翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS でのインフラストラクチャセキュリティモニタリング
<a name="acc-sec-infra-sec"></a>

AMS Accelerate にオンボードすると、 は次の AWS Config ベースラインインフラストラクチャと一連のルールを AWS デプロイします。AMS Accelerate はこれらのルールを使用してアカウントをモニタリングします。
+ **AWS Config サービスにリンクされたロール**: AMS Accelerate は、**AWSServiceRoleForConfig** という名前のサービスにリンクされたロールをデプロイします。このロールは、他の AWS サービスのステータスをクエリ AWS Config するために によって使用されます。**AWSServiceRoleForConfig** サービスにリンクされたロールは、 AWS Config サービスを信頼してロールを引き受けます。**AWSServiceRoleForConfig** ロールのアクセス許可ポリシーには、 AWS Config リソースに対する読み取り専用および書き込み専用のアクセス許可と、 が AWS Config サポートする他のサービスのリソースに対する読み取り専用アクセス許可が含まれています。 AWS Config Recorder で既にロールを設定している場合、AMS Accelerate は既存のロールに AWS Config マネージドポリシーがアタッチされていることを確認します。そうでない場合、AMS Accelerate はロールをサービスにリンクされたロール **AWSServiceRoleForConfig** に置き換えます。
+ **AWS Config レコーダーと配信チャネル**: 設定レコーダー AWS Config を使用してリソース設定の変更を検出し、これらの変更を設定項目としてキャプチャします。AMS Accelerate は、設定レコーダーをすべてのサービスにデプロイし AWS リージョン、すべてのリソースを継続的に記録します。AMS Accelerate は、 AWS リソースで発生した変更を記録するために使用する Amazon S3 バケットである設定配信チャネルも作成します。設定レコーダーは、配信チャネルを介して設定状態を更新します。が機能 AWS Config するには、設定レコーダーと配信チャネルが必要です。AMS Accelerate は、すべての にレコーダーを作成し AWS リージョン、単一の に配信チャネルを作成します AWS リージョン。にレコーダーと配信チャネルがすでにある場合 AWS リージョン、AMS Accelerate は既存の AWS Config リソースを削除しません。代わりに、AMS Accelerate は、正しく設定されていることを検証した後、既存のレコーダーと配信チャネルを使用します。 AWS Config コストを削減する方法の詳細については、「」を参照してください[Accelerate の AWS Config コストを削減する](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend)。
+ **AWS Config ルール**: AMS Accelerate は、セキュリティと運用の整合性に関する業界標準に準拠できるように、 AWS Config ルール および 修復アクションのライブラリを維持します。 は、記録されたリソース間の設定変更 AWS Config ルール を継続的に追跡します。変更がルール条件に違反した場合、AMS はその検出結果を報告し、違反の重大度に応じて、違反を自動またはリクエストで修正できます。 は、Center for Internet Security (CIS)、米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)、医療保険の相互運用性と説明責任に関する法律 (HIPAA)、および Payment Card Industry (PCI) Data Security Standard (DSS) によって設定された基準への準拠 AWS Config ルール を容易にします。
+ **AWS Config アグリゲータ認可**: アグリゲータは、複数のアカウントと複数のリージョンから AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。AMS Accelerate は、アカウントを設定アグリゲータにオンボードします。このアグリゲータから、AMS Accelerate はアカウントのリソース設定情報を集約し、コンプライアンスデータを設定して、コンプライアンスレポートを生成します。AMS 所有アカウントに既存のアグリゲータが設定されている場合、AMS Accelerate は追加のアグリゲータをデプロイし、既存のアグリゲータは変更されません。
**注記**  
Config アグリゲータは アカウントでは設定されず、AMS 所有のアカウントで設定され、アカウントにオンボードされます (複数可）。

詳細については AWS Config、以下を参照してください。
+ AWS Config: [Config とは](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config ルール: [ルールを使用したリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config ルール: [動的コンプライアンスチェック: AWS Config ルール – クラウドリソースの動的コンプライアンスチェック](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config アグリゲータ: [ マルチアカウントマルチリージョンデータ集約](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)

レポートの詳細については、「」を参照してください[AWS Config コントロールコンプライアンスレポート](acc-report-config-control-compliance.md)。

# AMS Accelerate のサービスにリンクされたロールの使用
<a name="using-service-linked-roles"></a>

AMS Accelerate は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロール (SLR) は、AMS Accelerate に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは AMS Accelerate によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AMS Accelerate の設定が簡単になります。AMS Accelerate は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、AMS Accelerate のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## AMS Accelerate のサービスにリンクされたロールのデプロイツールキット
<a name="slr-deploy-acc"></a>

AMS Accelerate は、**AWSServiceRoleForAWSManagedServicesDeploymentToolkit** という名前のサービスリンクロール (SLR) を使用します。このロールは、AMS Accelerate インフラストラクチャをカスタマーアカウントにデプロイします。

**注記**  
このポリシーは最近更新されました。詳細については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](#slr-updates)。

### AMS Accelerate デプロイツールキット SLR
<a name="slr-permissions-deploy-acc"></a>

AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `deploymenttoolkit.managedservices.amazonaws.com`

[AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy) という名前のポリシーにより、AMS Accelerate は次のリソースに対してアクションを実行できます。
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`

この SLR は、CloudFormation テンプレートや Lambda アセットバンドルなどのリソースをコンポーネントデプロイのアカウントにアップロードするために AMS が使用するデプロイバケットを作成および管理するためのアクセス許可を Amazon S3 に付与します。この SLR は、デプロイバケットを定義する CloudFormation スタックをデプロイするアクセス許可を CloudFormation に付与します。詳細については、「[AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

### AMS Accelerate 用のデプロイツールキット SLR の作成
<a name="create-slr-deploy-acc"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

**重要**  
このサービスにリンクされたロールは、サービスにリンクされたロールのサポートを開始した 2022 年 6 月 9 日より前に AMS Accelerate サービスを使用していた場合、アカウントに AWSServiceRoleForAWSManagedServicesDeploymentToolkit ロールを作成しました。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

### AMS Accelerate 用のデプロイツールキット SLR の編集
<a name="edit-slr-deploy-acc"></a>

AMS Accelerate では、AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### AMS Accelerate 用のデプロイツールキット SLR の削除
<a name="delete-slr-deploy-acc"></a>

AWSServiceRoleForAWSManagedServicesDeploymentToolkit ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

**注記**  
リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールによって使用されている AMS Accelerate リソースを削除するには**

アカウントが AMS でオンボーディングされたすべてのリージョンから`ams-cdk-toolkit`スタックを削除します (最初に S3 バケットを手動で空にする必要がある場合があります）。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド*の[「サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AMS Accelerate のサービスにリンクされたロールを Detective が制御する
<a name="slr-deploy-detect-controls"></a>

AMS Accelerate は、**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** という名前のサービスリンクロール (SLR) を使用します。AWS Managed Services はこのサービスリンクロールを使用して、config-recorder、config ルール、S3 バケット検出コントロールをデプロイします。

**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** サービスにリンクされたロールにアタッチされた管理ポリシーは、[AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig) です。このポリシーの更新については、「[AWS 管理ポリシーの更新を高速化する](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください

### AMS Accelerate の検出コントロール SLR のアクセス許可
<a name="slr-permissions-detect-controls"></a>

AWSServiceRoleForManagedServices\$1DetectiveControlsConfig サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `detectivecontrols.managedservices.amazonaws.com`

このロールにアタッチされているのは `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS マネージドポリシーです ([AWS マネージドポリシー: AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig)「 サービスは ロールを使用してアカウントに AMS Detective Controls の設定を作成します。これには、s3 バケット、設定ルール、アグリゲータなどのリソースのデプロイが必要です」を参照してください。 IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。詳細については、*AWS 「 Identity and Access Management* ユーザーガイド」の[「サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

### AMS Accelerate の検出コントロール SLR の作成
<a name="create-slr-detect-controls"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

**重要**  
このサービスにリンクされたロールは、サービスにリンクされたロールのサポートが開始された 2022 年 6 月 9 日以前に AMS Accelerate サービスを使用していた場合、アカウントに AWSServiceRoleForManagedServices\$1DetectiveControlsConfig ロールを作成できます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

### AMS Accelerate の検出コントロール SLR の編集
<a name="edit-slr-detect-controls"></a>

AMS Accelerate では、AWSServiceRoleForManagedServices\$1DetectiveControlsConfig サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### AMS Accelerate の検出コントロール SLR の削除
<a name="delete-slr-detect-controls"></a>

AWSServiceRoleForManagedServices\$1DetectiveControlsConfig ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

**注記**  
リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには**

`ams-detective-controls-config-recorder`アカウントが AMS でオンボーディングされたすべてのリージョンから `ams-detective-controls-config-rules-cdk`、 `ams-detective-controls-infrastructure-cdk`スタックを削除します (最初に S3 バケットを手動で空にする必要がある場合があります）。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForManagedServices\$1DetectiveControlsConfig サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AMS Accelerate の Amazon EventBridge ルールサービスにリンクされたロール
<a name="slr-evb-rule"></a>

AMS Accelerate は、**AWSServiceRoleForManagedServices\$1Events** という名前のサービスリンクロール (SLR) を使用します。このロールは、AWS Managed Services サービスプリンシパル (events.managedservices.amazonaws.com) の 1 つを信頼してロールを引き受けます。サービスは ロールを使用して Amazon EventBridge マネージドルールを作成します。このルールは、AWS アカウントから AWS AWS Managed Servicesにアラーム状態変更情報を配信するために必要なインフラストラクチャです。

### AMS Accelerate 用 EventBridge SLR のアクセス許可
<a name="slr-permissions-create-evb-rule"></a>

AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `events.managedservices.amazonaws.com`

このロールにアタッチされているのは、 `AWSManagedServices_EventsServiceRolePolicy` AWS 管理ポリシーです (「」を参照[AWS マネージドポリシー: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)）。サービスは ロールを使用して、アカウントから AMS にアラーム状態変更情報を配信します。サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「 *AWS Identity and Access Management ユーザーガイド*」の[「サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

JSON AWSManagedServices\$1EventsServiceRolePolicy は、次の ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) でダウンロードできます。

### AMS Accelerate 用の EventBridge SLR の作成
<a name="slr-evb-rule-create"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

**重要**  
このサービスにリンクされたロールは、2023 年 2 月 7 日より前に AMS Accelerate サービスを使用していた場合、サービスにリンクされたロールのサポートが開始されたときに、AMS Accelerate によってアカウントに AWSServiceRoleForManagedServices\$1Events ロールが作成されました。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

### AMS Accelerate 用の EventBridge SLR の編集
<a name="slr-evb-rule-edit"></a>

AMS Accelerate では、AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### AMS Accelerate 用の EventBridge SLR の削除
<a name="slr-evb-rule-delete"></a>

AWSServiceRoleForManagedServices\$1Events ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

**注記**  
リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには**

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AMS Accelerate のサービスにリンクされたロールに連絡する
<a name="slr-contacts-service"></a>

AMS Accelerate は、**AWSServiceRoleForManagedServices\$1Contacts** という名前のサービスリンクロール (SLR) を使用します。このロールは、サービスが影響を受けるリソースの既存のタグを読み取って、適切な連絡先の設定済み E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。

これは、このサービスにリンクされたロールを使用する唯一のサービスです。

**AWSServiceRoleForManagedServices\$1Contacts** サービスにリンクされたロールにアタッチされた管理ポリシーは、[AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy) です。このポリシーの更新については、「[AWS 管理ポリシーの更新を高速化する](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください

### AMS Accelerate の問い合わせ SLR のアクセス許可
<a name="slr-permissions-contacts-service"></a>

AWSServiceRoleForManagedServices\$1Contacts サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `contacts-service.managedservices.amazonaws.com`

このロールにアタッチされているのは、AWS `AWSManagedServices_ContactsServiceRolePolicy` 管理ポリシーです (「」を参照[AWS マネージドポリシー: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)）。サービスは、 ロールを使用して任意の AWS リソースのタグを読み取り、インシデントが発生したときの適切な連絡先のタグに含まれる E メールを見つけます。このロールは、AMS が影響を受けるリソースでそのタグを読み取って E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。詳細については、*AWS 「 Identity and Access Management* ユーザーガイド」の[「サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

**重要**  
個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AMS はタグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。

AWSManagedServices\$1ContactsServiceRolePolicy という名前のロールアクセス許可ポリシーにより、AMS Accelerate は指定されたリソースに対して次のアクションを実行できます。
+ アクション: Contacts Service が、AMS が任意の AWS リソースでインシデント通知を送信するための E メールを含むように特別に設定されたタグを読み取ることを許可します。

JSON AWSManagedServices\$1ContactsServiceRolePolicy は、次の ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) でダウンロードできます。

### AMS Accelerate の問い合わせ SLR の作成
<a name="slr-contacts-service-create"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

**重要**  
このサービスにリンクされたロールは、2023 年 2 月 16 日より前に AMS Accelerate サービスを使用していた場合、サービスにリンクされたロールのサポートを開始したときに、AMS Accelerate がアカウントに AWSServiceRoleForManagedServices\$1Contacts ロールを作成したときに、アカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

### AMS Accelerate の問い合わせ SLR の編集
<a name="slr-contacts-service-edit"></a>

AMS Accelerate では、AWSServiceRoleForManagedServices\$1Contacts サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### AMS Accelerate の問い合わせ SLR の削除
<a name="slr-contacts-service-delete"></a>

AWSServiceRoleForManagedServices\$1Contacts ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

**注記**  
リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForManagedServices\$1Contacts サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには**

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForManagedServices\$1Contacts サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AMS Accelerate サービスにリンクされたロールでサポートされているリージョン
<a name="slr-regions"></a>

AMS Accelerate は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。

## サービスにリンクされたロールの更新を高速化する
<a name="slr-updates"></a>

このサービスがこれらの変更の追跡を開始してからの Accelerate サービスにリンクされたロールの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Accelerate [AMS Accelerate ユーザーガイドのドキュメント履歴](doc-history.md)ページの RSS フィードにサブスクライブしてください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| 更新されたポリシー – [Deployment Toolkit](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2024 年 4 月 4 日 | 
| 更新されたポリシー – [Deployment Toolkit](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 5 月 9 日 | 
| 更新されたポリシー – [Detective Controls](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 4 月 10 日 | 
| 更新されたポリシー – [Detective Controls](#slr-deploy-detect-controls) | ポリシーを更新し、アクセス許可の境界ポリシーを追加しました。 | 2023 年 3 月 21 日 | 
| 新しいサービスにリンクされたロール – [SLR への問い合わせ](#slr-contacts-service) | Accelerate は、問い合わせサービスの新しいサービスにリンクされたロールを追加しました。 このロールは、サービスが影響を受けるリソースの既存のタグを読み取って、適切な連絡先の設定済み E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。 | 2023 年 2 月 16 日 | 
| 新しいサービスにリンクされたロール – [EventBridge](#slr-evb-rule) | Accelerate は、Amazon EventBridge ルールに新しいサービスにリンクされたロールを追加しました。 このロールは、AWS Managed Services サービスプリンシパル (events.managedservices.amazonaws.com) の 1 つを信頼してロールを引き受けます。サービスは ロールを使用して Amazon EventBridge マネージドルールを作成します。このルールは、AWS アカウントから AWS AWS Managed Servicesにアラーム状態変更情報を配信するために必要なインフラストラクチャです。 | 2023 年 2 月 7 日 | 
| 更新されたサービスにリンクされたロール – [Deployment Toolkit](#slr-deploy-acc) | 新しい S3 アクセス許可を使用して、更新された AWSServiceRoleForAWSManagedServicesDeploymentToolkit を高速化します。 これらの新しいアクセス許可が追加されました。 <pre>"s3:GetLifecycleConfiguration",<br />"s3:GetBucketLogging",<br />"s3:ListBucket",<br />"s3:GetBucketVersioning",<br />"s3:PutLifecycleConfiguration",<br />"s3:GetBucketLocation",<br />"s3:GetObject*"</pre> | 2023 年 1 月 30 日 | 
| Accelerate が変更の追跡を開始 | Accelerate は、サービスにリンクされたロールの変更の追跡を開始しました。 | 2022 年 11 月 30 日 | 
| 新しいサービスにリンクされたロール – [Detective Controls](#slr-deploy-detect-controls) | Accelerate は、 Accelerate 検出コントロールをデプロイするための新しいサービスにリンクされたロールを追加しました。 AWS Managed Services はこのサービスにリンクされたロールを使用して、config-recorder、config ルール、S3 バケット検出コントロールをデプロイします。 | 2022 年 10 月 13 日 | 
| 新しいサービスにリンクされたロール – [Deployment Toolkit](#slr-deploy-acc) | Accelerate は、 Accelerate インフラストラクチャをデプロイするための新しいサービスにリンクされたロールを追加しました。 このロールは、AMS Accelerate インフラストラクチャをカスタマーアカウントにデプロイします。 | 2022 年 6 月 9 日 | 

# AWS AMS Accelerate の マネージドポリシー
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

変更の表については、「」を参照してください[AWS 管理ポリシーの更新を高速化する](#security-iam-awsmanpol-updates)。

## AWS マネージドポリシー: AWSManagedServices\$1AlarmManagerPermissionsBoundary
<a name="security-iam-awsmanpol-AlarmManagerPermissionsBoundary"></a>

AWS Managed Services (AMS) は `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、AWSManagedServices\$1AlarmManager\$1ServiceRolePolicy で使用され、AWSServiceRoleForManagedServices\$1AlarmManager によって作成された IAM ロールのアクセス許可を制限します。

このポリシーは、 の一部として作成された IAM ロール[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、Config AWS 評価、 AWS Config 読み取りによる Alarm Manager 設定の取得、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセス許可を付与します。

`AWSManagedServices_AlarmManagerPermissionsBoundary` ポリシーは、`AWSServiceRoleForManagedServices_DetectiveControlsConfig`サービスにリンクされたロールにアタッチされます。このロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。

このポリシーは IAM アイデンティティにアタッチできます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `AWS Config` – 設定ルールを評価し、リソース設定を選択するためのアクセス許可を付与します。
+ `AWS AppConfig` – AlarmManager 設定を取得するアクセス許可を付与します。
+ `Amazon S3` – AlarmManager バケットとオブジェクトを操作するアクセス許可を付与します。
+ `Amazon CloudWatch` – AlarmManager マネージドアラームとメトリクスを読み取って配置するアクセス許可を付与します。
+ `AWS Resource Groups and Tags` – リソースタグを読み取るアクセス許可を付与します。
+ `Amazon EC2` – Amazon EC2 リソースを読み取るアクセス許可を付与します。
+ `Amazon Redshift` – Redshift インスタンスとクラスターを読み取るアクセス許可を付与します。
+ `Amazon FSx` – ファイルシステム、ボリューム、リソースタグを記述するアクセス許可を付与します。
+ `Amazon CloudWatch Synthetics` – Synthetics リソースを読み取るアクセス許可を付与します。
+ `Amazon Elastic Kubernetes Service` – Amazon EKS クラスターを記述するアクセス許可を付与します。
+ `Amazon ElastiCache` – リソースを記述するアクセス許可を付与します。

この ZIP: [RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip) でポリシーファイルをダウンロードできます。

## AWS マネージドポリシー: AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy
<a name="security-iam-awsmanpol-DetectiveControlsConfig"></a>

AWS Managed Services (AMS) は `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-deploy-detect-controls)「」を参照[AMS Accelerate のサービスにリンクされたロールを Detective が制御する](using-service-linked-roles.md#slr-deploy-detect-controls)）。`AWSServiceRoleForManagedServices_DetectiveControlsConfig` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。

このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。

AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy ポリシーを IAM エンティティにアタッチできます。

詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

**アクセス許可の詳細**

このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。
+ `CloudFormation` – AMS Detective Controls が s3 バケット、設定ルール、config-recorder などのリソースを使用して CloudFormation スタックをデプロイできるようにします。
+ `AWS Config` – AMS Detective Controls が AMS 設定ルールを作成し、アグリゲータを設定し、リソースにタグを付けることを許可します。
+ `Amazon S3` – AMS Detective Controls が s3 バケットを管理できるようにします。

JSON ポリシーファイルは、次の ZIP でダウンロードできます: [DetectiveControlsConfig\$1ServiceRolePolicy.zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)。

## AWS マネージドポリシー: AWSManagedServicesDeploymentToolkitPolicy
<a name="security-iam-awsmanpol-DeploymentToolkitPolicy"></a>

AWS Managed Services (AMS) は `AWSManagedServicesDeploymentToolkitPolicy` AWS マネージドポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-deploy-acc)「」を参照[AMS Accelerate のサービスにリンクされたロールのデプロイツールキット](using-service-linked-roles.md#slr-deploy-acc)）。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。

**アクセス許可の詳細**

このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。
+ `CloudFormation` – AMS Deployment Toolkit が CDK に必要な S3 リソースを使用して CFN スタックをデプロイできるようにします。
+ `Amazon S3` – AMS Deployment Toolkit が S3 バケットを管理できるようにします。
+ `Elastic Container Registry` – AMS Deployment Toolkit は、AMS CDK アプリケーションに必要なアセットをデプロイするために使用される ECR リポジトリを管理できます。

JSON ポリシーファイルは、次の ZIP でダウンロードできます。[AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)。

## AWS マネージドポリシー: AWSManagedServices\$1EventsServiceRolePolicy
<a name="EventsServiceRolePolicy"></a>

AWS Managed Services (AMS) は AWS `AWSManagedServices_EventsServiceRolePolicy` 管理ポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_Events`サービスにリンクされたロール](using-service-linked-roles.html#slr-evb-rule)にアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

`AWSServiceRoleForManagedServices_Events` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。

**アクセス許可の詳細**

このポリシーには、Amazon EventBridge がアカウントから AWS Managed Servicesにアラーム状態変更情報を配信できるようにする以下のアクセス許可があります。
+ `events` – Accelerate が Amazon EventBridge マネージドルールを作成できるようにします。このルールは、 アカウントから にアラーム状態変更情報を配信 AWS アカウント するために必要な インフラストラクチャです AWS Managed Services。

この ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) で JSON ポリシーファイルをダウンロードできます。

## AWS マネージドポリシー: AWSManagedServices\$1ContactsServiceRolePolicy
<a name="ContactsServiceManagedPolicy"></a>

AWS Managed Services (AMS) は AWS `AWSManagedServices_ContactsServiceRolePolicy` 管理ポリシーを使用します。この AWS管理ポリシーは、[`AWSServiceRoleForManagedServices_Contacts`サービスにリンクされたロールにアタッチされます (](using-service-linked-roles.html#slr-contacts-service)「」を参照[AMS Accelerate の問い合わせ SLR の作成](using-service-linked-roles.md#slr-contacts-service-create)）。このポリシーにより、AMS Contacts SLR は AWS リソースのリソースタグとその値を確認できます。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[AMS Accelerate のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

**重要**  
個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AMS はタグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。

`AWSServiceRoleForManagedServices_Contacts` サービスにリンクされたロールの更新については、「」を参照してください[サービスにリンクされたロールの更新を高速化する](using-service-linked-roles.md#slr-updates)。

**アクセス許可の詳細**

このポリシーには、Contacts SLR がリソースタグを読み取って、事前に設定したリソース連絡先情報を取得できるようにする次のアクセス許可があります。
+ `IAM` – Contacts サービスが IAM ロールと IAM ユーザーのタグを確認できるようにします。
+ `Amazon EC2` – Contacts サービスが Amazon EC2 リソースのタグを確認できるようにします。
+ `Amazon S3` – Contacts Service が Amazon S3 バケットのタグを確認できるようにします。このアクションでは、 条件を使用して、AMS が HTTP 認可ヘッダー、SigV4 署名プロトコル、および TLS 1.2 以降の HTTPS を使用してバケットタグにアクセスするようにします。詳細については、[「認証方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)」と[Amazon S3 署名バージョン 4 認証固有のポリシーキー](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)」を参照してください。
+ `Tag` – Contacts サービスが他の AWS リソースのタグを確認できるようにします。
+ 「iam:ListRoleTags」、「iam:ListUserTags」、「tag:GetResources」、「tag:GetTagKeys」、「tag:GetTagValues」、「ec2:DescribeTags」、「s3:GetBucketTagging」

この ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) で JSON ポリシーファイルをダウンロードできます。

## AWS 管理ポリシーの更新を高速化する
<a name="security-iam-awsmanpol-updates"></a>

このサービスがこれらの変更の追跡を開始してからの Accelerate の AWS マネージドポリシーの更新に関する詳細を表示します。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 | 
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 | 
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 | 
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` アクションはポリシーから削除されます。アクションにはリソースがワイルドカード (\$1) として含まれていました。「list」は非ミューテーションアクションであるため、すべてのリソースへのアクセスが許可され、ワイルドカードは許可されません。 | 2023 年 3 月 28 日 | 
| 更新されたポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | ポリシーを更新し、アクセス許可の境界ポリシーを追加しました。 | 2023 年 3 月 21 日 | 
| 新しいポリシー – [Contacts Service](#ContactsServiceManagedPolicy) | Accelerate は、リソースタグからアカウントの連絡先情報を確認する新しいポリシーを追加しました。 Accelerate は、事前に設定したリソース連絡先情報を取得できるように、リソースタグを読み取る新しいポリシーを追加しました。 | 2023 年 2 月 16 日 | 
| 新しいポリシー – [Events Service](#EventsServiceRolePolicy) | Accelerate は、アカウントから AWS Managed Services にアラーム状態変更情報を配信する新しいポリシーを追加しました。 必要な Amazon EventBridge マネージドルールを作成するための[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)アクセス許可の一部として作成された IAM ロールを付与します。 | 2023 年 2 月 7 日 | 
| 更新されたポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate からの顧客のオフボーディングをサポートする S3 アクセス許可を追加しました。 | 2023 年 1 月 30 日 | 
| 新しいポリシー – [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig)  | サービスにリンクされたロール [AMS Accelerate のサービスにリンクされたロールを Detective が制御する](using-service-linked-roles.md#slr-deploy-detect-controls)が Accelerate 検出コントロールをデプロイするためのアクションを完了できるようにします。 | 2022 年 12 月 19 日 | 
| 新しいポリシー – [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary)  | Accelerate は、アラームマネージャータスクを実行するアクセス許可を付与する新しいポリシーを追加しました。 Config AWS 評価、アラームマネージャー設定を取得するための読み取り AWS 設定、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセス[Alarm Manager の仕組み](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可の一部として作成された IAM ロールを付与します。 | 2022 年 11 月 30 日 | 
| Accelerate が変更の追跡を開始 | Accelerate は、 AWS マネージドポリシーの変更の追跡を開始しました。 | 2022 年 11 月 30 日 | 
| 新しいポリシー – [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate は、デプロイタスクにこのポリシーを追加しました。 サービスにリンクされたロール [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc) に、デプロイ関連の Amazon S3 バケットと CloudFormation スタックにアクセスして更新するためのアクセス許可を付与します。 | 2022 年 6 月 9 日 |