翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AMS Accelerate でのアクセス管理
アクセス管理は、承認されたアクセスと認証されたアクセスのみを許可することで、リソースを保護する方法です。AMS Accelerate では、アクセス管理ソリューション、アクセスポリシー、関連プロセスなど、 とその AWS アカウント 基盤となるリソースへのアクセスを管理する責任があります。アクセスソリューションの管理に役立つように、AMS Accelerate は一般的な IAM の設定ミスを検出し、修復通知を配信する AWS Config ルールをデプロイします。一般的な IAM の設定ミスは、ルートユーザーがアクセスキーを持っていることです。`iam-root-access-key-check` 設定ルールは、ルートユーザーアクセスキーが使用可能で準拠しているかどうか、またはアクセスキーが存在しないかどうかを確認します。AMS によってデプロイされた設定ルールのリストについては、[AMS AWS Config ルールライブラリ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules)を参照してください。
**Topics**
+ [Accelerate コンソールにアクセスする](acc-access-permissions.md)
+ [AMS 機能を使用するためのアクセス許可](acc-access-customer.md)
+ [AMS がアカウントにアクセスする理由とタイミング](access-justification.md)
+ [AMS がアカウントにアクセスする方法](acc-access-operator.md)
+ [AMS でルートユーザーアカウントを使用する方法とタイミング](how-when-to-use-root.md)
# Accelerate コンソールにアクセスする
Accelerate にオンボードすると、 Accelerate コンソールに自動的にアクセスできます。コンソールにアクセスするには、AWS マネジメントコンソールで**マネージドサービス**を検索します。Accelerate コンソールには、 Accelerate の機能の概要が表示されます。このビューには、ダッシュボードと設定ページに表示される個々のコンポーネントが含まれます。
# AMS 機能を使用するためのアクセス許可
AMS コンソールへのアクセスやバックアップの設定など、ユーザーが AMS Accelerate 機能を読み取って設定できるようにするには、それらのアクションを実行するための IAM ロールに明示的なアクセス許可を付与する必要があります。次の CloudFormation テンプレートには、AMS に関連付けられたサービスの読み取りと設定に必要なポリシーが含まれており、IAM ロールに割り当てることができます。これらは、管理者または読み取り専用のアクセス許可が必要な IT 業界の一般的な職務と密接に一致するように設計されています。ただし、ユーザーに異なるアクセス許可を付与する必要がある場合は、ポリシーを編集して特定のアクセス許可を含めるか除外することができます。独自のカスタムポリシーを作成することもできます。
テンプレートには 2 つのポリシーがあります。この`AMSAccelerateAdminAccess`ポリシーは、AMS Accelerate コンポーネントのセットアップと運用に使用することを目的としています。このポリシーは通常、IT 管理者が引き受け、パッチ適用やバックアップなどの AMS 機能を設定するアクセス許可を付与します。は、AMS Accelerate 関連のリソースを表示するために必要な最小限のアクセス許可`AMSAccelerateReadOnly`を付与します。
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# AMS がアカウントにアクセスする理由とタイミング
AMS Accelerate (Accelerate) 演算子は、特定の状況で、 リソースを管理するためにアカウントコンソールとインスタンスにアクセスできます。これらのアクセスイベントは、 AWS CloudTrail (CloudTrail) ログに記録されます。AMS Accelerate Operations チームおよび AMS Accelerate Automation によってアカウントのアクティビティを確認する方法の詳細については、「」を参照してください[AMS Accelerate アカウントの変更の追跡](acc-change-record.md)。
AMS がアカウントにアクセスする理由、タイミング、および方法については、以下のトピックで説明します。
## AMS カスタマーアカウントアクセストリガー
AMS カスタマーアカウントアクセスアクティビティは、トリガーによって駆動されます。今日のトリガーは、Amazon CloudWatch (CloudWatch) アラームとイベントに応答して問題管理システムで作成された AWS チケット、および送信したインシデントレポートまたはサービスリクエストです。アクセスごとに複数のサービスコールとホストレベルのアクティビティが実行される場合があります。
アクセスの根拠、トリガー、トリガーのイニシエータを次の表に示します。
**アクセストリガー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/access-justification.html)
## AMS カスタマーアカウントアクセス IAM ロール
AMS 演算子は、アカウントをサービスするために次のロールを必要とします。
**注記**
AMS アクセスロールを使用すると、AMS オペレーターはリソースにアクセスして AMS 機能を提供できます (「」を参照[サービスの説明](acc-sd.md))。これらのロールを変更すると、これらの機能を提供する機能が妨げられる可能性があります。AMS アクセスロールを変更する必要がある場合は、Cloud Architect を参照してください。
**カスタマーアカウントへの AMS アクセス用の IAM ロール**
| ロール名 | 説明 |
| --- | --- |
| ams-access-admin | このロールには、制限なしでアカウントへの完全な管理アクセス権があります。AMS サービスは、AMS インフラストラクチャをデプロイしてアカウントを運用するためのアクセスを制限する制限付きセッションポリシーでこのロールを使用します。 |
| ams-access-admin-operations | このロールは、アカウントを運用するための管理アクセス許可を AMS オペレーターに付与します。このロールは、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに読み取り、書き込み、または削除のアクセス許可を付与しません。このロールを引き受けることができるのは、アクセス管理の知識と経験が豊富な認定 AMS オペレーターのみです。これらのオペレーターは、アクセス管理の問題のエスカレーションポイントとして機能し、アカウントにアクセスして AMS オペレーターのアクセスの問題をトラブルシューティングします。 |
| ams-access-management | オンボーディング中に手動でデプロイされます。AMS Access システムでは、 `ams-access-roles`と `ams-access-managed-policies`スタックを管理するためにこのロールが必要です。 |
| ams-access-operations | このロールには、アカウントで管理タスクを実行するアクセス許可があります。このロールには、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに対する読み取り、書き込み、または削除のアクセス許可はありません。 AWS Identity and Access Management 書き込みオペレーションを実行するアクセス許可もこのロールから除外されます。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。 |
| ams-access-read-only | このロールには、 アカウントへの読み取り専用アクセス権があります。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールには付与されません。 |
| ams-access-security-analyst | この AMS セキュリティロールには、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するアクセス許可が AMS アカウントに付与されています。このロールを引き受けることができる AMS セキュリティ担当者はほとんどいません。 |
| ams-access-security-analyst-read-only | この AMS セキュリティロールは、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するための AMS アカウントの読み取り専用アクセス許可に制限されています。 |
**注記**
これは、ams-access-management ロールのテンプレートです。これは、クラウドアーキテクト (CAs) がオンボーディング時にアカウント内に手動でデプロイするスタックです: [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)。
これは、さまざまなアクセスレベルのさまざまなアクセスロールのテンプレートです。ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)。
# AMS がアカウントにアクセスする方法
AMS Accelerate オペレーターは、特定の状況でアカウントコンソールとインスタンスにアクセスできます。
![\[AMS Accelerate コンソールのアクセス方法。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
AMS オペレーターは、内部 AMS Accelerate アクセスサービスを使用して、安全で監査済みの方法でアカウントにアクセスします。インスタンスにアクセスするために、AMS オペレーターはブローカーと同じ内部 AMS アクセスサービスを使用し、アクセスが許可された後、AMS Accelerate オペレーターは SSM セッションマネージャーを使用してセッション認証情報を使用してアクセスを取得します。Windows インスタンスの RDP アクセスは、インスタンスへのポート転送を確立し、SSM を使用してローカルユーザーを作成することによって提供されます。ローカルユーザーの認証情報は RDP アクセスに使用され、セッションの終了時に削除されます。
# AMS でルートユーザーアカウントを使用する方法とタイミング
[ルートユーザーは](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)、アカウント AWS 内のスーパーユーザーです。AMS はルート使用状況をモニタリングします。ルートは、アカウント設定の変更、請求とコスト管理への (IAM) アクセスの有効化 AWS Identity and Access Management 、ルートパスワードの変更、多要素認証 (MFA) の有効化など、必要ないくつかのタスクにのみ使用することをお勧めします。[「 ユーザーガイド」の「ルートユーザー認証情報を必要とするタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。 *AWS Identity and Access Management *
**AMS Accelerate を使用したルート**:
AMS は、ルートユーザーアカウントの使用を禁止するものではありません。ただし、AMS Operations and Security は、その使用を調査すべき問題として扱い、使用のたびにセキュリティチームに連絡します。
CSDM と CA に 24 時間前に問い合わせて、実行するルートアクセス作業についてアドバイスすることをお勧めします。
**AMS オペレーションとルート使用状況に対するセキュリティ対応**:
ルートユーザーアカウントが使用されると、AMS はアラームを受け取ります。ルート認証情報の使用がスケジュールされていない場合は、AMS セキュリティチームおよびアカウントチームに連絡して、これが予想されるアクティビティであるかどうかを確認します。アクティビティが想定されていない場合、AMS はセキュリティチームと協力して問題を調査します。