翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx for NetApp ONTAP のセキュリティ
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任があります AWS クラウド。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Amazon FSx for NetApp ONTAP に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Amazon FSx 使用時における責任共有モデルの適用法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目標を達成するように Amazon FSx を設定する方法について説明します。また、Amazon FSx リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Amazon FSx for NetApp ONTAP におけるデータ保護](data-protection.md)
+ [Amazon FSx for NetApp ONTAP 向けのアイデンティティとアクセス管理](security-iam.md)
+ [AWS Amazon FSx for NetApp ONTAP の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon VPC によるファイルシステムアクセスコントロール](limit-access-security-groups.md)
+ [Amazon FSx for NetApp ONTAP のコンプライアンス検証](fsx-ontap-compliance.md)
+ [Amazon FSx for NetApp ONTAP とインターフェイス VPC エンドポイント (AWS PrivateLink)](fsx-vpc-endpoints.md)
+ [Amazon FSx for NetApp ONTAP のレジリエンス](disaster-recovery-resiliency.md)
+ [Amazon FSx for NetApp ONTAP のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [FSx for ONTAP で NetApp ONTAP Vscan を使用する](using-vscan.md)
+ [ONTAP ロールとユーザー](roles-and-users.md)
# Amazon FSx for NetApp ONTAP におけるデータ保護
AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon FSx for NetApp ONTAP のデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon FSx AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## FSx for ONTAP でのデータ暗号化
Amazon FSx for NetApp ONTAP では、保管中のデータの暗号化と転送中のデータの暗号化がサポートされています。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。Amazon FSx for NetApp ONTAP は、Active Directory に結合しているか、Lightweight Directory Access Protocol (LDAP) を使用するドメインに結合している Storage Virtual Machine (SVM) 内のデータにアクセスする場合、NFS および SMB プロトコル経由で転送中の Kerberos ベースの暗号化をサポートします。
### 暗号化を使用するタイミング
ユーザーの組織が、保管中のデータとメタデータの暗号化が必要な企業または規制ポリシーの対象となる場合は、データは保管中に自動的に暗号化されます。また、転送中のデータの暗号化を使用してファイルシステムをマウントすることにより転送中のデータの暗号化を有効にすることも、推奨されています。
Amazon FSx for NetApp ONTAP によるデータ暗号化の詳細については、「[保管中のデータの暗号化](encryption-at-rest.md)」および「[Encrypting data in transit](encryption-in-transit.md)」を参照してください。
# 保管中のデータの暗号化
すべての Amazon FSx for NetApp ONTAP ファイルシステムおよびバックアップは、 AWS Key Management Service (AWS KMS) を使用して管理されるキーにより保存中に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号化されます。すべてのバックアップは作成時に自動的に暗号化され、バックアップが新しいボリュームに復元されると自動的に復号されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「[暗号化のベーシック](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。
**注記**
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。
## Amazon FSx が を使用する方法 AWS KMS
Amazon FSx は、キー管理 AWS KMS のために と統合されています。Amazon FSx は KMS キーを使用してファイルシステムおよびあらゆるボリュームバックアップを暗号化します。ファイルシステムおよびボリュームバックアップ (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可を有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWSマネージド KMS キー** - これはデフォルトの KMS キーで、自由に使用できます。
+ **カスタマーマネージド CMK** - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。KMS キーの作成の詳細については、「 * AWS Key Management Service デベロッパーガイド*」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。
**重要**
Amazon FSx は、KMS の対称暗号化キーのみを受け入れます。Amazon FSx では、非対称 KMS キーを使用することはできません。
顧客が管理する KMS キーをファイルデータ暗号化と復号化の KMS キーとして使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 AWS KMS は、1 年に 1 回、キーを自動的にローテーションします。また、カスタマーマネージド KMS キーでは、KMS キーへのアクセスの無効化、再有効化、削除、取り消しのタイミングを随時選択できます。詳細については、「AWS Key Management Service デベロッパーガイドの [ローテーション AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」および「[キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」を参照してください。
## の Amazon FSx キーポリシー AWS KMS
キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS KMSの キーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストは、Amazon FSx でサポートされている保管時の暗号化ファイルシステムとバックアップに関連するすべての AWS KMSアクセス許可を示しています。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化されたプレーンテキストです。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** – (オプション) クライアント側のデータのプレーンテキストを公開することなく AWS KMS key、サーバー側のデータを新しい で暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「*AWS Key Management Service 開発者ガイド*」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。
# Encrypting data in transit
このトピックでは、FSx for ONTAP ファイルシステムと、接続されたクライアントとの間で、転送中のファイルデータを暗号化する際に使用できるさまざまなオプションについて説明します。また、ワークフローに最適な暗号化方法を選択するためのガイダンスも提供します。
AWS グローバルネットワーク AWS リージョン を経由するすべてのデータは、 AWS 保護された施設を離れる前に、物理レイヤーで自動的に暗号化されます。アベイラビリティーゾーン間のトラフィックは、すべて暗号化されます。追加的な暗号化レイヤーでは、このセクションに記載されているもの以外にも、保護が提供されています。 AWS が、、利用可能なゾーン AWS リージョン、インスタンスをまたいで流れるデータを保護する方法の詳細については、「Linux インスタンス用 Amazon Elastic Compute Cloud ユーザーガイド」の[「転送中の暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)」を参照してください。
Amazon FSx for NetApp ONTAP は、FSx for ONTAP ファイルシステムと、接続されたクライアントとの間で転送中のデータを暗号化するための、次の方法をサポートしています。
+ サポートされているすべてのプロトコルと、サポートされている Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) および [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプで実行されているクライアントに対して、Nitro ベースの自動暗号化を行います。
+ NFS および SMB プロトコル上での Kerberos ベースの暗号化。
+ NFS、iSCSI、SMB プロトコル上での IPsec ベースの暗号化
転送中のデータを暗号化するための、サポートされている方法はすべて、エンタープライズレベルの強固な暗号化を実現する業界標準、AES-256 暗号化アルゴリズムを使用しています。
**Topics**
+ [転送中のデータを暗号化する方法を選ぶ](#choosing-encryption-in-transit)
+ [AWS Nitro System を使用した転送中のデータの暗号化](#nitro-encryption)
+ [Kerberos ベースの暗号化を使用した転送中のデータの暗号化](#kerberos-encryption)
+ [IPsec 暗号化を使用した転送中のデータの暗号化](#ipsec-encryption)
+ [転送中のデータの SMB 暗号化の有効化](enable-smb-encryption.md)
+ [PSK 認証を使用した IPsec の設定](config-ipsec-psk-auth.md)
+ [証明書の認証を使用した IPsec の設定](config-ipsec-ca-auth.md)
## 転送中のデータを暗号化する方法を選ぶ
このセクションでは、サポートされている転送時の暗号化方法のどれがワークフローに最適であるかを判断する際に役立つ情報を紹介します。この後のセクションで、サポートされているオプションについて詳しく説明する際に、このセクションを再度参照します。
FSx for ONTAP ファイルシステムと接続されたクライアントとの間で転送中のデータを暗号化する方法を選ぶ際、考慮すべき要素がいくつかあります。以下のような要素です。
+ AWS リージョン FSx for ONTAP ファイルシステムが実行されている 。
+ クライアントが実行中のインスタンスタイプ。
+ ファイルシステムにアクセスしているクライアントの場所。
+ ネットワークパフォーマンスの要件。
+ 暗号化しようとしているデータプロトコル。
+ Active Directory を使用しているかどうか。
**AWS リージョン**
ファイルシステムが実行中の によって、Amazon Nitro ベースの暗号化を使用できるかどうかが決まり AWS リージョン ます。詳細については、「[AWS Nitro System を使用した転送中のデータの暗号化](#nitro-encryption)」を参照してください。
**クライアントのインスタンスタイプ**
ファイルシステムにアクセスしているクライアントが、サポートされている Amazon EC2 Mac、[Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)、[Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプのいずれかで実行されており、ワークフローが [Nitro ベースの暗号化](#nitro-encryption)を使用するためのその他すべての要件を満たしている場合、Amazon Nitro ベースの暗号化を使用できます。Kerberos または IPsec 暗号化を使用するための、クライアントインスタンスタイプの要件はありません。
**クライアントの場所**
ファイルシステムの場所に対してデータにアクセスしているクライアントの場所は、使用できる転送中の暗号化の方法に影響します。クライアントとファイルシステムが同じ VPC にある場合は、サポートされている暗号化方法をどれでも使用できます。クライアントとファイルシステムが、ピア接続された VPC 内にある場合も、トラフィックが仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過しない限り、同様です。Nitro ベースの暗号化は、クライアントが同じ VPC かピア接続された VPC にない場合、またはトラフィックが仮想ネットワークのデバイスまたはサービスを通過しない場合は、使用できません。
**ネットワークパフォーマンス**
Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。
Kerberos または IPsec 暗号化を使用すると、ネットワークのパフォーマンスに影響します。これは、これらの暗号化の方法がともにソフトウェアベースであり、クライアントとサーバーが転送中のトラフィックを暗号化および復号化するためにはコンピューティングリソースを使う必要があるためです。
**データプロトコル**
Amazon Nitro ベースの暗号化と IPsec 暗号化は、サポートされているすべてのプロトコル (NFS、SMB、iSCSI) で使用することができます。Kerberos 暗号化は、NFS プロトコルと SMB プロトコル (Active Directory を使用) で使用できます。
**Active Directory**
Microsoft Active Directory を使用している場合、NFS プロトコルと SMB プロトコルで [Kerberos 暗号化](#kerberos-encryption)を使用できます。
次の図は、どの転送中の暗号化方法を使用すればよいかを判断するのに役立ちます。
![\[5 つの判断ポイントに基づいて、どの転送時の暗号化方法を使用すればよいかを示すフローチャート。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec 暗号化は、以下のすべての条件がワークフローに当てはまる場合に使用できる、唯一の選択肢です。
+ NFS、SMB、iSCSI のいずれかのプロトコルを使用している。
+ ワークフローは Amazon Nitro ベースの暗号化の使用をサポートしていない。
+ Microsoft アクティブディレクトリドメインを使用していない。
## AWS Nitro System を使用した転送中のデータの暗号化
Nitro ベースの暗号化では、ファイルシステムにアクセスするクライアントが、FSx for ONTAP で使用できる でサポートされている Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) または [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプ AWS リージョン で実行されている場合、転送中のデータは自動的に暗号化されます。
Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。
Nitro ベースの暗号化は、サポートされているクライアントインスタンスタイプが、同じ AWS リージョン にあるか、ファイルシステムの VPC とピア接続されている同じ VPC にあるときに、自動的に有効になります。さらに、クライアントが、ピア接続された VPC 内にある場合、Nitro ベースの暗号化を自動的に有効にするために、データは、仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過することができません。Nitro ベースの暗号化に関する詳細は、Amazon EC2 の [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) または [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンス用ユーザーガイドの「転送中の暗号化」を参照してください。
次の表は、Nitro ベースの暗号化 AWS リージョン が利用可能な の詳細を示しています。
**ニトロベースの暗号化のサポート**
| [Generation] (生成) | デプロイタイプ | AWS リージョン |
| --- | --- | --- |
| 第 1 世代ファイルシステム 1 | シングル AZ 1 マルチ AZ 1 | 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、欧州 (アイルランド) |
| 第 2 世代ファイルシステム | シングル AZ 2 マルチ AZ 2 | 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、欧州 (フランクフルト)、欧州 (アイルランド)、アジアパシフィック (シドニー) |
1 2022 年 11 月 28 日以降に作成された第 1 世代ファイルシステムは、リストされている AWS リージョンで Nitro ベースの転送中の暗号化をサポートしています。
FSx for ONTAP AWS リージョン が利用可能な の詳細については、[「Amazon FSx for NetApp ONTAP の料金](https://aws.amazon.com/fsx/netapp-ontap/pricing/)」を参照してください。
FSx for ONTAP ファイルシステムのパフォーマンスの仕様の詳細については、[スループット容量がパフォーマンスに与える影響](performance.md#impact-throughput-cap-performance) を参照してください。
## Kerberos ベースの暗号化を使用した転送中のデータの暗号化
Microsoft Active Directory を使用している場合は、NFS プロトコルと SMB プロトコル経由で Kerberos ベースの暗号化を使用して、[Active Directory に追加された SVM](ad-integration-ontap.md) の子ボリュームの、転送中のデータを暗号化することができます。
### Kerberos を使用して NFS 経由で転送中のデータを暗号化する
Kerberos を使用した転送中のデータの暗号化は、NFSv3 プロトコルと NFSv4 プロトコルでサポートされています。NFS プロトコルに Kerberos を使用して、転送中の暗号化を有効にする方法については、NetApp ONTAP ドキュメンテーションセンターの「[Using Kerberos with NFS for strong security](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf)」を参照してください。
### Kerberos を使用して SMB 経由で転送中のデータを暗号化する
SMB プロトコル経由の、転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートしているコンピューティングインスタンスにマップされた、ファイル共有でサポートされています。これには、Microsoft Windows Server 2012 以降 および Microsoft Windows 8 以降のすべての Microsoft Windows のバージョンが含まれます。有効にすると、ユーザーがアプリケーションを変更することなく、FSx for ONTAP はファイルシステムにアクセスする際にSMB 暗号化を使用して転送中のデータを自動的に暗号化します。
FSx for ONTAP SMB は 128 ビットと 256 ビットの暗号化をサポートしています。いずれになるかは、クライアントセッションのリクエストによって決まります。さまざまな暗号化レベルの詳細については、NetApp ONTAP ドキュメントセンターの「[Manage SMB with the CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf)」にある「*Set the SMB server minimum authentication security level*」のセクションを参照してください。
**注記**
暗号化アルゴリズムはクライアントによって決まります。NTLM と Kerberos 認証は、どちらも 128 ビットと 256 ビットの両方の暗号化で動作します。FSx for ONTAP SMB Server は、すべてのスタンダード Windows クライアントリクエストを受け入れ、きめ細かいコントロールは Microsoft グループポリシーまたはレジストリ設定によって処理されます。
ONTAP CLI を使用して、ONTAP SVM およびボリュームの FSx の転送中の暗号化設定を管理します。NetApp ONTAP CLI にアクセスするには、[ONTAP CLI を使用した SVM の管理](managing-resources-ontap-apps.md#vsadmin-ontap-cli) の説明に従って、転送中の暗号化設定を行う SVM で SSH セッションを確立します。
SVM またはボリュームで SMB 暗号化を有効にする方法については、「[転送中のデータの SMB 暗号化の有効化](enable-smb-encryption.md)」を参照してください。
## IPsec 暗号化を使用した転送中のデータの暗号化
FSx for ONTAP は転送モード中の IPsec プロトコルの使用をサポートしているため、転送中でもデータを継続的に保護し暗号化することができます。IPsec は、サポートされているすべての IP トラフィック (NFS、iSCSI、SMB プロトコル) で、クライアントと FSx for ONTAP ファイルシステム間で転送中のデータをエンドツーエンドで暗号化します。IPsec 暗号化を使用すると、IPsec が有効に設定された FSx for ONTAP SVM と、データにアクセスする接続クライアントで実行中の IPsec クライアントとの間に、IPsec トンネルが確立されます。
[Nitro ベースの暗号化](#nitro-encryption)をサポートしていないクライアントからデータにアクセスするときや、クライアントと SVM が Active Directory (Kerberos ベースの暗号化に必要) に接続されていない場合は、IPsec を使用して NFS、SMB、iSCSI プロトコル経由で転送中のデータを暗号化することが推奨されます。iSCSI クライアントが Nitro ベースの暗号化をサポートしていない場合、iSCSI トラフィックで転送中のデータを暗号化するには、IPsec 暗号化しか使用できません。
IPsec 認証には、事前共有キー (PSK) または証明書のいずれかを使用できます。PSK を使う場合、使用する IPsec クライアントは、PSK を持つインターネットキー交換のバージョン 2 (IKEv2) をサポートしている必要があります。FSx for ONTAP とクライアントの両方で、IPsec 暗号化を設定する高レベルの手順は、次のとおりです。
1. ファイルシステムで IPsec を有効にし、設定します。
1. クライアントに IPsec をインストールし、設定します。
1. 複数のクライアントアクセス用に IPsec を設定します。
PSK を使用して IPsec を設定する方法の詳細については、NetApp ONTAP ドキュメンテーションセンターの「[Configure IP security (IPsec) over wire encryption](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)」を参照してください。
コンソールを使用して IPsec を設定する方法の詳細については、「[証明書の認証を使用した IPsec の設定](config-ipsec-ca-auth.md)」を参照してください。
# 転送中のデータの SMB 暗号化の有効化
デフォルトでは、SVM を作成すると SMB 暗号化はオフになります。個々の共有で必要な SMB 暗号化を有効にするか、SVM 上のすべての共有に対して有効にする SVM 上で有効にできます。
**注記**
SVM または共有で SMB 暗号化リクエストが有効になっている場合、暗号化をサポートしない SMB クライアントはその SVM または共有に接続できなくなります。
**SVM の着信 SMB トラフィックに SMB 暗号化をリクエストするには**
NetApp ONTAP CLI を使用して SVM で SMB 暗号化をリクエストするには、次の手順を実行します。
1. SVM の管理エンドポイントに SSH で接続するには、SVM の作成時に設定した `vsadmin` ユーザーネームと vsadmin パスワードを使用します。vsadmin パスワードを設定していない場合は、ユーザーネーム `fsxadmin` と fsxadmin のパスワードを使用します。管理エンドポイントの IP アドレスまたは DNS 名を使用して、ファイルシステムと同じ VPC にあるクライアントから SVM に SSH 接続できます。
```
ssh vsadmin@svm-management-endpoint-ip-address
```
サンプル値を含むコマンド:
```
ssh vsadmin@198.51.100.10
```
管理エンドポイントの DNS 名を使用した SSH コマンド:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
サンプル DNS 名を使用した SSH コマンド
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. SVM への着信 SMB トラフィックに SMB 暗号化をリクエストするには、[https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. 着信 SMB トラフィックに対する SMB 暗号化のリクエストを停止するには、次のコマンドを使用します。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. SVM の現在の `is-smb-encryption-required` 設定を表示するには、[https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html) NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
SVM での SMB 暗号化の管理の詳細については、NetApp ONTAP ドキュメントセンターの「[Configuring required SMB encryption on SMB servers for data transfers over SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html)」を参照してください。
**ボリュームで SMB 暗号化を有効にするには**
NetApp ONTAP CLI を使用して共有で SMB 暗号化を有効にするには、次の手順を使用します。
1. [ONTAP CLI を使用した SVM の管理](managing-resources-ontap-apps.md#vsadmin-ontap-cli) の説明に従って、SVM の管理エンドポイントに secure shell (SSH) 接続を確立します。
1. 新しい SMB 共有を作成し、この共有にアクセスするときに SMB 暗号化をリクエストするには、次の NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html)」を参照してください。
1. 既存の SMB 共有で SMB 暗号化をリクエストするには、次のコマンドを使用します。
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html)」を参照してください。
1. 既存の SMB 共有で SMB 暗号化を無効にするには、次のコマンドを使用します。
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html)」を参照してください。
1. SMB 共有の現在の `is-smb-encryption-required` 設定を確認するには、次の NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
このコマンドによって返されたプロパティの 1 つが `encrypt-data` プロパティの場合、この共有にアクセスするときに SMB 暗号化を使用する必要があることがそのプロパティによって指定されます。
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html)」を参照してください。
# PSK 認証を使用した IPsec の設定
認証に PSK を使用する場合、FSx for ONTAP とクライアントの両方で IPsec 暗号化を設定する手順は、次のとおりです。
1. ファイルシステムで IPsec を有効にし、設定します。
1. クライアントに IPsec をインストールし、設定します。
1. 複数のクライアントアクセス用に IPsec を設定します。
PSK を使用して IPsec を設定する方法の詳細については、NetApp ONTAP ドキュメンテーションセンターの「[Configure IP security (IPsec) over wire encryption](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)」を参照してください。
# 証明書の認証を使用した IPsec の設定
次のトピックでは、FSx for ONTAP ファイルシステムと、Libreswan IPsec を実行しているクライアントで、証明書の認証を使用して IPsec 暗号化を設定する方法について説明します。このソリューションでは AWS Private Certificate Authority 、 AWS Certificate Manager と を使用してプライベート認証機関を作成し、証明書を生成します。
FSx for ONTAP ファイルシステムと接続されたクライアントの両方で、証明書の認証を使用して IPsec 暗号化を設定する高レベルの手順は、次のとおりです。
1. 証明書を発行するための認証機関を用意します。
1. ファイルシステムとクライアントの CA 証明書を生成し、エクスポートします。
1. 証明書をインストールし、クライアントインスタンスに IPsec を設定します。
1. 証明書をインストールし、お使いのファイルシステムに IPsec を設定します。
1. セキュリティポリシーデータベース (SPD) を定義します。
1. 複数のクライアントアクセス用に IPsec を設定します。
## CA 証明書の作成とインストール
証明書の認証を行うには、認証機関の証明書を生成して、FSx for ONTAP ファイルシステムと、ファイルシステムのデータにアクセスするクライアントに、インストールする必要があります。次の例では、 AWS Private Certificate Authority を使用してプライベート認証機関を設定し、ファイルシステムとクライアントにインストールする証明書を生成します。を使用すると AWS Private Certificate Authority、組織内で使用するために、ルート認証機関と下位認証機関 (CAsの完全に AWS ホストされた階層を作成できます。このプロセスは、次の 5 つのステップから成ります。
1. を使用してプライベート認証機関 (CA) を作成する AWS Private CA
1. ルート証明書を発行してプライベート CA にインストールします。
1. ファイルシステムとクライアント AWS Certificate Manager 用に からプライベート証明書をリクエストする
1. ファイルシステムとクライアントの証明書をエクスポートします。
詳細については、「 AWS Private Certificate Authority ユーザーガイド」の[「プライベート CA 管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)」を参照してください。
**ルートプライベート CA を作成するには**
1. CA を作成するときは、指定したファイルで CA 設定を指定する必要があります。次のコマンドは、テキストエディタの nano を使用して `ca_config.txt` ファイルを作成します。このファイルでは以下の情報が指定されています。
+ アルゴリズムの名前
+ CA が署名に使用する署名アルゴリズム
+ X.500 件名情報
```
$ > nano ca_config.txt
```
テキストエディタが表示されます。
1. CA の仕様に合わせてファイルを編集します。
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. ファイルを保存て閉じ、テキストエディタを終了します。詳細については、「 AWS Private Certificate Authority ユーザーガイド[」の「CA を作成する手順](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html)」を参照してください。
1. [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI コマンドを使用して、プライベート CA を作成します。
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**プライベートルート CA の証明書を作成してインストールするには (AWS CLI)**
1. AWS CLI コマンドを使用して証明書署名リクエスト (CSR) [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) を生成します。
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
生成されたファイル `ca.csr` は base64 形式でエンコードされた PEM ファイルで、次のような外見をしています。
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
詳細については、[「 ユーザーガイド」の「ルート CA 証明書](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot)のインストール」を参照してください。 AWS Private Certificate Authority
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI コマンドを使用して、プライベート CA にルート証明書を発行してインストールします。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI コマンドを使用してルート証明書をダウンロードします。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI コマンドを使用して、プライベート CA にルート証明書をインストールします。
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**ファイルシステムとクライアント証明書を生成し、エクスポートします。**
1. [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI コマンドを使用して、ファイルシステムとクライアントで使用する AWS Certificate Manager 証明書をリクエストします。
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
リクエストが成功すると、発行された証明書の ARN が返されます。
1. セキュリティ上の理由から、プライベートキーをエクスポートするときはパスフレーズを割り当てる必要があります。パスフレーズを作成し、`passphrase.txt` という名前のファイルに保存します。
1. [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI コマンドを使用して、以前に発行されたプライベート証明書をエクスポートします。エクスポートしたファイルには、証明書、証明書チェーン、証明書に埋め込まれているパブリックキーに関連付けられた、暗号化されたプライベート 2048 ビット RSA キー、が含まれています。セキュリティ上の理由から、プライベートキーをエクスポートするときはパスフレーズを割り当てる必要があります。以下は、Linux EC2 インスタンスの場合の例です。
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. 次の `jq` コマンドを使用して、JSON レスポンスからプライベートキーと証明書を抽出します。
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. 次の `openssl` コマンドを使用して、JSON レスポンスからプライベートキーを復号します。コマンドを入力すると、パスフレーズの入力を求められます。
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Libreswan IPsec を Amazon Linux 2 クライアントにインストールし、設定する
以下のセクションでは、Amazon Linux 2 を実行している Amazon EC2 インスタンスに Libreswan IPsec をインストールし、設定する方法について説明します。
**Libreswan をインストールして設定するには**
1. SSH を使用して EC2 インスタンスに接続します。具体的な手順については、Amazon Elastic Compute Cloud Linux インスタンス用ユーザーガイドの「[SSH クライアントを使用して Linux インスタンスに接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient)」を参照してください。
1. 次のコマンドを実行して `libreswan` をインストールします。
```
$ sudo yum install libreswan
```
1. (オプション) 後のステップで IPsec を検証する際、これらの設定を行っていないのにプロパティにフラグが付いていることがあります。これらの設定を行わずに、先にセットアップをテストしてみることをお勧めします。接続に問題があれば、このステップに戻って次の変更を施します。
インストールが完了したら、任意のテキストエディタを使って次のエントリを `/etc/sysctl.conf` ファイルに追加します。
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
変更を保存して、テキストエディタを終了します。
1. 変更を適用します。
```
$ sudo sysctl -p
```
1. IPsec の設定を確認します。
```
$ sudo ipsec verify
```
インストールした `Libreswan` のバージョンが実行していることを確認します。
1. IPsec NSS データベースを初期化します。
```
$ sudo ipsec checknss
```
**証明書をクライアントにインストールするには**
1. クライアント用に[生成した証明書](#generate-certificate)を EC2 インスタンスの作業ディレクトリにコピーします。You
1. 前に生成した証明書を `libreswan` と互換性のある形式にエクスポートします。
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. 再フォーマットしたキーをインポートし、プロンプトが表示されたらパスフレーズを指定します。
```
$ sudo ipsec import certkey.p12
```
1. 任意のテキストエディタを使用して IPsec 設定ファイルを作成します。
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
以下のエントリを設定ファイルに追加します。
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
ファイルシステムで IPsec を設定したら、クライアントで IPsec を起動します。
## ファイルシステムで IPsec を設定する
このセクションでは、FSx for ONTAP ファイルシステムに証明書をインストールし、IPsec を設定する方法について説明します。
**証明書をファイルシステムにインストールするには**
1. ルート証明書 (`rootCA.pem)`、クライアント証明書 (`cert.pem`)、復号されたキー (`decrypted.key`) の各ファイルをファイルシステムにコピーします。証明書のパスフレーズを書き留めておく必要があります。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 各ファイルの出力をコピーし、次のステップで画面に指示が出たときに貼り付けられるよう、(ファイルシステムではなく) クライアントで **cat** を使用して `rootCA.pem`、`cert.pem`、`decrypted.key` ファイルの内容を一覧表示します。
```
$ > cat cert.pem
```
証明書の内容をコピーします。
1. すでにインストールされている場合 (ONTAP 自己署名ルート CA のケースなど) を除き、相互認証時に使用されるすべての CA 証明書を、ONTAP 側およびクライアント側両方の CA を含め、ONTAP 証明書管理にインストールする必要があります。
`security certificate install` NetApp CLI コマンドを次のように使用して、クライアント証明書をインストールします。
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
前にコピーした `cert.pem` ファイルの内容を貼り付け、Enter キーを押します。
```
Please enter Private Key: Press when done
```
前にコピーした `decrypted.key` ファイルの内容を貼り付け、Enter キーを押します。
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
`n` を入力し、クライアント証明書の入力を完了します。
1. SVM で使用する証明書を作成し、インストールします。この証明書の発行者 CA は、既に ONTAP にインストールされ、 IPsec に追加されている必要があります。
以下のコマンドを使用して、ルート証明書をインストールします。
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
前にコピーした `rootCA.pem` ファイルの内容を貼り付け、Enter キーを押します。
1. インストールされている CA が、認証中に IPsec CA 検索パス内に存在していることを確かめるには、security ipsec ca-certificate add コマンドを使って ONTAP 証明書管理 CA を IPsec モジュールに追加します。
以下のコマンドを入力し、ルート証明書を追加します。
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. 次のコマンドを入力し、必要な IPsec ポリシーをセキュリティポリシーデータベース (SPD) に作成します。
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. 次のコマンドを使用してファイルシステムの IPsec ポリシーを表示し、確認します。
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## クライアントで IPsec を起動する
IPsec を FSx for ONTAP ファイルシステムとクライアントの両方で設定したので、これで IPsec をクライアントで起動できます。
1. SSH を使用してクライアントシステムに接続します。
1. IPsec を起動します。
```
$ sudo ipsec start
```
1. IPsec のステータスをチェックします。
```
$ sudo ipsec status
```
1. ファイルシステムにボリュームをマウントします。
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. FSx for ONTAP ファイルシステムの暗号化された接続を表示し、IPsec の設定を確認します。
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## 複数のクライアントに IPsec を設定する
IPsec を使用する必要のあるクライアントが少数である場合は、各クライアントに 1 つの SPD エントリを使用すれば十分です。しかし、数百あるいは数千のクライアントで IPsec を使用する必要がある場合は、IPsec の複数クライアント構成を使用することが推奨されます。
FSx for ONTAPは、複数のネットワーク上にある複数のクライアントを IPsec が有効である 1 つの SVM IP アドレスに接続することを、サポートしています。これは、`subnet` 構成または `Allow all clients` 構成のいずれかを使用することで達成できます。その方法については、以下の手順で説明します。
**サブネット構成を使用して複数のクライアント用に IPsec を構成するには**
特定のサブネット (192.168.134.0/24 など) 上にあるすべてのクライアントを、1 つの SPD ポリシーエントリを使って、1 つの SVM IP アドレスに接続するには、サブネット形式で `remote-ip-subnets` を指定する必要があります。さらに、正しいクライアント側 ID を使って `remote-identity` を指定する必要があります。
**重要**
証明書の認証を使用すると、各クライアントは、独自の証明書か共有証明書を使用して、認証を行うことができます。FSx for ONTAP IPsec は、ローカルのトラストストアにインストールされている CA に基づいて、証明書の有効性をチェックします。FSx for ONTAP は、証明書失効リスト (CRL) のチェックもサポートしています。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security ipsec policy create`NetApp ONTAP CLI コマンドを以下のように使用して、*sample* の値を特定の値に置き換えます。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Allow all clients 構成を使用して複数のクライアント用に IPsec を構成するには**
ソース IP アドレスに関係なくすべてのクライアントに SVM IPsec 対応 IP アドレスへの接続を許可するには、`remote-ip-subnets` フィールドを指定するときに `0.0.0.0/0` ワイルドカードを使用します。
さらに、正しいクライアント側 ID を使って `remote-identity` を指定する必要があります。証明書の認証には、`ANYTHING` と入力します。
また、0.0.0.0/0 のワイルドカードを使用する場合は、使用する特定のローカルまたはリモートのポート番号を設定する必要があります。例えば、NFS ポート 2049 です。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security ipsec policy create`NetApp ONTAP CLI コマンドを以下のように使用して、*sample* の値を特定の値に置き換えます。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```
# Amazon FSx for NetApp ONTAP 向けのアイデンティティとアクセス管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、Amazon FSx リソースを使用するための認証 (サインイン) および認可(許可を持つ) できるユーザーをコントロールします。IAM は、追加料金なしで AWS のサービス 使用できる です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon FSx for NetApp ONTAP が IAM とどのように連携するか](security_iam_service-with-iam.md)
+ [Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [Amazon FSx for NetApp ONTAP アイデンティティとアクセスのための Amazon FSx のトラブルシューティング](security_iam_troubleshoot.md)
+ [Amazon FSx のサービスリンクロールの使用](using-service-linked-roles.md)
+ [Amazon FSx でのタグの使用](using-tags-fsx.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon FSx for NetApp ONTAP アイデンティティとアクセスのための Amazon FSx のトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon FSx for NetApp ONTAP が IAM とどのように連携するか](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
( AWS IAM アイデンティティセンター IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられている場合のアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon FSx for NetApp ONTAP が IAM とどのように連携するか
IAM を使用して Amazon FSx へのアクセスを管理する前に、Amazon FSx で使用できる IAM 機能について理解しておく必要があります。
**Amazon FSx for NetApp ONTAP で使用できる IAM の機能**
| IAM の機能 | Amazon FSx のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys) | あり |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
Amazon FSx およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Amazon FSx のアイデンティティベースの ポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「IAM ユーザーガイド」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Amazon FSx のアイデンティティベースのポリシー例
Amazon FSx のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon FSx 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
## Amazon FSx のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーにアクションを含めて、関連するオペレーションを実行するためのアクセス許可を付与します。
Amazon FSx アクションのリストを確認するには、[サービス認可リファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)の「Amazon FSx で定義されるアクション」を参照してください。
Amazon FSx のポリシーアクションは、アクションの前に次のプレフィックスを使用します。
```
fsx
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Amazon FSx のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon FSx のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Amazon FSx リソースのタイプとその ARN のリストを確認するには、「サービス認可リファレンス」の「[Amazon FSx for NetApp ONTAP で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies)」を参照してください。各リソースのARNを指定できるアクションについては、[Amazon FSx で定義されているアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) を参照してください。
Amazon FSx のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon FSx のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon FSx for NetApp ONTAP での条件キーの一覧については、「サービス認可リファレンス」の「[Condition Keys for Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys)」(Amazon FSx の条件キー) を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「[Amazon FSx で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)」を参照してください。
Amazon FSx のアイデンティティベースポリシーの例を確認するには、「[Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon FSx アクセスコントロールリスト (ACL)
**ACL のサポート:** なし
## Amazon FSx での属性ベースのアクセスコントロール (ABAC)
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
Amazon FSx リソースのタグ付けの詳細については、「[Amazon FSx リソースのタグ付け](tag-resources.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグを使用した Amazon FSx リソースへのアクセスのコントロール](using-tags-fsx.md#restrict-fsx-access-tags)」を参照してください。
## Amazon FSx でのテンポラリ認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Amazon FSx の転送アクセスセッション
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Amazon FSx のサービスロール
**サービスロールのサポート:** なし
## Amazon FSx のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集はできません。
Amazon FSx でのサービスにリンクされたロールの作成または管理の詳細については、「[Amazon FSx のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
# Amazon FSx for NetApp ONTAP のアイデンティティベースのポリシーの例
デフォルトでは、ユーザーおよびロールには Amazon FSx リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Amazon FSx が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認可リファレンス*」の「[Actions, resources, and condition keys for Amazon FS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon FSx コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [ユーザーが自分の許可を表示できるようにする](#security_iam_id-based-policy-examples-view-own-permissions)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウント内で誰かが Amazon FSx リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Amazon FSx コンソールの使用
Amazon FSx for NetApp ONTAP コンソールにアクセスするには、最小限の許可セットが必要です。これらのアクセス許可により、 内の Amazon FSx リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き Amazon FSx コンソールを使用できるようにするには、エンティティに `AmazonFSxConsoleReadOnlyAccess` AWS 管理ポリシーもアタッチします。詳細については、「IAM ユーザーガイド」の「[ユーザーへの許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
`AmazonFSxConsoleReadOnlyAccess` およびその他の [AWS Amazon FSx for NetApp ONTAP の マネージドポリシー](security-iam-awsmanpol.md) の Amazon FSx マネージドサービスポリシーが表示されます。
## ユーザーが自分の許可を表示できるようにする
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Amazon FSx for NetApp ONTAP アイデンティティとアクセスのための Amazon FSx のトラブルシューティング
Amazon FSx と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復には、次の情報を利用してください。
**Topics**
+ [Amazon FSx でアクションを実行する認可がありません](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Amazon FSx リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Amazon FSx でアクションを実行する認可がありません
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `fsx:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
この場合、`fsx:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon FSx にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Amazon FSx でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに Amazon FSx リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください。
+ Amazon FSx が機能をサポートしているかどうかを確認するには、「[Amazon FSx for NetApp ONTAP が IAM とどのように連携するか](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Amazon FSx のサービスリンクロールの使用
Amazon FSx は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon FSx に直接リンクされているユニークなタイプの IAM ロールです。サービスにリンクされたロールは Amazon FSx によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon FSx のセットアップが簡単になります。サービスリンクロールの許可は Amazon FSx が定義し、特に定義されない限り、Amazon FSx のみがそのロールを引き受けることができます。定義される許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他のIAM エンティティに添付することはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除しなければなりません。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon FSx リソースを保護できます。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、**サービスリンクロール** 列で **[Yes]** のあるサービスを探してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンク付きの「**はい**」を選択します。
## Amazon FSx のサービスリンクロール許可
Amazon FSx は、**[AWSServiceRoleForAmazonFSx]** という名前のサービスにリンクされたロールを使用します。これは、VPC 内のファイルシステム用のエラスティックネットワークインターフェイスの作成や、CloudWatch 内のファイルシステムとボリュームのメトリクスの公開など、アカウント内で特定のアクションを実行します。
このポリシーの更新については、「[AmazonFSxServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy)」を参照してください
**アクセス許可の詳細**
AWSServiceRoleForAmazonFSx ロールのアクセス許可は、AmazonFSxServiceRolePolicy AWS 管理ポリシーによって定義されます。AWSServiceRoleForAmazonFSx には以下のアクセス許可があります。
**注記**
AWSServiceRoleForAmazonFSx は、すべての Amazon FSx ファイルシステムタイプで使用されます。リストされたアクセス許可の一部は、FSx for ONTAP には適用されません。
+ `ds` – Amazon FSx が Directory Service ディレクトリ内のアプリケーションを表示、認可、および認可解除できるようにします。
+ `ec2` - Amazon FSx に以下のことを許可します:
+ Amazon FSx ファイルシステムに関連付けられたネットワークインターフェイスを表示、作成、および関連付け解除します。
+ Amazon FSx ファイルシステムに関連付けられた 1 つ以上の Elastic IP アドレスを表示します。
+ Amazon FSx ファイルシステムに関連付けられている Amazon VPC、セキュリティグループ、およびサブネットを表示します。
+ `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスに IPv6 アドレスを割り当てます。
+ `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスから IPv6 アドレスの割り当てを解除します。
+ VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
+ AWS認可されたユーザーがネットワークインターフェイスで特定のオペレーションを実行するためのアクセス許可を作成します。
+ `cloudwatch` – Amazon FSx がメトリクスデータポイントを AWS/FSx 名前空間の CloudWatch に発行できるようにします。
+ `route53` - Amazon FSx に Amazon VPC をプライベートホストゾーンに関連付けることを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
}
]
}
```
------
本ポリシーの更新については、[AWS マネージドポリシーに対する Amazon FSx の更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) に記載されています。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon FSx のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。、IAM CLI AWS マネジメントコンソール、または IAM API でファイルシステムを作成すると、Amazon FSx によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。サービスリンクロールは、ファイルシステムの作成時に Amazon FSx で自動的に再作成されます。
## Amazon FSx のサービスにリンクされたロールの編集
Amazon FSx では、AWSServiceRoleForAmazonFSx サービスリンクロールを編集できません。サービスリンクロールの作成後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、IAM ユーザーガイドの「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon FSx のサービスリンクロールの削除
サービスにリンクされたロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、積極的にモニタリングまたは保守されない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する前に、すべての ファイルシステムおよびバックアップを削除する必要があります。
**注記**
リソースを削除しようとしたときに Amazon FSx サービスがロールを使用している場合は、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用してサービスリンクロールを手動で削除するには**
IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForAmazonFSx サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Amazon FSx サービスリンクロールがサポートされるリージョン
Amazon FSx は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# Amazon FSx でのタグの使用
タグを使用すると、Amazon FSx リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。作成中に Amazon FSx リソースにタグを適用するには、ユーザーは特定の AWS Identity and Access Management (IAM) 許可を持っている必要があります。
## 作成中にリソースにタグを付ける許可を付与する
一部のリソース作成 Amazon FSx API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
ユーザーがリソースの作成時にタグを付けるには、リソースを作成するアクション (`fsx:CreateFileSystem`、`fsx:CreateStorageVirtualMachine` や `fsx:CreateVolume` など) を使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、IAM は `fsx:TagResource` アクションに対して追加の認可を実行して、ユーザーがタグを作成する認可を持っているかどうかを確認します。そのため、ユーザーには、`fsx:TagResource` アクションを使用する明示的なアクセス許可も必要です。
次のポリシー例では、ユーザーがファイルシステムとストレージ仮想マシン (SVMsを作成し、特定の での作成時にタグを適用することを許可します AWS アカウント。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}
```
同様に、次のポリシーでは、ユーザーが特定のファイルシステム上でバックアップを作成し、バックアップ作成時にバックアップにタグを適用することができます。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
`fsx:TagResource` アクションは、タグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持つユーザー (タグ付け条件がないと仮定) には、`fsx:TagResource` アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグ付きリソースを作成しようとした場合、ユーザーが `fsx:TagResource` アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
Amazon FSx リソースのタグ付けの詳細については、「[Amazon FSx リソースのタグ付け](tag-resources.md)」を参照してください。タグを使用して Amazon FSx リソースへのアクセスコントロールの詳細については、「[タグを使用した Amazon FSx リソースへのアクセスのコントロール](#restrict-fsx-access-tags)」を参照してください。
## タグを使用した Amazon FSx リソースへのアクセスのコントロール
Amazon FSx とアクションへのアクセスをコントロールするには、タグに基づいて IAM ポリシーを使用できます。コントロールは 2 つの方法で可能です。
+ それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールできます。
+ IAM リクエストの条件でどのタグを渡すかをコントロールできます。
タグを使用して AWS リソースへのアクセスを制御する方法については、*IAM ユーザーガイド*の[「タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「[作成中にリソースにタグを付ける許可を付与する](#supported-iam-actions-tagging)」を参照してください。リソースのタグ付けの詳細については、「[Amazon FSx リソースのタグ付け](tag-resources.md)」を参照してください
### リソースのタグに基づいてアクセスのコントロール
ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否したい場合があります。
**Example ポリシーの例 - 特定のタグが使用されている場合にのみファイルシステムを作成する**
このポリシーにより、ユーザーは、特定のタグとキーと値のペア (この例では、`key=Department`、`value=Finance`) でタグ付けした場合にのみ、ファイルシステムを作成できます。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example ポリシーの例 - 特定のタグを持つ Amazon FSx for NetApp ONTAP ボリュームのバックアップのみを作成します。**
このポリシーでは、キーバリューのペア `key=Department`、`value=Finance` でタグ付けされた FSx for ONTAP ボリュームのバックアップのみを作成できます。バックアップは、タグ `Department=Finance` 付きで作成されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つバックアップから、特定のタグを持つボリュームを作成します。**
このポリシーによりユーザーは `Department=Finance` タグが付けられているバックアップから `Department=Finance` でタグ付けされたボリュームのみを作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つファイルシステムの削除**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは `Department=Finance` でタグ付けされる必要があります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つボリュームの削除**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたボリュームのみを削除できます。最終バックアップを作成する場合は、それは `Department=Finance` でタグ付けされる必要があります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# AWS Amazon FSx for NetApp ONTAP の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AmazonFSxServiceRolePolicy
Amazon FSx がユーザーに代わって AWS リソースを管理できるようにします。詳細については、「[Amazon FSx のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシー: AmazonFSxDeleteServiceLinkedRoleAccess
IAM エンティティには `AmazonFSxDeleteServiceLinkedRoleAccess` をアタッチできません。このポリシーはサービスにリンクされ、そのサービス用のサービスにリンクされたロールでのみ使用されます。このポリシーをアタッチ、デタッチ、変更、または削除することはできません。詳細については、「[Amazon FSx のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーは、Amazon FSx for Lustre によって Amazon FSx でのみ使用する Simple Storage Service (Amazon S3) アクセスのサービスリンクロールを削除できるようにする管理者許可を付与します。
**許可の詳細**
このポリシーには、Amazon FSx が Simple Storage Service (Amazon S3) アクセスの FSx サービスリンクロールの削除ステータスを表示、削除、および表示できる `iam` での許可が含まれます。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxDeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxFullAccess
IAM エンティティに AmazonFSxFullAccess をアタッチできます。また、このポリシーはユーザーに代わってアクションを実行できることを Amazon FSx に許可するためのサービスロールにも添付されます。
Amazon FSx へのフルアクセスおよび関連 AWS サービスへのアクセスを提供します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `fsx` – プリンシパルに、Amazon FSx のすべてのアクション (`BypassSnaplockEnterpriseRetention` を除く) を実行するためのフルアクセスを付与します。
+ `ds` – プリンシパルが Directory Service ディレクトリに関する情報を表示できるようにします。
+ `ec2`
+ プリンシパルが指定した条件下でタグを作成できるようにします。
+ VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
+ `iam` - プリンシパルに、ユーザーに代わって Amazon FSx サービスにリンクされたロールを作成することを許可します。これは、Amazon FSx がユーザーに代わって AWS リソースを管理できるようにするために必要です。
+ `firehose` - プリンシパルに Amazon Data Firehose へのレコード書き込みを許可します。これは、ユーザーが Firehose に監査アクセスログを送信して、FSx for Windows File Server のファイルシステムアクセスをモニタリングできるようにするために必要です。
+ `logs` - プリンシパルに、ロググループ、ログストリームの作成、ログストリームへのイベントの書き込みを許可します。これは、ユーザーが CloudWatch Logs に監査アクセスログを送信して、FSx for Windows File Server のファイルシステムアクセスをモニタリングできるようにするために必要です。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxConsoleFullAccess
`AmazonFSxConsoleFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Amazon FSx へのフルアクセスと、 を介した関連 AWS サービスへのアクセスを許可する管理アクセス許可を付与します AWS マネジメントコンソール。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `fsx` – プリンシパルに、Amazon FSx マネジメントコンソールのすべてのアクション (`BypassSnaplockEnterpriseRetention` を除く) を実行することを許可します。
+ `cloudwatch` ‒ プリンシパルが、Amazon FSx マネジメントコンソールで CloudWatch Alarms およびメトリクスを表示できるようにします。
+ `ds` – プリンシパルが Directory Service ディレクトリに関する情報を一覧表示できるようにします。
+ `ec2`
+ プリンシパルが、ルートテーブルにタグを作成し、ネットワークインターフェイス、ルートテーブル、セキュリティグループ、サブネット、および Amazon FSx ファイルシステムに関連付けられた VPC を一覧表示できるようにします。
+ プリンシパルは、VPC で使用できるすべてのセキュリティグループの高度なセキュリティグループ検証を提供します。
+ Amazon FSx ファイルシステムに関連付けられた Elastic Network Interfaces をプリンシパルに表示できるようにします。
+ `kms` – プリンシパルが AWS Key Management Service キーのエイリアスを一覧表示できるようにします。
+ `s3` - プリンシパルが、Simple Storage Service (Amazon S3) バケット内のオブジェクトの一部またはすべてを一覧表示できるようにします (最大 1000)。
+ `secretsmanager` – プリンシパルがドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するためのシークレットを に一覧表示できるようにします。
+ `iam` - Amazon FSx がユーザーに代わってアクションを実行できるようにするサービスリンクロールを作成する許可を付与します。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxConsoleReadOnlyAccess
`AmazonFSxConsoleReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが でこれらの AWS サービスに関する情報を表示できるように、Amazon FSx および関連サービスへの読み取り専用アクセス許可を付与します AWS マネジメントコンソール。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `fsx` - プリンシパルが Amazon FSx マネジメントコンソールで、すべてのタグを含む Amazon FSx ファイルシステムに関する情報を表示できるようにします。
+ `cloudwatch` ‒ プリンシパルが、Amazon FSx マネジメントコンソールで CloudWatch Alarms およびメトリクスを表示できるようにします。
+ `ds` – プリンシパルが Amazon FSx マネジメントコンソールで Directory Service ディレクトリに関する情報を表示できるようにします。
+ `ec2`
+ Amazon FSx マネジメントコンソールで、プリンシパルが Amazon FSx ファイルシステムに関連付けられている、ネットワークインターフェイス、セキュリティグループ、サブネット、および VPC を表示できるようにします。
+ プリンシパルは、VPC で使用できるすべてのセキュリティグループの高度なセキュリティグループ検証を提供します。
+ Amazon FSx ファイルシステムに関連付けられた Elastic Network Interfaces をプリンシパルに表示できるようにします。
+ `kms` – プリンシパルが Amazon FSx マネジメントコンソールで AWS Key Management Service キーのエイリアスを表示できるようにします。
+ `log` - プリンシパルが、リクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるようにします。これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。
+ `secretsmanager` – プリンシパルがドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するためのシークレットを に一覧表示できるようにします。
+ `firehose` - プリンシパルが、リクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるようにします。これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonFSxReadOnlyAccess
`AmazonFSxReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
+ `fsx` - プリンシパルが Amazon FSx マネジメントコンソールで、すべてのタグを含む Amazon FSx ファイルシステムに関する情報を表示できるようにします。
+ `ec2` – VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」の[AmazonFSxReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシーに対する Amazon FSx の更新
このサービスがこれらの変更の追跡を開始してからの Amazon FSx の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon FSx [Amazon FSx for NetApp ONTAP のドキュメント履歴](document-history.md) ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`secretsmanager:ListSecrets`これにより、プリンシパルはドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するために でシークレットを一覧表示できます。 | 2025 年 11 月 5 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`secretsmanager:ListSecrets`これにより、プリンシパルはドメイン結合サービスアカウントの認証情報を選択 AWS Secrets Manager するために でシークレットを一覧表示できます。 | 2025 年 11 月 3 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスに IPv6 アドレスを割り当てることを許可する新しいアクセス許可 `ec2:AssignIpv6Addresses` を追加しました。 | 2025 年 7 月 22 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが `AmazonFSx.FileSystemId` タグを持つカスタマーネットワークインターフェイスから IPv6 アドレスの割り当てを解除できるようにする新しいアクセス許可 `ec2:UnassignIpv6Addresses` を追加しました。 | 2025 年 7 月 22 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:CreateAndAttachS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを作成し、FSx ボリュームにアタッチできます。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`fsx:DescribeS3AccessPointAttachments`これにより、プリンシパルは 内のすべての S3 アクセスポイントを AWS アカウント に一覧表示できます AWS リージョン。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:DetachAndDeleteS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを削除できます。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:CreateAndAttachS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを作成し、FSx ボリュームにアタッチできます。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可が追加されました。`fsx:DescribeS3AccessPointAttachments`これにより、プリンシパルは 内のすべての S3 アクセスポイントを AWS アカウント に一覧表示できます AWS リージョン。 | 2025 年 6 月 25 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `fsx:DetachAndDeleteS3AccessPoint` が追加されました。これにより、プリンシパルは S3 アクセスポイントを削除できます。 | 2025 年 6 月 25 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `ec2:DescribeNetworkInterfaces` が追加されました。これにより、プリンシパルはファイルシステムに関連付けられた Elastic Network Interface を表示できます。 | 2025 年 2 月 25 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可 `ec2:DescribeNetworkInterfaces` が追加されました。これにより、プリンシパルはファイルシステムに関連付けられた Elastic Network Interface を表示できます。 | 2025 年 2 月 7 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) – 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に新しいアクセス許可、`ec2:GetSecurityGroupsForVpc` が追加されました。これにより、プリンシパルは VPC で使用できるすべてのセキュリティグループの拡張セキュリティグループ検証を提供できます。 | 2024 年 1 月 9 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for OpenZFS ファイルシステムに対してクロスリージョンおよびクロスアカウントのデータレプリケーションを実行できるようにする新しいアクセス許可が追加されました。 | 2023 年 12 月 20 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for OpenZFS ファイルシステムに対してクロスリージョンおよびクロスアカウントのデータレプリケーションを実行できるようにする新しいアクセス許可が追加されました。 | 2023 年 12 月 20 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、ユーザーが FSx for OpenZFS ファイルシステムのボリュームのオンデマンドレプリケーションを実行できるように、新しいアクセス許可を追加しました。 | 2023 年 11 月 26 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、ユーザーが FSx for OpenZFS ファイルシステムのボリュームのオンデマンドレプリケーションを実行できるように、新しいアクセス許可を追加しました。 | 2023 年 11 月 26 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for ONTAP マルチ AZ ファイルシステムに対して共有 VPC サポートを表示、有効化、無効化できるようにする新しいアクセス許可が追加されました。 | 2023 年 11 月 14 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx に、ユーザーが FSx for ONTAP マルチ AZ ファイルシステムに対して共有 VPC サポートを表示、有効化、無効化できるようにする新しいアクセス許可が追加されました。 | 2023 年 11 月 14 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx に FSx for OpenZFS Multi-AZ ファイルシステムのネットワーク設定を管理できるように、新しいアクセス許可を追加しました。 | 2023 年 8 月 9 日 |
| [AWS マネージドポリシー: AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 既存のポリシーの更新 | Amazon FSx は、Amazon FSx が CloudWatch メトリクスを `AWS/FSx` 名前空間に公開するように既存の `cloudwatch:PutMetricData` アクセス許可を変更しました。 | 2023 年 7 月 24 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx のポリシーが更新され、`fsx:*` アクセス権限が削除され、特定の `fsx` アクションが追加されました。 | 2023 年 7 月 13 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx のポリシーが更新され、`fsx:*` アクセス権限が削除され、特定の `fsx` アクションが追加されました。 | 2023 年 7 月 13 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、FSx for Windows File Server ファイルシステム用の強化されたパフォーマンスメトリクスと推奨アクションをユーザーが Amazon FSx コンソールで表示できるように、新しいアクセス許可を追加しました。 | 2022 年 9 月 21 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、FSx for Windows File Server ファイルシステム用の強化されたパフォーマンスメトリクスと推奨アクションをユーザーが Amazon FSx コンソールで表示できるように、新しいアクセス許可を追加しました。 | 2022 年 9 月 21 日 |
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) - トラッキングポリシーをスタートしました | このポリシーにより、すべての Amazon FSx のリソースと、それらに関連付けられたすべてのタグへの読み取り専用アクセスを許可します。 | 2022 年 2 月 4 日 |
| [AmazonFSxDeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) - トラッキングポリシーをスタートしました | このポリシーは、Amazon FSx が Simple Storage Service (Amazon S3) アクセスのサービスにリンクされたロールを削除することを許可する管理者許可を付与します。 | 2022 年 1 月 7 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx for NetApp ONTAP ファイルシステムのネットワーク設定を管理できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx がスコープダウン呼び出し用の EC2 ルートテーブルにタグを作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が Amazon FSx for NetApp ONTAP マルチ AZ を作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx がスコープダウン呼び出し用の EC2 ルートテーブルにタグを作成できるように、新しいアクセス許可を追加しました。 | 2021 年 9 月 2 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が CloudWatch Logs ログストリームを記述および書き込むことを許可にする新しいパーミッションを追加しました。 これは、ユーザーが CloudWatch Logs を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) - 既存のポリシーへの更新 | Amazon FSx は、Amazon FSx が Amazon Data Firehose 配信ストリームを記述および書き込みできるようにする新しいアクセス許可を追加しました。 これは、ユーザーが Amazon Data Firehose を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx では、プリンシパルが CloudWatch Logs ログのロググループ、ログストリーミング、およびログストリームへのイベントの書き込みを記述および作成できる新しいアクセス許可が追加されました。 これは、プリンシパルが CloudWatch Logs を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルが Amazon Data Firehose にレコードを記述および書き込むことを許可する新しい許可を追加しました。 これは、ユーザーが Amazon Data Firehose を使用して FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを表示できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるように、新しいアクセス許可を追加しました。 これは、FSx for Windows File Server ファイルシステムのファイルアクセス監査を設定するときに、プリンシパルが既存の CloudWatch Logs ロググループを選択できるために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるように、新しいアクセス許可を追加しました。 これは、FSx for Windows File Server ファイルシステムのファイルアクセス監査を設定する際に、プリンシパルが既存の Firehose 配信ストリームを選択できるようにするために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon CloudWatch Logs ロググループを記述できるように、新しいアクセス許可を追加しました。 これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。 | 2021 年 6 月 8 日 |
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) - 既存のポリシーへの更新 | Amazon FSx は、プリンシパルがリクエストを行うアカウントに関連付けられた Amazon Data Firehose 配信ストリームを記述できるように、新しいアクセス許可を追加しました。 これは、プリンシパルが FSx for Windows File Server ファイルシステムの既存のファイルアクセス監査の設定を表示できるために必要です。 | 2021 年 6 月 8 日 |
| Amazon FSx が変更の追跡をスタートしました | Amazon FSx は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 8 日 |
# Amazon VPC によるファイルシステムアクセスコントロール
Amazon FSx for NetApp ONTAP ファイルシステムおよび SVM にアクセスするには、アクセスタイプによって、そのエンドポイントの DNS 名または IP アドレスを使用します。DNS 名は、VPC 内のファイルシステムまたは SVM の Elastic Network Interface プライベート IP アドレスにマッピングされます。関連付けられた VPC 内のリソース、または Direct Connect または VPN によって関連付けられた VPC に接続されたリソースのみが、NFS、SMB、または iSCSI プロトコルを介してファイルシステム内のデータにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
**警告**
ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。
## Amazon VPC セキュリティグループ
セキュリティグループは、FSx for ONTAP ファイルシステムの仮想ファイアウォールとして機能し、受信トラフィックと送信トラフィックをコントロールします。インバウンドルールはファイルシステムへの受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。ファイルシステムを作成するときは、作成する VPC を指定するとその VPC のデフォルトのセキュリティグループが適用されます。各セキュリティグループに対してルールを追加し、関連付けられたファイルシステムおよび SVM に対するトラフィックを許可できます。セキュリティグループのルールはいつでも変更できます。新規または変更したルールは、セキュリティグループに関連付けられたすべてのリソースに自動的に適用されます。Amazon FSx は、トラフィックがリソースに到達することを許可するかどうか判断する際に、リソースに関連付けられているすべてのセキュリティグループのすべてのルールを評価します。
セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。
セキュリティグループルールの詳細については、*Amazon EC2 ユーザーガイド*の「[セキュリティグループルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)」を参照してください。
### VPC セキュリティグループを作成する
**Amazon FSx のセキュリティグループを作成するには**
1. [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) で Amazon EC2 コンソールを開きます。
1. ナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. **[Create Security Group]** (セキュリティグループの作成) を選択します。
1. セキュリティグループの名前と説明を指定します。
1. **VPC** で、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。
1. アウトバウンドルールについて、すべてのポート上のすべてのトラフィックを許可します。
1. セキュリティグループの着信ポートに次のルールを追加します。**出典** フィールドでは **[Custom]** (カスタム) を選択し、FSx for ONTAP ファイルシステムにアクセスする必要があるインスタンスに関連付けられているセキュリティグループまたは IP アドレス範囲を入力する必要があります。これには、次のものが含まれます。
+ NFS、SMB、または iSCSI 経由でファイルシステム内のデータにアクセスする Linux、Windows、macOS クライアント。
+ ファイルシステムにピアリングする ONTAP ファイルシステム / クラスター (SnapMirror、SnapVault、FlexCache など)。
+ ONTAP REST API、CLI、または ZAPI にアクセスするために使用するすべてのクライアント (例えば、Harvest / Grafana インスタンス、NetApp Connector、または NetApp コンソール)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. ファイルシステムの Elastic Network Interface にセキュリティグループを追加します。
#### ファイルシステムへのアクセスを許可しない
すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に無効にするには、ファイルシステムの Elastic Network Interface (複数も可) に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールを持たないグループに置き換えます。
# Amazon FSx for NetApp ONTAP のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによるスコープ](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Amazon FSx for NetApp ONTAP とインターフェイス VPC エンドポイント (AWS PrivateLink)
インターフェイス VPC エンドポイントを使用するように Amazon FSx を設定することで、VPC のセキュリティ体制を強化できます。インターフェイス VPC エンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または Direct Connect 接続なしで Amazon FSx APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon FSx API と通信できます。VPC と Amazon FSx 間のトラフィックは AWS ネットワークを離れません。
各インターフェイス VPC エンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。ネットワークインターフェイスは、Amazon FSx API へのトラフィックのエントリポイントとなるプライベート IP アドレスを提供します。Amazon FSx は、IPv4 およびデュアルスタック (IPv4 および IPv6) の IP アドレスタイプで設定された VPC エンドポイントをサポートします。詳細については、*Amazon VPC ユーザーガイド* の [インターフェイス VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) をご参照ください。
## Amazon FSx インターフェイス VPC エンドポイントに関する考慮事項
Amazon FSx のインターフェイス VPC エンドポイントを設定する前に、「*Amazon VPC ユーザーガイド*」の「[インターフェイス VPC エンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)」を確認してください。
VPC から任意の Amazon FSx API オペレーションを呼び出すことができます。例えば、VPC 内で CreateFileSystem API を呼び出すことで、FSx for ONTAP ファイルシステムを作成することができます。Amazon FSx API の詳細なリストについては、「Amazon FSx API Reference」(Amazon FSx API リファレンス) の「[Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html)」(アクション) を参照してください。
### VPC ピアリングに関する考慮事項
他の VPC には、インターフェイス VPC エンドポイントを使用して、VPC ピアリングによって接続できます。VPC ピアリングは2 つの VPC 間のネットワーク接続です。自分が所有者である 2 つの VPC 間や、他の AWS アカウントアカウント内の VPC との間で、VPC ピアリング接続を確立できます。VPCs は 2 つの異なる にすることもできます AWS リージョン。
ピア接続された VPCs 間のトラフィックは AWS ネットワーク上にとどまり、パブリックインターネットを経由しません。VPC がピア接続されると、双方の VPC にある Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、いずれかの VPC で作成されたインターフェイス VPC エンドポイントを介して Amazon FSx API にアクセスできます。
## Amazon FSx API 用のインターフェイス VPC エンドポイントの作成
Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、Amazon FSx API の VPC エンドポイントを作成できますAWS CLI。詳細については、*Amazon VPC ユーザーガイド* の [インターフェイス VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) をご参照ください。
Amazon FSx のインターフェイス VPC エンドポイントを作成するには、次のいずれかを使用します。
+ `com.amazonaws.region.fsx` – Amazon FSx API オペレーションのエンドポイントを作成します。
+ **`com.amazonaws.region.fsx-fips`** — [連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/) に準拠した Amazon FSx API のエンドポイントを作成します。
オプションとしてプライベート DNS を使用するには、VPC の `enableDnsHostnames` および `enableDnsSupport` 属性を設定する必要があります。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC の DNS サポートを表示および更新する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)」を参照してください。
AWS リージョン 中国を除き、エンドポイントのプライベート DNS を有効にすると、 AWS リージョンなどの のデフォルト DNS 名を使用して、VPC エンドポイントを使用して Amazon FSx に API リクエストを行うことができます`fsx.us-east-1.amazonaws.com`。中国 (北京) と中国 (寧夏) では AWS リージョン、`fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn`それぞれ `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn`と を使用して VPC エンドポイントで API リクエストを行うことができます。
詳細については、*Amazon VPC ユーザーガイド*の[「インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)を介したサービスへのアクセス」をご参照ください。
## Amazon FSx 用の VPC エンドポイントポリシーの作成
Amazon FSx API へのアクセスを制御するには、VPC エンドポイントに AWS Identity and Access Management (IAM) ポリシーをアタッチします。本ポリシーでは、以下を規定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントでサービスへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
# Amazon FSx for NetApp ONTAP のレジリエンス
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェールオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。
AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
Amazon FSx には、 AWS グローバルインフラストラクチャに加えて、データの耐障害性とバックアップのニーズをサポートするのに役立つ機能がいくつか用意されています。
## バックアップと復元
Amazon FSx は、Amazon FSx for NetApp ONTAP ファイルシステムに、ボリュームの自動バックアップを作成して保存します。Amazon FSx は、Amazon FSx for NetApp ONTAP ファイルシステムのバックアップ期間中に、ボリュームの自動バックアップを作成します。Amazon FSx は、指定したバックアップ保持期間に従ってボリュームの自動バックアップを保存します。また、ユーザー主導のバックアップを作成することにより、手動でボリュームをバックアップすることもできます。ボリュームバックアップは、出典として指定されたバックアップを使用して新しいボリュームを作成することで、いつでも復元できます。
詳細については、「[ボリュームバックアップによるデータの保護](using-backups.md)」を参照してください。
## スナップショット
Amazon FSx は、Amazon FSx for NetApp ONTAP ボリュームのスナップショットコピーを作成します。スナップショットコピーは、エンドユーザーによるボリューム内のファイルの誤った削除や変更に対する保護を提供します。詳細については、「[スナップショットによるデータの保護](snapshots-ontap.md)」を参照してください。
## アベイラビリティーゾーン
Amazon FSx for NetApp ONTAP ファイルシステムは、サーバーに障害が発生した場合でも、データに継続的な可用性を提供するように設計されています。各ファイルシステムでは 2 つのファイルサーバーが使用され、それぞれに 1 つ以上のアベイラビリティーゾーンと独自のストレージがあります。Amazon FSx は、データを自動的にレプリケーションして、コンポーネントの障害からデータを保護し、ハードウェア障害を継続的にモニタリングし、障害が発生した場合にインフラストラクチャコンポーネントを自動的に置き換えます。ファイルシステムは必要に応じて自動的にフェイルオーバーして戻し (通常 60 秒以内)、クライアントは自動的にファイルシステムにフェイルオーバーして戻します。
### マルチ AZ ファイルシステム
Amazon FSx for NetApp ONTAP ファイルシステムは、 AWS アベイラビリティーゾーン全体で高い可用性と耐久性を備え、アベイラビリティーゾーンが利用できない場合でも、データに継続的な可用性を提供するように設計されています。
詳細については、「[可用性、耐久性、デプロイオプション](high-availability-AZ.md)」を参照してください。
### シングル AZ ファイルシステム
Amazon FSx for NetApp ONTAP は、単一の AWS アベイラビリティーゾーンで高い可用性と耐久性を備え、個別のファイルサーバーまたはディスクに障害が発生した場合でも、そのアベイラビリティーゾーン内で継続的に可用性を提供するように設計されています。
詳細については、「[可用性、耐久性、デプロイオプション](high-availability-AZ.md)」を参照してください。
# Amazon FSx for NetApp ONTAP のインフラストラクチャセキュリティ
マネージドサービスである Amazon FSx for NetApp ONTAP は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で Amazon FSx にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
# FSx for ONTAP で NetApp ONTAP Vscan を使用する
NetApp ONTAP's の Vscan 機能を使用すると、サポートされているサードパーティのウイルス対策ソフトウェアを実行できます。詳細については、サポートされているソリューション別に提供されている下記のリソースを参照してください。
+ Deep Instinct – [Vscan パートナーソリューション](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)と [Deep Instinct ドキュメント 1](https://portal.deepinstinct.com/pages/dikb)
+ SentinelOne — [Vscan パートナーソリューション](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)と [SentinelOne Singularity クラウドデータセキュリティ](https://www.sentinelone.com/platform/singularity-cloud-data-security)
+ Symantec – [Vscan パートナーソリューション](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)と [Symantec Protection Engine](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0.html)
+ Trellix (旧 McAfee) — [Vscan パートナーソリューション](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)と [Trellix 製品ドキュメント](https://docs.trellix.com/)
+ Trend Micro – [Vscan パートナーソリューション](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)
**注記**
1 Deep Instinct のポータルにログインしてドキュメントを表示する必要があります。
# ONTAP ロールとユーザー
NetApp ONTAP には、堅牢で拡張可能なロールベースのアクセスコントロール (RBAC) 機能が含まれています。ONTAP ロールは、ONTAP CLI および REST API を使用する際にユーザーの機能と権限を定義します。各ロールは、異なるレベルの管理機能と権限を定義します。ONTAP REST API と CLI を使用する際に、FSx for ONTAP リソースへのアクセスを制御する目的で、ユーザーにロールを割り当てます。FSx for ONTAP ファイルシステムユーザーとストレージ仮想マシン (SVM) ユーザーには、個別に使用できる ONTAP ロールがあります。
FSx for ONTAP ファイルシステムを作成すると、ファイルシステムレベルと SVM レベルでデフォルトの ONTAP ユーザーが作成されます。追加のファイルシステムと SVM ユーザーを作成し、組織のニーズに合った追加の SVM ロールを作成できます。この章では、ONTAP ユーザーとロールについて説明し、追加のユーザーと SVM ロールを作成する詳細な手順について説明します。
## ファイルシステム管理者のロールとユーザー
デフォルトの ONTAP ファイルシステムユーザーは `fsxadmin` で、`fsxadmin` ロールが割り当てられます。ファイルシステムユーザーに割り当てることができる事前定義済みのロールは 2 つあり、次のように表示されます。
+ **`fsxadmin`** — このロールを持つ管理者には、ONTAP システムに対する無制限の権限があります。FSx for ONTAP ファイルシステムで使用できるすべてのファイルシステムと SVM レベルのリソースを設定できます。
+ **`fsxadmin-readonly`** — このロールを持つ管理者は、ファイルシステムレベルですべてを表示できますが、変更を加えることはできません。
このロールは、利用可能なすべてのリソースとそのプロパティへの読み取り専用アクセスを持ちますが、変更を加えることができないため、NetApp Harvest などのモニタリングアプリケーションでの使用に適しています。
追加のファイルシステムユーザーを作成し、`fsxadmin` または `fsxadmin-readonly` ロールを割り当てることができます。新しいロールを作成したり、既存のロールを変更したりすることはできません。詳細については、「[ファイルシステムと SVM 管理用の新しい ONTAP ユーザーの作成](#file-system-roles-and-users)」を参照してください。
次の表は、ファイルシステム管理者ロールが ONTAP CLI および REST API コマンドとコマンドディレクトリに対して持つアクセスレベルを示しています。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html)
## SVM 管理者ロールとユーザー
各 SVM には個別の認証ドメインがあり、独自の管理者によって個別に管理できます。ファイルシステム上の各 SVM には、*vsadmin* というデフォルトユーザーがいます。このユーザーには `vsadmin` ロールがデフォルトで割り当てられています。`vsadmin` ロールに加えて、SVM ユーザーに割り当てることができるスコープダウンアクセス許可を提供する事前定義された SVM ロールもあります。また、組織のニーズを満たすアクセスコントロールのレベルを提供するカスタムロールを作成することもできます。
SVM 管理者とその機能の事前定義されたロールは次のとおりです。
| ロール名 | 機能 |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/roles-and-users.html) |
新しい SVM の作成方法の詳細については、「[SVM ロールの作成](creating-new-svm-roles.md)」を参照してください。
## Active Directory を使用した ONTAP ユーザーの認証
Windows Active Directory ドメインユーザーの FSx for ONTAP ファイルシステムと SVM へのアクセスを認証できます。Active Directory アカウントがファイルシステムにアクセスする前に、次のタスクを実行する必要があります。
+ SVM への Active Directory ドメインコントローラーアクセスを設定する必要があります。
Active Directory ドメインコントローラーアクセスのゲートウェイまたはトンネルとして設定するために使用する SVM は、CIFS が有効になっているか、Active Directory を結合しているか、またはその両方である必要があります。CIFS を有効にせず、トンネル SVM を Active Directory に結合するだけの場合は、SVM が Active Directory に結合されたことを確認してください。詳細については、「[SVM を Microsoft Active Directory に接続する仕組み](self-managed-AD-join.md)」を参照してください。
+ ファイルシステムにアクセスするには、Active Directory ドメインユーザーアカウントを有効にする必要があります。
ONTAP CLI または REST API にアクセスする Windows ドメインユーザーは、パスワード認証または SSH パブリックキー認証を使用できます。
ファイルシステムおよび SVM 管理者の Active Directory 認証の設定に使用する手順については、「[ONTAP ユーザーの Active Directory 認証の設定](set-up-ad-auth.md)」を参照してください。
## ファイルシステムと SVM 管理用の新しい ONTAP ユーザーの作成
各 ONTAP ユーザーは SVM またはファイルシステムに関連付けられています。`fsxadmin` ロールを持つファイルシステムユーザーは、[https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) ONTAP CLI コマンドを使用して新しい SVM ロールとユーザーを作成できます。
`security login create` コマンドは、管理ユーティリティのログイン方法を作成します。ログイン方法は、ユーザー名、アプリケーション (アクセス方法)、および認証方法で構成されます。ユーザー名は、複数のアプリケーションに関連付けることができます。オプションで、アクセスコントロールロール名を含めることができます。Active Directory、LDAP、または NIS グループ名が使用されている場合、ログインメソッドは指定されたグループに属するユーザーにアクセス権を付与します。ユーザーがセキュリティログインテーブルでプロビジョニングされた複数のグループのメンバーである場合、ユーザーは個々のグループに対して承認されたコマンドの組み合わせリストにアクセスできます。
新しい ONTAP ユーザーを作成する方法については、「[ONTAP ユーザーの作成](create-new-ontap-users.md)」を参照してください。
**Topics**
+ [ファイルシステム管理者のロールとユーザー](#file-system-admin-roles)
+ [SVM 管理者ロールとユーザー](#svm-admin-roles)
+ [Active Directory を使用した ONTAP ユーザーの認証](#ad-tunneling)
+ [ファイルシステムと SVM 管理用の新しい ONTAP ユーザーの作成](#file-system-roles-and-users)
+ [ONTAP ユーザーの作成](create-new-ontap-users.md)
+ [SVM ロールの作成](creating-new-svm-roles.md)
+ [ONTAP ユーザーの Active Directory 認証の設定](set-up-ad-auth.md)
+ [パブリックキー認証を設定する](public-key-auth.md)
+ [ファイルシステムと SVM ロールのパスワード要件の更新](update-password-requirements.md)
+ [`fsxadmin` アカウントのパスワードの更新が失敗する](updating-admin-password.md)
# ONTAP ユーザーの作成
**新しい SVM またはファイルシステムユーザーを作成するには (ONTAP CLI)**
`fsxadmin` ロールを持つファイルシステムユーザーのみが、新しい SVM とファイルシステムユーザーを作成できます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security login create` ONTAP CLI コマンドを使用して、FSx for ONTAP ファイルシステムまたは SVM に新しいユーザーアカウントを作成します。
この例では、プレースホルダーのデータを挿入して、次の必須プロパティを定義します。
+ `-vserver` — 新しい SVM ロールまたはユーザーを作成する SVM の名前を指定します。ファイルシステムロールまたはユーザーを作成する場合は、SVM を指定しないでください。
+ `-user-or-group-name` — ログインに使用するユーザー名または Active Directory グループ名を指定します。Active Directory グループ名は、`domain` 認証、`ontapi`、`ssh` アプリケーションでのみ指定できます。
+ `-application` — ログインに使用するアプリケーションを指定します。指定できる値には、http、ontapi、ssh などがあります。
+ `-authentication-method` — ログインの認証方法を指定します。以下に示しているのは、可能な値です。
+ ドメイン - Active Directory 認証に使用する
+ パスワード – パスワード認証に使用する
+ パブリックキー — パブリックキー認証に使用する
+ `-role` — ログインに使用するアクセスコントロールのロール名を指定します。ファイルシステムレベルで指定できるロールは、`fsxadmin` のみです。
(オプション) コマンドに以下のパラメータを 1 つ以上使用することもできます。
+ `[-comment]` – ユーザーアカウントの表記またはコメントを含める場合に使用します。例えば、**Guest account**。最大長は 128 文字です。
+ `[-second-authentication-method {none|publickey|password|nsswitch}]` — 第 2 要素認証方法を指定します。以下の方法を指定できます。
+ パスワード – パスワード認証に使用する
+ パブリックキー — パブリックキー認証に使用する
+ nsswitch — NIS 認証または LDAP 認証に使用する
+ なし – 指定しなかった場合のデフォルト値
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
次のコマンドは、SSH とログイン用のパスワードを使用して、`fsxadmin-readonly` ロールが割り当てられた新しいファイルシステムユーザー `new_fsxadmin` を作成します。プロンプトが表示されたら、ユーザーのパスワードを入力します。
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. 次のコマンドは、`vsadmin_readonly` ロールを持つ `fsx` SVM に新しい SVM ユーザー `new_vsadmin` を作成し、SSH をパスワードを使用してログインするように設定します。プロンプトが表示されたら、ユーザーのパスワードを入力します。
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. 次のコマンドは、NetApp Harvest アプリケーションがパフォーマンスと容量のメトリクスを収集するために使用する新しい読み取り専用ファイルシステムユーザー `harvest2-user` を作成します。詳細については、「[Harvest と Grafana を使用した ONTAP ファイルシステムの FSx のモニタリング](monitoring-harvest-grafana.md)」を参照してください。
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**すべてのファイルシステムと SVM ユーザーに関する情報を表示するには**
+ 次のコマンドを使用して、ファイルシステムと SVM のすべてのログイン情報を表示します。
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# SVM ロールの作成
作成する各 SVM には、事前定義された `vsadmin` ロールが割り当てられているデフォルトの SVM 管理者がいます。[事前定義された SVM ロール](roles-and-users.md#svm-admin-roles) のセットに加えて、新しい SVM ロールを作成できます。SVM に新しいロールを作成する必要がある場合は、`security login role create` ONTAP CLI コマンドを使用します。このコマンドは、`fsxadmin` ロールを持つファイルシステム管理者が使用できます。
**新しい SVM ロールを作成するには (ONTAP CLI)**
1. [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html) ONTAP CLI コマンドを使用して新しい SVM ロールを作成できます。
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. コマンドに以下の必須パラメータを指定します。
+ `-vserver` SVM の名前
+ `-role` – ロールの名前。
+ `-cmddirname` — ロールがアクセスを許可するコマンドまたはコマンドディレクトリ。コマンドサブディレクトリ名は二重引用符で囲みます。例えば、`"volume snapshot"`。すべてのコマンドディレクトリを指定するには、`DEFAULT` と入力します。
1. (オプション) 次のいずれかのパラメータをコマンドに追加することもできます。
+ `-vserver` – ロールに関連付けられた SVM の名前。
+ `-access` — ロールのアクセスレベル。コマンドディレクトリの場合、アクセスレベルには以下が含まれます。
+ `none` — コマンドディレクトリ内のコマンドへのアクセスを拒否します。これはカスタムロールのデフォルト値です。
+ `readonly` — コマンドディレクトリとそのサブディレクトリにある show コマンドへのアクセスを許可します。
+ `all` — コマンドディレクトリとそのサブディレクトリにあるすべてのコマンドへのアクセスを許可します。組み込みコマンドへのアクセスを許可または拒否するには、コマンドディレクトリを指定する必要があります。
非組み込みコマンド (末尾が `create`、`modify`、`delete`、または `show` 以外のコマンド) の場合:
+ `none` — コマンドディレクトリ内のコマンドへのアクセスを拒否します。これはカスタムロールのデフォルト値です。
+ `readonly` – 該当なし。使用不可。
+ `all` — コマンドへのアクセスを許可します。
+ `-query` — アクセスレベルをフィルタリングするために使用されるクエリオブジェクト。コマンドまたはコマンドディレクトリ内のコマンドに対して有効なオプションとして指定されます。クエリオブジェクトを二重引用符で囲みます。
1. `security login role create` コマンドを実行します。
次のコマンドは、vs1.example.com Vserver の「admin」という名前のアクセスコントロールロールを作成します。ロールには、「aggr0」アグリゲート内のみで、「volume」コマンドへのすべてのアクセスがあります。
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# ONTAP ユーザーの Active Directory 認証の設定
ONTAP CLI を使用して、ONTAP ファイルシステムおよび SVM ユーザーの Active Directory 認証の使用を設定します。
この手順でコマンドを使用するには、`fsxadmin` ロールを持つファイルシステム管理者である必要があります。
**ONTAP ユーザーの Active Directory 認証を設定するには (ONTAP CLI)**
この手順のコマンドは、`fsxadmin` ロールを持つファイルシステムユーザーが使用できます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 図のように [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html) コマンドを使用して、Windows Active Directory ユーザーを認証するためのドメイントンネルを確立します。*svm\$1name* をドメイントンネルに使用する SVM の名前に置き換えます。
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) コマンドを使用して、ファイルシステムへアクセスする Active Directory のドメインユーザーアカウントを作成します。
コマンドに以下の必須パラメータを指定します。
+ `-vserver` – CIFS で設定され、Active Directory に結合されている SVM の名前。これは、Active Directory ドメインユーザーをファイルシステムに対して認証するためのトンネルとして使用されます。新しいロールまたはユーザーが作成されます。
+ `-user-or-group-name` — ログインに使用するユーザー名または Active Directory グループ名。Active Directory グループ名は、`domain` 認証、`ontapi`、`ssh` アプリケーションでのみ指定できます。
+ `-application` — ログインに使用するアプリケーション。指定できる値には、http、ontapi、ssh などがあります。
+ `-authentication-method` — ログインに使用された認証方法。以下に示しているのは、可能な値です。
+ ドメイン - Active Directory 認証用
+ パスワード – パスワード認証用
+ パブリックキー — パブリックキー認証用
+ `-role` — ログインに使用するアクセスコントロールのロール名。ファイルシステムレベルで指定できるロールは、`-role fsxadmin` のみです。
次の例では、`filesystem1` ファイルシステムの Active Directory ドメインユーザーアカウント `CORP\Admin`を 作成します。
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
次の例では、パブリックキー認証を使用して `CORP\Admin` ユーザーアカウントを作成します。
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
次のコマンドを使用して、`CORP\Admin` ユーザーのパブリックキーを作成します。
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**Active Directory 認証情報を使用して SSH を使用してファイルシステムにログインするには**
+ 次の例は、`-application` タイプで `ssh` を選択した場合、Active Directory の認証情報を使用してファイルシステムに SSH 接続する方法を示しています。`username` の形式は `"domain-name\user-name"` であり、アカウントの作成時に指定したドメイン名とユーザー名をバックスラッシュで区切って引用符で囲んだものです。
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
パスワードの入力を求められたら、Active Directory ユーザーのパスワードを使用してください。
# パブリックキー認証を設定する
SSH パブリックキー認証を有効にするには、まず SSH キーを生成し、`security login publickey create` コマンドを使用してその SSH キーを管理者アカウントに関連付ける必要があります。これにより、アカウントは SVM にアクセスできるようになります。`security login publickey create` コマンドは、次のパラメータを承諾します。
| パラメータ | 説明 |
| --- | --- |
| `-vserver` (オプション) | アカウントがアクセスする SVM の名前。ファイルシステムユーザーの SSH パブリックキー認証を設定する場合は、`-versver` を含めないでください。 |
| `-username` | アカウントのユーザー名。デフォルト値 `admin` は、クラスター管理者のデフォルト名です。 |
| `-index` | パブリックキーのインデックス番号。キーがアカウントで最初に作成されたキーである場合、デフォルト値は 0 です。それ以外の場合、デフォルト値はアカウントの既存の最大インデックス番号より 1 つ大きい値になります。 |
| `-publickey` | OpenSSH パブリックキー。キーを二重引用符で囲みます。 |
| `-role` | アカウントに割り当てられているアクセスコントロールのロール。 |
| `-comment` (オプション) | パブリックキーを説明するテキスト。テキストを二重引用符で囲みます。 |
次の例では、パブリックキーを SVM `svm01` の SVM 管理者アカウント `svmadmin` に関連付けています。パブリック キーにはインデックス番号 `5` が割り当てられています。
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**重要**
このタスクを実行するには、SVM またはファイルシステムの管理者である必要があります。
# ファイルシステムと SVM ロールのパスワード要件の更新
[https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description) ONTAP CLI コマンドを使用して、ファイルシステムまたは SVM ロールのパスワード要件を更新できます。このコマンドは、`fsxadmin` ロールを持つシステム管理者アカウントをファイルする場合にのみ使用できます。パスワード要件を変更すると、そのロールを持つ既存のユーザーが変更の影響を受ける場合にシステムが警告します。
次の例では、`fsx` SVM に `vsadmin-readonly` ロールを持つユーザーの最短パスワード要件を 12 文字に変更します。この例では、このロールを持つ既存のユーザーがいます。
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
既存のユーザーが原因で、次の警告が表示されます。
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# `fsxadmin` アカウントのパスワードの更新が失敗する
`fsxadmin` ユーザーのパスワードを更新するときに、ファイルシステムで設定したパスワード要件を満たしていない場合はエラーが表示されることがあります。パスワード要件を確認するには、`security login role config show` ONTAP CLI または REST API コマンドを使用します。
**ファイルシステムまたは SVM ロールのパスワード要件を表示するには**
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security login role config show` コマンドは、ファイルシステムまたは SVM ロールのパスワード要件を返します。
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
`-fields` パラメータでは、次のいずれかまたはすべてを指定します。
+ `passwd-minlength` – パスワードの最小長
+ `passwd-min-special-chars` – パスワードに含まれる特殊文字の最小数
+ `passwd-min-lowercase-chars` — パスワードに含まれる小文字の最小数
+ `passwd-min-uppercase-chars` — パスワードに含まれる大文字の最小数
+ `passwd-min-digits` — パスワードの最小桁数
+ `passwd-alphanum` — 英数字の包含または除外に関する情報
+ `passwd-expiry-time` – パスワードの有効期限
+ `passwd-expiry-warn-time` — パスワード有効期限の警告時間
1. 次のコマンドを実行して、すべてのパスワード要件を確認します。
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```