翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の開始方法 AWS Compute Optimizer
AWS Compute Optimizer コンソールに初めてアクセスするときは、サインインしているアカウントを使用してオプトインするように求められます。サービスを利用する前に、オプトインまたはオプトアウトする必要があります。さらに、Compute Optimizer API、 AWS Command Line Interface (AWS CLI)、または SDKs を使用してオプトインまたはオプトアウトすることもできます。
オプトインすることで、Compute Optimizer が AWS リソースの仕様と使用率メトリクスを分析することを承認します。例としては、EC2 インスタンスや EC2 Auto Scaling グループなどがあります。
**注記**
Compute Optimizer のレコメンデーション品質を向上させるために、Amazon Webサービスは CloudWatch メトリクスと設定データを使用する場合があります。これには、拡張インフラストラクチャのメトリクス機能を有効にした際の最大 3 か月 (93 日) のメトリクス分析が含まれます。Compute Optimizer のレコメンデーション品質を向上させるために、CloudWatch メトリクスと設定データの使用 AWS を停止するよう [AWS サポート](https://console.aws.amazon.com/support)にリクエストするには、 にお問い合わせください。
## 必要なアクセス許可
Compute Optimizer へのオプトイン、レコメンデーションの表示、またオプトアウトには、適切な権限が必要です。詳細については、「[の Identity and Access Management AWS Compute Optimizer](security-iam.md)」を参照してください。
オプトインすると、Compute Optimizer がサービスにリンクされたロールをアカウント内に自動的に作成し、データにアクセスすることができます。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
## Compute Optimizer によってサポートされたアカウント
次の AWS アカウント タイプは Compute Optimizer にオプトインできます。
+ **スタンドアロン AWS アカウント**
AWS Organizations が有効になってい AWS アカウント ないスタンドアロン。スタンドアロンアカウントにサインインした状態で Compute Optimizer にオプトインすると、Compute Optimizer によってアカウント内のリソースが分析され、それらのリソースに対する最適化レコメンデーションが生成されます。
+ **組織のメンバーアカウント**
組織のメンバー AWS アカウント である 。組織のメンバーアカウントにサインインした状態で Compute Optimizer にオプトインすると、Compute Optimizer によってメンバーアカウント内のリソースだけが分析され、それらのリソースに対する最適化レコメンデーションが生成されます。
+ **組織の管理アカウント**
組織 AWS アカウント を管理する 。組織の管理アカウントにサインインした状態で Compute Optimizer にオプトインすると、Compute Optimizer から、管理アカウントのみをオプトインするか、管理アカウントと組織のすべてのメンバーアカウントをオプトインするかを選択するオプションが提供されます。
**重要**
組織のすべてのメンバー アカウントをオプトインするには、組織ですべての機能が有効になっていることを確認してください。詳細については、「*AWS Organizations ユーザーガイド*」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
組織の管理アカウントを使用して、オプトインし、組織内のすべてのメンバー アカウントを含めると、組織アカウントで Compute Optimizer の信頼されたアクセスが有効になります。詳細については、「[の信頼されたアクセス AWS Organizations](security-iam.md#trusted-service-access)」を参照してください。
## 次の手順
アカウントまたは組織内のアカウントをオプトインする方法については、 AWS Compute Optimizer「」を参照してください[へのオプトイン AWS Compute Optimizer](account-opt-in.md)。
## その他のリソース
+ [の Identity and Access Management AWS Compute Optimizer](security-iam.md)
+ [AWS の 管理ポリシー AWS Compute Optimizer](managed-policies.md)
+ [のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)
# へのオプトイン AWS Compute Optimizer
自分のアカウントまたは組織内のアカウントを AWS Compute Optimizerにオプトインするには、次の手順に従います。Compute Optimizer コンソールまたは AWS Command Line Interface () を使用してオプトインできますAWS CLI。
**注記**
アカウントがすでにオプトインされているが、組織内の Compute Optimizer の信頼されたアクセスを再度有効にするために再度オプトインしたい場合。再度オプトインすることもできますが、そのためには AWS CLIを使用する必要があります。を使用してオプトインする場合は AWS CLI、 `update-enrollment-status` コマンドを実行し、 `--include-member-accounts`パラメータを指定します。または、信頼されたアクセスを AWS Organizations コンソールで直接有効にすることも、 AWS CLI または API を使用して有効にすることもできます。詳細については、*AWS Organizations ユーザー ガイド* の「[AWS Organizations と他の AWS のサービスの使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
## 前提条件
IAM ID に、 AWS Compute Optimizerにオプトインするための適切なアクセス許可があることを確認します。このアクセス許可を付与する推奨ポリシーは、「[Compute Optimizer へのオプトインに関するポリシー](security-iam.md#opting-in-access)」で説明されています。
## 手順
------
#### [ Console ]
**Compute Optimizer にオプトインするには**
1. [https://console.aws.amazon.com/compute-optimizer/](https://console.aws.amazon.com/compute-optimizer/) で、Compute Optimizer コンソールを開きます。
Compute Optimizer コンソールを初めて使用する場合、**[Compute Optimizer のランディングページ]** が表示されます。
1. **[開始する]** を選択します。
1. [**アカウント設定**] ページで、[**ご利用開始にあたって**] セクションと [**アカウントの設定**] セクションを確認します。
1. サインインしているアカウントが組織の管理アカウントである場合、次のオプションが表示されます。次のステップに進む前に、いずれかを選択します。
+ **このアカウントのみ** - 現在サインインしているアカウントのみをオプトインするには、このオプションを選択します。このオプションを選択すると、Compute Optimizer が個々のアカウントにあるリソースを分析し、最適化に関するレコメンデーションを生成します。
+ **組織内のすべてのアカウント** - 現在サインインしているアカウントと組織内すべてのメンバーアカウントをオプトインするには、このオプションを選択します。このオプションを選択すると、Compute Optimizer が組織内のすべてのアカウントにあるリソースを分析し、最適化に関するレコメンデーションを生成します。
**注記**
オプトインした後で組織に新しいメンバーアカウントを追加すると、Compute Optimizer はそれらのアカウントを自動的にオプトインします。
1. [**オプトイン**] を選択します。オプトインすることで、Compute Optimizer にオプトインする要件に同意し、理解したことになります。
オプトインすると、Compute Optimizer コンソールのダッシュボードにリダイレクトされます。同時に、サービスは AWS リソースの設定と使用率メトリクスの分析をすぐに開始します。詳細については、「[によって分析されるメトリクス AWS Compute Optimizer](metrics.md)」を参照してください。
**注記**
オプトインプロセスを完了すると、オプトインしたアカウントが Compute Optimizer コンソールに表示されるまでに最大 24 時間かかります。
------
#### [ CLI ]
**Compute Optimizer にオプトインするには**
1. ターミナルまたはコマンドプロントウィンドウを開きます。
AWS CLI をまだインストールしていない場合は、Compute Optimizer で動作するようにインストールして設定します。詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLIをインストールする](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)」および「[すぐに AWS CLIを設定する](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration)」を参照してください。
1. 以下のいずれかのコマンドを入力します。個人のアカウントをオプトインするか、組織とそのすべてのメンバー アカウントの管理アカウントをオプトインするかを選択します。
+ 個人アカウントをオプトインする。
```
aws compute-optimizer update-enrollment-status --status Active
```
+ 組織の管理アカウントをオプトインし、すべてのメンバーアカウントを含めるには、次の操作を行います。
```
aws compute-optimizer update-enrollment-status --status Active --include-member-accounts
```
前のコマンドを使用して Compute Optimizer にオプトインすると、サービスは AWS リソースの設定と使用率のメトリクスの分析を開始します。詳細については、「[によって分析されるメトリクス AWS Compute Optimizer](metrics.md)」を参照してください。
------
## 次の手順
+ AWS リソースが Compute Optimizer が再帰を生成するために必要な要件を満たしていることを確認します。最適化レコメンデーションの生成には少なくとも 24 時間かかります。詳細については、「[リソースの要件](requirements.md)」を参照してください。
+ 検出結果とレコメンデーションは、Compute Optimizer コンソールのダッシュボードとレコメンデーションページに表示されます。詳細については、「[AWS Compute Optimizer ダッシュボードの使用](viewing-dashboard.md)」および「[リソースのレコメンデーションの表示](viewing-recommendations.md)」を参照してください。
+ 拡張インフラストラクチャメトリクス機能をアクティブ化して、ルックバック期間をデフォルトの 14 日間から 93 日間に延長することを検討してください。詳細については、「[拡張インフラストラクチャメトリクス](enhanced-infrastructure-metrics.md)」を参照してください。
+ 組織の管理アカウントを使用して、メンバーアカウントを Compute Optimizer の管理者として委任できます。詳細については、「[管理者アカウントの委任](delegate-administrator-account.md)」を参照してください。
## その他のリソース
+ [の Identity and Access Management AWS Compute Optimizer](security-iam.md)
+ [AWS の 管理ポリシー AWS Compute Optimizer](managed-policies.md)
+ [のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)
+ トラブルシューティング - [Compute Optimizer のトラブルシューティング](troubleshooting-account-opt-in.md)
# Compute Optimizer からのオプトアウト
AWS CLIを使用して Compute Optimizer からアカウントをオプトアウトするには、次の手順に従います。この手順により、アカウントのレコメンデーションおよび関連するメトリクスデータも Compute Optimizer から削除されます。詳細については、「*AWS CLI コマンドリファレンス*」の「[登録状況の更新](https://docs.aws.amazon.com/cli/latest/reference/compute-optimizer/update-enrollment-status.html)」を参照してください。
**注記**
Compute Optimizer コンソールでオプトアウトすることはできません。
## 手順
**Compute Optimizer からアカウントをオプトアウトするには**
1. ターミナルまたはコマンドプロントウィンドウを開きます。
まだインストールしていない場合は、 をインストール AWS CLI し、Compute Optimizer で動作するように設定します。詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLIをインストールして](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)、[AWS CLIをすぐに設定をする](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration)」を参照してください。
1. 次のコマンドを入力します。
```
aws compute-optimizer update-enrollment-status --status Inactive
```
**注記**
コマンドでオプトアウトする場合、`--include-member-accounts`パラメーターを指定することはできません。このコマンドでオプトアウトする際にこのパラメータを指定すると、エラーが発生します。
前のコマンドを実行すると、アカウントは Compute Optimizer からオプトアウトされます。同時に、アカウントのレコメンデーションおよび関連するメトリクスデータは Compute Optimizer から削除されます。Compute Optimizer コンソールにアクセスすると、再度オプトインするオプションが表示されます。
# の Identity and Access Management AWS Compute Optimizer
AWS Identity and Access Management (IAM) を使用して ID (ユーザー、グループ、またはロール) を作成し、それらの ID に AWS Compute Optimizer コンソールと APIs へのアクセス許可を付与できます。
デフォルトでは、IAM ユーザーには Compute Optimizer コンソールと API へのアクセス権はありません。IAM ポリシーを単一のユーザー、ユーザーのグループ、またはロールにアタッチすることで、ユーザーにアクセス権を付与します。詳細については、「[ID (ユーザー、グループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM ユーザーガイドの IAM ポリシーの概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html)」を参照してください。
IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。ユーザーは、アカウント固有のサインインページを使用して、アカウントにサインインし、Compute Optimizer の情報を表示できます。詳細については、「[ユーザーがアカウントにサインインする方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html)」を参照してください。
**重要**
EC2 インスタンスのレコメンデーションを表示するには、IAM ユーザーに `ec2:DescribeInstances` 権限が必要です。
EBS ボリュームに関するレコメンデーションを表示するには、IAM ユーザーに `ec2:DescribeVolumes`権限が必要です。
EC2 Auto Scaling グループのレコメンデーションを表示するには、IAM ユーザーには `autoscaling:DescribeAutoScalingGroups`および アクセス`autoscaling:DescribeAutoScalingInstances`許可が必要です。
Lambda 関数のレコメンデーションを表示するには、IAM ユーザーに `lambda:ListFunctions` および `lambda:ListProvisionedConcurrencyConfigs` 権限が必要です。
Fargate の Amazon ECS サービスに関するレコメンデーションを表示するには、IAM ユーザーに `ecs:ListServices` および `ecs:ListClusters` 権限が必要です。
Compute Optimizer コンソールで現在の CloudWatch メトリクス データを表示するには、IAM ユーザーの `cloudwatch:GetMetricData` 権限が必要です。
推奨商用ソフトウェアライセンスを表示するには、特定の Amazon EC2 インスタンスロールと IAM ユーザー権限が必要です。詳細については、「[商用ソフトウェアライセンス推奨を有効にするポリシー](#license-access)」を参照してください。
Amazon RDS に関するレコメンデーションを表示するには、IAM ユーザーに `rds:DescribeDBInstances` と `rds:DescribeDBClusters` のアクセス許可が必要です。
アクセス許可を付与するユーザーまたはグループに既にポリシーがある場合は、そのポリシーに対して、ここに示した Compute Optimizer 固有のポリシーステートメントを追加できます。
**Topics**
+ [の信頼されたアクセス AWS Organizations](#trusted-service-access)
+ [Compute Optimizer のポリシー例](#CO-policy-examples)
+ [自動化のポリシー例](#COA-policy-example)
+ [その他のリソース](#iam-resources)
## の信頼されたアクセス AWS Organizations
組織の管理アカウントを使用することをオプトインし、組織内のすべてのメンバー アカウントを含めると、Compute Optimizer の信頼されたアクセスが組織アカウントで自動的に有効になります。これにより、Compute Optimizer がメンバーアカウントのコンピューティングリソースを分析し、レコメンデーションを生成することができます。
メンバー アカウントのレコメンデーションにアクセスするたびに、Compute Optimizer は組織アカウントで信頼されたアクセスが有効であることを確認します。オプトインした後に Compute Optimizer の信頼されたアクセスを無効にすると、Compute Optimizer は組織のメンバー アカウントのレコメンデーションへのアクセスを拒否します。さらに、組織内のメンバーアカウントは Compute Optimizer にオプトインされていません。信頼されたアクセスを再度有効にするには、組織の管理アカウントを使用して Compute Optimizer に再度オプトインし、組織のすべてのメンバーアカウントを含めてください。詳細については、「[へのオプトイン AWS Compute Optimizer](account-opt-in.md)」を参照してください。 AWS Organizations 信頼されたアクセスの詳細については、「 *AWS Organizations ユーザーガイド*」の「 を[他の AWS のサービス AWS Organizations で使用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
## Compute Optimizer のポリシー例
**Topics**
+ [Compute Optimizer へのオプトインに関するポリシー](#opting-in-access)
+ [スタンドアロンの Compute Optimizer へのアクセスを許可するポリシー AWS アカウント](#standalone-account-access)
+ [組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー](#organization-account-access)
+ [Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー](#enhanced-infrastructure-metrics-permissions)
+ [商用ソフトウェアライセンス推奨を有効にするポリシー](#license-access)
+ [Compute Optimizer へのアクセスを拒否するポリシー](#deny-access)
### Compute Optimizer へのオプトインに関するポリシー
このポリシーステートメントにより、以下が付与されます。
+ Compute Optimizer にオプトインするためのアクセス権。
+ Compute Optimizer のサービスリンクロールを作成するためのアクセス権。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
+ Compute Optimizer サービスへの登録ステータスを更新するためのアクセス権。
**重要**
AWS Compute Optimizerにオプトインするには、この IAM ロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
### スタンドアロンの Compute Optimizer へのアクセスを許可するポリシー AWS アカウント
次のポリシーステートメントは、スタンドアロン AWS アカウントに Compute Optimizer へのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
次のポリシーステートメントは、スタンドアロン AWS アカウントに Compute Optimizer への読み取り専用アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### 組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー
次のポリシーステートメントは、組織の管理アカウントに Compute Optimizer へのフルアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
------
次のポリシーステートメントは、組織のマスターアカウントに Compute Optimizer への読み取り専用アクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListDelegatedAdministrators",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー
次のポリシーステートメントは、レコメンデーション設定を表示および編集するためのアクセス権を付与します。
**EC2 インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "Ec2Instance"
}
}
}
]
}
```
------
**EC2 Auto Scaling グループのレコメンデーション設定のみを管理するためのアクセス許可を付与する**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "AutoScalingGroup"
}
}
}
]
}
```
------
**RDS インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "RdsDBInstance"
}
}
}
]
}
```
------
### 商用ソフトウェアライセンス推奨を有効にするポリシー
Compute Optimizer がライセンスレコメンデーションを生成するには、次の Amazon EC2 インスタンスロールとポリシーをアタッチします。
+ System Manager を有効にする `AmazonSSMManagedInstanceCore` ロール。詳細については、*AWS Systems Manager ユーザー ガイド* の [AWS Systems Manager ID ベースのポリシーの例](https://docs.aws.amazon.com//systems-manager/latest/userguide/security_iam_id-based-policy-examples)を参照してください。
+ インスタンスのメトリクスとログを CloudWatch `CloudWatchAgentServerPolicy` にリリースできるようにするポリシー。詳細については、*Amazon CloudWatch CloudWatch ユーザーガイド* の「[CloudWatch エージェントで使用する IAM ロールとユーザーの作成](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent)」を参照してください。
+ 次の IAM インラインポリシーステートメントは、 AWS Systems Managerに格納されているシークレットの Microsoft SQL Server 接続文字列を読み取ります。インラインポリシーの詳細については、「*AWS Identity and Access Management IAM ユーザーガイド*」 の「[マネージドポリシーとインラインポリシー](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
}
]
}
```
------
さらに、ライセンスに関するレコメンデーションを有効にし、受け取るには、ユーザー、グループ、ロールに次の IAM ポリシーをアタッチします。詳細については、*Amazon CloudWatch* ユーザーガイドの [IAM ポリシー](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-iam)を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"applicationinsights:*",
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"resource-groups:ListGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Compute Optimizer へのアクセスを拒否するポリシー
次のポリシーステートメントは Compute Optimizer へのアクセスを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "compute-optimizer:*",
"Resource": "*"
}
]
}
```
------
## 自動化のポリシー例
**Topics**
+ [アカウントのオートメーションを有効にするポリシー](#policy-automation-enable)
+ [組織全体で自動化を有効にするポリシー](#automation-enable-org)
+ [スタンドアロン AWS アカウントの Compute Optimizer Automation へのフルアクセスを許可するポリシー](#automation-account-full)
+ [スタンドアロン AWS アカウントの Compute Optimizer Automation への読み取り専用アクセスを許可するポリシー](#automation-account-read)
+ [組織の管理アカウントに Compute Optimizer Automation への完全なアクセス権を付与するポリシー](#automation-account-mgmt)
+ [組織の管理アカウントに Compute Optimizer Automation への読み取り専用のアクセス権を付与するポリシー](#automation-account-mgmt-readonly)
### アカウントのオートメーションを有効にするポリシー
次のポリシーステートメントは、 アカウントのオートメーションを有効にします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
}
]
}
```
### 組織全体で自動化を有効にするポリシー
次のポリシーステートメントは、組織全体で自動化を有効にします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
### スタンドアロン AWS アカウントの Compute Optimizer Automation へのフルアクセスを許可するポリシー
次のポリシーは、スタンドアロン AWS アカウントの Compute Optimizer Automation へのフルアクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### スタンドアロン AWS アカウントの Compute Optimizer Automation への読み取り専用アクセスを許可するポリシー
次のポリシーは、スタンドアロン AWS アカウントの Compute Optimizer Automation への読み取り専用アクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### 組織の管理アカウントに Compute Optimizer Automation への完全なアクセス権を付与するポリシー
次のポリシーは、組織の管理アカウントの Compute Optimizer Automation へのフルアクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
### 組織の管理アカウントに Compute Optimizer Automation への読み取り専用のアクセス権を付与するポリシー
次のポリシーは、組織の管理アカウントに Compute Optimizer Automation への読み取り専用アクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAccounts",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
## その他のリソース
+ トラブルシューティング - [Compute Optimizer のトラブルシューティング](troubleshooting-account-opt-in.md)
+ [へのオプトイン AWS Compute Optimizer](account-opt-in.md)
+ [AWS の 管理ポリシー AWS Compute Optimizer](managed-policies.md)
+ [のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)
+ [自動化のためのサービスにリンクされたロールの使用](using-service-linked-roles-automation.md)
# AWS の 管理ポリシー AWS Compute Optimizer
ユーザー、グループ、ロールにアクセス許可を追加するには、独自のポリシーを記述するのではなく、 AWS 管理ポリシーを使用することを検討してください。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。管理 AWS ポリシーを使用すると、すぐに開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS のサービス AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーにアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、Amazon Web Servicesは、複数のサービスにわたるジョブ機能のマネージドポリシーをサポートします。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての および リソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
**Topics**
+ [AWS マネージドポリシー: ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS マネージドポリシー: ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [AWS 管理ポリシーへの Compute Optimizer の更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: ComputeOptimizerServiceRolePolicy
`ComputeOptimizerServiceRolePolicy`マネージドポリシーは、Compute Optimizer がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
**注記**
IAM エンティティに `ComputeOptimizerServiceRolePolicy` をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `compute-optimizer` — Compute Optimizer のすべてのリソースに管理上の権限をすべて付与します。
+ `organizations` — AWS の管理アカウントが組織のメンバーアカウントを Compute Optimizer にオプトインすることを許可します。
+ `cloudwatch` — CloudWatch リソースメトリクスを分析して Compute Optimizer リソースのレコメンデーションを生成するよう、CloudWatch リソースメトリクスへのアクセスを許可します。
+ `autoscaling` – 検証目的で EC2 Auto Scaling グループと EC2 Auto Scaling グループのインスタンスへのアクセスを許可します。
+ `Ec2` – Amazon EC2 インスタンスおよびボリュームへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: ComputeOptimizerReadOnlyAccess
`ComputeOptimizerReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、IAMユーザーが Compute Optimizer リソースのレコメンデーションを閲覧できるよう読み取り専用のアクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下が含まれます。
+ `compute-optimizer` — Compute Optimizer リソースのレコメンデーションへの読み取り専用アクセスを許可します。
+ `ec2` — Amazon EC2 インスタンスおよび Amazon EBS ボリュームへの読み取り専用アクセスを許可します。
+ `autoscaling` – EC2 Auto Scaling グループへの読み取り専用アクセスを許可します。
+ `lambda` – AWS Lambda 関数とその設定への読み取り専用アクセスを許可します。
+ `cloudwatch` — Compute Optimizer でサポートされているリソースタイプの Amazon CloudWatch メトリクス データへの読み取り専用アクセスを許可します。
+ `organizations` – AWS 組織のメンバーアカウントへの読み取り専用アクセスを許可します。
+ `ecs`— [Fargate の Amazon ECS サービスへのアクセスを許可します。
+ `rds` – Amazon RDS インスタンスおよびクラスターへの読み取り専用アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**注記**
次のポリシーステートメントは、組織の管理アカウントに、組織レベルのレコメンデーションを表示するための Compute Optimizer への読み取り専用アクセス権のみを付与します。委任管理者が組織レベルのレコメンデーションを表示できるようにするには、「[組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access)」を参照してください。
## AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy
`ComputeOptimizerAutomationServiceRolePolicy` マネージドポリシーは、Compute Optimizer がアカウント内の AWS リソースを管理して最適化レコメンデーションを実装できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
**注記**
IAM エンティティに `ComputeOptimizerAutomationServiceRolePolicy` をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ec2:DescribeVolumes`、`ec2:DescribeSnapshots`、 `ec2:DescribeVolumesModifications` – モニタリングおよび検証の目的で Amazon EBS ボリューム、スナップショット、およびボリューム変更ステータスを表示する読み取り専用アクセスを許可します。
+ `ec2:ModifyVolume`、 `ec2:DeleteVolume` – Amazon EBS ボリュームの変更と削除を許可しますが、 `exclude-from-compute-optimizer-automation`タグがないリソースに対してのみ許可します。これにより、自動最適化アクションからリソースを除外できます。
+ `ec2:CreateSnapshot` – 最適化アクションを実行する前に、バックアップ目的で Amazon EBS ボリュームのスナップショットを作成するアクセス許可を付与します。
+ `ec2:CreateVolume` – 最適化アクションを元に戻す必要がある場合のロールバックオペレーションをサポートするために、スナップショットから Amazon EBS ボリュームを作成できるようにします。
+ `ec2:CreateTags` – オートメーションイベントを追跡し、リソースメタデータを維持するため、Amazon EBS リソースにタグを追加するアクセス許可を付与します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)」を参照してください。
## AWS 管理ポリシーへの Compute Optimizer の更新
このサービスがこれらの変更の追跡を開始してからの Compute Optimizer の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知は、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 新しい `ComputeOptimizerAutomationServiceRolePolicy` 管理ポリシーを追加 | 新しい`ComputeOptimizerAutomationServiceRolePolicy`サービスにリンクされたロールポリシーを追加しました。 | 2025 年 11 月 19 日 |
| `ComputeOptimizerServiceRolePolicy` マネージドポリシーの編集 | `ComputeOptimizerServiceRolePolicy` マネージドポリシーに `cloudwatch:DescribeAlarms`、`autoscaling:DescribePolicies`、および `autoscaling:DescribeScheduledActions` アクションが追加されました。 | 2025 年 1 月 9 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetIdleRecommendations` アクションが追加されました。 | 2024 年 11 月 20 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess`マネージドポリシーに `compute-optimizer:GetRDSDatabaseRecommendations`、`compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`アクションが追加されました。 | 2024 年 6 月 20 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetLicenseRecommendations` アクションが追加されました。 | 2023 年 7 月 26 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess`マネージドポリシーに `compute-optimizer:GetECSServiceRecommendations`、`compute-optimizer:GetECSServiceRecommendationProjectedMetrics`、`ecs:ListServices`、`ecs:ListClusters` アクションが追加されました。 | 2022 年 12 月 22 日 |
| ComputeOptimizerServiceRolePolicy マネージドポリシーの編集 | ComputeOptimizerServiceRolePolicy マネージドポリシーに ec2:DescribeInstances、ec2:DescribeVolumes、および organizations:ListDelegatedAdministrators アクションが追加されました。 | 2022 年 7 月 25 日 |
| `ComputeOptimizerServiceRolePolicy` マネージドポリシーの編集 | `ComputeOptimizerServiceRolePolicy` マネージドポリシーに `autoscaling:DescribeAutoScalingInstances` および `autoscaling:DescribeAutoScalingGroups` アクションが追加されました。 | 2021 年 11 月 29日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetRecommendationPreferences`、`compute-optimizer:GetEffectiveRecommendationPreferences`、および `autoscaling:DescribeAutoScalingInstances` アクションが追加されました。 | 2021 年 11 月 29日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `GetEnrollmentStatusesForOrganization` アクションが追加されました。 | 2021 年 8 月 26 日 |
| Compute Optimizer が変更のトラッキングを開始しました | Compute Optimizer は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 5 月 18 日 |
# のサービスにリンクされたロールの使用 AWS Compute Optimizer
AWS Compute Optimizer は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Compute Optimizer に直接リンクされた IAM ロールの一意のタイプです。サービスにリンクされたロールは Compute Optimizer によって事前定義されており、サービスがユーザーに代わって他のロールを呼び出すために必要なアクセス許可がすべて含まれています。
サービスリンクロールを使用することで、Compute Optimizer の設定に必要なアクセス許可を手動で追加する必要がなくなります。Compute Optimizer は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Compute Optimizer のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、「**サービスリンクロール**」列が「**はい**」になっているサービスを見つけてください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [Compute Optimizer のサービスリンクロールのアクセス許可](#slr-permissions)
+ [サービスにリンクされたロールのアクセス許可](#service-linked-role-permissions)
+ [Compute Optimizer でのサービスにリンクされたロールの作成](#create-slr)
+ [Compute Optimizer のサービスにリンクされたロールの編集](#edit-slr)
+ [Compute Optimizer のサービスにリンクされたロールの削除](#delete-slr)
+ [Compute Optimizer のサービスリンクロールがサポートされるリージョン](#slr-regions)
+ [その他のリソース](#slr-resources)
## Compute Optimizer のサービスリンクロールのアクセス許可
Compute Optimizer は、**AWSServiceRoleForComputeOptimizer** という名前のサービスにリンクされたロールを使用して、アカウント内の AWS リソースの Amazon CloudWatch メトリクスにアクセスします。
[AWSServiceRoleForComputeOptimizer] のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `compute-optimizer.amazonaws.com`
このロールの許可ポリシーは、Compute Optimizer が指定されたリソースで以下のアクションを完了することを許可します。
+ アクション: すべての AWS リソース`cloudwatch:GetMetricData`で。
+ アクション: すべての AWS リソース`cloudwatch:DescribeAlarms`で。
+ アクション: すべての AWS リソース`organizations:DescribeOrganization`で。
+ アクション: すべての AWS リソース`organizations:ListAccounts`で。
+ アクション: すべての AWS リソースに対する `organizations:ListAWSServiceAccessForOrganization`。
+ アクション: すべての AWS リソースに対する `organizations:ListDelegatedAdministrators`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeAutoScalingInstances`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeAutoScalingGroups`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribePolicies`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeScheduledActions`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeInstances`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeSnapshots`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeVolumesModifications`。
+ アクション: すべての AWS リソースに対する `ec2:CreateVolume`。
+ アクション: すべての AWS リソースに対する `ec2:ModifyVolume`。
+ アクション: すべての AWS リソースに対する `ec2:DeleteVolume`。
+ アクション: すべての AWS リソースに対する `ec2:CreateSnapshot`。
+ アクション: すべての AWS リソースに対する `ec2:createTags`。
## サービスにリンクされたロールのアクセス許可
Compute Optimizer のサービスにリンクされたロールを作成するには、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成できるように権限を設定します。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
**IAM エンティティが Compute Optimizer のサービスにリンクされた特定のロールを作成することを許可するには**
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
**IAM エンティティがサービスにリンクされた任意のロールを作成することを許可するには**
サービスにリンクされたロール、または必要なポリシーを含む任意のサービスロールを作成する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Compute Optimizer が顧客に代わって推奨アクションを実行できるようにするには**
サービスにリンクされたロールを作成する必要がある IAM エンティティのアクセス許可ポリシー、または必要なポリシーを含むサービスロールにステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。詳細については、 マネージドポリシーページの[AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy](managed-policies.md#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)「」を参照してください。
## Compute Optimizer でのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Compute Optimizer サービスにオプトインすると、Compute Optimizer によってサービスにリンクされたロールが作成されます。
**重要**
サービスにリンクされたロールでサポートされている機能を使用する別のサービスでアクションを完了した場合、そのロールがアカウントに表示されることがあります。詳細については、「[IAMアカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再度作成できます。Compute Optimizer サービスにオプトインすると、Compute Optimizer により、サービスにリンクされたロールが再度作成されます。
## Compute Optimizer のサービスにリンクされたロールの編集
Compute Optimizer では、[AWSServiceRoleForComputeOptimizer] のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Compute Optimizer のサービスにリンクされたロールの削除
Compute Optimizer を使用する必要がなくなった場合は、[AWSServiceRoleForComputeOptimizer]の サービスにリンクされたロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを手動で削除する前に、Compute Optimizer をオプトアウトする必要があります。
**Compute Optimizer をオプトアウトするには**
Compute Optimizer からのオプトアウトの詳細については、「[Compute Optimizer からのオプトアウト](account-opt-out.md)」を参照してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Compute Optimizer のサービスリンクロールがサポートされるリージョン
Compute Optimizer では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。現在サポートされている Compute Optimizer の AWS リージョン とエンドポイントを表示するには、「*AWS 全般のリファレンス*」の「[Compute Optimizer エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html)」を参照してください。
## その他のリソース
+ トラブルシューティング - [Compute Optimizer のトラブルシューティング](troubleshooting-account-opt-in.md)
+ [AWS の 管理ポリシー AWS Compute Optimizer](managed-policies.md)
+ [へのオプトイン AWS Compute Optimizer](account-opt-in.md)
+ [の Identity and Access Management AWS Compute Optimizer](security-iam.md)
# 自動化のためのサービスにリンクされたロールの使用
AWS Compute Optimizer は、AWSServiceRoleForComputeOptimizerAutomation という名前[のサービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS Identity and Access Management (IAM) を使用します。サービスにリンクされたロールは、Compute Optimizer Automation に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Compute Optimizer Automation によって事前定義されており、サービスがユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、Compute Optimizer Automation を設定する際に、必要なアクセス許可を手動で追加する必要はありません。Compute Optimizer Automation は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Compute Optimizer Automation のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、「**サービスリンクロール**」列が「**はい**」になっているサービスを見つけてください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [Compute Optimizer Automation のサービスにリンクされたロールのアクセス許可](#slr-permissions-automation)
+ [サービスにリンクされたロールのアクセス許可](#service-linked-role-permissions-automation)
+ [Compute Optimizer Automation のサービスにリンクされたロールの作成](#create-slr-automation)
+ [Compute Optimizer Automation のサービスにリンクされたロールの編集](#edit-slr-automation)
+ [Compute Optimizer Automation のサービスにリンクされたロールの削除](#delete-slr-automation)
+ [Compute Optimizer Automation のサービスにリンクされたロールでサポートされているリージョン](#slr-regions)
## Compute Optimizer Automation のサービスにリンクされたロールのアクセス許可
Compute Optimizer Automation は、**AWSServiceRoleForComputeOptimizerAutomation** という名前のサービスにリンクされたロールを使用します。これにより、Compute Optimizer Automation が使用または管理する AWS サービスやリソースにアクセスできます。このサービスにリンクされたロールにより、Compute Optimizer Automation は、他の AWS サービスを通じてリソースの作成、変更、削除などのタスクを実行して、最適化の推奨事項を実装できます。
AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールは、`aco-automation.amazonaws.com`サービスを信頼してロールを引き受けます。
`AWSServiceRoleForComputeOptimizerAutomation` サービスにリンクされたロールは、マネージドポリシーである `AWSComputeOptimizerAutomationRolePolicy` を使用します。
## サービスにリンクされたロールのアクセス許可
Compute Optimizer Automation のサービスにリンクされたロールを作成するには、IAM エンティティ (ユーザー、グループ、ロールなど) にサービスにリンクされたロールの作成を許可するアクセス許可を設定します。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
}
]
}
```
## Compute Optimizer Automation のサービスにリンクされたロールの作成
AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールが自動的に作成されます。AWSServiceRoleForComputeOptimizerAutomation は、 AWS CLI または IAM API で手動で有効にできます。
Compute Optimizer Automation 管理アカウント用に作成されたサービスにリンクされたロールは、メンバーアカウントには適用されません。Compute Optimizer Automation は、機能を有効にすると、アカウントごとに個別のサービスにリンクされたロールを作成します。管理アカウントがメンバーアカウントのオートメーションを有効にすると、Compute Optimizer Automation は、そのアカウントに推奨されるアクションを初めて実装するときに、サービスにリンクされたロールをオンデマンドで作成します。これは、管理アカウントまたはメンバーアカウントがアクションを直接開始したとき、またはオートメーションルールがそのメンバーアカウントに対してアクションを実行したときに発生します。
## Compute Optimizer Automation のサービスにリンクされたロールの編集
Compute Optimizer Automation では、AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Compute Optimizer Automation のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
Compute Optimizer Automation を無効にすると、Compute Optimizer Automation は AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールを自動的に削除しません。Compute Optimizer Automation を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。Compute Optimizer Automation を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。
**重要**
AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールを削除する前に、まず Compute Optimizer Automation を無効にする必要があります。サービスにリンクされたロールを削除しようとしたときに Compute Optimizer Automation が無効になっていない場合、削除は失敗します。
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForComputeOptimizerAutomation サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
## Compute Optimizer Automation のサービスにリンクされたロールでサポートされているリージョン
Compute Optimizer Automation は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。Compute Optimizer で現在サポートされている エンドポイント AWS リージョン と エンドポイントを表示するには、 *AWS 全般のリファレンス*の[「Compute Optimizer エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html)」を参照してください。