AWS AMS Accelerate の マネージドポリシー - AMS Accelerate ユーザーガイド
AlarmManagerPermissionsBoundaryDetective コントロール設定管理ポリシーデプロイツールキット管理ポリシーイベントサービス管理ポリシー連絡先管理ポリシーポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS AMS Accelerate の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

変更の表については、「」を参照してくださいAWS 管理ポリシーの更新を高速化する

AWS マネージドポリシー: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) は AWSManagedServices_AlarmManagerPermissionsBoundary AWS マネージドポリシーを使用します。この AWS管理ポリシーは、AWSManagedServices_AlarmManager_ServiceRolePolicy で使用され、AWSServiceRoleForManagedServices_AlarmManager によって作成された IAM ロールのアクセス許可を制限します。

このポリシーは、 の一部として作成された IAM ロールAlarm Manager の仕組み、Config AWS 評価、 AWS Config 読み取りによる Alarm Manager 設定の取得、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセス許可を付与します。

AWSManagedServices_AlarmManagerPermissionsBoundary ポリシーは、AWSServiceRoleForManagedServices_DetectiveControlsConfigサービスにリンクされたロールにアタッチされます。このロールの更新については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

このポリシーは IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS Config – 設定ルールを評価し、リソース設定を選択するためのアクセス許可を付与します。

  • AWS AppConfig – AlarmManager 設定を取得するアクセス許可を付与します。

  • Amazon S3 – AlarmManager バケットとオブジェクトを操作するアクセス許可を付与します。

  • Amazon CloudWatch – AlarmManager マネージドアラームとメトリクスを読み取って配置するアクセス許可を付与します。

  • AWS Resource Groups and Tags – リソースタグを読み取るアクセス許可を付与します。

  • Amazon EC2 – Amazon EC2 リソースを読み取るアクセス許可を付与します。

  • Amazon Redshift – Redshift インスタンスとクラスターを読み取るアクセス許可を付与します。

  • Amazon FSx – ファイルシステム、ボリューム、リソースタグを記述するアクセス許可を付与します。

  • Amazon CloudWatch Synthetics – Synthetics リソースを読み取るアクセス許可を付与します。

  • Amazon Elastic Kubernetes Service – Amazon EKS クラスターを記述するアクセス許可を付与します。

  • Amazon ElastiCache – リソースを記述するアクセス許可を付与します。

この ZIP: RecommendedPermissionBoundary.zip でポリシーファイルをダウンロードできます。

AWS マネージドポリシー: AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy

AWS Managed Services (AMS) は AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS マネージドポリシーを使用します。この AWS管理ポリシーは、AWSServiceRoleForManagedServices_DetectiveControlsConfigサービスにリンクされたロールにアタッチされます (「」を参照AMS Accelerate のサービスにリンクされたロールを Detective が制御する)。AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールの更新については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。

AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy ポリシーを IAM エンティティにアタッチできます。

詳細については、「AMS Accelerate のサービスにリンクされたロールの使用」を参照してください。

アクセス許可の詳細

このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。

  • CloudFormation – AMS Detective Controls が s3 バケット、設定ルール、config-recorder などのリソースを使用して CloudFormation スタックをデプロイできるようにします。

  • AWS Config – AMS Detective Controls が AMS 設定ルールを作成し、アグリゲータを設定し、リソースにタグを付けることを許可します。

  • Amazon S3 – AMS Detective Controls が s3 バケットを管理できるようにします。

JSON ポリシーファイルは、次の ZIP でダウンロードできます: DetectiveControlsConfig_ServiceRolePolicy.zip

AWS マネージドポリシー: AWSManagedServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) は AWSManagedServicesDeploymentToolkitPolicy AWS マネージドポリシーを使用します。この AWS管理ポリシーは、AWSServiceRoleForAWSManagedServicesDeploymentToolkitサービスにリンクされたロールにアタッチされます (「」を参照AMS Accelerate のサービスにリンクされたロールのデプロイツールキット)。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「AMS Accelerate のサービスにリンクされたロールの使用」を参照してください。

AWSServiceRoleForManagedServicesDeploymentToolkitPolicy サービスにリンクされたロールの更新については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

アクセス許可の詳細

このポリシーには、Detective Controls AWS Managed Services に必要なすべてのリソースをデプロイおよび設定するための以下のアクセス許可があります。

  • CloudFormation – AMS Deployment Toolkit が CDK に必要な S3 リソースを使用して CFN スタックをデプロイできるようにします。

  • Amazon S3 – AMS Deployment Toolkit が S3 バケットを管理できるようにします。

  • Elastic Container Registry – AMS Deployment Toolkit は、AMS CDK アプリケーションに必要なアセットをデプロイするために使用される ECR リポジトリを管理できます。

JSON ポリシーファイルは、次の ZIP でダウンロードできます。AWSManagedServicesDeploymentToolkitPolicy.zip

AWS マネージドポリシー: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) は AWS AWSManagedServices_EventsServiceRolePolicy 管理ポリシーを使用します。この AWS管理ポリシーは、AWSServiceRoleForManagedServices_Eventsサービスにリンクされたロールにアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「AMS Accelerate のサービスにリンクされたロールの使用」を参照してください。

AWSServiceRoleForManagedServices_Events サービスにリンクされたロールの更新については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

アクセス許可の詳細

このポリシーには、Amazon EventBridge がアカウントから AWS Managed Servicesにアラーム状態変更情報を配信できるようにする以下のアクセス許可があります。

  • events – Accelerate が Amazon EventBridge マネージドルールを作成できるようにします。このルールは、 アカウントから にアラーム状態変更情報を配信 AWS アカウント するために必要な インフラストラクチャです AWS Managed Services。

この ZIP: EventsServiceRolePolicy.zip で JSON ポリシーファイルをダウンロードできます。

AWS マネージドポリシー: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) は AWS AWSManagedServices_ContactsServiceRolePolicy 管理ポリシーを使用します。この AWS管理ポリシーは、AWSServiceRoleForManagedServices_Contactsサービスにリンクされたロールにアタッチされます (「」を参照AMS Accelerate の問い合わせ SLR の作成)。このポリシーにより、AMS Contacts SLR は AWS リソースのリソースタグとその値を確認できます。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「AMS Accelerate のサービスにリンクされたロールの使用」を参照してください。

重要

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AMS はタグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。

AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールの更新については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

アクセス許可の詳細

このポリシーには、Contacts SLR がリソースタグを読み取って、事前に設定したリソース連絡先情報を取得できるようにする次のアクセス許可があります。

  • IAM – Contacts サービスが IAM ロールと IAM ユーザーのタグを確認できるようにします。

  • Amazon EC2 – Contacts サービスが Amazon EC2 リソースのタグを確認できるようにします。

  • Amazon S3 – Contacts Service が Amazon S3 バケットのタグを確認できるようにします。このアクションでは、 条件を使用して、AMS が HTTP 認可ヘッダー、SigV4 署名プロトコル、および TLS 1.2 以降の HTTPS を使用してバケットタグにアクセスするようにします。詳細については、「認証方法」とAmazon S3 署名バージョン 4 認証固有のポリシーキー」を参照してください。

  • Tag – Contacts サービスが他の AWS リソースのタグを確認できるようにします。

  • 「iam:ListRoleTags」、「iam:ListUserTags」、「tag:GetResources」、「tag:GetTagKeys」、「tag:GetTagValues」、「ec2:DescribeTags」、「s3:GetBucketTagging」

この ZIP: ContactsServicePolicy.zip で JSON ポリシーファイルをダウンロードできます。

AWS 管理ポリシーの更新を高速化する

このサービスがこれらの変更の追跡を開始してからの Accelerate の AWS マネージドポリシーの更新に関する詳細を表示します。

変更 説明 日付

更新されたポリシー – Deployment Toolkit

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 2024 年 4 月 4 日

更新されたポリシー – Deployment Toolkit

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • また、ワイルドカードを持つ既存のアクションの一部は、個々のアクションにスコープダウンされました。

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 2023 年 5 月 9 日

更新されたポリシー – Detective Controls

  • CloudFormation アクションは、セキュリティおよびアクセスチームに確認した後、さらに絞り込まれました。

  • Lambda アクションはオンボーディング/オフのオンボーディングに影響を与えないため、ポリシーから削除されました

 2023 年 4 月 10 日

更新されたポリシー – Detective Controls

ListAttachedRolePolicies アクションはポリシーから削除されます。アクションにはリソースがワイルドカード (*) として含まれていました。「list」は非ミューテーションアクションであるため、すべてのリソースへのアクセスが許可され、ワイルドカードは許可されません。

 2023 年 3 月 28 日

更新されたポリシー – Detective Controls

ポリシーを更新し、アクセス許可の境界ポリシーを追加しました。

 2023 年 3 月 21 日

新しいポリシー – Contacts Service

Accelerate は、リソースタグからアカウントの連絡先情報を確認する新しいポリシーを追加しました。

Accelerate は、事前に設定したリソース連絡先情報を取得できるように、リソースタグを読み取る新しいポリシーを追加しました。

 2023 年 2 月 16 日

新しいポリシー – Events Service

Accelerate は、アカウントから AWS Managed Services にアラーム状態変更情報を配信する新しいポリシーを追加しました。

必要な Amazon EventBridge マネージドルールを作成するためのAlarm Manager の仕組みアクセス許可の一部として作成された IAM ロールを付与します。

 2023 年 2 月 7 日

更新されたポリシー – Deployment Toolkit

Accelerate からの顧客のオフボーディングをサポートする S3 アクセス許可を追加しました。

 2023 年 1 月 30 日

新しいポリシー – Detective Controls

サービスにリンクされたロール AMS Accelerate のサービスにリンクされたロールを Detective が制御するが Accelerate 検出コントロールをデプロイするためのアクションを完了できるようにします。

 2022 年 12 月 19 日

新しいポリシー – Alarm Manager

Accelerate は、アラームマネージャータスクを実行するアクセス許可を付与する新しいポリシーを追加しました。

Config AWS 評価、アラームマネージャー設定を取得するための読み取り AWS 設定、必要な Amazon CloudWatch アラームの作成などのオペレーションを実行するアクセスAlarm Manager の仕組み許可の一部として作成された IAM ロールを付与します。

 2022 年 11 月 30 日

Accelerate が変更の追跡を開始

Accelerate は、 AWS マネージドポリシーの変更の追跡を開始しました。

 2022 年 11 月 30 日

新しいポリシー – Deployment Toolkit

Accelerate は、デプロイタスクにこのポリシーを追加しました。

サービスにリンクされたロール AWSServiceRoleForAWSManagedServicesDeploymentToolkit に、デプロイ関連の Amazon S3 バケットと AWS CloudFormation スタックにアクセスして更新するためのアクセス許可を付与します。

 2022 年 6 月 9 日