歴を保持します。

# ロールの作成とポリシーのアタッチ (コンソール)
<a name="access_policies_job-functions_create-policies"></a>

上記のいくつかのポリシーでは、ロールを利用して、AWS サービスがお客様に代わってオペレーションを実行するアクセス許可をそれらのサービスに付与しています。ジョブ機能ポリシーは、使用しなければならない正確なロール名、または、使用可能な名前の前半を少なくとも含んでいるプレフィックスを指定します。これらのロールのいずれかを作成するには、次の手順のステップを実行します。

**AWS のサービス のロールを作成するには (IAM コンソール)**

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **信頼できるエンティティタイプ** で、**AWS のサービス** を選択します。

1. **[サービスまたはユースケース]** でサービスを選択し、次にユースケースを選択します。ユースケースは、サービスに必要な信頼ポリシーを含める定義になります。

1. [**次へ**] を選択します。

1. **[アクセス許可ポリシー]** では、オプションは選択したユースケースによって異なります。
   + サービスがロールのアクセス許可を定義している場合、アクセス許可ポリシーを選択することはできません。
   + 制限されたアクセス許可ポリシーのセットから選択します。
   + すべてのアクセス許可ポリシーから選択します。
   + アクセス許可ポリシーを選択するのではなく、ロールの作成後にポリシーを作成し、そのポリシーをロールにアタッチします。

1. (オプション) [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

   1. **[アクセス許可の境界の設定]** セクションを開き、**[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する]** を選択します。

      IAM には、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーのリストがあります。

   1. アクセス許可の境界として使用するポリシーを選択します。

1. [**次へ**] を選択します。

1. **[ロール名]** では、オプションはサービスによって異なります。
   + サービスでロール名が定義されている場合、ロール名を編集することはできません。
   + サービスでロール名のプレフィックスが定義されている場合、オプションのサフィックスを入力できます。
   + サービスでロール名が定義されていない場合、ロールに名前を付けることができます。
**重要**  
ロールに名前を付けるときは、次のことに注意してください。  
ロール名は AWS アカウント内で一意である必要があります。ただし、大文字と小文字は区別されません。  
例えば、**PRODROLE** と **prodrole** の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。
他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

1. (オプション) **[説明]** にロールの説明を入力します。

1. (オプション) ロールのユースケースとアクセス許可を編集するには、**[ステップ 1: 信頼されたエンティティを選択]** または **[ステップ 2: アクセス権限を追加]** のセクションで **[編集]** を選択します。

1. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用の詳細については、「*IAM ユーザーガイド*」の「[AWS Identity and Access Management リソースのタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. ロールを確認したら、**[ロールを作成]** を選択します。

## 例 1: データベース管理者としてユーザーを設定する (コンソール)
<a name="jf_example_1"></a>

この例では、IAM ユーザーである Alice を[データベース管理者](access_policies_job-functions.md#jf_database-administrator)として設定するために必要な手順を示しています。そのセクションのテーブルの最初の列情報を使用し、ユーザーが Amazon RDS モニタリングを有効にできるようにします。Alice の IAM ユーザーに [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) ポリシーをアタッチして、IAM ユーザーが Amazon データベースサービスを管理できるようにします。このポリシーによって、Alice は `rds-monitoring-role` という名前のロールを Amazon RDS サービスに渡すことができ、サービスが Alice の代わりに Amazon RDS データベースをモニタリングすることができます。

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. **[ポリシー]** を選択し、検索ボックスに **database** と入力してから[Enter] を押します。

1. **[DatabaseAdministrator]** ポリシーのラジオボタンを選択し、**[アクション]**、**[アタッチ]** の順に選択します。

1. エンティティのリストから **[Alice]** を選択してから、**[ポリシーをアタッチ]** を選択します。これで Alice は、AWS データベースを管理できます。ただし、Alice がこれらのデータベースをモニタリングできるようにするには、サービスロールを設定する必要があります。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **[AWS サービス]** ロールタイプを選択してから、**[Amazon RDS]** を選択します。

1. **[拡張モニタリングの Amazon RDS ロール]** ユースケースを選択します。

1. Amazon RDS により、ロールのアクセス許可が定義されます。**[次へ: 確認]** を選択して続行します。

1. ロール名は、Alice が現在持っている DatabaseAdministrator ポリシーによって指定されたものである必要があります。たとえば **rds-monitoring-role** です。**[ロール名]** にそれを入力します。

1. (オプション) **[ロールの説明]** に、新しいロールの説明を入力します。

1. 詳細を確認したら、**[ロールの作成]** を選択します。

1. これで Alice は、Amazon RDS コンソールの **[モニタリング]** セクションで **[RRDS 拡張モニタリング]** を有効にできるようになりました。たとえば、DB インスタンスを作成する場合、リードレプリカを作成する場合、または、DB インスタンスを修正する場合に有効にします。Alice は、**[拡張モニタリングを有効にする]** を **[はい]** に設定するときに、作成したロール名 (rds-monitoring-role) を **[モニタリングロール]** ボックスに入力する必要があります。

## 例 2: ネットワーク管理者としてユーザーを設定する (コンソール)
<a name="jf_example_2"></a>

この例では、IAM ユーザーである Jorge を[ネットワーク管理者](access_policies_job-functions.md#jf_network-administrator)として設定するために必要な手順を示しています。このセクションの表の情報を使用して、Jorge が VPC との間で送受信される IP トラフィックをモニタリングできるようにします。また、Jorge がその情報を CloudWatch Logs のログに取り込むことができるようにします。[NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) ポリシーを Jorge の IAM ユーザーにアタッチして、IAM ユーザーが AWS ネットワークリソースを設定できるようにします。このポリシーでは、フローログを作成する際に、Jorge が `flow-logs*` で始まる名前のロールを Amazon EC2 に渡すことも可能です。このシナリオでは、例 1 と違って事前定義されたサービスロールの種類がないため、いくつかのステップが異っています。

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ポリシー]** を選択し、検索ボックスに **network** と入力してから [Enter] を押します。

1. **NetworkAdministrator** ポリシーの横にあるチェックボックスをオンにし、**[アクション]**、**[アタッチ]** の順に選択します。

1. ユーザーのリストで、**Jorge** の横にあるチェックボックスをオンにしてから、**[ポリシーのアタッチ]** を選択します。これで Jorge は、AWS ネットワークリソースを管理できます。ただし、VPC の IP トラフィックのモニタリングを有効にするには、サービスロールを設定する必要があります。

1. 作成する必要のあるサービスロールに事前定義された管理ポリシーがないため、先にそれを作成する必要があります。ナビゲーションペインで、**[ポリシー]**、**[ポリシーの作成]** の順に選択します。

1. **[ポリシーエディタ]** セクションで、**[JSON]** オプションを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキストを **[JSON]** ボックスに貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  [ポリシーの検証](access_policies_policy-validator.md)中に生成されたセキュリティ警告、エラー、または一般警告をすべて解決してから、**[次へ]** を選択します。
**注記**  
いつでも **[Visual]** と **[JSON]** エディタオプションを切り替えることができます。ただし、**[Visual]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。

1. **[確認および作成]** ページで、ポリシー名として「**vpc-flow-logs-policy-for-service-role**」と入力します。**[このポリシーで定義されているアクセス許可]** を確認し、ポリシーによって付与されたアクセス許可を確認し、**[ポリシーを作成]** を選択して作業を保存します。

   新しいポリシーが管理ポリシーの一覧に表示され､アタッチの準備ができます。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **[AWS サービス]** ロールタイプを選択し、続いて **[Amazon EC2]** を選択します。

1. **[Amazon EC2]** ユースケースを選択します

1. **[アクセス許可ポリシーをアタッチする]** ページで、先ほど作成したポリシー **[vpc-flow-logs-policy-for-service-role]** を選択してから、**[次へ: 確認]** を選択します。

1. ロール名は Jorge が現在持っている、NetworkAdministrator ポリシーによって許可されている必要があります。`flow-logs-` で始まる名前であれば、使用可能です。この例では、**[ロール名]** に **flow-logs-for-jorge** と入力します。

1. (オプション) **[ロールの説明]** に、新しいロールの説明を入力します。

1. 詳細を確認したら、**[ロールの作成]** を選択します。

1. これで、このシナリオで必要な信頼ポリシーを設定することができます。**[ロール]** ページで、**flow-logs-for-jorge** ロール (チェックボックスではなく名前) を選択します。新しいロールの詳細ページで、**[信頼関係]** タブを選択してから、**[信頼関係の編集]** を選択します。

1. 「Service」行の `ec2.amazonaws.com` のエントリを置き換えて以下のように変更します。

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge はこれで、Amazon EC2 コンソールで VPC またはサブネットのフローログを作成できます。フローログを作成するときに、**flow-logs-for-jorge** ロールを指定します。このロールには、ログを作成し、そのログにデータを書き込む権限があります。