AWS Audit Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Audit Manager  可用性の変更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アクセス許可とアクセスの問題のトラブルシューティング
<a name="permissions-issues"></a>



このページの情報を参照して、Audit Manager での一般的な許可の問題を解決できます。

**Topics**
+ [Audit Manager の設定手順に従いましたが、十分な IAM 権限が付与されていません](#insufficient-iam-privileges)
+ [あるユーザーを監査所有者として指定しましたが、そのユーザーは評価に完全にアクセスすることができません。これはなぜですか?](#audit-owner-missing-access)
+ [Audit Manager でアクションを実行できません](#cannot-perform-action)
+ [自分の 以外のユーザーに Audit Manager リソース AWS アカウント へのアクセスを許可したい](#want-to-allow-access-to-resources)
+ [必要な Audit Manager のアクセス許可があるにもかかわらず、アクセス拒否エラーが表示される](#access-denied-due-to-scp)
+ [その他のリソース](#permissions-see-also)

## Audit Manager の設定手順に従いましたが、十分な IAM 権限が付与されていません
<a name="insufficient-iam-privileges"></a>

Audit Manager にアクセスするユーザー、ロール、またはグループ には、権限が必要です。さらに、アイデンティティベースのポリシーは制限が厳しすぎないようにする必要があります。さもないと、コンソールが意図したとおりに機能しません。このガイドでは、[Audit Managerを有効にするために必要な最小限の許可を与える](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console) に使用できるポリシーの例を示します。ユースケースによっては、より広く、より制限的でない許可が必要になる場合があります。例えば、監査所有者には、[管理者アクセス権](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)を付与することが推奨されます。これは、Audit Manager の設定を変更し、評価、フレームワーク、コントロール、評価レポートなどのリソースを管理できるようにするためです。受任者などの他のユーザーに必要なのは、[管理アクセス](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)または[読み取り専用](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#read-only)アクセスのみである場合があります。

ユーザー、ロール、またはグループに適切な権限を必ず追加してください。監査所有者については、推奨されるポリシーは [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) です。委任者については、[IAM ポリシーの例](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html)のページで提供されている[管理アクセスポリシーの例](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)を使用できます。これらのサンプルポリシーを開始点として使用し、要件に合うように必要に応じて変更を加えることができます。

特定の要件を満たせるよう、時間を設けて許可をカスタマイズすることをお勧めします。IAM 許可についてサポートが必要な場合は、管理者または [AWS Support](https://aws.amazon.com/contact-us/) までお問い合わせください。

## あるユーザーを監査所有者として指定しましたが、そのユーザーは評価に完全にアクセスすることができません。これはなぜですか?
<a name="audit-owner-missing-access"></a>

あるユーザーを監査所有者として指定するだけでは、評価への完全なアクセス権は提供されません。監査所有者には、Audit Manager のリソースにアクセスして管理するために必要な IAM 許可も付与されている必要があります。つまり、[ユーザーを監査所有者として指定すること](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)に加えて、必要な [IAM ポリシー](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies-personas)をそのユーザーにアタッチする必要もあります。この背後には、両方を要求することにより、Audit Manager が、各評価のすべての詳細を完全に制御できるようにするという考え方があります。

**注記**  
監査所有者については、[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) ポリシーを使用することをお勧めします。詳細については、「[でのユーザーペルソナの推奨ポリシー AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)」を参照してください。

## Audit Manager でアクションを実行できません
<a name="cannot-perform-action"></a>

 AWS Audit Manager コンソールまたは Audit Manager API オペレーションを使用するために必要なアクセス許可がない場合は、`AccessDeniedException`エラーが発生する可能性があります。

この問題を解決するには、管理者に問い合わせてサポートを依頼してください。管理者とは、サインイン認証情報を提供した担当者です。

## 自分の 以外のユーザーに Audit Manager リソース AWS アカウント へのアクセスを許可したい
<a name="want-to-allow-access-to-resources"></a>

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください:
+ AWS Audit Manager がこれらの機能をサポートしているか確認するには、「[が IAM と AWS Audit Manager 連携する方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

## 必要な Audit Manager のアクセス許可があるにもかかわらず、アクセス拒否エラーが表示される
<a name="access-denied-due-to-scp"></a>

アカウントが組織の一部である場合、`Access Denied` エラーは[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) によって引き起こされる可能性があります。SCP は、組織のアクセス許可を管理するために使用されるポリシーです。SCP が導入されると、Audit Manager で使用する委任管理者アカウントなど、すべてのメンバーアカウントに対する特定のアクセス許可を拒否できます。

例えば、 AWS Control Catalog API のアクセス許可を拒否する SCP が組織にある場合、Control Catalog が提供するリソースを表示することはできません。これは、[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) ポリシーなど、Audit Manager に必要なアクセス許可がある場合にも当てはまります。SCP は、Control Catalog API へのアクセスを明示的に拒否することで、マネージドポリシーのアクセス許可をオーバーライドします。

以下にそのような SCP の例を示します。この SCP が導入されると、委任された管理者アカウントは、Audit Manager の一般的なコントロール機能を使用するために必要な一般的なコントロール、コントロール目標、およびコントロールドメインへのアクセスを拒否されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "controlcatalog:ListCommonControls",
                "controlcatalog:ListObjectives",
                "controlcatalog:ListDomains"
            ],
            "Resource": "*"
        }
    ]
}
```

------

この問題を解決するには、次の手順を実行することをお勧めします。

1. SCP が組織にアタッチされているかどうかを確認します。手順については、「AWS Organizations ユーザーガイド」の「[Getting information about your organization's policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html)」を参照してください。**

1. SCP が `Access Denied` エラーの原因かどうかを確認します。

1. SCP を更新して、委任された管理者アカウントに Audit Manager に必要なアクセス権限があることを確認します。手順については、「AWS Organizations ユーザーガイド」の「[Updating an SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)」を参照してください。**

## その他のリソース
<a name="permissions-see-also"></a>

以下のページには、権限がないことが原因で発生する可能性のあるその他の問題に関するトラブルシューティングのガイダンスが記載されています。
+ [評価にコントロールまたはコントロールセットが表示されません](control-issues.md#cannot-view-controls)
+ [コントロールデータソースを設定しているときは、カスタムルールオプションは使用できません](control-issues.md#custom-rule-option-unavailable)
+ [レポートを生成しようとすると、*アクセス拒否エラー*が発生します](assessment-report-issues.md#assessment-report-access-denied-error)
+ [委任された管理者アカウントを使用して評価レポートを生成しようとすると、*アクセス拒否*エラーが発生します](delegated-admin-issues.md#delegated-admin-access-denied-error)
+ [証拠ファインダーを有効にできません](evidence-finder-issues.md#cannot-enable-evidence-finder)
+ [証拠ファインダーを無効にできません](evidence-finder-issues.md#cannot-disable-evidence-finder)
+ [検索クエリが失敗しました](evidence-finder-issues.md#cannot-start-query)
+ [Audit Manager で Amazon SNS トピックを指定しましたが、通知が届きません](notification-issues.md#missing-notifications)