翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の 管理ポリシー AWS Compute Optimizer
ユーザー、グループ、ロールにアクセス許可を追加するには、独自のポリシーを記述するのではなく、 AWS 管理ポリシーを使用することを検討してください。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。管理 AWS ポリシーを使用すると、すぐに開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS のサービス AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーにアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、Amazon Web Servicesは、複数のサービスにわたるジョブ機能のマネージドポリシーをサポートします。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての および リソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
**Topics**
+ [AWS マネージドポリシー: ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS マネージドポリシー: ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [AWS 管理ポリシーへの Compute Optimizer の更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: ComputeOptimizerServiceRolePolicy
`ComputeOptimizerServiceRolePolicy`マネージドポリシーは、Compute Optimizer がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
**注記**
IAM エンティティに `ComputeOptimizerServiceRolePolicy` をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `compute-optimizer` — Compute Optimizer のすべてのリソースに管理上の権限をすべて付与します。
+ `organizations` — AWS の管理アカウントが組織のメンバーアカウントを Compute Optimizer にオプトインすることを許可します。
+ `cloudwatch` — CloudWatch リソースメトリクスを分析して Compute Optimizer リソースのレコメンデーションを生成するよう、CloudWatch リソースメトリクスへのアクセスを許可します。
+ `autoscaling` – 検証目的で EC2 Auto Scaling グループと EC2 Auto Scaling グループのインスタンスへのアクセスを許可します。
+ `Ec2` – Amazon EC2 インスタンスおよびボリュームへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: ComputeOptimizerReadOnlyAccess
`ComputeOptimizerReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、IAMユーザーが Compute Optimizer リソースのレコメンデーションを閲覧できるよう読み取り専用のアクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下が含まれます。
+ `compute-optimizer` — Compute Optimizer リソースのレコメンデーションへの読み取り専用アクセスを許可します。
+ `ec2` — Amazon EC2 インスタンスおよび Amazon EBS ボリュームへの読み取り専用アクセスを許可します。
+ `autoscaling` – EC2 Auto Scaling グループへの読み取り専用アクセスを許可します。
+ `lambda` – AWS Lambda 関数とその設定への読み取り専用アクセスを許可します。
+ `cloudwatch` — Compute Optimizer でサポートされているリソースタイプの Amazon CloudWatch メトリクス データへの読み取り専用アクセスを許可します。
+ `organizations` – AWS 組織のメンバーアカウントへの読み取り専用アクセスを許可します。
+ `ecs`— [Fargate の Amazon ECS サービスへのアクセスを許可します。
+ `rds` – Amazon RDS インスタンスおよびクラスターへの読み取り専用アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**注記**
次のポリシーステートメントは、組織の管理アカウントに、組織レベルのレコメンデーションを表示するための Compute Optimizer への読み取り専用アクセス権のみを付与します。委任管理者が組織レベルのレコメンデーションを表示できるようにするには、「[組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access)」を参照してください。
## AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy
`ComputeOptimizerAutomationServiceRolePolicy` マネージドポリシーは、Compute Optimizer がアカウント内の AWS リソースを管理して最適化レコメンデーションを実装できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 AWS Compute Optimizer](using-service-linked-roles.md)」を参照してください。
**注記**
IAM エンティティに `ComputeOptimizerAutomationServiceRolePolicy` をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `ec2:DescribeVolumes`、`ec2:DescribeSnapshots`、 `ec2:DescribeVolumesModifications` – モニタリングおよび検証の目的で Amazon EBS ボリューム、スナップショット、およびボリューム変更ステータスを表示する読み取り専用アクセスを許可します。
+ `ec2:ModifyVolume`、 `ec2:DeleteVolume` – Amazon EBS ボリュームの変更と削除を許可しますが、 `exclude-from-compute-optimizer-automation`タグがないリソースに対してのみ許可します。これにより、自動最適化アクションからリソースを除外できます。
+ `ec2:CreateSnapshot` – 最適化アクションを実行する前に、バックアップ目的で Amazon EBS ボリュームのスナップショットを作成するアクセス許可を付与します。
+ `ec2:CreateVolume` – 最適化アクションを元に戻す必要がある場合のロールバックオペレーションをサポートするために、スナップショットから Amazon EBS ボリュームを作成できるようにします。
+ `ec2:CreateTags` – オートメーションイベントを追跡し、リソースメタデータを維持するため、Amazon EBS リソースにタグを追加するアクセス許可を付与します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)」を参照してください。
## AWS 管理ポリシーへの Compute Optimizer の更新
このサービスがこれらの変更の追跡を開始してからの Compute Optimizer の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知は、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 新しい `ComputeOptimizerAutomationServiceRolePolicy` 管理ポリシーを追加 | 新しい`ComputeOptimizerAutomationServiceRolePolicy`サービスにリンクされたロールポリシーを追加しました。 | 2025 年 11 月 19 日 |
| `ComputeOptimizerServiceRolePolicy` マネージドポリシーの編集 | `ComputeOptimizerServiceRolePolicy` マネージドポリシーに `cloudwatch:DescribeAlarms`、`autoscaling:DescribePolicies`、および `autoscaling:DescribeScheduledActions` アクションが追加されました。 | 2025 年 1 月 9 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetIdleRecommendations` アクションが追加されました。 | 2024 年 11 月 20 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess`マネージドポリシーに `compute-optimizer:GetRDSDatabaseRecommendations`、`compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`アクションが追加されました。 | 2024 年 6 月 20 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetLicenseRecommendations` アクションが追加されました。 | 2023 年 7 月 26 日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess`マネージドポリシーに `compute-optimizer:GetECSServiceRecommendations`、`compute-optimizer:GetECSServiceRecommendationProjectedMetrics`、`ecs:ListServices`、`ecs:ListClusters` アクションが追加されました。 | 2022 年 12 月 22 日 |
| ComputeOptimizerServiceRolePolicy マネージドポリシーの編集 | ComputeOptimizerServiceRolePolicy マネージドポリシーに ec2:DescribeInstances、ec2:DescribeVolumes、および organizations:ListDelegatedAdministrators アクションが追加されました。 | 2022 年 7 月 25 日 |
| `ComputeOptimizerServiceRolePolicy` マネージドポリシーの編集 | `ComputeOptimizerServiceRolePolicy` マネージドポリシーに `autoscaling:DescribeAutoScalingInstances` および `autoscaling:DescribeAutoScalingGroups` アクションが追加されました。 | 2021 年 11 月 29日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `compute-optimizer:GetRecommendationPreferences`、`compute-optimizer:GetEffectiveRecommendationPreferences`、および `autoscaling:DescribeAutoScalingInstances` アクションが追加されました。 | 2021 年 11 月 29日 |
| `ComputeOptimizerReadOnlyAccess` マネージドポリシーの編集 | `ComputeOptimizerReadOnlyAccess` マネージドポリシーに `GetEnrollmentStatusesForOrganization` アクションが追加されました。 | 2021 年 8 月 26 日 |
| Compute Optimizer が変更のトラッキングを開始しました | Compute Optimizer は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 5 月 18 日 |