AWS Identity and Access Management AMS Accelerate での - AMS Accelerate ユーザーガイド
AMS Accelerate での ID による認証ポリシーを使用したアクセスの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management AMS Accelerate での

AWS Identity and Access Management は、 AWS リソースへのアクセスを安全に制御するのに役立つウェブサービスです。IAM により、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス権限を持たせる) かを制御します。AMS Accelerate のオンボーディング中、各マネージドアカウント内にクロスアカウント IAM 管理者ロールを作成する責任があります。

AMS Accelerate では、アクセス管理ソリューション、アクセスポリシー、関連プロセスなど、 AWS アカウント とその基盤となるリソースへのアクセスを管理する責任があります。つまり、 AWS コンソールまたは AWS APIs にアクセスするためのユーザーライフサイクル、ディレクトリサービスのアクセス許可、およびフェデレーティッド認証システムを管理します。アクセスソリューションの管理に役立つように、AMS Accelerate は一般的な IAM の設定ミスを検出する AWS Config ルールをデプロイし、修復通知を送信します。詳細については、AWS Config 管理ルールを参照してください。

AMS Accelerate での ID による認証

AMS は、IAM ID の一種である IAM ロールを使用します。IAM ロールは、アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、ユーザーと似ています AWS。ただし、ロールには認証情報が関連付けられておらず、1 人のユーザーと一意に関連付けられるのではなく、ロールを必要とするすべてのユーザーが引き受けることができます。IAM ユーザーは、ロールを引き受けることで、一時的に特定のタスクに対して異なるアクセス許可を取得することができます。

アクセスロールは内部グループメンバーシップによって制御され、オペレーション管理によって管理および定期的にレビューされます。AMS は次の IAM ロールを使用します。

注記

AMS アクセスロールを使用すると、AMS オペレーターはリソースにアクセスして AMS 機能を提供できます (「」を参照サービスの説明)。これらのロールを変更すると、これらの機能を提供する機能が妨げられる可能性があります。AMS アクセスロールを変更する必要がある場合は、Cloud Architect を参照してください。

ロール名

説明
使用ユーザー (エンティティ): AMS Access Service のみ

ams-access-management

オンボーディング中に手動でデプロイされます。アクセスロールをデプロイまたは更新するための AMS アクセスによってのみ引き受けられます。アクセスロールの今後の更新のためにオンボーディング後も、 はアカウントに残ります。

使用ユーザー (エンティティ): AMS オペレーション

ams-access-admin-operations

このロールには、 アカウントで運用するための管理権限がありますが、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツの読み取り、書き込み、削除を行う権限はありません。このロールを引き受けることができる AMS の個人はごくわずかです。

ams-access-operations

この AMS オペレーションロールには、アカウントで管理タスクを実行するアクセス許可があります。このロールには、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに対する読み取り、書き込み、または削除のアクセス許可はありません。 AWS Identity and Access Management 書き込みオペレーションを実行するアクセス許可もこのロールから除外されます。

ams-access-read-only

この AMS 読み取り専用ロールは、AMS アカウントの読み取り専用アクセス許可に制限されます。Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールでは付与されません。

使用ユーザー (エンティティ): AMS オペレーションと AMS サービス

ams_ssm_automation_role

アカウント内で SSM Automation ドキュメントを実行する AWS Systems Manager ために によって引き受けられます。

ams_ssm_automation_role

使用ユーザー (エンティティ): AMS セキュリティ

ams-access-security-analyst

この AMS セキュリティロールには、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するアクセス許可が AMS アカウントに付与されています。このロールを引き受けることができる AMS セキュリティ担当者はほとんどいません。Amazon S3、Amazon RDS、Amazon DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールでは付与されません。

ams-access-security-analyst-read-only

この AMS セキュリティロールは、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するための AMS アカウントの読み取り専用アクセス許可に制限されています。Amazon S3、Amazon RDS、Amazon DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールでは付与されません。

使用ユーザー (エンティティ): AWS サービス

ams-access-admin

この AMS 管理者ロールには、制限なしでアカウントを操作するための完全なアクセス許可があります。管理者ロールを引き受けることができるのは、AMS 内部サービス (スコープダウンセッションポリシーを使用) のみです。

ams-opscenter-eventbridge-role

Amazon EventBridge が AMS 固有の AWS Config ルール 修復ワークフローの一部として AWS Systems Manager OpsItems を作成することを引き受けます。

AMSOSConfigurationCustomerInstanceRole

この IAM ロールは、AMS OS-Configuration サービスが必要な IAM ポリシーがないことを検出すると、Amazon EC2 インスタンスに適用されます。これにより、Amazon EC2 インスタンスは AWS Systems Manager、、Amazon CloudWatch、および Amazon EventBridge サービスとやり取りできます。また、Windows インスタンスへの RDP アクセスを有効にする AMS カスタム管理ポリシーもアタッチされています。

mc-patch-glue-service-role

データ変換を実行し、AMS パッチレポートジェネレーターを準備するために AWS Glue ETL ワークフローによって引き受けられます。

使用ユーザー (エンティティ): AMS サービス

ams-alarm-manager-AWSManagedServicesAlarmManagerDe-<8 桁のハッシュ>

新しい AWS AppConfig デプロイの評価を実行する AWS Config ルール ために、AMS アカウント内の AMS アラームマネージャーインフラストラクチャによって引き受けられます。

ams-alarm-manager-AWSManagedServicesAlarmManagerRe-<8 桁のハッシュ>

AMS アカウント内の AMS アラームマネージャー修復インフラストラクチャによって引き受けられ、修復のためのアラームの作成または削除を許可します。

ams-alarm-manager-AWSManagedServicesAlarmManagerSS-<8 桁のハッシュ>

AMS アカウント内で AMS アラームマネージャー修復サービスを呼び出す AWS Systems Manager ために によって引き受けられます。

ams-alarm-manager-AWSManagedServicesAlarmManagerTr-<8 桁のハッシュ>

定期的な AMS AWS Config ルール 評価を行うために AWS 、アカウント内の AMS アラームマネージャーインフラストラクチャによって引き受けられます。

ams-alarm-manager-AWSManagedServicesAlarmManagerVa-<8 桁のハッシュ>

必要なアラームがアカウントに存在することを確認するために、AMS アカウント内の AMS アラームマネージャーインフラストラクチャによって引き受けられます AWS 。

ams-backup-iam-role

このロールは、アカウント AWS Backup 内で を実行するために使用されます。

ams-monitoring-AWSManagedServicesLogGroupLimitLamb-<8 桁のハッシュ>

Amazon CloudWatch Logs グループの制限を評価し、サービスクォータと比較するために、AMS アカウントの AMS ログ記録とモニタリングインフラストラクチャによって引き受けられます。

ams-monitoring-AWSManagedServicesRDSMonitoringRDSE-<8 桁のハッシュ>

Amazon RDS イベントを Amazon CloudWatch Events に転送するために、AMS アカウントの AMS ログ記録とモニタリングインフラストラクチャによって引き受けられます。

ams-monitoring-AWSManagedServicesRedshiftMonitorin-<8 桁のハッシュ>

Amazon Redshift イベント (CreateCluster と DeleteCuster) を Amazon CloudWatch Events に転送するために、AMS アカウントの AMS ログ記録とモニタリングインフラストラクチャによって引き受けられます。

ams-monitoring-infrastruc-AWSManagedServicesMonito-<8 桁のハッシュ>

AMS アカウントの AMS ログ記録とモニタリングインフラストラクチャによって引き受けられ、Amazon Simple Notification Service にメッセージを発行して、アカウントが必要なすべてのデータを報告していることを検証します。

ams-opscenter-role

アカウントのアラートに関連する AWS Systems Manager OpsItems を管理するために、AMS アカウントの AMS 通知管理システムによって引き受けられます。

ams-opsitem-autoexecution-role

アカウントのリソースに関連するアラートをモニタリングするための SSM ドキュメントを使用して自動修復を処理するために、AMS 通知管理システムによって引き受けられます。

ams-patch-infrastructure-amspatchconfigruleroleC1-<8-digit hash>

AMS パッチリソースを評価し、スタック AWS CloudFormation のドリフトを検出 AWS Config するために によって引き受けられます。

ams-patch-infrastructure-amspatchcwruleopsitemams-<8 桁のハッシュ>

パッチ適用の失敗に対して AWS Systems Manager OpsItems を作成するために Amazon EventBridge が引き受けます。

ams-patch-infrastructure-amspatchservicebusamspat-<8 桁のハッシュ>

AWS Systems Manager メンテナンスウィンドウの状態変更通知のために AMS パッチオーケストレーターイベントバスにイベントを送信することを Amazon EventBridge が引き受けます。

ams-patch-reporting-infra-amspatchreportingconfigr-<8 桁のハッシュ>

によって引き受けられ AWS Config 、AMS Patch レポートリソースを評価し、 AWS CloudFormation スタックのドリフトを検出します。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 桁のハッシュ>

新しい AWS AppConfig デプロイ時に AWS Config ルール 評価を実行するために、AMS アカウント内の AMS Resource Tagger インフラストラクチャによって引き受けられます。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 桁のハッシュ>

マネージドリソースに必要な AWS タグが存在することを検証するために、AMS アカウント内の AMS Resource Tagger インフラストラクチャによって引き受けられます。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 桁のハッシュ>

AMS アカウントで AMS Resource Tagger 修復ワークフローを呼び出す AWS Systems Manager ために が引き受けます。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 桁のハッシュ>

マネージドリソースの AWS タグを作成または削除するために、AMS アカウント内の AMS Resource Tagger 修復インフラストラクチャによって引き受けられます。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 桁のハッシュ>

定期的な AMS Config ルール評価を行うために AWS 、アカウント内の AMS Resource Tagger インフラストラクチャによって引き受けられます。

ams_os_configuration_event_rule_role-<AWS リージョン>

アカウントから正しいリージョンの AMS OS-Configuration サービス EventBus にイベントを転送するために Amazon EventBridge EventBridge が引き受けます。

mc-patch-reporting-service

AMS パッチデータアグリゲータとレポートジェネレーターによって引き受けられます。

注記

これは、ams-access-management ロールのテンプレートです。これは、オンボーディング時にクラウドアーキテクト (CAs) がアカウント内に手動でデプロイするスタックです: management-role.yaml

これは、さまざまなアクセスロールとアクセスレベルのテンプレートです。ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin: accelerate-roles.yaml

ハッシュを含む AWS Cloud Development Kit (AWS CDK) (AWS CDK) 識別子の詳細については、UniqueIDs」を参照してください。

AMS Accelerate 機能サービスは、アカウントへのプログラムによるアクセスのために ams-access-admin ロールを引き受けますが、セッションポリシーの範囲はそれぞれの機能サービス (パッチ、バックアップ、モニタリングなど) に限定されます。

AMS Accelerate は、業界のベストプラクティスに従ってコンプライアンス資格を満たし、維持します。AMS Accelerate のアカウントへのアクセスは CloudTrail に記録され、変更の追跡を通じて確認することもできます。この情報を取得するために使用できるクエリについては、「」を参照してくださいAMS Accelerate アカウントの変更の追跡

ポリシーを使用したアクセスの管理

Operations Engineers、Cloud Architects、Cloud Service Delivery Manager (CSDMs) など、さまざまな AMS Accelerate サポートチームでは、サービスリクエストやインシデントに対応するためにアカウントへのアクセスが必要になる場合があります。アクセスは、ビジネス上の根拠、サービスリクエスト、オペレーション項目、サポートケースなどのコントロールを強制する内部 AMS アクセスサービスによって管理されます。デフォルトのアクセスは読み取り専用で、すべてのアクセスが追跡および記録されます。「」も参照してくださいAMS Accelerate アカウントの変更の追跡

IAM リソースの検証

AMS Accelerate アクセスシステムは、定期的に (少なくとも 24 時間ごとに) アカウントでロールを引き受け、すべての IAM リソースが期待どおりに動作することを検証します。

アカウントを保護するために、AMS Accelerate には、上記の IAM ロールの存在とステータス、およびアタッチされたポリシーをモニタリングおよびアラームする「canary」があります。Canary は定期的に ams-access-read-only ロールを引き受け、アカウントに対して CloudFormation および IAM API コールを開始します。Canary は AMS Accelerate アクセスロールのステータスを評価し、常に変更されておらずup-to-dateであることを確認します。このアクティビティは、アカウントに CloudTrail ログを作成します。

Canary の AWS Security Token Service (AWS STS) セッション名は、CloudTrail に表示される AMS-Access-Roles-Auditor-{uuid4()} で、次の API コールが発生します。

  • Cloud Formation API コール: describe_stacks()

  • IAM API コール:

    • get_role()

    • list_attached_role_policies()

    • list_role_policies()

    • get_policy()

    • get_policy_version()

    • get_role_policy()