翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS の 管理ポリシー Amazon Lightsail
<a name="security-iam-awsmanpol"></a>

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

## AWS マネージドポリシー: LightsailExportAccess
<a name="security-iam-awsmanpol-LightsailExportAccess"></a>

LightsailExportAccess を IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Lightsail がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[サービスにリンクされたロール](amazon-lightsail-using-service-linked-roles.md)」を参照してください。

このポリシーは、Lightsail がインスタンスおよびディスクスナップショットを Amazon Elastic Compute Cloud にエクスポートし、現在のアカウントレベルで Block Public Access 設定を Amazon Simple Storage Service (Amazon S3) から取得できるようにするアクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ec2` – インスタンスイメージとディスクスナップショットの一覧表示とコピーをするためのアクセスを許可します。
+ `iam` – サービスにリンクされたロールの削除と、サービスにリンクされたロールの削除のステータスを取得するためのアクセスを許可します。
+ `s3` – AWS アカウント`PublicAccessBlock`の設定を取得するためのアクセスを許可します。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"iam:DeleteServiceLinkedRole",
				"iam:GetServiceLinkedRoleDeletionStatus"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CopySnapshot",
				"ec2:DescribeSnapshots",
				"ec2:CopyImage",
				"ec2:DescribeImages"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:GetAccountPublicAccessBlock"
			],
			"Resource": "*"
		}
	]
}
```

------

## Lightsail AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>
+ `LightsailExportAccess` 管理ポリシーの編集

  `LightsailExportAccess` マネージドポリシーに `s3:GetAccountPublicAccessBlock` アクションが追加されました。現在のアカウントレベルの Block Public Access 設定を Amazon S3 から取得する許可を Lightsail に付与します。

  2022 年 1 月 14 日
+ Lightsail は変更の追跡を開始しました

  Lightsail は、 AWS 管理ポリシーの変更の追跡を開始しました。

  2022 年 1 月 14 日