Amazon Monitron は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、[ブログ記事](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Monitron のセキュリティ
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Amazon Monitron に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、 お客様のデータの機密性、企業の要件、および適用可能な法律や規制といった他の要因 についても責任を担います。
このドキュメントは、Amazon Monitron 使用時における責任共有モデルの適用法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目標を達成するように Amazon Monitron を設定する方法について説明します。また、Amazon Monitron リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Amazon Monitron でのデータ保護](data-protection.md)
+ [Amazon Monitron のための Identity and Access Management](security-iam.md)
+ [Amazon Monitron でログ記録とモニタリングを実行する](monitron-logging.md)
+ [Amazon Monitron のコンプライアンス検証](monitron-compliance.md)
+ [Amazon Monitron のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [Amazon Monitron のセキュリティベストプラクティス](security-best-practices.md)
# Amazon Monitron でのデータ保護
Amazon Monitron は、 AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)。 には、データ保護に関する規制とガイドラインが含まれています。 AWS は、すべての AWS サービスを実行するグローバルインフラストラクチャを保護する責任があります。 は、このインフラストラクチャでホストされるデータの制御 AWS を維持します。 お客様のコンテンツと個人データを処理するためのセキュリティ設定コントロールを含めます。 AWS のお客様および APN パートナー、 データコントローラーまたはデータ処理者として動作する は、 AWS クラウドに保存した個人データについて責任を負います。
データ保護の目的で、 AWS アカウントの認証情報を保護し、 AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。これにより、各ユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ TLS (Transport Layer Security) を使用して AWS リソースと通信します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
+ AWS 暗号化ソリューションと、 AWS サービス内のすべてのデフォルトのセキュリティコントロールを使用します。
+ Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3 に保存される個人データの検出と保護が支援されます。
顧客のアカウント番号などの機密の識別情報は、**[名前]** フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon Monitron AWS CLIまたは他の AWS のサービスを使用する場合も同様です。 AWS SDKs Amazon Monitron や他のサービスに入力したすべてのデータは、診断ログに取り込まれる可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
データ保護の詳細については、*AWS セキュリティブログ* のブログ投稿「[AWS の責任共有モデルと GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」を参照してください。
**Topics**
+ [保管中のデータ](data-at-rest.md)
+ [転送中のデータ](data-in-transit.md)
+ [AWS KMS Amazon Monitron での および データ暗号化](kms-data-encrypt.md)
# 保管中のデータ
クラウドに保存されているデータは、 AWS Key Management Service (AWS KMS) を介した 2 種類のキータイプのいずれかを使用して暗号化されます。データは AWS 所有のキーを使用して、Amazon Simple Storage Service (Amazon S3) に暗号化されます。Amazon Monitron は Amazon DynamoDB のテーブルにもデータを格納します。デフォルトでは、これらは AWS 所有の CMK を使用して暗号化されます。ただし、プロジェクトの設定時にお客様が**[カスタム暗号化設定]**を選択した場合、Amazon Monitron はカスタマー管理の CMK を使用します。
[Kinesis ストリームへのサーバー側の暗号化の使用](monitron-kinesis-export.md#data-export-server-side-encryption) も参照してください。
# 転送中のデータ
Amazon Monitron は TLS (Transport Layer Security) を使用して、センサーと Amazon Monitron 間で転送されるデータを暗号化します。
# AWS KMS Amazon Monitron での および データ暗号化
Amazon Monitron は、 AWS Key Management Service () を介して 2 種類のキーのいずれかを使用してデータとプロジェクト情報を暗号化しますAWS KMS。次のいずれかを選択できます。
+ AWS 所有のキー。これはデフォルトの暗号化キーであり、プロジェクトの設定時に**[カスタム暗号化設定]**を選択しなかった場合に使用されます。
+ カスタマーマネージド CMK。 AWS アカウントで既存のキーを使用するか、 AWS KMS コンソールまたは API を使用してキーを作成できます。既存のキーを使用している場合は、** AWS KMS キーの選択**を選択し、キーのリストから AWS KMS キーを選択するか、別のキーの Amazon リソースネーム (ARN) を入力します。新しいキーを作成する場合は、** AWS KMS キーの作成**を選択します。詳細については、*AWS Key Management Service デベロッパーガイド*の[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)を参照してください。
AWS KMS を使用してデータを暗号化する場合は、次の点に注意してください。
+ Amazon S3 および Amazon DynamoDB のクラウドに保存されているデータは暗号化されます。
+ AWS 所有の CMK を使用してデータが暗号化されると、Amazon Monitron は顧客ごとに個別の CMK を使用します。
+ IAM ユーザーには、Amazon Monitron に接続された AWS KMS API オペレーションを呼び出すために必要なアクセス許可が必要です。Amazon Monitron のマネージドポリシーには、コンソールを使用するための以下のアクセス権限が含まれています。
```
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases",
"kms:CreateGrant"
],
"Resource": "*"
},
```
詳細については、[デベロッパーガイド AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) の「*AWS Key Management Service IAM ポリシーの使用*」を参照してください。
+ CMK を削除または無効化すると、データにアクセスできなくなります。詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS KMS keysを削除する](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。
# Amazon Monitron のための Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を認証 (サインインを許可) し、誰に Amazon Monitron リソースの使用を承認する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](security_iam_audience.md)
+ [アイデンティティを使用した認証](security_iam_authentication.md)
+ [ポリシーを使用したアクセスの管理](security_iam_access-manage.md)
+ [Amazon Monitron で IAM を使用する方法](security_iam_service-with-iam.md)
+ [Amazon Monitron のサービスリンクロールの使用](using-service-linked-roles.md)
# オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Monitron のアイデンティティとアクセスのトラブルシューティング](security_iam_service-with-iam.md#security_iam_troubleshoot)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Monitron で IAM を使用する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Monitron のアイデンティティベースポリシーの例](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)」を参照)
# アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
**Topics**
+ [AWS アカウント ルートユーザー](security_iam_authentication-rootuser.md)
+ [IAM ユーザーとグループ](security_iam_authentication-iamuser.md)
+ [IAM ロール](security_iam_authentication-iamrole.md)
# AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
# IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
# IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられている場合のアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
**Topics**
+ [アイデンティティベースのポリシー](security_iam_access-manage-id-based-policies.md)
+ [その他のポリシータイプ](security_iam_access-manage-other-policies.md)
+ [複数のポリシータイプ](security_iam_access-manage-multiple-policies.md)
# アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。マネージドポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
# その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
# 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Monitron で IAM を使用する方法
IAM を使用して Amazon Monitron へのアクセスを管理する前に、Amazon Monitron で使用できる IAM 機能について理解しておく必要があります。Amazon Monitron およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon Monitron アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Monitron リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Monitron タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon Monitron の IAM ロール](#security_iam_service-with-iam-roles)
+ [Amazon Monitron のアイデンティティベースポリシーの例](#security_iam_id-based-policy-examples)
+ [Amazon Monitron のアイデンティティとアクセスのトラブルシューティング](#security_iam_troubleshoot)
## Amazon Monitron アイデンティティベースのポリシー
IAM のアイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Monitron は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
**Topics**
+ [アクション](#security_iam_service-with-iam-id-based-policies-actions)
+ [リソース](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [例](#security_iam_service-with-iam-id-based-policies-examples)
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon Monitron のポリシーアクションは、アクションの前にプレフィックス `monitron:` を使用します。例えば、Amazon Monitron `CreateProject` オペレーションを使用してプロジェクトを作成するアクセス許可を付与するには、ポリシーに `monitron:CreateProject` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon Monitron は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
**注記**
`deleteProject` オペレーションでは、削除するための AWS IAM アイデンティティセンター (SSO) 権限が必要です。これらの権限がない場合でも、削除機能でプロジェクトは削除されます。ただし、SSO からリソースは削除されないため、SSO でリソースがぶら下がってしまうことになります。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "monitron:List*"
```
### リソース
Amazon Monitron では、ポリシーでリソース ARN を指定することはできません。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Monitron では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーのリストについては、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Monitron の条件キーのリストを確認するには、「IAM ユーザーガイド」の「[Amazon Monitron で定義されるアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions)」を参照してください。条件キーを使用できるアクションとリソースについては、「[Amazon Monitron で定義されるアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys)」を参照してください。
### 例
Amazon Monitron のアイデンティティベースポリシーの例を確認するには、「[Amazon Monitron のアイデンティティベースポリシーの例](#security_iam_id-based-policy-examples)」を参照してください。
## Amazon Monitron リソースベースのポリシー
Amazon Monitron では、リソースベースのポリシーはサポートされていません。
## Amazon Monitron タグに基づく認可
承認のために、特定のタイプの Amazon Monitron リソースにタグを関連付けることができます。タグに基づいてアクセスを管理するには、`Amazon Monitron:TagResource/${TagKey}`、`aws:RequestTag/${TagKey}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
## Amazon Monitron の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Amazon Monitron での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Amazon Monitron は、一時的な認証情報の使用をサポートします。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
Amazon Monitron は、サービスにリンクされたロールをサポートしています。
### サービスロール
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Amazon Monitron は、サービスロールをサポートします。
## Amazon Monitron のアイデンティティベースポリシーの例
デフォルトでは、IAM ユーザーとロールには Amazon Monitron リソースを作成または変更する権限がありません。また、 を使用してタスクを実行することはできません AWS マネジメントコンソール。管理者はアクセス許可が必要な IAM ユーザー、グループ、またはロールにその権限を付与する必要があります。その後、権限を付与されたユーザー、グループ、またはロールは、指定された必要なリソースで特定の操作を実行できます。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーのベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon Monitron コンソールを使用する](#security_iam_id-based-policy-examples-console)
+ [例: すべての Amazon Monitron プロジェクトを一覧表示する](#security_iam_id-based-policy-examples-access-one-bucket)
+ [例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する](#security_iam_id-based-policy-examples-view-widget-tags)
### ポリシーのベストプラクティス
ID ベースのポリシーでは、ユーザーのアカウント内で誰かが Amazon Monitron リソースの作成、アクセス、または削除ができるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
### Amazon Monitron コンソールを使用する
コンソールを使用して Amazon Monitron をセットアップするには、権限の高いユーザー (`AdministratorAccess` マネージドポリシーがアタッチされているユーザーなど) を通して初期設定プロセスを完了してください。
初期設定後、Amazon Monitron コンソールにアクセスして日常的な操作を行うには、最小限のアクセス許可が必要です。これらのアクセス許可により、 AWS アカウント内の Amazon Monitron リソースの詳細を一覧表示および表示し、IAM Identity Center に関連する一連のアクセス許可を含めることができます。これらの最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。Amazon Monitron コンソールの基本機能については、`AmazonMonitronFullAccess` マネージドポリシーをアタッチする必要があります。状況によっては、Organizations と SSO サービスに追加の権限が必要になる場合もあります。詳細については、 AWS サポートにお問い合わせください。
### 例: すべての Amazon Monitron プロジェクトを一覧表示する
このポリシーの例では、 AWS アカウントの IAM ユーザーに、アカウントのすべてのプロジェクトを一覧表示するアクセス許可を付与します。
### 例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する
アイデンティティベースのポリシーの条件を使用して、タグに基づいて Amazon Monitron リソースへのアクセスを制御できます。この例では、プロジェクトを一覧表示できるポリシーを作成する方法について示しています。ただし、プロジェクトタグ `location` に `Seattle` の値がある場合のみ、アクセス許可は付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
## Amazon Monitron のアイデンティティとアクセスのトラブルシューティング
Amazon Monitron と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復には、次の情報を利用してください。
**Topics**
+ [Amazon Monitron でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [AWS アカウント以外のユーザーに Amazon Monitron リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
### Amazon Monitron でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `monitron:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
この場合、`monitron:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
### AWS アカウント以外のユーザーに Amazon Monitron リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Amazon Monitron がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Monitron で IAM を使用する方法](#security_iam_service-with-iam)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Amazon Monitron のサービスリンクロールの使用
Amazon Monitron は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Monitron に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon Monitron によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon Monitron のセットアップが簡単になります。サービスリンクロールの許可は Amazon Monitron が定義し、別段の定義がない限り、Amazon Monitron のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスリンクロール**列に**はい**と表記されているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [Amazon Monitron のサービスリンクロール許可](slr-permissions.md)
+ [Amazon Monitron のサービスリンクロールの作成](create-slr.md)
+ [Amazon Monitron のサービスリンクロールの編集](edit-slr.md)
+ [Amazon Monitron のサービスリンクロールの削除](delete-slr.md)
+ [Amazon Monitron サービスリンクロールがサポートされるリージョン](slr-regions.md)
+ [AWS Amazon Monitron の マネージドポリシー](monitron-managed-policies.md)
+ [AWS マネージドポリシーに対する Amazon Monitron の更新](managed-policy-updates.md)
# Amazon Monitron のサービスリンクロール許可
Amazon Monitron は、**AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1]** という名前のサービスにリンクされたロールを使用します。Amazon Monitron は AWSServiceRoleForMonitron を使用して、Cloudwatch Logs、Kinesis Data Streams、KMS キー、SSO などの他の AWS サービスにアクセスします。ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)」を参照してください。
AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `monitron.amazonaws.com`、または `core.monitron.amazonaws.com`
MonitronServiceRolePolicy という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
+ アクション: Amazon CloudWatch Logs `logs:CreateLogGroup`、CloudWatch ロググループ、ログストリーム、および /aws/monitron/\$1 パスにあるログイベント上の `logs:CreateLogStream` および `logs:PutLogEvents`
MonitronServiceDataExport-KinesisDataStreamAccess という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
+ アクション: Amazon Kinesis `kinesis:PutRecord`、`kinesis:PutRecords`、およびライブデータエクスポート用に指定された Kinesis データストリーム上の `kinesis:DescribeStream`
+ アクション: ライブデータエクスポート用に AWS KMS 指定された Kinesis データストリームで使用されるキーの Amazon AWS KMS `kms:GenerateDataKey`
+ アクション: 使用していないサービスにリンクされたロール自体を削除する Amazon IAM `iam:DeleteRole`
AWSServiceRoleForMonitronPolicy という名前のロールのアクセス許可ポリシーは、Amazon Monitron が指定されたリソースで以下のアクションを実行することを許可します。
+ アクション: IAM Identity Center `sso:GetManagedApplicationInstance`、`sso:GetProfile`、`sso:ListProfiles`、`sso:AssociateProfile`、`sso:ListDirectoryAssociations`、、`sso:CreateApplicationAssignment`、および `sso:ListProfileAssociations` `sso-directory:DescribeUsers` `sso-directory:SearchUsers`プロジェクトに関連付けられた IAM Identity Center ユーザー`sso:ListApplicationAssignments`にアクセス
**注記**
Amazon Monitron が Amazon Monitron プロジェクトの基盤となるアプリケーションインスタンスとの関連付けを一覧表示できるようにするために、`sso:ListProfileAssociations` を追加してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
# Amazon Monitron のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。の Amazon Monitron でユーザーに代わって他の AWS サービスを呼び出すアクセス許可を必要とする機能を有効にすると AWS マネジメントコンソール、Amazon Monitron によってサービスにリンクされたロールが作成されます。
# Amazon Monitron のサービスリンクロールの編集
Amazon Monitron では、サービスにリンクされたロール AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
# Amazon Monitron のサービスリンクロールの削除
AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] ロールを手動で削除する必要はありません。で Amazon Monitron を通じて作成した Amazon Monitron プロジェクトを削除すると AWS マネジメントコンソール、Amazon Monitron はリソースをクリーンアップし、サービスにリンクされたロールを削除します。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。
**注記**
リソースを削除しようとしたときに Amazon Monitron サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] で使用される Amazon Monitron リソースを削除するには**
+ このサービスリンクロールを使用して Amazon Monitron プロジェクトを削除してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
# Amazon Monitron サービスリンクロールがサポートされるリージョン
Amazon Monitron は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region)」を参照してください。
Amazon Monitron は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] ロールは、以下のリージョンで使用できます。
****
| リージョン名 | リージョン識別子 | Amazon Monitron でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | いいえ |
| 米国西部(北カリフォルニア) | us-west-1 | いいえ |
| 米国西部 (オレゴン) | us-west-2 | いいえ |
| アジアパシフィック (ムンバイ) | ap-south-1 | いいえ |
| アジアパシフィック (大阪) | ap-northeast-3 | いいえ |
| アジアパシフィック (ソウル) | ap-northeast-2 | いいえ |
| アジアパシフィック (シンガポール) | ap-southeast-1 | いいえ |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | いいえ |
| カナダ (中部) | ca-central-1 | いいえ |
| 欧州 (フランクフルト) | eu-central-1 | いいえ |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | いいえ |
| 欧州 (パリ) | eu-west-3 | いいえ |
| 南米 (サンパウロ) | sa-east-1 | いいえ |
| AWS GovCloud (US) | us-gov-west-1 | いいえ |
# AWS Amazon Monitron の マネージドポリシー
IAM エンティティに AmazonMonitronFullAccess をアタッチできます。このポリシーにより、すべての Amazon Monitron のリソースとオペレーションへのアクセスを許可する管理アクセス許可が付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# AWS マネージドポリシーに対する Amazon Monitron の更新
このサービスがこれらの変更の追跡を開始してからの Amazon Monitron の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、Amazon Monitron ドキュメントの履歴ページから、RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - 既存のポリシーの更新 | [ロールのアクセス許可ポリシー](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html)`sso:ListApplicationAssignments`に `sso:CreateApplicationAssignment`と を追加しました。 | 2024 年 9 月 30 日 |
| AmazonMonitronFullAccess — 既存ポリシーの更新 | Amazon Monitron に、Kinesis データストリームの記述と一覧表示、および CloudWatch のロググループ、ログストリーム、ログイベントを記述、取得、作成できるアクセス許可が追加されました。Amazon Monitron コンソールを使用して Kinesis データストリームと CloudWatch Logs に関する情報を表示するには、これらの権限を使用する必要があります。 | 2022 年 6 月 8 日 |
# Amazon Monitron でログ記録とモニタリングを実行する
モニタリングは、Amazon Monitron アプリケーションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。Amazon Monitron コンソールとモバイルアプリのアクションをモニタリングするには、 AWS CloudTrailを使用します。
CloudTrail ログは、Amazon Monitron のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。CloudTrail により収集された情報を使用して、Amazon Monitron に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。詳細については、「[を使用した Amazon Monitron アクションのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)」を参照してください。
# Amazon Monitron のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Amazon Monitron のインフラストラクチャセキュリティ
マネージドサービスである Amazon Monitron は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で Amazon Monitron にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
# Amazon Monitron のセキュリティベストプラクティス
Amazon Monitron には、独自のセキュリティポリシーを策定および実装する際に考慮が必要なさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
以下は、セキュリティ問題の防止に役立つ Amazon Monitron でのベストプラクティスです。
+ Amazon Monitron のユーザーの AWS IAM アイデンティティセンター (IAM Identity Center) ディレクトリを作成すると、ディレクトリのセキュリティを向上させるために、ディレクトリの多要素認証 (MFA) が有効になります。
+ Amazon Monitron モバイルアプリを使用するすべてのプロジェクト管理者およびサイト管理者は、プロジェクト設定時に選択したユーザーディレクトリにリストされている組織内のすべてのユーザーに対して、読み取りアクセス権を持っていることに注意してください。ユーザーの組織情報へのアクセスを制限したい場合は、独立したディレクトリを使用することを強くお勧めします。
+ 攻撃者が Amazon Monitron プロジェクトの招待メールを装い、ユーザーに E メールを送信するフィッシング攻撃の危険性があるため、ログイン認証情報を入力する前に、ログイン画面にディレクトリ名が表示されていることを確認するようユーザーに警告してください。
+ Amazon Monitron モバイルアプリはスマートフォン上で実行してプロジェクトにアクセスできるため、使用しないときはアクセスを保護するために、すべてのユーザーで画面ロックを有効にしてください。