翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 変更管理モード
<a name="using-change-management"></a>

AWS Managed Services (AMS) は、変更管理モードを使用して AMS Advanced の変更を保護します。変更管理モードは、環境の高い運用基準を維持し、リスクを制御し、悪影響を防ぐのに役立ちます。AMS Advanced には、さまざまなレベルのコントロールとリスクを提供するさまざまなモードがあります。カスタマー管理モードを除くすべてのモードは、AMS によって管理されます。使用可能な変更管理モードは次のとおりです。
+ RFC モード (以前の標準 CM モード): 「変更のリクエスト」 (RFC) システムと AMS カスタム変更タイプ (CTs 
+ 直接変更モード: RFC モードと同じで、AWS APIs とコンソールを使用して AMS マネージドリソースを作成する
+ AMS での AWS Service Catalog: Direct Change モードと同様ですが、AMS 変更管理システム (RFCs) を使用する代わりに、 AWS Service Catalog を使用して AMS が管理するリソースを作成します。
+ デベロッパーモード: 直接変更モードと同じですが、AWS APIs とコンソールで作成したリソースのみが AMS 管理対象ではなく、その管理はお客様の責任となります。
+ セルフサービスプロビジョニング (SSP) モード: AMS 変更管理システムにアクセスできない (RFCs なし) 点を除き、デベロッパーモードと同じ
+ カスタマーマネージドモード: AMS はマルチアカウントランディングゾーンランディングゾーンを提供しますが、すべてのリソース管理はお客様の責任となります。

AWS Managed Services (AMS) 変更管理システムは、変更管理 (CM) API を使用して、マルチアカウントランディングゾーン (MALZ) アカウントとシングルアカウントランディングゾーン (SALZ) アカウントの両方の変更リクエスト (RFCs) を作成および管理するためのオペレーションを提供します。

変更リクエスト (RFC) は、AMS インターフェイスを介してユーザーまたは AMS がマネージド環境に変更を加えるために作成したリクエストであり、特定のオペレーションの変更タイプ (CT) ID が含まれます。

AMS 変更管理 (CM) API は、変更リクエスト (RFCs) を作成および管理するためのオペレーションを提供します。RFCs を作成、更新、送信、承認、拒否、キャンセルできます。AMS 演算子は、RFCs を作成、更新、送信、承認、拒否、キャンセル、およびクローズとしてマークできます。

タグや他の名前で使用されない AMS リザーブドプレフィックスのリストについては、[「リザーブドプレフィックス](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)」を参照してください。

スキーマや例など、各変更タイプの詳細については、[「AMS 変更タイプリファレンス](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)」を参照してください。

**注記**  
すべての変更管理 API コールは AWS CloudTrail に記録されます。詳細については、「 [ログへのアクセス](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html)」を参照してください。

# モードの概要
<a name="ams-modes-ug"></a>

この情報を使用して、ビジネス成果を達成するための柔軟性と規範的なガバナンスの望ましい組み合わせに基づいて、アプリケーションをホストするための適切な AWS Managed Services (AMS) モードを選択します。

この情報の対象となる対象者は次のとおりです。
+ ランディングゾーンの戦略とガバナンスを担当するカスタマーチーム。この情報は、チームが内部および外部の顧客に提供する AMS モードを使用して、AMS が管理するランディングゾーンの基盤を構築するのに役立ちます。
+ アプリケーションの AMS への移行を担当するビジネスオーナーとアプリケーションオーナー。この情報は、アプリケーションの移行/ホストに適した AMS モードを使用して、アプリケーションの移行を計画するのに役立ちます。ソフトウェア開発ライフサイクル (SDLC) ライフサイクルのさまざまなフェーズで、同じアプリケーションを複数の AMS モードでホストできます。
+ AMS パートナーには、AMS を構築して移行するためのさまざまなオプションについて顧客をガイドする役割があります。

この情報は、AMS マネージドプラットフォームを設定する基盤フェーズ中、および基盤からクラウド導入ジャーニーの移行フェーズに移行するときに、AMS へのオンボーディングが完了し、アプリケーションのガバナンスと運用に重点を置いている直後に最も役立ちます。

# AMS のモードとアカウントのタイプ
<a name="ams-modes-types"></a>

AWS Managed Services (AMS) モードは、各モードの特定のガバナンスフレームワークの下で AMS サービスとやり取りする方法として定義できます。ランディングゾーンの違い、マルチアカウントランディングゾーンまたは MALZ とシングルアカウントランディングゾーンまたは SALZ が記録されます。

**注記**  
アプリケーションのデプロイと適切な AMS モードの選択の詳細については、[「AMS モードとアプリケーションまたはワークロード](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html)」を参照してください。  
さまざまなモードの実際のユースケースについては、[「AMS モードの実際のユースケース](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)」を参照してください。

次の表は、AMS サービスあたりのモードの説明です。


| AMS 機能 | RFC モード (以前の標準 CM モード) / OOD**\$1** | 直接変更モード | AWS Service Catalog | セルフサービスプロビジョニング/デベロッパーモード | カスタマー管理 | 
| --- | --- | --- | --- | --- | --- | 
| ランディングゾーンの設定 | MALZ と SALZ | MALZ と SALZ | MALZ と SALZ | 
| 変更管理 | 変更スケジュール、手動変更のレビュー、変更レコード | IAM やセキュリティグループなどの高リスクの変更の RFC モードと同じ | なし | 
| ログ記録、モニタリング、ガードレール、イベント管理 | はい (サポートされているリソース) | いいえ | 
| 継続性管理 | はい (サポートされているリソース) | 該当なし/いいえ | いいえ | 
| セキュリティ管理 | インスタンスレベルのセキュリティコントロールとアカウントレベルのコントロール | アカウントレベルのコントロール | AWS 組織レベルのコントロール | 
| パッチ管理 | はい | 該当なし/いいえ | いいえ | 
| インシデントと問題の管理 | AMS がサポートするリソースの応答と解決の SLA | 結果のリソースのレスポンス SLA | いいえ | 
| 報告 | はい | いいえ | 
| サービスリクエスト管理 | はい | サポートリクエストのみ | いいえ | 

**\$1**Operations On Demand (OOD) には、RFC モードを使用して、専用のリソースを通じて変更を管理するためのサービスがあります。詳細については、[「Operations on Demand catalog of offerings](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html)」および「Cloud Service Delivery Manager (CSDM)」を参照してください。

**注記**  
[AMS でのセルフサービスプロビジョニングモード](self-service-provisioning-section.md) と はどちらも、ネイティブ AWS サービスに根ざした複雑なアーキテクチャを持つアプリケーションに適しているように見える[AMS Advanced Developer モード](developer-mode-section.md)場合があります。ワークロードを設計するときは、ビジネスコンテキストに基づいて、運用上の優秀性と俊敏性のトレードオフを行います。これは、アプリケーションの SSP モードまたはデベロッパーモードの選択を検討する良い方法です。選択は、アプリケーションの SDLC フェーズに基づいて変更される場合があります。例: アプリケーションが本番環境に対応している場合、このモードでは AMS ガードレールが厳しくなるため、SSP モードの方が適切なオプションである可能性があります。ガードレールは、IAM 更新の RFC ベースの変更管理やアプリケーション OU レベルでSCPs などの予防的コントロールの形式で適用されます。これらのビジネス上の意思決定がエンジニアリングの優先度を左右する可能性があります。ガバナンスと運用サポートを犠牲にして、「事前生産」フェーズでアプリケーション所有者の柔軟性を高めるように最適化できます。

## MALZ アーキテクチャと関連する AMS モード
<a name="ams-modes-and-malz"></a>

AMS マルチアカウントランディングゾーン (MALZ) では、デフォルトの組織単位 (OU)、カスタマーマネージド OU、マネージド OU、または開発 OU でアプリケーションアカウント (またはリソースアカウント) を自動的にプロビジョニングできます。これらの各 OUs で作成されたアプリケーションアカウントでプロビジョニングされるインフラストラクチャは、これらの基本 OUs によって提供される特定の AMS モードの対象となります。同じアプリケーションアカウントで 2 つ以上のモードの組み合わせを見つけるのが一般的です。例えば、RFC モードと SSP モードは、トリガー関数には API Gateway と Lambda、取り込みとオーケストレーションには EC2, S3、SQS で構成されるパイプラインアーキテクチャをホストする AMS マネージドアカウントに共存できます。この場合、SSP モードは Lambda と API Gateway に適用されます。

図 1 は、AMS の基本的な OUs を通じてさまざまなモードがどのように提供されるかを示しています。AMS で新しいアプリケーションアカウントをリクエストするときは、アカウントの OU を選択する必要があります。

MALZ アーキテクチャと関連する AMS モード

![\[Diagram showing AWS アカウント structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)


AMS は、サービスコントロールポリシー (SCP) OUs を活用します。 SCPs これは、各 AMS モードを使用してガバナンスフレームワークを適用する方法として機能します。基礎 OUs に適用されるガバナンスとセキュリティガードレール (SCPsの形式) も、カスタム/子 OUs に自動的に適用されます。子 OUs に追加の SCPs をリクエストできます。アプリケーションアカウントは モードと同じではないことを理解することが重要です。モードは、アカウント内でプロビジョニングされたインフラストラクチャに適用され、AMS と顧客間の運用責任を定義します。

図 1: MALZ アーキテクチャと関連する AMS モード

![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)


**注記**  
「制限OUs のカスタムポリシーをリクエストできることを意味します。ポリシーは、AMS の機能に干渉して運用上の優秀性を提供しないように、case-by-caseで AMS によって承認されます。AMS ガードレールの詳細なリストについては、 ユーザーガイドの[「AMS ガードレール](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules)」を参照してください。

# AMS モードとアプリケーションまたはワークロード
<a name="ams-modes-and-apps-ug"></a>

新しいアプリケーションアカウントをリクエストするか、既存のアプリケーションアカウントでアプリケーションをホストして、適切なモードを選択するときは、アプリケーションの運用要件とガバナンス要件を検討してください。各アプリケーションまたはワークロードに適した AMS モードの選択は、次の要因によって異なります。
+ 環境が提供する SDLC ライフサイクル関数のタイプ (変更がモデレートされていないサンドボックス、頻繁に変更される UAT、最小限の変更と高度に規制された本番稼働など)
+ 必要なガバナンスポリシー (OU レベルで SCPs を通じて実施)
+ 運用モデル (運用責任を所有する場合、または AMS にそれを外部委託する場合)
+ クラウドでの運用にかかる時間や運用コストなど、期待されるビジネス成果。

**注記**  
AMS サービスごとのモードタイプの詳細については、[「AMS のモードとアカウントのタイプ](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html)」を参照してください。  
さまざまなモードの実際のユースケースについては、[「AMS モードの実際のユースケース](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)」を参照してください。

次の表は、アプリケーション所有者が最適な AMS モードを決定するための重要な考慮事項の概要を示しています。アプリケーション所有者は、特定のアプリケーションに適用されるモードを完全に理解するために、アプリケーション移行の前に評価フェーズを含める必要があります。例: クラウドネイティブサービスまたはサーバーレスアーキテクチャに基づくアプリケーションの場合、最適なオプションは、開発者モードで構築と反復を開始し、AMS Managed – SSP モードを使用して最終的な Infrastructure as Code をデプロイすることです。この場合、自動デプロイ用に作成された CloudFormation テンプレートが AMS によって定められた取り込みガイドラインを確実に満たすために、軽いリファクタリングが必要になる場合があります。さらに、IAM アクセス許可は、最小特権モデルに従っていることを確認するために、AMS Security によって承認される必要があります。

アプリケーションをホストするために選択された AMS モードは、希望するクラウド運用モデルに向けて構築するのに役立ちます。

**注記**  
複数のクラウド運用モデルは、アプリケーションをホストするために選択されたさまざまな AMS モードに基づいて、単一の AMS Managed Landing Zone に存在できます。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)

**\$1**Operations On Demand (OOD) には、標準 CM モードを使用して、専用のリソースを通じて変更を管理するためのサービスがあります。詳細については、[「Operations on Demand catalog of offerings](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html)」および「Cloud Service Delivery Manager (CSDM)」を参照してください。

**注記**  
SSP モードとデベロッパーモードの料金比較では、同じ AWS サービスがプロビジョニングされていることを前提としています。

AMS モードとビジネス目標および IT 目標の比較

![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)


図に示すように、アプリケーション用に高度に制御され標準化されたガバナンスモデルをお探しの場合は、AMS 管理の標準変更モード、AWS Service Catalog モード、または直接変更モードが最適です。運用準備を必要とせずにアプリケーションのイノベーションに焦点を当てたカスタムガバナンスモデルが必要な場合は、カスタマーマネージドモードを選択します。カスタマーマネージドモードでは、インシデント管理、設定管理、プロビジョニング管理、セキュリティ管理、パッチ管理などの運用機能をサポートする人員、プロセス、ツールを確立する責任を負うため、アプリケーションの運用に時間がかかる場合があります。

# AMS モードの実際のユースケース
<a name="ams-modes-use-cases"></a>

これらを調べて、AMS モードの使用方法を判断します。
+ **ユースケース 1 は、時間的制約のあるデータセンターの出口でコストを削減するためのビジネス上の課題**です。データセンターの出口など、魅力的なビジネスイベントがある企業は、オンプレミスアプリケーションをクラウド上で再ホストすることに関心を持っています。オンプレミスインベントリのほとんどは、オペレーティングシステムのバージョンが混在する Windows サーバーと Linux サーバーで構成されます。そうすることで、お客様はクラウドへの移行によるコスト削減を活用し、アプリケーションの技術的およびセキュリティ上の体制を改善したいと考えています。お客様は迅速に移行したいと考えていますが、社内のクラウド運用の専門知識はまだ構築されていません。お客様はリファクタリングのバランスを見つける必要があります。リファクタリングが多すぎると、厳しいタイムラインに対してリスクが高くなります。ただし、OS バージョンの更新やデータベースの最適化などのリファクタリングにより、アプリケーションは次のレベルのパフォーマンスを達成できます。この例では、お客様は AMS マネージド RFC モードを選択して、ほとんどのアプリケーションをリホストできます。AMS はインフラストラクチャオペレーションを提供し、クラウドでの安全な運用に関するベストプラクティスについてお客様の運用チームをガイドします。

  AMS 管理の AWS Service Catalog および AMS 管理の Direct Change モードは、同じビジネス成果と目標を達成しながら、お客様にさらなる柔軟性を提供します。さらに、お客様は AMS Operations On Demand (OOD) サービスを使用して、専用の AMS オペレーションエンジニアが変更リクエスト (RFCs) の実行に優先順位を付けることができます。

  差別化されていないインフラストラクチャの運用タスク (パッチ適用、バックアップ、アカウント管理など) を AMS にオフロードしながら、お客様は引き続きアプリケーションの最適化とクラウド運用に関する社内チームの強化に集中できます。AMS は、コスト削減に関する月次レポートを顧客に提供し、リソースの最適化に関するレコメンデーションを行います。このユースケースでは、Windows 2003 や 2008 などのレガシー OS バージョンでホストされているend-of-lifeアプリケーションがリファクタリングしないことを決定した場合、それらを AMS に移行し、カスタマーマネージドモードを利用するアカウントでホストすることもできます。
+ **ユースケース 2: 安全な AMS 境界内に Lambda、Glue、Athena を使用してデータレイクを構築する**: 企業は、AMS の複数のアプリケーションのレポートニーズを満たすために Data Lake をセットアップしようとしています。お客様は、データセットの保存に S3 バケットを使用し、AWS Athena を使用して各レポートのデータセットに対してクエリを実行したいと考えています。S3 と AWS Athena は、別々の AMS マネージドアカウントにデプロイされます。S3 のアカウントには、データ取り込みパイプラインを構築するための Glue、Lambda、Step Functions などの他のサービスもあります。この場合、Glue、Lambda、Athena、Step Functions はセルフサービスプロビジョニング (SSP) サービスと見なされます。顧客は、アドホックツール/スクリプトサーバーとして機能する EC2 インスタンスをアカウントにデプロイしました。まず、AMS マネージドアカウントで SSP サービスを有効にするように AMS にリクエストします。AMS は、ロールが顧客のフェデレーションソリューションにオンボーディングされると、顧客が引き受けることができるサービスごとに IAM ロールをプロビジョニングします。管理を容易にするために、お客様は個別の IAM ロールのポリシーを 1 つのカスタムロールに結合することもできます。これにより、AWS のサービス間で作業するときにロールを切り替える必要がなくなります。アカウントでロールを有効にすると、顧客は要件に従ってサービスを設定できます。ただし、お客様は AMS 変更管理システムと協力して、ユースケースに応じて追加のアクセス許可をリクエストする必要があります。

  たとえば、 Glue クローラにアクセスするには、 Glue によって追加のアクセス許可が必要です。Lambda のイベントソースを作成するには、追加のアクセス許可も必要です。お客様は AMS と協力して IAM ロールを更新し、Athena が S3 バケットをクエリするためのクロスアカウントアクセスを許可します。サービスロールまたはサービスにリンクされたロールの更新も、Lambda が Step Functions サービスを呼び出し、Glue がすべての S3 バケットを読み書きするための AMS 変更管理を通じて必要になります。AMS はお客様と協力して、最小特権のアクセスモデルに従い、リクエストされた IAM の変更が過度に許容されず、環境が不要なリスクにさらされないようにします。顧客のデータレイクチームは、顧客のアーキテクチャに固有のサービスに必要なすべての IAM アクセス許可の計画に時間を費やし、それらを有効にするために AMS をリクエストします。これは、すべての IAM 変更が手動で処理され、AMS セキュリティチームからレビューされるためです。これらのリクエストを処理する時間は、アプリケーションのデプロイスケジュールで考慮する必要があります。

  SSP サービスはアカウントで運用されているため、お客様は AMS インシデント管理とサービスリクエストを通じてサポートをリクエストし、問題を報告できます。ただし、AMS は Lambda のパフォーマンスと同時実行メトリクス、または Glue のジョブメトリクスを積極的にモニタリングしません。SSP サービスで適切なログ記録とモニタリングが有効になっていることを確認するのはお客様の責任です。アカウントの EC2 インスタンスと S3 バケットは、AMS によって完全に管理されます。
+ **ユースケース 3、AMS での CICD デプロイパイプラインの迅速かつ柔軟なセットアップ**: お客様は、AMS 内のすべてのアプリケーションアカウントにコードパイプラインをデプロイするために Jenkins ベースの CICD パイプラインをセットアップしようとしています。お客様は、この CICD パイプラインを AMS 管理の直接変更モード (DCM) または AMS 管理のデベロッパーモードでホストするのが最も適している場合があります。これにより、EC2 で必要なカスタム設定で Jenkins サーバーを柔軟に設定し、アーティファクトリポジトリをホストする CloudFormation および S3 バケットにアクセスするための必要な IAM アクセス許可を付与できるためです。これは AMS 管理 RFC モードで実行することもできますが、カスタマーチームは、IAM ロール用に複数の手動 RFCs を作成して、AMS によって手動でレビューされる、承認された最小限のアクセス許可のセットで反復する必要があります。DCM を使用すると、AMS マネージド RFCs モードを使用するときに、IAM ロール用に複数の手動 RFC を作成して、AMS によって手動でレビューされる最小限の許可セットを反復処理する必要がなくなります。これには時間がかかり、AMS プロセスとツールを強化するために顧客側の教育も必要です。開発者モードを使用すると、ネイティブ AWS APIs」から始めることができます。このパイプラインをセットアップする最も迅速かつ柔軟な方法は、AMS Managed-Developer モードを使用することです。デベロッパーモードは、運用統合を犠牲にしながら、最も迅速かつ簡単な方法を提供します。一方、DCM は柔軟性が低くなりますが、RFC モードと同じレベルの運用サポートを提供します。
+ **ユースケース 4、AMS 基盤内のカスタマイズされた運用モデル**: 顧客は、期限駆動型のデータセンターの終了を検討しており、エンタープライズアプリケーションの 1 つは、アプリケーション運用やインフラストラクチャ運用を含むサードパーティーの MSP によって完全に管理されています。このアプリケーションを AMS で操作できるようにリファクタリングする時間がスケジュールにないと仮定すると、カスタマーマネージドモードが適切なオプションです。お客様は、AMS マネージドランディングゾーンの自動的かつ迅速なセットアップを活用できます。一元化されたネットワークアカウントを通じて、アカウントの供給と接続を制御する一元化されたアカウント管理を活用できます。また、AMS Payer アカウントを通じてすべてのカスタマーマネージドアカウントの料金を統合することで、請求を簡素化します。お客様は、AMS マネージドアカウントに使用される標準アクセス管理とは別に、MSP を使用してカスタムアクセス管理モデルを柔軟に設定できます。これにより、カスタマーマネージドモードを使用して、オンプレミス環境から退避するというビジネス要件を満たしながら、AMS マネージド環境をセットアップできます。この場合、お客様がクラウドに移行する Windows ベースのアプリケーションも持っていて、それらをカスタマーマネージドアカウントに移動することを選択した場合、お客様はクラウド運用モデルを作成する責任があります。これは、従来の IT プロセスを変革し、人材をトレーニングする顧客の能力によっては、複雑でコストが高く、時間がかかる場合があります。お客様は、このようなワークロードを「リフトアンドシフト」して AMS マネージドアカウントにし、インフラストラクチャオペレーションを AMS にオフロードすることで、時間とコストを削減できます。
**注記**  
お客様は、RFC または SSP モードのガバナンスフレームワークとデベロッパーモードの間でアプリケーションアカウントを移動する必要があると感じることがあります。たとえば、お客様は最初のリフトアンドシフト移行の一環として AMS マネージドモードでアプリケーションをホストできますが、時間の経過とともにアプリケーションを書き換えてクラウドネイティブの AWS サービス用に最適化したいと考えています。本番稼働前のアカウントのモードを AMS マネージド RFC から AMS マネージド開発者モードに変更し、インフラストラクチャをプロビジョニングするための柔軟性と俊敏性を提供できます。ただし、「開発者ロール」を使用してインフラストラクチャのプロビジョニングが変更されると、同じインフラストラクチャを AMS マネージド RFC モードに戻すことはできません。これは、AMS が AMS 変更管理システムの外部でプロビジョニングされたインフラストラクチャのオペレーションを保証できないためです。お客様は、AMS マネージド RFC モードを提供する新しいアプリケーションアカウントを作成し、CloudFormation テンプレートまたは AMS マネージドアカウントに取り込まれたカスタム AMIs を使用して「最適化」インフラストラクチャ設定を再デプロイする必要がある場合があります。これは、本番稼働用設定をデプロイするためのクリーンな方法です。デプロイされると、アプリケーションは規範的な AMS ガバナンスと運用の下に置かれます。カスタマーマネージドモードと AMS マネージドモード間のモードの切り替えにも同じことが当てはまります。

# RFC モード
<a name="rfc-mode"></a>

RFC モードは、AMS Advanced オペレーションプランのお客様向けのデフォルトモードです。これには、変更または RFCs のリクエストを含む変更管理システムと、アカウントに必要な追加または変更をリクエストするために使用する変更タイプのカタログが含まれます。この変更管理システムは、アカウントを変更できるユーザーを制限するためのセキュリティレベルを提供します。

AMS Advanced 変更タイプの詳細については、[「AMS 変更タイプとは](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)」を参照してください。

AMS Advanced へのオンボーディングの詳細については、[AWS Managed Servicesオンボーディングの概要](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html)」を参照してください。

変更タイプのウォークスルーの例については、*AMS Advanced Change Type Reference* [Change Types by Classification](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) セクションの関連する変更タイプの「追加情報」セクションを参照してください。

**注記**  
RFC モードは、以前は「変更管理モード」または「標準 CM モード」と呼ばれていました。

**Topics**
+ [RFCsの詳細](ex-rfc-works.md)
+ [変更タイプとは?](understanding-cts.md)
+ [AMS での RFC エラーのトラブルシューティング](rfc-troubleshoot.md)

# RFCsの詳細
<a name="ex-rfc-works"></a>

変更のリクエスト、または RFCs、2 つの方法で機能します。まず、RFC 自体に必要なパラメータがあります。これらは `CreateRfc` API のオプションです。次に、RFC のアクションに必要なパラメータ (実行パラメータ) があります。`CreateRfc` オプションの詳細については、*AMS API リファレンス*の [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) セクションを参照してください。これらのオプションは通常、RFC ページの作成**の追加設定**領域に表示されます。

`CreateRfc` API、CLI、または AMS `aws amscm create-rfc` コンソールの RFC ページの作成を使用して、RFC を作成して送信できます。RFC の作成に関するチュートリアルについては、「」を参照してください[RFC を作成する](ex-rfc-create-col.md)。

**Topics**
+ [RFC とは?](what-r-rfcs.md)
+ [AMS API/CLI を使用する場合の認証](ex-rfc-authentication.md)
+ [RFC セキュリティレビューを理解する](rfc-security.md)
+ [RFC 変更タイプの分類を理解する](ex-rfc-csio.md)
+ [RFC アクションとアクティビティの状態を理解する](ex-rfc-action-state.md)
+ [RFC ステータスコードを理解する](ex-rfc-status-codes.md)
+ [RFC 更新 CTs と CloudFormation テンプレートドリフト検出を理解する](ex-rfc-updates-and-dd.md)
+ [RFCs](ex-rfc-scheduling.md)
+ [RFCs](ex-rfc-approvals.md)
+ [RFC の制限された実行期間をリクエストする](ex-rfc-restrict-execute.md)
+ [RFCs の作成、クローン作成、更新、検索、キャンセル](ex-rfc-use-examples.md)
+ [RFCs](ex-rfc-gui.md)
+ [一般的な RFC パラメータについて説明します。](rfc-common-params.md)
+ [RFC の毎日の E メールにサインアップする](rfc-digest.md)

# RFC とは?
<a name="what-r-rfcs"></a>

変更のリクエスト、つまり RFC は、AMS が管理する環境を変更する方法、またはユーザーに代わって変更を行うように AMS に依頼する方法です。RFC を作成するには、AMS 変更タイプから選択し、RFC パラメータ (スケジュールなど) を選択し、AMS コンソールまたは API コマンド [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) と [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) を使用してリクエストを送信します。

RFC には 2 つの仕様が含まれています。1 つは RFC 自体用で、もう 1 つは変更タイプ (CT) パラメータ用です。コマンドラインでは、インライン RFC コマンド、または作成した CT JSON スキーマファイル (CT パラメータに基づく) とともに入力して送信する JSON 形式の標準の CreateRfc テンプレートを使用できます。CT 名は、CT の非公式な説明です。CSIO (カテゴリ、サブカテゴリ、項目、オペレーション) は、CT のより正式な説明です。RFC を作成するときは、CT ID のみを指定する必要があります。

RFCs、検証と実行の 2 つの主要な段階があります。

1. 検証段階では、AMS は RFC リクエストの完全性と正確性を確認します。AMS は、セキュリティ[技術標準に従ってセキュリティ](rfc-security.md#rfc-security.title)のリクエストも評価します。AMS は、リクエストされた変更が有効で実行可能であることを確認します。

1. 実行ステージでは、AMS はアカウントでリクエストされた変更を試みます。

AMS は、自動プロセス、手動プロセス、またはその両方の組み合わせを通じて両方のステージを処理します。手動プロセスは AMS オペレーションチームによって処理されます。詳細については、「[自動 CT と手動 CTs](ug-automated-or-manual.md)」を参照してください。

AMS には、リクエストを処理するための 3 つの実行モードがあります。
+ **(AMS 推奨) 実行モード: 自動**。これらの CTs RFC の検証と実行に自動化を使用します。これは、ビジネス成果を達成するための最も迅速な方法です。
+ **(AMS 推奨) 実行モード: 手動および指定: マネージドオートメーション**。これらの CTs、RFC の検証と実行のための自動プロセスと手動プロセスの組み合わせを使用します。オートメーションがリクエストされた変更を実行できない場合、RFC は手動処理のために (自動ルーティングまたは代替 RFC の作成によって) AMS オペレーションチームに転送されます。これらの CTs を送信すると、リクエストをより構造化し、AMS オートメーションで補完して、処理と実行の結果の時間枠を改善できます。
+ **実行モード: 手動および指定: レビューが必要**。[ct-1e1xtak34nx76 管理 \$1 その他 \$1 その他 \$1 更新 (レビューが必要)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html) または [ct-0xdawir96cy7k 管理 \$1 その他 \$1 その他 \$1 作成 (レビューが必要)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) を通じてリクエストされた変更。これらの CTs、検証と実行の手動処理に依存しています。これらの CTs は、変更リクエストの手動解釈によって異なります。

AMS は、変更が正常に完了したとき (成功) または失敗したとき (失敗) に通知します。

**注記**  
RFC 障害のトラブルシューティングについては、「」を参照してください[AMS での RFC エラーのトラブルシューティング](rfc-troubleshoot.md)。

次の図は、ユーザーが送信した RFC のワークフローを示しています。

![\[お客様が送信した RFC のワークフロー。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)


# AMS API/CLI を使用する場合の認証
<a name="ex-rfc-authentication"></a>

AMS API/CLI を使用する場合は、一時的な認証情報を使用して認証する必要があります。フェデレーティッドユーザーの一時的なセキュリティ認証情報をリクエストするには、cal [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html)、[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)、[AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml)、または [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity) AWS セキュリティトークンサービス (STS) APIs。

一般的な選択肢は SAML です。セットアップ後、呼び出す各オペレーションに 引数を追加します。例: `aws --profile saml amscm list-change-type-categories`。

SAML 2.0 プロファイルのショートカットは、 を使用して各 API/CLI の開始時にプロファイル変数を設定することです `set AWS_DEFAULT_PROFILE=saml` (Windows の場合、Linux の場合、 になります`export AWS_DEFAULT_PROFILE=saml`）。CLI 環境変数の設定については、[「AWS コマンドラインインターフェイスの設定、環境変数](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment)」を参照してください。

# RFC セキュリティレビューを理解する
<a name="rfc-security"></a>

AWS Managed Services (AMS) 変更管理承認プロセスにより、アカウントに加えた変更のセキュリティレビューが確実に実行されます。

AMS は、AMS 技術標準に照らしてすべての変更リクエスト (RFCs) を評価します。技術標準から逸脱することでアカウントのセキュリティ体制を低下させる可能性のある変更は、セキュリティレビューの対象となります。セキュリティレビュー中、AMS は関連するリスクを強調し、セキュリティリスクが高い、または非常に高い場合は、承認されたセキュリティ担当者が RFC を承認または拒否します。すべての変更は、AMS の運用能力への悪影響を評価するためにも評価されます。潜在的な悪影響が見つかった場合は、AMS 内で追加のレビューと承認が必要です。

## AMS 技術標準
<a name="rfc-sec-tech-standards"></a>

AMS 技術標準は、アカウントのベースラインセキュリティを確立するための最小限のセキュリティ基準、設定、プロセスを定義します。これらの標準には、AMS とユーザーの両方が従う必要があります。

技術標準から逸脱することでアカウントのセキュリティ体制を低下させる可能性のある変更は、リスク受理プロセスを経て、関連するリスクが AMS によって強調表示され、承認されたセキュリティ担当者がユーザーから承認または拒否します。そのような変更はすべて、アカウントを運用する AMS の能力に悪影響があるかどうかを評価するために評価され、その場合は AMS 内で追加のレビューと承認が必要になります。

## RFC カスタマーセキュリティリスク管理 (CSRM) プロセス
<a name="rfc-sec-risk"></a>

組織の誰かがマネージド環境への変更をリクエストすると、AMS は変更を確認して、リクエストが技術標準に違反してアカウントのセキュリティ体制を悪化させる可能性があるかどうかを判断します。リクエストがアカウントのセキュリティ体制を低下させ、AMS がセキュリティチームの連絡先に関連リスクを伝えて変更を実行する場合、または変更が環境に高いまたは非常に高いセキュリティリスクをもたらす場合、AMS はセキュリティチームの連絡先にリスク承諾の形式で明示的な承認を求めます (次に説明）。AMS 顧客リスク承諾プロセスは、以下を目的として設計されています。
+ リスクが明確に特定され、適切な所有者に伝えられるようにする
+ 環境に対する特定されたリスクを最小限に抑える
+ 組織のリスクプロファイルを理解している指定されたセキュリティ担当者から承認を取得して文書化する
+ 特定されたリスクに対する継続的な運用オーバーヘッドを削減する

## 技術標準と高リスクまたは非常に高いリスクにアクセスする方法
<a name="rfc-sec-tech-standards-access"></a>

AMS 技術標準ドキュメントをレポートとして [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/) で参照できるようにしました。AMS 技術標準ドキュメントを使用して、変更リクエスト (RFC) を送信する前に、承認されたセキュリティ担当者から変更のリスクを受け入れる必要があるかどうかを理解します。

デフォルトの AWS Managed Services (AMS) Technical Standards」を検索して、技術標準レポートを検索します。 AWS Artifact **** **AWSManagedServicesChangeManagementRole**

**注記**  
AMS 技術標準ドキュメントは、単一アカウントランディングゾーンの Customer\$1ReadOnly\$1Role からアクセスできます。マルチアカウントランディングゾーンでは、セキュリティ管理者が使用する AWSManagedServicesAdminRole と、アプリケーションチームが使用する AWSManagedServicesChangeManagementRole を使用して、ドキュメントにアクセスできます。チームがカスタムロールを使用している場合は、その他 \$1 その他の RFC を作成してアクセスをリクエストすると、指定されたカスタムロールが更新されます。

# RFC 変更タイプの分類を理解する
<a name="ex-rfc-csio"></a>

RFC の送信時に使用する変更タイプは、次の 2 つのカテゴリに分かれています。
+ **デプロイ**: この分類はリソースの作成用です。
+  **管理**: この分類は、リソースを更新または削除するために使用します。**管理**カテゴリには、インスタンスへのアクセス、AMIs暗号化または共有、スタックの開始、停止、再起動、または削除のための変更タイプも含まれています。

# RFC アクションとアクティビティの状態を理解する
<a name="ex-rfc-action-state"></a>

`RfcActionState` (API) / **Activity State** (コンソール) は、RFC に対する人間の介入またはアクションのステータスを理解するのに役立ちます。手動 RFCs に主に使用される は、ユーザーまたは AMS オペレーションに必要なアクションがいつ必要か`RfcActionState`を理解し、AMS オペレーションが RFC でアクティブに動作しているかを確認するのに役立ちます。これにより、RFC のライフサイクル中に RFC に対して実行されるアクションの透明性が向上します。

`RfcActionState` (API) / **アクティビティ状態** (コンソール) 定義:
+ **AwsOperatorAssigned**: AWS オペレーターが RFC でアクティブに作業しています。
+ **AwsActionPending**: AWS からのレスポンスまたはアクションが必要です。
+ **CustomerActionPending**: 顧客からのレスポンスまたはアクションが想定されます。
+ **NoActionPending**: AWS または顧客からのアクションは必要ありません。
+ **NotApplicable**: この状態は AWS オペレーターまたはお客様が設定することはできません。この機能がリリースされる前に作成された RFCs にのみ使用されます。

RFC アクションの状態は、送信された変更タイプが手動レビューを必要とし、スケジュールが **ASAP** に設定されているかどうかによって異なります。
+ RFC **ActionState** は、遅延スケジューリングを使用した手動変更タイプのレビュー、承認、開始中に変更されます。
  + スケジュールされた手動 RFC を送信すると、**ActionState** は自動的に **AwsActionPending** に変更され、オペレータが RFC を確認して承認する必要があることを示します。
  + オペレーターが RFC のアクティブレビューを開始すると、**ActionState** は **AwsOperatorAssigned** に変わります。
  + オペレータが RFC を承認すると、RFC ステータスはスケジュール済みに変わり、**ActionState** は自動的に **NoActionPending** に変わります。
  + RFC のスケジュールされた開始時刻に達すると、RFC ステータスは **InProgress** に変わり、**ActionState** は自動的に **AwsActionPending** に変わり、RFC のレビューのためにオペレータを割り当てる必要があることを示します。
  + オペレータが RFC のアクティブ実行を開始すると、**ActionState** が **AwsOperatorAssigned** に変更されます。
  + 完了すると、オペレータは RFC を閉じます。これにより、**ActionState** が自動的に **NoActionPending** に変更されます。  
![\[遅延スケジューリングを使用した手動変更タイプのレビュー、承認、開始中の RFC ActionState の変更\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/actionStateRfc.png)

**重要**  
アクションの状態を設定することはできません。RFC の変更に基づいて自動的に設定されるか、AMS 演算子によって手動で設定されます。
RFC にコレスポンデンスを追加すると、**ActionState** は自動的に **AwsActionPending** に設定されます。
RFC が作成されると、**ActionState** は自動的に **NoActionPending** に設定されます。
RFC が送信されると、**ActionState** は自動的に **AwsActionPending** に設定されます。
RFC が拒否、キャンセル、または完了し、ステータスが Success または Failure の場合、**ActionState** は自動的に **NoActionPending** にリセットされます。
アクション状態は自動 RFCs の両方で有効になりますが、これらのタイプの RFCs では通信が必要になることが多いため、主に手動 RFCs では重要です。

# RFC アクションの状態を確認するユースケースの例
<a name="ex-rfc-action-state-examples"></a>

**ユースケース: 手動 RFC プロセスの可視性**
+ 手動 RFC を送信すると、RFC アクションの状態は自動的に に変わり`AwsActionPending`、オペレータが RFC を確認して承認する必要があることを示します。オペレーターが RFC のアクティブレビューを開始すると、RFC アクションの状態は に変わります`AwsOperatorAssigned`。
+ 承認され、スケジュールされ、実行を開始する準備ができている手動 RFC を検討してください。RFC ステータスが に変わると`InProgress`、RFC アクションの状態は自動的に に変わります`AwsActionPending`。オペレーター`AwsOperatorAssigned`が RFC のアクティブ実行を開始すると、再び に変わります。
+ 手動 RFC が完了 (「成功」または「失敗」としてクローズ) すると、RFC アクションの状態が に変わり`NoActionPending`、顧客またはオペレーターからそれ以上のアクションが不要であることを示します。

**ユースケース: RFC 対応**
+ 手動 RFC が の場合`Pending Approval`、AMS オペレーターからさらに情報が必要になる場合があります。オペレーターは RFC にコレスポンデンスを投稿し、RFC アクションの状態を に変更します`CustomerActionPending`。新しい RFC 対応を追加して応答すると、RFC アクションの状態は自動的に に変わります`AwsActionPending`。
+ 自動または手動 RFC が失敗した場合は、RFC の詳細にコレスポンデンスを追加し、RFC が失敗した理由を AMS オペレーターに尋ねることができます。コレスポンデンスが追加されると、RFC アクションの状態は自動的に に設定されます`AwsActionPending`。AMS オペレーターが RFC をピックアップしてコレスポンデンスを表示すると、RFC アクションの状態は に変わります`AwsOperatorAssigned`。オペレータが新しい RFC コレスポンデンスを追加して応答すると、RFC アクションの状態を に設定して`CustomerActionPending`、顧客からの別の応答が予想されることを示すか、 に設定して`NoActionPending`、顧客からの応答が不要または予想されることを示すことができます。

# RFC ステータスコードを理解する
<a name="ex-rfc-status-codes"></a>

RFC ステータスコードは、リクエストの追跡に役立ちます。これらのステータスコードは、CLI 出力で RFC を実行するとき、またはコンソールで RFC リストページを更新することで確認できます。

RFC のコードは、RFC の詳細ページでも確認できます。

![\[RFC ステータスコード。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)


送信していない RFC がリストに表示される場合があります。AMS 演算子が内部専用 CT を使用する場合は、RFC に送信され、RFC リストに表示されます。詳細については、「[内部のみの変更タイプ](ct-internals.md)」を参照してください。

**重要**  
RFC の状態変更の通知をリクエストできます。詳細については、[「RFC 状態変更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)」を参照してください。


**RFC ステータスコード**  

| Success | 失敗 | 
| --- | --- | 
|  編集中: RFC は作成されていますが、送信されていません PendingApproval / Submited: RFC が送信され、システムは承認が必要かどうかを判断し、必要に応じてその承認を取得します。 AWS による承認/顧客による承認: RFC が承認されました。自動 RFCsは AWS によって承認され、手動 RFCsはオペレーター、場合によっては顧客によって承認されます。 スケジュール済み: RFC は構文と要件チェックに合格し、実行がスケジュールされています InProgress: RFC が実行されています。複数のリソースをプロビジョニングする、または UserData が長時間実行される RFCs の実行には時間がかかることに注意してください。 実行済み: RFC が実行されました Success/Succeeded: RFC が正常に完了しました  |  拒否: RFCsは通常、検証に失敗するため拒否されます。たとえば、使用できないリソース、つまりサブネットが指定されます。 キャンセル済み: RFCsは通常、設定された開始時刻が経過する前に検証に合格しないためキャンセルされます。 Failure: RFC が失敗しました。失敗の理由については出力の StatusReason を参照してください。AMS オペレーションは自動的にトラブルチケットを作成し、必要に応じてユーザーと通信します。 | 

**注記**  
キャンセルまたは拒否された RFCs「」も参照してください[RFCsを更新する](ex-update-rfcs.md)。 [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html)

RFC が必要なすべての条件に合格した場合 (たとえば、すべての必須パラメータが指定されている場合）、ステータスは に変わります `PendingApproval` (自動 CTsでも承認が必要で、構文とパラメータチェックが合格すると自動的に行われます）。合格しない場合、ステータスは に変わります`Rejected`。`StatusReason` は拒否に関する情報を提供し、 `ExecutionOutput`フィールドは承認と完了に関する情報を提供します。エラーコードには以下が含まれます。
+ InvalidRfcStateException: RFC は、呼び出されたオペレーションを許可しないステータスです。たとえば、RFC が送信済み状態に移行した場合、変更できなくなります。
+ InvalidRfcScheduleException: StartTime、EndTime、または TimeoutInMinutes パラメータが超過しました。
+ InternalServerError: システムに問題が発生しました。
+ InvalidArgumentException: パラメータが正しく指定されていません。たとえば、許容できない値が使用されます。
+ ResourceNotFoundException: スタック ID などの値が見つかりません。

変更が承認される前に、スケジュールされたリクエストの開始時刻と終了時刻 (変更実行ウィンドウとも呼ばれます) が発生した場合、RFC ステータスは に変わります`Canceled`。変更が承認されると、RFC ステータスは に変わります`Scheduled`。ASAP RFCs の変更実行ウィンドウは、送信された時刻に CT `ExpectedExecutionDuration`の値を加えたものです。

変更実行ウィンドウの到着前であればいつでも、スケジュールされた変更 (CLI `RequestedStartTime`の で送信) を変更またはキャンセルできます。スケジュールされた変更が変更された場合は、再送信する必要があります。

変更の開始時刻 (スケジュールまたは ASAP) が到着し、承認が完了すると、ステータスは に変わり`InProgress`、変更を加えることはできません。指定された変更実行ウィンドウ内に変更が完了すると、ステータスは に変わります`Success`。変更の一部が失敗した場合、または変更実行ウィンドウの終了時に変更がまだ進行中である場合、ステータスは に変わります`Failure`。

**注記**  
`InProgress`、、`Success`または の状態`Failure`の変更中、RFC を変更またはキャンセルすることはできません。

次の図は、CreateRFC 呼び出しから解決までの CreateRFCステータスを示しています。

![\[CreateRFC 呼び出しから解決までの CreateRFCステータス。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)


# RFC 更新 CTs と CloudFormation テンプレートドリフト検出を理解する
<a name="ex-rfc-updates-and-dd"></a>

AMS でプロビジョニングされたリソースは、変更された CloudFormation テンプレートを使用します。リソースのパラメータがサービスの AWS マネジメントコンソールから直接変更された場合、そのリソースの CloudFormation 作成レコードは同期しなくなります。この場合、AMS 更新変更タイプを使用して AMS のリソースを更新しようとすると、AMS は元のリソース設定を参照し、変更されたパラメータをリセットする可能性があります。このリセットはダメージを与える可能性があるため、追加の AMS 設定の変更が検出された場合、AMS は更新変更タイプの RFCs を禁止します。

更新変更タイプのリストについては、 コンソールフィルターを使用します。

## ドリフト修復FAQs
<a name="drift-remeditate-faqs"></a>

AMS ドリフト修復に関する質問と回答。ドリフト修復を開始するために使用できる変更タイプは 2 つあります。1 つは実行モード = 手動または「マネージドオートメーション」で、もう 1 つは実行モード = 自動です。

### ドリフト修復でサポートされているリソース (ct-3kinq0u4l33zf)
<a name="drift-remeditate-faqs-sr"></a>

これらは、ドリフト修復変更タイプ (ct-3kinq0u4l33zf) でサポートされているリソースです。  リソースを修正するには、代わりに「マネージドオートメーション」 (ct-34sxfo53yuzah) 変更タイプを使用します。

```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```

### ドリフト修復の変更タイプ
<a name="drift-remeditate-faqs-cts"></a>

AMS ドリフト修復変更タイプの使用に関する質問と回答。

ドリフト修復機能でサポートされているリソースのリストについては、「」を参照してください[ドリフト修復でサポートされているリソース (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)。

**重要**  
ドリフト修復はスタックテンプレートやパラメータを変更し、最新のスタックテンプレートやパラメータを使用するようにローカルテンプレートリポジトリまたはこれらのスタックを更新するオートメーションを更新する必要があります。同期せずに古いテンプレートやパラメータを使用すると、基盤となるリソースに有害な変更が生じる可能性があります。  
マネージドオートメーションなし、自動、CT (ct-3kinq0u4l33zf) は、RFC あたり 10 個のリソースの修復のみをサポートします。残りのリソースを 10 個のバッチで修正するには、すべてのリソースが修正されるまで新しい RFCs を作成します。

どのドリフト修復変更タイプを使用すべきですか?  
以下の場合は、**マネージドオートメーションなし**の自動 CT (ct-3kinq0u4l33zf) を使用することをお勧めします。  
+ 自動 CT を使用して既存のスタックリソースの更新を実行しようとすると、スタックが であるため RFC が拒否されます`DRIFTED`。
+ 過去に Update CT を使用していて、スタックが DRIFTED になったため失敗しました。更新を再試行する必要はなく、代わりにマネージドオートメーション、手動、CT を使用できます。
**マネージドオートメーション**、手動 CT (ct-34sxfo53yuzah) を使用するのは、ドリフト修復でドリフトリソースタイプがサポートされていない場合、マネージドオートメーション、自動、CT (ct-3kinq0u4l33zf) がない場合、またはドリフト修復でマネージドオートメーション、自動、CT が失敗した場合のみです。

修復中にスタックにどのような変更が実行されますか?  
修復には、ドリフトするプロパティに応じて、スタックテンプレートやパラメータの更新が必要です。修復は、修復中にスタックのスタックポリシーを更新し、修復が完了するとスタックポリシーを以前の値に復元します。

スタックテンプレートやパラメータに対して実行された変更を確認するにはどうすればよいですか?  
RFC へのレスポンスでは、変更の概要に以下の情報が表示されます。  
+ `ChangeSummaryJson`: ドリフト修復の一環として、スタックテンプレートやパラメータの変更の概要が含まれます。修復は複数のフェーズで実行されます。この変更の概要は、個々のフェーズの変更で構成されます。修復が成功した場合は、最後のフェーズの変更を確認します。順番に実行されるフェーズについては、JSON の ExecutionPlan を参照してください。たとえば、RestoreReferences セクションが存在する場合、常に最後に実行され、修正後の変更のための JSON が含まれます。DryRun モードで修復が実行された場合、これらの変更はスタックに適用されません。
+ `PreRemediationStackTemplateAndConfigurationJson`: スタックで修復がトリガーされる前に、テンプレート、パラメータ、出力、StackPolicyBody を含む CloudFormation スタックの設定スナップショットが含まれます。

修復が実行されたら、何をする必要がありますか?  
RFC の概要で提供されている最新のテンプレートとパラメータを使用して、修復されたスタックを更新するローカルテンプレートリポジトリまたはオートメーションを更新する必要があります。古いテンプレートやパラメータを使用すると、スタックリソースにさらに破壊的な変更が生じる可能性があるため、これを行うことが重要です。

この修復中にアプリケーションは有効になりますか?  
修復は、CloudFormation スタック設定でのみ実行されるオフラインプロセスです。基盤となるリソースでは更新は実行されません。

管理 \$1 その他 \$1 その他の RFCsを引き続き使用して、修復後にリソースの更新を実行できますか?  
使用可能な自動 Update CTs を使用して、スタックリソースの更新を常に実行することをお勧めします。利用可能な Update CTsがユースケースをサポートしていない場合は、 管理 \$1 その他 \$1 その他のリクエストを使用します。

修復によってスタックに新しいリソースが作成されますか?  
修復では、スタックに新しいリソースは作成されません。ただし、修復は新しい出力を作成し、スタックテンプレート[メタデータ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html)セクションを更新して、参照用に修復の概要を保存します。

修復は常に成功しますか?  
修復には、テンプレート設定を慎重に分析して検証し、実行できるかどうかを判断する必要があります。これらの検証が失敗した場合、修復プロセスは停止され、スタックテンプレートまたはパラメータに変更は実行されません。また、修復はサポートされているリソースタイプでのみ実行できます。

修復が成功しなかった場合にスタックリソースの更新を実行するにはどうすればよいですか?  
Management \$1 Other \$1 Other \$1 Update CT (ct-0xdawir96cy7k) を使用して変更をリクエストできます。AMS はこのようなシナリオをモニタリングし、修復ソリューションの改善に取り組んでいます。

サポートされているリソースタイプとサポートされていないリソースタイプの両方を持つスタックを修復できますか?  
はい。ただし、修復は、サポートされているリソースタイプがスタックで DRIFTED が見つかった場合にのみ実行されます。サポートされていないリソースタイプが DRIFTED の場合、修復は続行されません。

CFN 以外の取り込み CTs を使用して作成されたスタックの修復をリクエストできますか?  
はい。修正は、スタックの作成に使用される変更タイプに関係なく、スタックで実行できます。

修復前にスタックに実行される変更を知ることはできますか?  
はい。どちらの変更タイプも、スタックが修正された場合に実行される変更をリクエストするために使用できる **DryRun** オプションを提供します。ただし、最終的な修復の変更は、修復時にスタックに存在するドリフトによって異なる場合があります。

# RFCs
<a name="ex-rfc-scheduling"></a>

**スケジュール**機能を使用すると、RFCs の開始時間を選択できます。**スケジューリング**機能では、次のオプションを使用できます。
+ **この変更をできるだけ早く実行する**: AMS は、承認されるとすぐに RFC を実行します。ほとんどの CTsは自動的に承認されます。RFC を特定の時間に開始しない場合は、このオプションを使用します。
+ **この変更をスケジュール**する: RFC を実行する日、時刻、タイムゾーンを設定します。自動変更タイプの場合、RFC の送信予定から少なくとも 10 分後に開始時刻をリクエストするのがベストプラクティスです。マネージドオートメーションの変更タイプでは、RFC の送信予定から少なくとも 24 時間後に開始時刻をリクエストする必要があります。RFC が設定された開始時刻までに承認されない場合、RFC は拒否されます。

## RFC スケジュールを設定する
<a name="ex-rfc-scheduling-schedule"></a>

RFC をスケジュールするには、次のいずれかの方法を使用します。

**この変更をできるだけ早く実行**します。
+ コンソール: 何もしません。これはデフォルトの RFC スケジュールを使用します。
+ API または CLI: RFC の作成オペレーションで `RequestedStartTime`および `RequestedEndTime`オプションを削除します。

**ASAP** RFCs は、送信後 30 日以内に承認されない場合、自動拒否されます。

**この変更をスケジュール**します。
+ コンソール: ** この変更のスケジュール**ラジオボタンを選択します。**開始時間**領域が開きます。手動で日を入力するか、カレンダーウィジェットを使用して日を選択します。ISO 8601 形式で表される時刻を UTC で入力し、ドロップダウンリストを使用して場所を選択します。デフォルトでは、AMS は ISO 8601 形式 YYYYMMDDThhmmssZ または YYYY-MM-DDThh:mm:ssZ を使用します。どちらの形式も使用できます。
**注記**  
**デフォルトの終了時刻**は、入力した**開始時刻**から 4 時間です。スケジュールされた変更の終了**時刻**を 4 時間を超えて設定するには、API または CLI を使用して変更を実行します。
+ API または CLI: RFC の作成オペレーションで `RequestedStartTime`および `RequestedEndTime`パラメータの値を送信します。設定済みの を渡`RequestedEndTime`しても、既に開始されている自動変更タイプの実行は停止されません。「マネージドオートメーション」の変更タイプで、AMS オペレーションの研究がまだ進行中に `RequestedEndTime`に到達し、AMS と通信している場合は、拡張機能をリクエストするか、RFC の再送信を求められる場合があります。
**ヒント**  
UTC タイムリードアウトの例については、Time-is ウェブサイトの[「UTC](https://time.is/UTC)」を参照してください。2:20pm: 2016-**2016-12-05T14**1205T142000Z 2016-12-05 の日付/時刻値の ISO 8601 形式の例。 **20161205T142000Z**

指定した場合..
+ のみ`RequestedStartTime`、RFC はスケジュール済みと見なされ、 `RequestedEndTime`は `ExecutionDurationInMinutes`値を使用して入力されます。
+ のみ`RequestedEndTime`、InvalidArgumentException をスローします。
+ `RequestedStartTime` と の両方で`RequestedEndTime`、指定された開始時刻に `ExecutionDurationInMinutes`値を加えた`RequestedEndTime`値で を上書きします。
+ `RequestedStartTime` も も、`RequestedEndTime`これらの値は null のままで、RFC は ASAP RFC として扱われます。

**注記**  
スケジュールされたすべての RFCs について、未指定の終了時刻は、指定された時刻に、送信された変更タイプの `ExpectedExecutionDurationInMinutes` 属性`RequestedStartTime`を加えた時刻として書き込まれます。たとえば、 `ExpectedExecutionDurationInMinutes`が「60」 (分) で、指定された `RequestedStartTime`が `2016-12-05T14:20:00Z` (2016 年 12 月 5 日午前 4 時 20 分) の場合、実際の終了時刻は 2016 年 12 月 5 日午前 5 時 20 分に設定されます。`ExpectedExecutionDurationInMinutes` 特定の変更タイプの を検索するには、次のコマンドを実行します。  

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

## RFC Priority オプションを使用する
<a name="ex-rfc-priority"></a>

`execution mode = manual` 変更タイプで **Priority** オプションを使用して、リクエストの緊急性を AMS オペレーションに警告します。

の **Priority** オプション`execution mode = manual`:

手動 RFC の優先度を **High**、**Medium**、または **Low** に指定します。**High **に分類されRFCs は、RFCs サービスレベル目標 (SLOs) とその送信時間に従って、**Medium** に分類される RFC の前にレビューおよび承認されます。優先度**が低い**、または優先度が指定されていない RFCs は、送信された順序で処理されます。

# RFCs
<a name="ex-rfc-approvals"></a>

承認が必要な (手動) CTs で送信される RFCs は、ユーザーまたは AMS によって承認される必要があります。事前承認CTs は自動的に処理されます。詳細については、「[CT 承認要件](constrained-unconstrained-ctis.md)」を参照してください。

**注記**  
手動 CTs を使用する場合、AMS では ASAP **スケジューリング**オプション (コンソールで **ASAP** を選択し、API/CLI で開始時刻と終了時刻を空白のままにする) を使用することをお勧めします。これらの CTs では、AMS オペレータが RFC を調べ、承認して実行する前にお客様と通信する必要があるためです。これらの RFCsスケジュールする場合は、少なくとも 24 時間かかります。スケジュールされた開始時刻より前に承認が行われない場合、RFC は自動的に拒否されます。

承認が必要な RFC が AMS によって正常に送信された場合は、明示的に承認する必要があります。または、承認が必要な RFC を送信する場合は、AMS によって承認される必要があります。AMS が送信した RFC を承認する必要がある場合は、承認をリクエストする E メールまたはその他の事前定義された通信が送信されます。通信には RFC ID が含まれます。通信が送信されたら、次のいずれかを実行します。
+ コンソールの承認または拒否: 関連する RFC の RFC 詳細ページを使用します。  
![\[RFC の詳細ページ。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API / CLI 承認: [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) は変更を承認済みとしてマークします。アクションは、所有者とオペレーターの両方が必要な場合に実行する必要があります。以下は、CLI 承認コマンドの例です。次の例では、RFC\$1ID を適切な RFC ID に置き換えます。

  ```
  aws amscm approve-rfc --rfc-id RFC_ID
  ```
+ API / CLI 拒否: [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html) は変更を拒否済みとしてマークします。CLI 拒否コマンドの例を次に示します。次の例では、RFC\$1ID を適切な RFC ID に置き換えます。

  ```
  aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
  ```

# RFC の制限された実行期間をリクエストする
<a name="ex-rfc-restrict-execute"></a>

以前はブラックアウトデーと呼ばれていましたが、特定の期間の制限をリクエストできます。この間は変更を実行できません。

制限された実行期間を設定するには、[UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html) API オペレーションを使用して、UTC で特定の期間を設定します。指定した期間は、指定した以前の期間よりも優先されます。指定された制限された実行時間内に RFC を送信すると、送信は無効な RFC スケジュールというエラーで失敗します。最大 200 の制限期間を指定できます。デフォルトでは、制限された期間は設定されていません。以下は、リクエストコマンドの例です (SAML 認証が設定されている）。

```
aws amscm  --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```

RestrictedExecutionTimes API オペレーションを実行して、現在の RestrictedExecutionTimes 設定を表示することもできます。 [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html) 例:

```
aws amscm  --profile saml list-restricted-execution-times
```

指定された制限された実行時間内に RFC を送信する場合は、**OverrideRestrictedTimeRanges** の値を持つ **RestrictedExecutionTimesOverrideId** を追加し、通常どおり RFC を送信します。この方法は、緊急または緊急の RFC にのみ使用するのがベストプラクティスです。詳細については、[SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) の API リファレンスを参照してください。

# RFCs の作成、クローン作成、更新、検索、キャンセル
<a name="ex-rfc-use-examples"></a>

以下の例では、さまざまな RFC オペレーションについて説明します。

**Topics**
+ [RFC を作成する](ex-rfc-create-col.md)
+ [AMS コンソールを使用して RFCs のクローンを作成する (再作成）](ex-clone-rfcs.md)
+ [RFCsを更新する](ex-update-rfcs.md)
+ [RFCs の検索](ex-rfc-find-col.md)
+ [RFCs](ex-cancel-rfcs.md)

# RFC を作成する
<a name="ex-rfc-create-col"></a>

## コンソールを使用した RFC の作成
<a name="ex-rfc-create-con"></a>

以下は、AMS コンソールでの RFC 作成プロセスの最初のページです。**クイックカード**が開き、**変更タイプの参照**がアクティブになっています。

![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/quickCreate1.png)


以下は、AMS コンソールで RFC 作成プロセスの最初のページで、**カテゴリ別に選択**がアクティブになっています。

![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)


仕組み:

1. **RFC **の作成ページに移動します。AMS コンソールの左側のナビゲーションペインで**RFCs** をクリックして RFCsリストページを開き、**RFC の作成**をクリックします。

1. デフォルトの変更タイプ参照ビューで一般的な**変更タイプ** (CT) を選択するか、**カテゴリ別選択ビューで CT **を選択します。
   + **変更タイプ別に参照**: **クイック作成**エリアで一般的な CT をクリックすると、すぐに **RFC の実行**ページを開くことができます。クイック作成で古い CT バージョンを選択することはできません。

     CTs をソートするには、**カード**ビューまたは**テーブル**ビューで**すべての変更タイプ**エリアを使用します。どちらのビューでも、CT を選択し、**RFC の作成**をクリックして **RFC の実行**ページを開きます。必要に応じて、RFC **の作成ボタンの横に古いバージョンで**作成オプションが表示されます。 ****
   + **カテゴリ別に選択**: カテゴリ、サブカテゴリ、項目、オペレーションを選択すると、CT 詳細ボックスが開き、必要に応じて**古いバージョンで作成する**オプションが表示されます。**RFC の作成**をクリックして、**RFC の実行**ページを開きます。

1. **RFC の実行**ページで、CT 名エリアを開き、CT の詳細ボックスを表示します。**件名**は必須です (**変更タイプの参照**ビューで CT を選択した場合は入力されます）。**追加設定**領域を開き、RFC に関する情報を追加します。

   **実行設定**領域で、使用可能なドロップダウンリストを使用するか、必要なパラメータの値を入力します。オプションの実行パラメータを設定するには、**追加設定**エリアを開きます。

1. 完了したら、**実行** をクリックします。エラーがない場合、**RFC が正常に作成された**ページに、送信された RFC の詳細と最初の**実行出力**が表示されます。

1. **Run parameters** 領域を開き、送信した設定を確認します。ページを更新して RFC 実行ステータスを更新します。必要に応じて、RFC をキャンセルするか、ページ上部のオプションを使用してコピーを作成します。

## CLI を使用した RFC の作成
<a name="ex-rfc-create-cli"></a>

仕組み:

1. インライン作成 (すべての RFC と実行パラメータを含む`create-rfc`コマンドを発行) またはテンプレート作成 (2 つの JSON ファイルを作成します。1 つは RFC パラメータ用、もう 1 つは実行パラメータ用) のいずれかを使用し、2 つのファイルを入力として`create-rfc`コマンドを発行します。どちらの方法もここで説明します。

1. 返された RFC ID を使用して RFC: `aws amscm submit-rfc --rfc-id ID` コマンドを送信します。

   RFC: `aws amscm get-rfc --rfc-id ID` コマンドをモニタリングします。

変更タイプのバージョンを確認するには、次のコマンドを使用します。

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注記**  
変更タイプのスキーマの一部であるかどうかにかかわらず、任意の RFC で任意の`CreateRfc`パラメータを使用できます。たとえば、RFC ステータスが変更されたときに通知を受け取るには、リクエストの RFC パラメータ部分 (実行パラメータではなく) `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`にこの行を追加します。すべての CreateRfc パラメータのリストについては、[AMS 変更管理 API リファレンス](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)を参照してください。

*インライン作成*:

インラインで指定された実行パラメータ (インラインで実行パラメータを指定する場合は引用符をエスケープ) を指定して create RFC コマンドを発行し、返された RFC ID を送信します。たとえば、コンテンツを次のような内容に置き換えることができます。

```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```

*テンプレートの作成*:
**注記**  
RFC を作成するこの例では、Load Balancer (ELB) スタック変更タイプを使用します。

1. 関連する CT を見つけます。次のコマンドは、**項目**名に「ELB」が含まれている CT 分類の概要を検索し、Category、Item、Operation、ChangeTypeID の出力をテーブル形式で作成します (両方のサブカテゴリは です`Advanced stack components`)。

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   ---------------------------------------------------------------------
   |                            CtSummaries                            |
   +-----------+---------------------------+---------------------------+
   | Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
   | Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
   +-----------+---------------------------+---------------------------+
   ```

1. CT の最新バージョンを見つけます。

   `ChangeTypeId` および `ChangeTypeVersion`: このウォークスルーの変更タイプ ID は `ct-123h45t6uz7jl` (ELB を作成) です。最新バージョンを確認するには、次のコマンドを実行します。

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
   ```

1. オプションと要件について説明します。次のコマンドは、CreateElbParams.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
   ```

1. 実行パラメータ JSON ファイルを変更して保存します。この例では、CreateElbParams.json.

   プロビジョニング CT の場合、StackTemplateId はスキーマに含まれ、実行パラメータで送信する必要があります。

   TimeoutInMinutes の場合、RFC が失敗するまでにスタックの作成に許可される分数。この設定は RFC の実行を遅らせませんが、十分な時間を与える必要があります (たとえば、「5」を指定しないでください）。UserData: Create EC2 and Create ASG が長時間実行される CTs」～「360」です。他のすべてのプロビジョニング CTs」をお勧めします。

   スタックを作成する VPC の ID を指定します。VPC ID は CLI コマンド で取得できます`aws amsskms list-vpc-summaries`。

   ```
   {
   "Description":      "ELB-Create-RFC", 
   "VpcId":            "VPC_ID", 
   "StackTemplateId":  "stm-sdhopv00000000000", 
   "Name":             "MyElbInstance",
   "TimeoutInMinutes": 60,
   "Parameters":   {
       "ELBSubnetIds":                     ["SUBNET_ID"],
       "ELBHealthCheckHealthyThreshold":   4,
       "ELBHealthCheckInterval":           5,
       "ELBHealthCheckTarget":             "HTTP:80/",
       "ELBHealthCheckTimeout":            60,
       "ELBHealthCheckUnhealthyThreshold": 5,
       "ELBScheme":                        false
       }
   }
   ```

1. RFC JSON テンプレートを CreateElbRfc.json:

   ```
   aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
   ```

1. CreateElbRfc.json ファイルを変更して保存します。実行パラメータを別のファイルに作成したため、`ExecutionParameters`行を削除します。たとえば、コンテンツを次のような内容に置き換えることができます。

   ```
   {
   "ChangeTypeVersion":    "2.0",
   "ChangeTypeId":         "ct-123h45t6uz7jl",
   "Title":                "Create ELB"
   }
   ```

1. RFC を作成します。次のコマンドは、実行パラメータファイルと RFC テンプレートファイルを指定します。

   ```
   aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
   ```

   レスポンスで新しい RFC の ID を受け取り、それを使用して RFC を送信およびモニタリングできます。送信するまで、RFC は編集状態のままであり、開始されません。

## ヒント
<a name="ex-rfc-create-tip"></a>

**注記**  
AMS API/CLI を使用して、RFC JSON ファイルまたは CT 実行パラメータ JSON ファイルを作成せずに RFC を作成できます。これを行うには、 `create-rfc` コマンドを使用し、必要な RFC および実行パラメータを コマンドに追加します。これは「インライン作成」と呼ばれます。すべてのプロビジョニング CTs には、リソースのパラメータを含む`Parameters`配列が`execution-parameters`ブロックに含まれていることに注意してください。パラメータには、バックスラッシュ (\$1) でエスケープされた引用符が必要です。  
RFC を作成する他の文書化された方法は、「テンプレートの作成」と呼ばれます。ここでは、RFC パラメータ用の JSON ファイルと実行パラメータ用の別の JSON ファイルを作成し、 `create-rfc` コマンドを使用して 2 つのファイルを送信します。これらのファイルはテンプレートとして機能し、将来の RFCs に再利用できます。  
テンプレートを使用して RFCs を作成する場合、 コマンドを使用して、次に示すようにコマンドを発行することで、必要な内容の JSON ファイルを作成できます。コマンドは、表示された内容で「parameters.json」という名前のファイルを作成します。これらのコマンドを使用して RFC JSON ファイルを作成することもできます。

# AMS コンソールを使用して RFCs のクローンを作成する (再作成）
<a name="ex-clone-rfcs"></a>

AMS コンソールを使用して、既存の RFC のクローンを作成できます。

AMS コンソールを使用して RFC のクローンを作成または再作成するには、次の手順に従います。

1. 関連する RFC を見つけます。左側のナビゲーションで、**RFCs**をクリックします。

   RFCsが開きます。

1. クローンを作成する RFC が見つかるまでページをスクロールします。**フィルター**オプションを使用してリストを絞り込みます。クローンを作成する RFC を選択します。

   RFC の詳細ページが開きます。

1. **コピーの作成**をクリックします。

   **変更リクエストの作成**ページが開き、すべてのオプションが元の RFC で として設定されます。

1. 必要な変更を加えます。追加オプションを設定するには、**基本**オプションを**アドバンス**トに変更します。すべてのオプションを設定したら、**送信**を選択します。

   アクティブな RFC の詳細ページが開き、クローン RFC の新しい RFC ID が表示され、クローン RFC が RFC ダッシュボードに表示されます。

# RFCsを更新する
<a name="ex-update-rfcs"></a>

RFC を更新して送信するか、再送信することで、拒否された RFC またはまだ送信されていない RFC を再送信できます。ほとんどの RFCs は拒否されることに注意してください。これは、指定された `RequestedStartTime` が送信前に渡されたか、指定された TimeoutInMinutes が RFC の実行に不十分であるためです (TimeoutInMinutes は成功した RFC を延長しないため、Amazon EC2 または長時間実行される UserData を持つ Amazon EC2 Auto Scaling グループでは、常にこれを「60」以上「360」以下に設定することをお勧めします）。このセクションでは、 `UpdateRfc` コマンドの CLI バージョンを使用して、新しい RFC パラメータで RFC を更新する方法、または文字列化された JSON または更新されたパラメータファイルを使用して新しいパラメータを更新する方法について説明します。

この例では、AMS UpdateRfc API の CLI バージョンの使用について説明します ([「RFC の更新](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html)」を参照）。一部のリソース (DNS プライベートおよびパブリック、ロードバランサースタック、スタックパッチ適用設定) を更新するための変更タイプがありますが、RFC を更新する CT はありません。

一度に 1 つの UpdateRfc オペレーションを送信することをお勧めします。DNS スタックなどで複数の更新を送信すると、更新が同時に DNS を更新しようとして失敗する可能性があります。

必須データ: `RfcId`: 更新する RFC。

オプションデータ: `ExecutionParameters`: などの必須でないフィールドを更新しない限り`Description`、RFC が拒否またはキャンセルされた原因となった問題に対処するために、変更された実行パラメータを送信します。送信された NULL 以外の値はすべて、元の RFC の値を上書きします。

1. 関連する拒否またはキャンセルされた RFC を見つけて、このコマンドを使用できます ( 値を に置き換えることができます`Canceled`）。

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
   ```

1. 次のいずれかの RFC パラメータを変更できます。

   ```
   {
       "Description": "string",
       "ExecutionParameters": "string",
       "ExpectedOutcome": "string",
       "ImplementationPlan": "string",
       "RequestedEndTime": "string",
       "RequestedStartTime": "string",
       "RfcId": "string",
       "RollbackPlan": "string",
       "Title": "string",
       "WorstCaseScenario": "string"}
   ```

   説明フィールドを更新するコマンドの例：

   ```
   aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
   ```

   ExecutionParameters VpcId フィールドを更新するコマンドの例：

   ```
   aws amscm update-rfc  --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
   ```

   RFC を、更新を含む実行パラメータファイルで更新するコマンドの例。[EC2 スタック \$1 作成](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html)：」のステップ 2 の実行パラメータファイルの例を参照してください。

   ```
   aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
   ```

1. `submit-rfc` と RFC が最初に作成されたときと同じ RFC ID を使用して RFC を再送信します。

   ```
   aws amscm submit-rfc --rfc-id RFC_ID
   ```

   RFC が成功した場合、コマンドラインに確認メッセージやエラーメッセージは表示されません。

1. リクエストのステータスをモニタリングし、実行出力を表示するには、次のコマンドを実行します。

   ```
   aws amscm get-rfc --rfc-id RFC_ID
   ```

# RFCs の検索
<a name="ex-rfc-find-col"></a>

## コンソールで変更リクエスト (RFC) を検索する
<a name="ex-rfc-find-con"></a>

AMS コンソールを使用して RFC を検索するには、次の手順に従います。
**注記**  
この手順は、スケジュールされた RFCs、つまり **ASAP** オプションを使用しなかった RFCs にのみ適用されます。

1. 左側のナビゲーションで、**RFCs**をクリックします。

   RFCsが開きます。

1. リストをスクロールするか、**フィルター**オプションを使用してリストを絞り込みます。

   RFC リストはフィルター条件ごとに変わります。

1. 目的の RFC のサブジェクトリンクを選択します。

   RFC の詳細ページが開き、RFC ID などの情報が表示されます。

1.  ダッシュボードに多数の RFCs がある場合は、**フィルター**オプションを使用して RFC で検索できます。
   + **件名**: RFC の作成時に指定された件名またはタイトル (API/CLI の場合）。
   + **RFC ID**: RFC の識別子。
   + **アクティビティ状態**: RFC の状態がわかっている場合は、オペレータが現在 RFC を見ていることを示す **AwsOperatorAssigned**、**AwsActionPending** のいずれかを選択できます。つまり、AMS オペレータは RFC 実行を続行する前に何かを実行する必要があります。**CustomerActionPending** は、RFC 実行を続行する前に何らかのアクションを実行する必要があることを意味します。
   + **ステータス**: RFC ステータスがわかっている場合は、次のいずれかを選択できます。
     + **スケジュール**: スケジュールされた RFCs。
     + **キャンセル済み: **キャンセルされた RFCs。
     + **進行中**: RFCsが進行中です。
     + **Success**: RFCs。
     + **拒否:** 拒否された RFCs。
     + **編集**中: 編集中の RFCs。
     + **Failure**: 失敗した RFCs。
     + **承認保留中**: AMS またはユーザーが承認するまで続行できない RFCs。通常、これは RFC を承認する必要があることを示します。サービスリクエストリストにこのサービス通知が表示されます。
   + **変更タイプ**: Category****、**Subcategory**、**Item**、**Operation** を選択すると、変更タイプ ID が自動的に取得されます。
   + **リクエストされた開始時刻**または**リクエストされた終了時刻**: このフィルターオプションでは、**前**または**後**を選択し、**日付**と、オプションで**時刻** (hh:mm とタイムゾーン) を入力できます。このフィルターは、スケジュールされた RFCs (ASAP RFCs。
   + **ステータス**: **スケジュール**済み、**キャンセル済み**、**進行中**、**成功**、**拒否済み**、**編集中**、または**失敗**。
   + **件名**: RFC にした件名 (または RFC が API/CLI で作成された場合はタイトル）。
   + **変更タイプ ID**: RFC で送信された変更タイプの識別子を使用します。

   次のスクリーンショットに示すように、検索ではフィルターを追加できます。  
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)

1. 目的の RFC の件名リンクをクリックします。

   RFC の詳細ページが開き、RFC ID などの情報が表示されます。

## CLI を使用した変更リクエスト (RFC) の検索
<a name="ex-rfc-find-cli"></a>

複数のフィルターを使用して RFC を検索できます。

変更タイプのバージョンを確認するには、次のコマンドを使用します。

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注記**  
変更タイプのスキーマの一部であるかどうかにかかわらず、任意の RFC で任意の`CreateRfc`パラメータを使用できます。たとえば、RFC ステータスが変更されたときに通知を受け取るには、リクエストの RFC パラメータ部分 (実行パラメータではなく) `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`にこの行を追加します。すべての CreateRfc パラメータのリストについては、[AMS 変更管理 API リファレンス](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)を参照してください。

RFC ID を書き留めず、後で見つける必要がある場合は、AMS 変更管理 (CM) システムを使用して ID を検索し、フィルターまたはクエリを使用して結果を絞り込むことができます。

1. CM API [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html) オペレーションにはフィルターがあります。論理 AND オペレーションで `Attribute`と `Value`を組み合わせて、または `Attribute`、、 に基づいて`Condition`結果を[フィルタリング](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)できます`Values`。  
**RFC フィルタリング**    
<a name="rfc-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/ex-rfc-find-col.html)

   例:

   SQS (SQS が CT のアイテム部分に含まれている) に関連するすべての RFCs の IDs を見つけるには、次のコマンドを使用できます。

   ```
   list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
   ```

   これは次のようなものを返します。

   ```
   ----------------------------------------------------------------------------
   |                         ListRfcSummaries                                   |
   +----------+--------------------------------+-------+-------+----------------+
   |Deployment| Advanced Stack Components      |SQS    |Create |ct-123h45t6uz7jl|
   |Management| Monitoring & Notification  |SQS    |Update |ct-123h45t6uz7jl|
   +----------+--------------------------------+-------+-------+----------------+
   ```

   で利用できるもう 1 つのフィルター`list-rfc-summaries`は`AutomationStatusId`、自動または手動RFCs を検索する です。

   ```
   aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
   ```

   で使用できるもう 1 つのフィルター`list-rfc-summaries`は `Title` (コンソールの**件名**) です。

   ```
    Attribute=Title,Value=RFC-TITLE
   ```

   RFCs を返す JSON の新しいリクエスト構造の例は次のとおりです。
   + (タイトル 「Windows 2012」または「Amazon Linux」というフレーズが含まれます)
   + (RfcStatusId EQUALS "Success" OR "InProgress") AND
   + (20170101T00000Z <= RequestedStartTime <= 20170103T000000Z) AND (ActualEndTime <= 20170103T000000Z)

   ```
   {
     "Filters": [
       {
         "Attribute": "Title",
         "Values": ["Windows 2012", "Amazon Linux"],
         "Condition": "Contains"
       },
       {
         "Attribute": "RfcStatusId",
         "Values": ["Success", "InProgress"],
         "Condition": "Equals"
       },
       {
         "Attribute": "RequestedStartTime",
         "Values": ["20170101T000000Z", "20170103T000000Z"],
         "Condition": "Between"
       },
       {
         "Attribute": "ActualEndTime",
         "Values": ["20170103T000000Z"],
         "Condition": "Before"
       }
     ]
   }
   ```
**注記**  
より高度な では`Filters`、AMS は今後のリリースで次のフィールドを廃止する予定です。  
Value: Value フィールドは Filters フィールドの一部です。より高度な機能をサポートする Values フィールドを使用します。
RequestedEndTimeRange: より高度な機能をサポートするフィルターフィールド内で RequestedEndTime を使用します。
RequestedStartTimeRange: より高度な機能をサポートする Filters フィールド内で RequestedStartTime を使用します。

   CLI クエリの使用の詳細については、[「--query オプションで出力をフィルタリングする方法](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)」および「クエリ言語リファレンス」の[JMESPath 仕様](http://jmespath.org/specification.html)」を参照してください。

1. AMS コンソールを使用している場合:

   **RFCs**リストページに移動します。必要に応じて、RFC **サブジェクト**をフィルタリングできます。これは、RFC の作成`Title`時に RFC として入力した内容です。

## ヒント
<a name="ex-rfc-find-tip"></a>

**注記**  
この手順は、スケジュールされた RFCsつまり **ASAP** オプションを使用しなかった RFCs にのみ適用されます。

# RFCs
<a name="ex-cancel-rfcs"></a>

コンソールまたは AMS API/CLI を使用して RFC をキャンセルできます。

コンソールで RFC をキャンセルするには、RFC リストで RFC を見つけて開きます。**キャンセル**をクリックします。

必要なデータ：
+ `Reason`: RFC をキャンセルする理由。
+ `RfcId`: キャンセルする RFC。

1. 通常、RFC は送信直後にキャンセルします (そのため、RFC ID は便利です）。そうしないと、スケジュールして指定した開始時刻より前でない限りキャンセルできません。RFC ID を見つける必要がある場合は、このコマンドを使用できます (手動で承認された RFC `Value``PendingApproval`の代わりに を使用できます）。

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
   ```

1. RFC をキャンセルするコマンドの例：

   ```
   aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
   ```

# RFCs
<a name="ex-rfc-gui"></a>

AMS コンソールには、RFCs。

## RFC リストページを使用する (コンソール)
<a name="ex-rfc-list-table"></a>

AMS コンソール**RFCs** リストページには、次のオプションがあります。
+ **フィルター**による高度な RFC 検索。詳細については、「[RFCs の検索](ex-rfc-find-col.md)」を参照してください。
+ RFC が最後に**変更された**時刻を検索します。この値は、RFC ステータスが最後に変更された時刻を表します。
+ RFC **サブジェクト**を使用した RFC の詳細の表示。このリンクを選択すると、その RFC の詳細ページが開きます。
+ RFC ステータスの表示。詳細については、「[RFC ステータスコードを理解する](ex-rfc-status-codes.md)」を参照してください。

![\[RFC リストページ。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/guiRfcListTable.png)


## RFC クイック作成を使用する (コンソール)
<a name="ex-rfc-create-qc"></a>

RFC クイック作成カードまたはリストテーブルを使用するか、分類別に RFCs の変更タイプを選択します。

詳細については[RFC を作成する](ex-rfc-create-col.md)を参照してください。

## RFC コレスポンデンスとアタッチメントを追加する (コンソール)
<a name="ex-rfc-correspondence"></a>

コレスポンデンスは、送信後、承認前に RFC に追加できます。例えば、PendingApproval」の状態です。RFC が承認されると (「スケジュール済み」またはInProgress」の状態）、リクエストの変更として解釈される可能性があるため、コレスポンデンスを追加できません。RFC が完了すると (「キャンセル済み」、「拒否済み」、「成功」、または「失敗」の状態）、通信は再度有効になりますが、RFC が 30 日以上閉じられると通信は無効になります。

**注記**  
各コレスポンデンスは 5,000 文字に制限されています。

**添付ファイルの制限:**
+ コレスポンデンスごとに 3 つの添付ファイルのみ。
+ RFC ごとに 50 個のアタッチメントを制限します。
+ 各アタッチメントのサイズは 5 MB 未満である必要があります。
+ プレーンテキスト (`.txt`)、カンマ区切り値 ()、JSON (`.csv`)、YAML (`.json`) などのテキストファイルのみが受け入れられます`.yaml`。YAML 形式の場合は、ファイル拡張子 を使用してファイルをアタッチする必要があります`.yaml`。
**注記**  
XML コンテンツを含むテキストファイルは禁止されています。AMS と共有する XML コンテンツがある場合は、サービスリクエストを使用します。
+ ファイル名は 255 文字に制限されており、数字、文字、スペース、ダッシュ (-)、アンダースコア (\$1)、ドット (.) のみを使用できます。
+ RFC での添付ファイルの更新と削除は現在サポートされていません。

RFC にコレスポンデンスと添付ファイルを追加するには、次の手順に従います。

1. AMS コンソールの RFC の詳細ページで、ページの下部にある**「Correspondence**」セクションを見つけます。

   通信前:  
![\[空のコレスポンデンスセクション。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)

   いくつかの通信の後:  
![\[返信フォームと受信した通信を示す通信セクション。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)

1. 新しいコレスポンデンスを追加するには、**返信**テキストボックスにメッセージを入力します。対応に関連するファイルをアタッチするには、**添付ファイルの追加**を選択し、必要なファイルを選択します。  
![\[コメントボックスと添付ファイルを示すコレスポンデンスセクション。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)

1. 完了したら、**送信**を選択します。

   新しいコレスポンデンスは、添付ファイルへのリンクとともに、RFC の詳細ページのコレスポンデンスリストに表示されます。  
![\[受信した通信のリスト。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/correspondence-list2.png)

# RFC E メール通知を設定する (コンソール)
<a name="ex-rfc-email-notices"></a>

AMS コンソール**の変更リクエスト**の作成ページには、RFC の状態変更の通知を受信する E メールアドレスを追加するオプションがあります。

![\[E メールアドレスを追加して、RFC の状態変更の通知を受信します。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)


さらに、次のような変更タイプに通知用の E メールアドレスを追加できます。

```
aws amscm create-rfc --change-type-id <Change type ID>
                    --change-type-version 1.0 --title "TITLE"
                    --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```

パラメータ部分ではなく、RFC パラメータ部分の任意の変更タイプのインラインリクエストまたはテンプレートリクエストに同様の行 (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) を追加します。

# 一般的な RFC パラメータについて説明します。
<a name="rfc-common-params"></a>

以下は、送信する必要がある RFC パラメータと、RFCs。
+ 変更タイプ情報: ChangeTypeId と ChangeTypeVersion。変更タイプ IDs[「変更タイプリファレンス](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)」を参照してください。

  CLI `list-change-type-classification-summaries`で `query`引数を使用して を実行し、結果を絞り込みます。たとえば、結果を絞り込んで、`Item`名前に「アクセス」を含むタイプを変更します。

  ```
  aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
  ```

  を実行し`get-change-type-version`、変更タイプ ID を指定します。次のコマンドは、ct-2tylseo8rxfsc の CT バージョンを取得します。

  ```
  aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
  ```
+ タイトル: RFC の名前。これは AMS コンソール RFC リストの RFC の**サブ**ジェクトになり、 `GetRfc` コマンドとフィルターを使用して検索できます。 `Title`
+ スケジュール: スケジュールされた RFC が必要な場合は、 パラメータ`RequestedStartTime`と `RequestedEndTime`パラメータを含めるか、**この変更のスケジュール**コンソールオプションを使用する必要があります。**ASAP** RFC (承認されるとすぐに実行される) の場合、CLI を使用するときは、 `RequestedStartTime`と `RequestedEndTime` null のままにします。コンソールを使用する場合は、**ASAP **オプションを受け入れます。

  `RequestedStartTime` が見つからない場合、RFC は拒否されます。
+ CT のプロビジョニング CTs: 実行パラメータ、または `Parameters`は、リソースのプロビジョニングに必要な特定の設定です。CT によって大きく異なります。
+ 非プロビジョニング CTs: アクセス CTsやその他 \$1 その他などのリソースをプロビジョニングしない CT、またはスタックを削除しない CTs は、最小限の実行パラメータを持ち、`Parameters`ブロックはありません。
+ RFCs、 を指定するか`TimeoutInMinutes`、RFC が失敗するまでにスタックの作成に何分かかるかも指定する必要があります。長時間実行される UserData の有効な値は 60 (分) から 360 までです。を超える前に実行を完了できない場合、RFC `TimeoutInMinutes` は失敗します。ただし、この設定では RFC の実行が遅延することはありません。
+ S3 バケットや ELB などのインスタンスを作成する RFCs は、通常、最大 7 つのタグ (キーと値のペア) を追加できるスキーマを提供します。デプロイ \$1 高度なスタックコンポーネント \$1 タグ \$1 変更タイプの作成 (ct-3cx7we852p3af) を使用して RFC を送信することで、S3 バケットにタグを追加できます。EC2、EFS、RDS、および多層 (HA 2 階層および HA 1 階層) スキーマでは、最大 50 個のタグを使用できます。タグはスキーマの `ExecutionParameters`部分で指定されます。タグを提供することは大きな価値があります。詳細については、「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

  AMS コンソールを使用する場合は、タグを追加するには**追加設定**エリアを開く必要があります。<a name="using-tags-tip"></a>
**ヒント**  
多くの CT スキーマには、スキーマの上部近くに `Description` および `Name`フィールドがあります。これらのフィールドは、スタックまたはスタックコンポーネントに名前を付けるために使用されます。作成するリソースには名前を付けません。一部のスキーマは、作成するリソースに名前を付けるパラメータを提供し、そうでないスキーマもあります。たとえば、Create EC2 スタックの CT スキーマは、EC2 インスタンスに名前を付けるパラメータを提供しません。そのためには、キー「Name」と名前の値を持つタグを作成する必要があります。このようなタグを作成しない場合、EC2 インスタンスは EC2 コンソールに名前属性なしで表示されます。

## RFC AWS リージョンオプションを使用する
<a name="ex-rfc-region"></a>

AMS API および CLI (`amscm` および `amsskms`) エンドポイントは にあります`us-east-1`。Security Assertion Markup Language (SAML) とフェデレーションする場合、 AWS リージョンを us-east-1 に設定するスクリプトがオンボーディング時に提供されます。SAML を使用する場合、コマンドを発行するときに `--region`オプションを指定する必要はありません。SAML が us-east-1 を使用するように設定されていても、アカウントがその AWS リージョンにない場合は、他の AWS コマンド (例: ) を発行するときに、アカウントオンボーディングリージョンを指定する必要があります`aws s3`。

**注記**  
このガイドに記載されているコマンド例のほとんどには、 `--region`オプションは含まれていません。

# RFC の毎日の E メールにサインアップする
<a name="rfc-digest"></a>

RFC ダイジェスト機能を使用して、過去 24 時間のアカウントの RFC アクティビティをまとめた毎日の E メールにサインアップできます。RFC ダイジェスト機能は、アカウントの RFCs。RFC ダイジェストは、応答を保留しているアクションを見逃す可能性を減らす可能性があります。

RFC ダイジェスト機能を有効にするには、AMS Cloud Service Delivery Manager (CSDM) にお問い合わせください。CSDM がサブスクライブします。RFC ダイジェスト E メールリストに含める E メールアドレス (またはエイリアス) を最大 20 個リクエストできます。現在の E メールスケジュールは 09:00 UTC-8 に固定されています。

RFC ダイジェスト機能をオフにするには、CSDM に連絡してリクエストしてください。

RFC ダイジェストを設定せず、RFCs に関する通知が必要な場合、または RFCs ダイジェストが提供する情報よりも RFC に関する詳細情報が必要な場合は、変更管理システムを使用して、情報が必要な個々の RFC ごとに CloudWatch Events 通知または E メール通知を設定します。RFC 通知の設定については、[「RFC 状態変更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)」を参照してください。

RFC ダイジェストに含まれるトピックは次のとおりです。
+ Pending Customer Approval: **PendingApproval** ステータスの RFCs を一覧表示し、承認待ちにします
+ Pending Customer Reply: RFCsを待っている RFC を一覧表示します
+ 保留中の AWS 承認または応答: AMS が応答または承認を待っている RFCs を一覧表示します
+ 完了: **成功**、**失敗**、**キャンセル、****拒否**のステータスRFCs を一覧表示します

RFC ダイジェストの例を次に示します。

![\[RFC ダイジェストの例\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/RFCDigestExample.png)


# 変更タイプとは?
<a name="understanding-cts"></a>

変更タイプとは、AWS Managed Services (AMS) による変更リクエスト (RFC) が実行し、変更アクション自体、および変更のタイプを手動と自動で含めるアクションを指します。AMS には、他の Amazon ウェブサービスでは使用されていない変更タイプの大規模なコレクションがあります。これらの変更タイプは、リソースをデプロイ、管理、またはアクセスするための変更リクエスト (RFC) を送信するときに使用します。

**Topics**
+ [自動 CT と手動 CTs](ug-automated-or-manual.md)
+ [CT 承認要件](constrained-unconstrained-ctis.md)
+ [変更タイプバージョン](ct-versions.md)
+ [変更タイプを作成する](ct-creates.md)
+ [変更タイプを更新する](ct-updates.md)
+ [内部のみの変更タイプ](ct-internals.md)
+ [変更タイプスキーマ](ct-schemas.md)
+ [変更タイプのアクセス許可の管理](ct-permissions.md)
+ [変更タイプから機密情報を編集する](ct-redaction.md)
+ [クエリオプションを使用した変更タイプの検索](ug-find-ct-ex-section.md)

# 自動 CT と手動 CTs
<a name="ug-automated-or-manual"></a>

変更タイプの制約は、自動か手動かです。これは、AMS コンソールで**実行モード**と呼ばれる変更タイプの`AutomationStatusId`属性です。

自動変更タイプには期待される結果と実行時間があり、通常は 1 時間以内に AMS 自動システムを通じて実行されます (これは CT がプロビジョニングするリソースに大きく依存します）。手動変更タイプは一般的ではありませんが、実行する前に AMS オペレーターが RFC を操作する必要があるため、扱いが異なります。つまり、RFC 送信者と通信する場合があるため、手動の変更タイプでは、完了までにさまざまな時間がかかることがあります。

スケジュールされたすべての RFCs について、未指定の終了時刻は、指定された時刻に、送信された変更タイプの `ExpectedExecutionDurationInMinutes` 属性`RequestedStartTime`を加えた時刻として書き込まれます。たとえば、 `ExpectedExecutionDurationInMinutes`が「60」 (分) で、指定された `RequestedStartTime`が `2016-12-05T14:20:00Z` (2016 年 12 月 5 日午前 4 時 20 分) の場合、実際の終了時刻は 2016 年 12 月 5 日午前 5 時 20 分に設定されます。`ExpectedExecutionDurationInMinutes` 特定の変更タイプの を検索するには、次のコマンドを実行します。

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

**注記**  
スケジュールされた RFCs**の実行モード** = コンソールでは、少なくとも 24 時間後に実行するように設定する必要があります。

**注記**  
手動 CTs を使用する場合、AMS では ASAP **スケジューリング**オプション (コンソールで **ASAP** を選択し、API/CLI で開始時刻と終了時刻を空白のままにする) を使用することをお勧めします。これらの CTs では、AMS オペレータが RFC を調べ、承認して実行する前にお客様と通信する必要があるためです。これらの RFCsスケジュールする場合は、少なくとも 24 時間かかります。スケジュールされた開始時刻より前に承認が行われない場合、RFC は自動的に拒否されます。

AMS は手動 CT に 4 時間以内に応答することを目指しており、できるだけ早く対応しますが、RFC が実際に実行されるまでにかなり時間がかかる場合があります。

手動であり、AMS レビューが必要な CTs**「変更タイプ CSV ファイル**」を参照してください。

**YouTube Video**: [ AMS RFCs の自動変更タイプを見つけるにはどうすればよいですか?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)

AMS コンソールで CT **の実行モード**を見つけるには、**変更タイプの参照**検索オプションを使用する必要があります。結果には、一致する変更タイプまたは変更タイプの実行モードが表示されます。

AMS CLI を使用して`AutomationStatus`特定の変更タイプの を検索するには、次のコマンドを実行します。

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```

すべての [AMS 変更タイプに関する情報を提供する AMS 変更タイプリファレンス](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)で変更タイプを検索することもできます。

**注記**  
AMS API/CLI は現在 AWS API/CLI の一部ではありません。AMS API/CLI にアクセスするには、AMS コンソールから AMS SDK をダウンロードします。

# CT 承認要件
<a name="constrained-unconstrained-ctis"></a>

AMS CTs には、常に **AwsApprovalId** と **CustomerApprovalId** の 2 つの承認条件があり、RFC が実行を承認するために AMS またはユーザー、あるいは誰かを必要とするかどうかを示します。

承認条件は実行モードと多少関連しています。詳細については、「」を参照してください[自動 CT と手動 CTs](ug-automated-or-manual.md)。

CT の承認条件を確認するには、[AMS 変更タイプリファレンス](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)を参照するか、[GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html) を実行します。どちらも CT モード`AutomationStatusId`または**実行モード**も提供します。

RFCs を承認するには、AMS コンソールを使用するか、次のコマンドを使用します。

```
aws amscm approve-rfc --rfc-id RFC_ID
```


**CT 承認条件**  

| CT 承認条件が の場合 | からの承認が必要です | And | 
| --- | --- | --- | 
| `AwsApprovalId: Required` | AMS 変更タイプシステム | アクションは必要ありません。この条件は、自動 CTs。 | 
| `AwsApprovalId: NotRequiredIfSubmitter` | 送信された RFC が送信されたアカウント用である場合、AMS 変更タイプシステムであり、他に誰もいません。 | アクションは必要ありません。この条件は、AMS 演算子によって常にレビューされるため、手動 CTs では一般的です。 | 
| `CustomerApprovalId: NotRequired` | AMS 変更タイプシステム | RFC が構文チェックとパラメータチェックに合格すると、自動承認されます。 | 
| `CustomerApprovalId: Required` | AMS 変更タイプシステムとユーザー | 通知が送信され、通知に応答するか、[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) オペレーションを実行して、RFC を明示的に承認する必要があります。 | 
| `CustomerApprovalId: NotRequiredIfSubmitter` | RFC を送信した場合は、AMS 変更タイプシステムであり、他のユーザーではありません。 | RFC が構文チェックとパラメータチェックに合格すると、自動承認されます。 | 
| 緊急のセキュリティインシデントまたはパッチ | AMS | 自動承認され、実装されています。 | 

# 変更タイプバージョン
<a name="ct-versions"></a>

変更タイプはバージョン管理され、バージョンは変更タイプにメジャーな更新が行われたときに変更されます。

AMS コンソールを使用して変更タイプを選択したら、**追加設定**エリアを開き、変更タイプバージョンを選択するオプションがあります。API/CLI コマンドラインで変更タイプバージョンを指定することもできます。これは、次のようなさまざまな理由で実行できます。
+ 更新する**変更**タイプのバージョンは、更新するリソースの作成に使用した変更タイプの**作成**バージョンと一致する必要があります。たとえば、ELB Create change type version 1 で作成した Elastic Load Balancer (ELB) インスタンスがあるとします。更新するには、ELB 更新バージョン 1 を選択します。
+ 最新の変更タイプとは異なるオプションを含む変更タイプバージョンを使用します。AMS は主にセキュリティ上の理由から変更タイプを更新するため、これはお勧めしません。常に最新バージョンを選択することをお勧めします。

# 変更タイプを作成する
<a name="ct-creates"></a>

変更タイプの作成は、version-to-version更新変更タイプと一致します。つまり、リソースのプロビジョニングに使用する変更タイプバージョンは、後でそのリソースを変更するために使用する更新変更タイプのバージョンと一致する必要があります。例えば、Create S3 Bucket change type version 2.0 で S3 バケットを作成し、後で RFC を送信してその S3 バケットを変更する場合は、バージョン 3.0 の Update S3 Bucket change type version 2.0 があっても、Update S3 Bucket change type version 2.0 も使用する必要があります。

後で Update 変更タイプを使用してリソースを変更する場合に備えて、Create 変更タイプでリソースをプロビジョニングするときに使用する変更タイプ ID とバージョンを記録しておくことをお勧めします。

# 変更タイプを更新する
<a name="ct-updates"></a>

AMS には、Create change types で作成されたリソースを更新するための Update change types が用意されています。Update 変更タイプは、リソースのプロビジョニングに最初に使用された Create 変更タイプとversion-to-version一致させる必要があります。

更新しやすいように、リソースをプロビジョニングするときに使用する変更タイプ ID とバージョンを記録しておくことをお勧めします。

**YouTube 動画**: [ 更新 CTs を使用して AWS Managed Services (AMS) アカウントのリソースを変更する方法を教えてください。](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)

# 内部のみの変更タイプ
<a name="ct-internals"></a>

内部使用のみの変更タイプを確認できます。これにより、AMS が実行できる、または実行するアクションがわかります。使用できる内部のみの変更タイプがある場合は、サービスリクエストを送信します。

例えば、管理 \$1 モニタリングと通知 \$1 CloudWatch アラーム抑制 \$1 CT の更新は内部専用です。AMS はこれを使用してインフラストラクチャの更新 (パッチ適用など) をデプロイし、更新が誤ってトリガーされる可能性のあるアラーム通知をオフにします。この CT が送信されると、RFC リストに CT の RFC が表示されます。RFC にデプロイされている内部専用 CT は、RFC リストに表示されます。

# 変更タイプスキーマ
<a name="ct-schemas"></a>

すべての変更タイプは、リソースの作成、変更、またはアクセスの入力に JSON スキーマを提供します。スキーマは、変更リクエスト (RFC) を作成するためのパラメータとその説明を提供します。

RFC が正常に実行されると、実行出力になります。RFCsプロビジョニングの場合、実行出力には CloudFormation のスタックを表す「stack\$1id」が含まれ、CloudFormation コンソールで検索できます。実行出力には、作成されたインスタンスの ID の出力が含まれる場合があり、その ID を使用して対応する AWS コンソールでインスタンスを検索できます。例えば、Create ELB CT 実行出力には、CloudFormation で検索可能な「stack\$1id」が含まれ、Elastic Load Balancing の Amazon EC2 コンソールで検索可能な key=ELB value=<stack-xxxx> を出力します。

CT スキーマを見てみましょう。これは、かなり小さなスキーマである CodeDeploy Application Create のスキーマです。一部のスキーマには、非常に大きな`Parameter`領域があります。


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/ct-schemas.html)

**注記**  
このスキーマでは最大 7 つのタグを使用できますが、EC2、EFS、RDS、および多層作成スキーマでは最大 50 個のタグを使用できます。

# 変更タイプのアクセス許可の管理
<a name="ct-permissions"></a>

カスタムポリシーを使用して、異なるグループまたはユーザーが使用できる変更タイプ (CTs) を制限できます。

これを行う方法の詳細については、「AMS ユーザーガイド」セクション「アクセス[許可の設定](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html)」を参照してください。

# 変更タイプから機密情報を編集する
<a name="ct-redaction"></a>

AMS 変更タイプスキーマ`"metadata":"ams:sensitive":"true"`は、パスワードなどの機密情報を含むパラメータに使用されるパラメータ属性を提供します。この属性を設定すると、指定された入力は不明瞭になります。このパラメータ属性は設定できないことに注意してください。ただし、AMS を使用して変更タイプを作成し、入力時に不明瞭にするパラメータがある場合は、これをリクエストできます。

# クエリオプションを使用した変更タイプの検索
<a name="ug-find-ct-ex-section"></a>

この例では、AMS コンソールを使用して、送信する RFC の適切な変更タイプを見つける方法を示します。

コンソールまたは API/CLI を使用して、変更タイプ ID (CT) またはバージョンを検索できます。検索または分類の選択の 2 つの方法があります。どちらの選択タイプでも、**最も頻繁に使用される**、**最近使用された**、または**アルファベット**のいずれかを選択して検索をソートできます。

**YouTube 動画**: [ AWS Managed Services CLI を使用して RFC を作成する方法と、CT スキーマの場所を教えてください。](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)

AMS コンソールの **RFCs** -> **RFC の作成**ページで、次の操作を行います。
+ **変更タイプによる参照** (デフォルト) を選択した場合、次のいずれかを実行します。
  + **クイック作成**エリアを使用して、AMS の最も一般的な CTs から選択します。ラベルをクリックすると、**RFC の実行**ページが開き、**件名**オプションが自動的に入力されます。必要に応じて残りのオプションを完了し、**実行**をクリックして RFC を送信します。
  + または、**すべての変更タイプ**領域までスクロールダウンし、オプションボックスに CT 名を入力し始めます。変更タイプ名を完全または完全に設定する必要はありません。関連する単語を入力して、変更タイプ ID、分類、または実行モード (自動または手動) で CT を検索することもできます。

    デフォルトの**カード**ビューを選択すると、入力時に一致する CT カードが表示され、カードを選択して **RFC の作成**をクリックします。**テーブル**ビューを選択し、関連する CT を選択し、**RFC の作成**をクリックします。どちらの方法でも**、RFC の実行**ページが開きます。
+ または、変更タイプの選択肢を確認するには、ページ上部の**「カテゴリ別に選択**」をクリックして、一連のドロップダウンオプションボックスを開きます。
+ **カテゴリ**、**サブカテゴリ**、**項目**、**オペレーション**を選択します。その変更タイプの情報ボックスは、ページの下部にパネルが表示されます。
+ 準備ができたら、**Enter** キーを押すと、一致する変更タイプのリストが表示されます。
+ リストから変更タイプを選択します。その変更タイプの情報ボックスがページの下部に表示されます。
+ 正しい変更タイプを取得したら、**RFC の作成**を選択します。
**注記**  
これらのコマンドを機能させるには、AMS CLI をインストールする必要があります。AMS API または CLI をインストールするには、AMS コンソール**のデベロッパーリソース**ページに移動します。AMS CM API または AMS SKMS API のリファレンスマテリアルについては、「 ユーザーガイド」の「AMS 情報リソース」セクションを参照してください。認証`--profile`のオプションを追加する必要がある場合があります。例: `aws amsskms ams-cli-command --profile SAML`。また、 など、すべての AMS コマンドが us-east-1 を使い果たすため、 `--region`オプションを追加する必要がある場合があります`aws amscm ams-cli-command --region=us-east-1`。
**注記**  
AMS API/CLI (amscm および amsskms) エンドポイントは、AWS N. Virginia リージョン にあります`us-east-1`。認証の設定方法や、アカウントとリソースが存在する AWS リージョンによっては、コマンドの発行`--region us-east-1`時に追加が必要になる場合があります。認証方法である場合は`--profile saml`、 を追加する必要がある場合もあります。

AMS CM API ([ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html) を参照) または CLI を使用して変更タイプを検索するには：

フィルターまたはクエリを使用して検索できます。ListChangeTypeClassificationSummaries オペレーションには、`Category`、、`Subcategory``Item`、および の[フィルター](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters)オプションがありますが`Operation`、値は既存の値と完全に一致する必要があります。CLI を使用する際のより柔軟な結果を得るには、 `--query`オプションを使用できます。


**AMS CM API/CLI を使用した変更タイプのフィルタリング**  
<a name="ct-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)

1. 変更タイプの分類を一覧表示する例をいくつか示します。

   次のコマンドは、すべての変更タイプカテゴリを一覧表示します。

   ```
   aws amscm list-change-type-categories
   ```

   次の コマンドは、指定されたカテゴリに属するサブカテゴリを一覧表示します。

   ```
   aws amscm list-change-type-subcategories --category CATEGORY
   ```

   次の コマンドは、指定されたカテゴリとサブカテゴリに属する項目を一覧表示します。

   ```
   aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
   ```

1. CLI クエリで変更タイプを検索する例をいくつか示します。

   次のコマンドは、項目名に「S3」が含まれている CT 分類の概要を検索し、カテゴリ、サブカテゴリ、項目、オペレーション、変更タイプ ID の出力をテーブル形式で作成します。

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   +---------------------------------------------------------------+
   |               ListChangeTypeClassificationSummaries           |
   +----------+-------------------------+--+------+----------------+
   |Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
   +----------+-------------------------+--+------+----------------+
   ```

1. その後、変更タイプ ID を使用して CT スキーマを取得し、パラメータを調べることができます。次のコマンドは、CreateS3Params.schema.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
   ```

   CLI クエリの使用の詳細については、[「--query Option で出力をフィルタリングする方法](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)」および「クエリ言語リファレンス」の[JMESPath Specification](http://jmespath.org/specification.html)」を参照してください。

1. 変更タイプ ID を取得したら、変更タイプのバージョンを検証して最新バージョンであることを確認することをお勧めします。次のコマンドを使用して、指定された変更タイプのバージョンを検索します。

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
   ```

   `AutomationStatus` 特定の変更タイプの を検索するには、次のコマンドを実行します。

   ```
   aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
   ```

   `ExpectedExecutionDurationInMinutes` 特定の変更タイプの を検索するには、次のコマンドを実行します。

   ```
   aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
   ```

# AMS での RFC エラーのトラブルシューティング
<a name="rfc-troubleshoot"></a>

多くの AMS プロビジョニング RFC 障害は、CloudFormation ドキュメントを通じて調査できます。[ AWS CloudFormation のトラブルシューティング: エラーのトラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)」を参照してください。

追加のトラブルシューティングの提案については、以下のセクションで説明します。

## AMS の「管理」RFC エラー
<a name="rfc-access-failure"></a>

AMS "Management" カテゴリ変更タイプ (CTs) を使用すると、リソースへのアクセスをリクエストしたり、既存のリソースを管理したりできます。このセクションでは、いくつかの一般的な問題について説明します。

### RFC アクセスエラー
<a name="rfc-access-failure"></a>
+ RFC で指定したユーザー名と FQDN が正しく、ドメインに存在することを確認します。FQDN の検索については、[「FQDN の検索](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html)」を参照してください。
+ アクセス用に指定したスタック ID が EC2-relatedスタックであることを確認します。ELB や Amazon Simple Storage Service (S3) などのスタックは、アクセス RFCsの候補ではなく、読み取り専用アクセスロールを使用してこれらのスタックリソースにアクセスします。スタック ID の検索については、[「スタック IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)」を参照してください。
+ 指定したスタック ID が正しく、関連するアカウントに属していることを確認します。

その他のアクセス RFC 障害については、[「アクセス管理](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html)」を参照してください。

**YouTube 動画**: [ 拒否や失敗を避けるために、変更リクエスト (RFC) を適切に作成するにはどうすればよいですか?](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)

### RFC (手動) CT スケジューリングエラー
<a name="manual-ct-schedule-failure"></a>

ほとんどの変更タイプは ExecutionMode=Automated ですが、一部は ExecutionMode=Manual であり、RFC の失敗を避けるためのスケジュール方法に影響します。

ExecutionMode=Manual のスケジュールされた RFCs は、AMS コンソールを使用して RFC を作成する場合は、少なくとも 24 時間後に実行するように設定する必要があります。

AMS は手動 CT に 8 時間以内に応答することを目指しており、できるだけ早く対応しますが、RFC が実際に実行されるまでにかなり時間がかかる場合があります。

### 手動更新 CT RFCs の使用 CTs
<a name="manual-ct-update-failure"></a>

AMS オペレーションは、更新するスタックタイプの更新変更タイプがある場合、 管理 \$1 その他 \$1 スタックの更新に関するその他の RFCs を拒否します。

### RFC スタック削除エラー
<a name="rfc-delete-stack-fail"></a>

RFC 削除スタックの失敗: Management \$1 Standard stacks \$1 Stack \$1 Delete CT を使用する場合、AMS スタック名を持つスタックの詳細なイベントが CloudFormation コンソールに表示されます。スタックは、AMS コンソールの名前と照合することで識別できます。 CloudFormation コンソールには、障害の原因に関する詳細が表示されます。

スタックを削除する前に、スタックの作成方法を考慮する必要があります。AMS CT を使用してスタックを作成し、スタックリソースを追加または編集しなかった場合、問題なく削除できます。ただし、削除スタック RFC を送信する前に、手動で追加されたリソースをスタックから削除することをお勧めします。たとえば、フルスタック CT (HA Two Tier) を使用してスタックを作成する場合、セキュリティグループ - SG1 が含まれます。次に AMS を使用して別のセキュリティグループ SG2 を作成し、フルスタックの一部として作成された SG1 内の新しい SG2 を参照し、削除スタック CT を使用してスタックを削除した場合、SG2 SG1 は削除しません。 SG1 

**重要**  
スタックを削除すると、望ましくない結果や予期しない結果が生じる可能性があります。AMS は、この理由から、お客様に代わってスタックまたはスタックリソースを \$1削除しない\$1 ことを優先します。AMS は、ユーザーに代わって (送信された管理 \$1 その他 \$1 その他 \$1 変更タイプの更新を通じて）、削除する適切な自動変更タイプを使用して削除できないリソースのみを削除することに注意してください。追加の考慮事項:  
リソースが「削除保護」に対して有効になっている場合、管理 \$1 その他 \$1 その他 \$1 変更タイプを更新し、削除保護を削除した後、自動 CT を使用してそのリソースを削除することで、AMS はこれをブロック解除できます。
スタックに複数のリソースがあり、スタックリソースのサブセットのみを削除する場合は、CloudFormation Update 変更タイプを使用します ([CloudFormation Ingest Stack: Updatedating](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html)」を参照）。管理 \$1 その他 \$1 その他 \$1 更新変更タイプを送信することもできます。AMS エンジニアは、必要に応じて変更セットの作成を支援します。
ドリフトが原因で CloudFormation Update CT の使用に問題がある場合、AMS は、管理 \$1 その他 \$1 その他 \$1 更新を送信してドリフトを解決し (AWS CloudFormation サービスでサポートされる限り）、自動 CT、管理/カスタムスタック/CloudFormation テンプレートからのスタック/変更セットと更新の承認を使用して検証および実行できる ChangeSet を提供できます。
AMS は、予期しない、または予期しないリソースの削除がないように、上記の制限を維持します。

詳細については、[AWS CloudFormation のトラブルシューティング: スタックの削除が失敗](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails)する」を参照してください。

### RFC 更新 DNS エラー
<a name="rfc-update-dns-failure"></a>

DNS ホストゾーンを更新する複数の RFCs は、理由なしに失敗する可能性があります。DNS ホストゾーン (プライベートまたはパブリック) を更新するために複数の RFCs を同時に作成すると、同じスタックを同時に更新しようとしているために、一部の RFCs が失敗する可能性があります。AMS 変更管理は、スタックが別の RFCs によって既に更新されているため、スタックを更新できない RFC を拒否または失敗します。AMS では、一度に 1 つの RFC を作成し、RFC が成功するのを待ってから、同じスタック用に新しい RFC を作成することをお勧めします。

### RFC IAM エンティティエラー
<a name="making-iam-requests"></a>

AMS は、ニーズを満たすように設計されたいくつかのデフォルトの IAM ロールとプロファイルを AMS アカウントにプロビジョニングします。ただし、追加の IAM リソースをリクエストする必要がある場合があります。

カスタム IAM リソースをリクエストする RFCs を送信するプロセスは、手動 RFCsの標準ワークフローに従いますが、承認プロセスには、適切なセキュリティコントロールが実施されていることを確認するためのセキュリティレビューも含まれています。したがって、通常、このプロセスは他の手動 RFCsよりも時間がかかります。これらの RFCsのサイクル時間を短縮するには、次のガイドラインに従ってください。

IAM レビューの意味と、それが技術標準およびリスク許容プロセスにどのようにマッピングされるかについては、「」を参照してください[RFC セキュリティレビューを理解する](rfc-security.md)。

一般的な IAM リソースリクエスト:
+ CloudEndure などの主要なクラウド互換アプリケーションに関連するポリシーをリクエストする場合は、AMS の事前承認された IAM CloudEndure ポリシー: [WIGs Cloud Endure ランディングゾーンの例](samples/wigs-ce-lz-examples.zip)ファイルを解凍し、 `customer_cloud_endure_policy.json`
**注記**  
より寛容なポリシーが必要な場合は、CloudArchitect/CSDM とニーズについて話し合い、必要に応じて、ポリシーを実装する RFC を送信する前に AMS セキュリティレビューとサインオフを取得します。
+ デフォルトでは、アカウントに AMS によってデプロイされたリソースを変更する場合は、既存のリソースに変更を加えるのではなく、そのリソースの修正されたコピーをリクエストすることをお勧めします。
+ (ユーザーに許可をアタッチするのではなく) 人間のユーザーの許可をリクエストする場合は、その許可をロールにアタッチし、そのロールを引き受ける許可をユーザーに付与します。これを行う方法の詳細については、[「一時的な AMS Advanced コンソールアクセス](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)」を参照してください。
+ 一時的な移行またはワークフローに例外的なアクセス許可が必要な場合は、リクエストでそれらのアクセス許可の終了日を指定します。
+ リクエストの件名についてセキュリティチームとすでに話し合っている場合は、CSDM に承認の証拠をできるだけ詳しく提供します。

AMS が IAM RFC を拒否した場合、拒否の明確な理由を指定します。例えば、IAM ポリシー作成リクエストを拒否し、ポリシーについて不適切な点を説明する場合があります。その場合は、特定された変更を行い、リクエストを再送信できます。リクエストのステータスをさらに明確にする必要がある場合は、サービスリクエストを送信するか、CSDM にお問い合わせください。

次のリストは、IAM RFCs を確認するときに AMS が軽減を試みる一般的なリスクを示しています。IAM RFC にこれらのリスクがある場合、RFC が拒否される可能性があります。例外が必要な場合、AMS はセキュリティチームの承認を求めます。このような例外を求めるには、CSDM と調整します。

**注記**  
AMS は、何らかの理由で、アカウント内の IAM リソースへの変更を拒否することがあります。RFC 拒否に関する懸念については、サービスリクエストを介して AMS オペレーションに問い合わせるか、CSDM にお問い合わせください。
+ 独自のアクセス許可を変更したり、アカウント内の他のリソースのアクセス許可を変更したりできるアクセス許可など、権限のエスカレーション。例:
  + 別のより特権的なロール`iam:PassRole`で を使用する。
  + ロールまたはユーザーから IAM ポリシーをアタッチ/デタッチするアクセス許可。
  + アカウントの IAM ポリシーの変更。
  + 管理インフラストラクチャのコンテキストで API コールを行う機能。
+ AMS サービスを提供するために必要なリソースまたはアプリケーションを変更するアクセス許可。例:
  + 踏み台、管理ホスト、EPS インフラストラクチャなどの AMS インフラストラクチャの変更。
  + ログ管理 AWS Lambda 関数、またはログストリームの削除。
  + デフォルトの CloudTrail モニタリングアプリケーションの削除または変更。
  + Directory Services Active Directory (AD) の変更。
  + CloudWatch (CW) アラームを無効にする。
  + ランディングゾーンの一部としてアカウントにデプロイされたプリンシパル、ポリシー、名前空間の変更。
+ 情報セキュリティを危険にさらす状態でインフラストラクチャを作成できるアクセス許可など、ベストプラクティス外のインフラストラクチャのデプロイ。例:
  + パブリックまたは暗号化されていない S3 バケットの作成または EBS ボリュームのパブリック共有。
  + パブリック IP アドレスのプロビジョニング。
  + 広範なアクセスを許可するようにセキュリティグループを変更しました。
+ データ損失、整合性損失、不適切な設定、インフラストラクチャおよびアカウント内のアプリケーションのサービスの中断につながる可能性のあるアクセス許可など、アプリケーションに影響を与える可能性のある過度に広範なアクセス許可。例:
  + や などの APIs を介したネットワークトラフィックの無効化`ModifyNetworkInterfaceAttribute`またはリダイレクト`UpdateRouteTable`。
  + マネージドホストからボリュームをデタッチしてマネージドインフラストラクチャを無効にする。
+ AMS サービスの説明の一部ではなく、AMS でサポートされていないサービスのアクセス許可。

  AMS サービスの説明に記載されていないサービスは、AMS アカウントでは使用できません。機能またはサービスのサポートをリクエストするには、CSDM にお問い合わせください。
+ 過度に寛大であるか、控えめであるか、間違ったリソースに適用されるため、指定された目標を達成できないアクセス許可。例:
  + 関連するキーへのアクセス`s3:PutObject`許可のない、必須の KMS 暗号化を持つ S3 バケットへのアクセス`KMS:Encrypt`許可のリクエスト。
  + アカウントに存在しないリソースに関連するアクセス許可。
  + RFCs の説明がリクエストと一致しないように思われる IAM RFC。

## 「デプロイ」 RFC エラー
<a name="rfc-provisioning-fail"></a>

AMS "Deployment" カテゴリ変更タイプ (CTs) を使用すると、AMS がサポートするさまざまなリソースをアカウントに追加することをリクエストできます。

リソースを作成するほとんどの AMS CTs は、 CloudFormation テンプレートに基づいています。お客様は、 CloudFormation コンソールを使用して CloudFormation、 CloudFormation スタックの説明に基づいてスタックを表すスタックをすばやく特定できます。障害が発生したスタックは DELETE\$1COMPLETE 状態である可能性があります。 CloudFormation スタックを特定すると、イベントには作成に失敗した特定のリソースとその理由が表示されます。

### CloudFormation ドキュメントを使用したトラブルシューティング
<a name="rfc-cfn-docs"></a>

ほとんどの AMS プロビジョニング RFCs は CloudFormation テンプレートを使用しており、そのドキュメントはトラブルシューティングに役立ちます。その CloudFormation テンプレートのドキュメントを参照してください。
+ アプリケーションロードバランサーの作成の失敗: [ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html)
+ Auto [ Scaling グループの作成: AWS::AutoScaling::AutoScalingGroup (Auto Scaling グループ)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ memcached キャッシュの作成: [ AWS::ElastiCache::CacheCluster (キャッシュクラスター)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Redis キャッシュの作成: [ AWS::ElastiCache::CacheCluster (キャッシュクラスター)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ DNS ホストゾーンの作成 (DNS プライベート/パブリックの作成で使用): [ AWS::Route53::HostedZone (R53 ホストゾーン)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ DNS レコードセットの作成 (DNS プライベート/パブリックの作成で使用): [ AWS::Route53::RecordSet (リソースレコードセット)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ EC2 スタックの作成: [ AWS::EC2::Instance (Elastic Compute Cloud)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ Elastic File System (EFS): [ AWS::EFS::FileSystem (Elastic File System)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ ロードバランサーの作成: [ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html)
+ RDS DB の作成: [ AWS::RDS::DBInstance (リレーショナルデータベース)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ Amazon S3 の作成: [ AWS::S3::Bucket (Simple Storage Service)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ キューの作成: [ AWS::SQS::Queue (簡易キューサービス)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)

### RFC AMI AMIs の作成エラー
<a name="rfc-create-ami-failure"></a>

Amazon マシンイメージ (AMI) は、ソフトウェア構成 (オペレーティングシステム、アプリケーションサーバー、アプリケーションなど) を記録したテンプレートです。AMI から、クラウドで仮想サーバーとして実行される AMI のコピーである*インスタンス*を起動します。AMIs は非常に有用であり、EC2 インスタンスまたは Auto Scaling グループの作成に必要ですが、いくつかの要件に従う必要があります。
+ に指定するインスタンスは、RFC が成功するためには停止状態`Ec2InstanceId`である必要があります。ASG は停止したインスタンスを終了するため、このパラメータに Auto Scaling グループ (ASG) インスタンスを使用しないでください。
+ AMS Amazon マシンイメージ (AMI) を作成するには、AMS インスタンスから始める必要があります。インスタンスを使用して AMI を作成する前に、インスタンスが停止され、そのドメインから接続解除されていることを確認することで、インスタンスを準備する必要があります。詳細については、[「Sysprep を使用して標準 Amazon マシンイメージを作成する](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)」を参照してください。
+ 新しい AMI に指定する名前は、アカウント内で一意である必要があります。そうしないと、RFC は失敗します。これを行う方法については、[「AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)」で説明されています。詳細については、「」および[「AWS AMI Design](https://aws.amazon.com/answers/configuration-management/aws-ami-design/)」を参照してください。

**注記**  
AMI 作成の準備の詳細については、[「AMI \$1 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)作成」を参照してください。

### EC2s または ASGs エラーを作成する RFCs
<a name="rfc-create-ec2-asg-failure"></a>

タイムアウトを伴う EC2 または ASG 障害の場合、AMS では、使用する AMI がカスタマイズされているかどうかを確認することをお勧めします。その場合は、このガイドに含まれている AMI 作成手順 ([「AMI \$1 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)作成」を参照) を参照して、AMI が正しく作成されたことを確認してください。カスタム AMI を作成する際の一般的な間違いは、 ガイドの手順に従って Sysprep の名前を変更または呼び出すことではありません。

### RDS エラーを作成する RFCs
<a name="rfc-create-rds-failure"></a>

Amazon Relational Database Service (RDS) の障害は、RDS の作成時にさまざまなエンジンを使用でき、各エンジンには独自の要件と制限があるため、さまざまな理由で発生する可能性があります。AMS RDS スタックを作成する前に、AWS RDS パラメータ値を慎重に確認してください。[CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)」を参照してください。

サイズのレコメンデーションなど、Amazon RDS 全般の詳細については、[Amazon Relational Database Service ドキュメント](https://aws.amazon.com/documentation/rds/)」を参照してください。

### Amazon S3s エラーを作成する RFCs
<a name="rfc-create-s3-failure"></a>

S3 ストレージバケットを作成する際の一般的なエラーの 1 つは、バケットに一意の名前を使用しないことです。以前に送信したものと同じ名前の S3 バケット Create CT を送信した場合、その BucketName を持つ S3 バケットがすでに存在するため、失敗します。これは CloudFormation コンソールで詳しく説明され、スタックイベントにバケット名がすでに使用されていることが示されます。

## RFC 検証エラーと実行エラー
<a name="rfc-valid-execute-errors"></a>

RFC の失敗と関連するメッセージは、選択した RFC の AMS コンソール RFC の詳細ページの出力メッセージによって異なります。
+ 検証失敗の理由は、ステータスフィールドでのみ使用できます。
+ 実行失敗の理由は、実行出力とステータスフィールドで使用できます。

![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/rfcReason.png)


## RFC エラーメッセージ
<a name="rfc-error-messages"></a>

リストされた変更タイプ (CTs) で次のエラーが発生した場合は、これらのソリューションを使用して問題の原因を見つけて修正できます。

`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`

以下のトラブルシューティングオプションを参照してさらにサポートが必要な場合は、RFC 通信を通じて AMS をエンゲージしてください。詳細については、[「RFC の通信と添付ファイル (コンソール)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)」を参照してください。

### ワークロード取り込み (WIGS) エラー
<a name="rfc-valid-execute-wigs"></a>

**注記**  
Windows と Linux の両方の検証ツールは、オンプレミスサーバーと AWS の EC2 インスタンスに直接ダウンロードして実行できます。これらは、*「AMS Advanced Application Developer's Guide* [Migrating workloads: Linux pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html)」および[「Migrating workloads: Windows pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)」で確認できます。
+ EC2 インスタンスがターゲット AMS アカウントに存在することを確認します。たとえば、AMS 以外のアカウントから AMS アカウントに AMI を共有している場合は、ワークロード取り込み RFC を送信する前に、共有 AMI を使用して AMS アカウントに EC2 インスタンスを作成する必要があります。
+ インスタンスにアタッチされたセキュリティグループで送信トラフィックが許可されているかどうかを確認します。SSM エージェントはパブリックエンドポイントに接続できる必要があります。
+ インスタンスに SSM エージェントに接続するための適切なアクセス許可があるかどうかを確認します。これらのアクセス許可には が付属`customer-mc-ec2-instance-profile`しています。これは EC2 コンソールで確認できます。  
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)

### EC2 インスタンススタック停止エラー
<a name="rfc-valid-execute-ec2-stop"></a>
+ インスタンスが既に停止状態か終了状態かを確認します。
+ EC2 インスタンスがオンラインであり、`InternalError`エラーが表示された場合は、AMS が調査するためのサービスリクエストを送信します。
+ 変更タイプ Management \$1 Advanced stack components \$1 EC2 instance stack \$1 Stop ct-3mvt2zkyveqj を使用して Auto Scaling グループ (ASG) インスタンスを停止することはできません。ASG インスタンスを停止する必要がある場合は、サービスリクエストを送信します。

### EC2 インスタンススタックの作成エラー
<a name="rfc-valid-execute-ec2-create"></a>

メッセージは CloudFormation からの`InternalError`ものです。CREATION\$1FAILED ステータスの理由です。CloudWatch スタックイベントでスタックの障害に関する詳細を確認するには、次の手順に従います。
+ AWS マネジメントコンソールでは、スタックの作成、更新、または削除中にスタックイベントのリストを表示できます。このリストから失敗イベントを探して、そのイベントのステータスの理由を確認します。

  ステータスの理由には、問題を理解するのに役立つ AWS CloudFormation または特定のサービスからのエラーメッセージが含まれている場合があります。
+ スタックイベントの表示の詳細については、[「AWS マネジメントコンソールでの AWS CloudFormation スタックデータとリソースの表示](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html)」を参照してください。

### EC2 インスタンスボリュームの復元エラー
<a name="rfc-ec2-vol-restore-ec2-fail"></a>

EC2 インスタンスボリュームの復元が失敗すると、AMS は内部トラブルシューティング RFC を作成します。これは、EC2 インスタンスボリュームの復元がディザスタリカバリ (DR) の重要な部分であり、AMS によってこの内部トラブルシューティング RFC が自動的に作成されるためです。

内部トラブルシューティング RFC が作成されると、バナーが表示され、RFC へのリンクが表示されます。この内部トラブルシューティング RFC は、RFC の障害をより詳細に可視化し、同じエラーにつながる再試行 RFCs を送信したり、この障害について AMS に手動で連絡したりするのではなく、変更を追跡して、障害が AMS によって処理されていることを知ることができます。これにより、AMS Operators がリクエストを待つ代わりに RFC 障害にプロアクティブに取り組むため、変更のtime-to-recovery (TTR) メトリクスも短縮されます。

## RFC のヘルプを取得する方法
<a name="rfc-escalate"></a>

AMS に連絡して、障害の根本原因を特定できます。AMS の営業時間は、1 日 24 時間、1 週間 7 日、1 年 365 日です。

AMS には、サポートを求めるための手段がいくつか用意されています。
+ オープン RFC または完了しても正しくない RFC のサポートが必要な場合は、RFC 双方向通信を通じて AMS をエンゲージします。詳細については、[「RFC の通信と添付ファイル (コンソール)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)」を参照してください。
+ マネージド環境に影響する AWS または AMS サービスのパフォーマンスの問題を報告するには、AMS コンソールを使用してインシデントレポートを送信します。詳細については、[「インシデントの報告](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html)」を参照してください。AMS インシデント管理の一般的な情報については、[「インシデント対応](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)」を参照してください。
+ お客様またはお客様のリソースやアプリケーションが AMS とどのように連携しているかに関する具体的な質問、またはインシデントのエスカレーションについては、以下のうち 1 つ以上を E メールで送信してください。

  1. まず、サービスリクエストまたはインシデントレポートのレスポンスに満足できない場合は、CSDM に E メールを送信してください: ams-csdm@amazon.com

  1. 次に、エスカレーションが必要な場合は、AMS Operations Manager に E メールを送信できます (CSDM はおそらくこれを行います): ams-opsmanager@amazon.com

  1. さらなるエスカレーションは、AMS Director: ams-director@amazon.com に行われます。

  1. 最後に、AMS VP にいつでもアクセスできます: ams-vp@amazon.com

# AMS の直接変更モード
<a name="direct-change-mode-section"></a>

**Topics**
+ [直接変更モードの開始方法](dcm-get-started.md)
+ [セキュリティとコンプライアンス](dcm-security-n-compliance.md)
+ [Direct Change モードでの変更管理](dcm-change-mgmt.md)
+ [Direct Change モードを使用したスタックの作成](dcm-creating-stacks.md)
+ [直接変更モードのユースケース](dcm-use-cases.md)

AWS Managed Services (AMS) Direct Change Mode (DCM) は、リソースをプロビジョニングおよび更新するための AMS Advanced Plus および Premium アカウントへのネイティブ AWS アクセスを提供することで、AMS Advanced 変更管理を拡張します AWS 。DCM では、ネイティブ AWS API (コンソールまたは CLI/SDK) または AMS Advanced Change Management Request for Change (RFCs) を使用するオプションがあり、いずれの場合も、リソースと変更がモニタリング、パッチ、バックアップ、インシデント対応管理など、AMS によって完全にサポートされています。DCM を介してプロビジョニングされたリソースは、AMS サービスナレッジ管理システム (SKMS) に登録され、AMS マネージド Active Directory ドメイン (該当する場合) に結合され、AMS 管理エージェントを実行します。既存のツール (CloudFormation、 AWS SDK、CDK など) を使用して、AMS 管理の CloudFormation スタックを開発およびデプロイします。

**注記**  
直接変更モードでは、AMS 変更管理 RFCsは削除されません。DCM を使用して AMS RFCs にフルアクセスできます。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)


# 直接変更モードの開始方法
<a name="dcm-get-started"></a>

まず前提条件を確認してから、対象となる AMS Advanced アカウントで変更リクエスト (RFC) を送信します。

1. DCM で使用するアカウントが要件を満たしていることを確認します。
   + アカウントは AMS Advanced Plus または Premium です。
   + アカウントで Service Catalog が有効になっていません。現在、DCM と Service Catalog の両方へのアカウントのオンボーディングはサポートされていません。Service Catalog に既にオンボーディングされているが DCM に関心がある場合は、クラウドサービスデリバリーマネージャー (CSDM) とニーズについて話し合ってください。Service Catalog から DCM に切り替える場合は、Service Catalog をオフボードして変更をリクエストします。AMS での Service Catalog の詳細については、[「AMS と Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)」を参照してください。

1. Management \$1 Managed Account \$1 Direct Change Mode \$1 Enable change type (ct-3rd4781c2nnhp) を使用して、変更リクエスト (RFC) を送信します。チュートリアルの例については、[「直接変更モード \$1 有効化](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)」を参照してください。

   CT が処理されると、事前定義された IAM ロール`AWSManagedServicesCloudFormationAdminRole`と `AWSManagedServicesUpdateRole`が指定されたアカウントにプロビジョニングされます。

1. 内部フェデレーションプロセスを使用して DCM アクセスを必要とするユーザーに適切なロールを割り当てます。

**注記**  
ロールを引き受けるには、任意の数の SAMLIdentityProviders、 AWS Services、IAM エンティティ (ロール、ユーザーなど) を指定できます。、`SAMLIdentityProviderARNs`、`IAMEntityARNs`または の少なくとも 1 つを指定する必要があります`AWSServicePrincipals`。詳細については、会社の IAM 部門または AMS クラウドアーキテクト (CA) にお問い合わせください。

## 直接変更モードの IAM ロールとポリシー
<a name="dcm-gs-iam-roles-and-policies"></a>

アカウントで直接変更モードが有効になっている場合、これらの新しい IAM エンティティがデプロイされます。

`AWSManagedServicesCloudFormationAdminRole`: このロールは、CloudFormation コンソールへのアクセス、CloudFormation スタックの作成と更新、ドリフトレポートの表示、CloudFormation ChangeSets の作成と実行を許可します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロール`AWSManagedServicesCloudFormationAdminRole`にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
+ AMS Advanced マルチアカウントランディングゾーン (MALZ) アプリケーションアカウント
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + このポリシーは、 に付与されたアクセス許可を表します`AWSManagedServicesCloudFormationAdminRole`。このポリシーを使用して、アカウント内の既存のロールへのアクセスを許可し、そのロールがアカウント内の CloudFormation スタックを起動および更新できるようにします。これには、他の IAM エンティティが CloudFormation スタックを起動できるように、追加の AMS サービスコントロールポリシー (SCP) 更新が必要になる場合があります。
+ AMS Advanced シングルアカウントランディングゾーン (SALZ) アカウント
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3-access [インラインポリシー〕
  + AWS ReadOnlyAccess ポリシー

`AWSManagedServicesUpdateRole`: このロールは、ダウンストリーム AWS サービス APIs への制限付きアクセスを許可します。ロールは、変更および非変更 API オペレーションを提供する マネージドポリシーでデプロイされますが、一般的には、IAM、KMS、GuardDuty、VPC、AMS インフラストラクチャリソースや設定などの特定のサービスに対して変更オペレーション (Create/Delete/PUT など) を制限します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロール`AWSManagedServicesUpdateRole`にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
+ AMS Advanced マルチアカウントランディングゾーンアプリケーションアカウント
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
+ AMS Advanced シングルアカウントランディングゾーンアカウント
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

これらに加えて、 マネージドポリシー`AWSManagedServicesUpdateRole`ロールには AWS マネージドポリシーもア`ViewOnlyAccess`タッチされています。

# セキュリティとコンプライアンス
<a name="dcm-security-n-compliance"></a>

セキュリティとコンプライアンスは、AMS Advanced とお客様との間の責任共有です。AMS Advanced Direct Change モードは、この責任共有を変更しません。

## 直接変更モードのセキュリティ
<a name="dcm-security"></a>

AMS Advanced は、規範的なランディングゾーン、変更管理システム、アクセス管理で追加の値を提供します。Direct Change モードを使用する場合、この責任モデルは変更されません。ただし、追加のリスクに注意する必要があります。

Direct Change Mode の「Update」ロール (「」を参照[直接変更モードの IAM ロールとポリシー](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) は、エンティティがアクセスできるようにする昇格されたアクセス許可を提供し、アカウント内の AMS がサポートするサービスのインフラストラクチャリソースを変更します。アクセス許可が引き上げられると、リソース、サービス、アクションに応じてさまざまなリスクが存在します。特に、監視、ミス、または内部プロセスとコントロールフレームワークへの準拠の欠如が原因で誤った変更が行われた状況では、リスクが異なります。

AMS 技術標準に従って、以下のリスクが特定され、次のようにレコメンデーションが行われます。AMS 技術標準の詳細については、「」を参照してください AWS Artifact。アクセスするには AWS Artifact、CSDM に連絡して手順を確認するか、[「 の開始方法 AWS Artifact](https://aws.amazon.com/artifact/getting-started)」を参照してください。

**AMS-STD-001: タグ付け**

<a name="AMS-STD-001"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

**AMS-STD-002: Identity and Access Management (IAM)**


| [Standards] (標準) | 壊れていますか？ | リスク | 推奨事項 | 
| --- | --- | --- | --- | 
| 4.7 変更管理プロセス (RFC) をバイパスするアクションは、インスタンスの起動または停止、S3 バケットまたは RDS インスタンスの作成などを許可してはいけません。デベロッパーモードアカウントとセルフサービスプロビジョンドモードサービス (SSPS) は、アクションが割り当てられたロールの境界内で実行される限り、除外されます。 | はい。セルフサービスアクションの目的は、AMS RFC システムをバイパスしてアクションを実行することです。 | セキュアアクセスモデルは AMS の主要な技術的側面であり、コンソールまたはプログラムによるアクセス用の IAM ユーザーがこのアクセスコントロールを回避します。IAM ユーザーのアクセスは、AMS 変更管理によってモニタリングされません。アクセスは CloudTrail にのみ記録されます。 | IAM ユーザーには、最小特権とneed-to-knowことに基づいて、時間制限があり、アクセス許可が付与されている必要があります。 | 

**AMS-STD-003: ネットワークセキュリティ**

<a name="AMS-STD-003"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

**AMS-STD-007: ログ記録**

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)

内部認可および認証チームと協力して、それに応じて Direct Change モードロールへのアクセス許可を制御します。

## 直接変更モードのコンプライアンス
<a name="dcm-compliance"></a>

Direct Change モードは、本番ワークロードと非本番ワークロードの両方と互換性があります。コンプライアンス標準 (PHI、HIPAA、PCI など) を確実に順守し、Direct Change モードの使用が内部管理フレームワークと標準に準拠していることを確認するのはお客様の責任です。

# Direct Change モードでの変更管理
<a name="dcm-change-mgmt"></a>

変更管理は、AMS Advanced が変更リクエストを実装するために使用するプロセスです。変更リクエスト (RFC) は、ユーザーまたは AMS Advanced インターフェイスを介して AMS Advanced によって作成されたリクエストで、マネージド環境に変更を加え、特定のオペレーションの AMS Advanced 変更タイプ (CT) ID が含まれます。詳細については、[「変更管理](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html)」を参照してください。

**注記**  
直接変更モードでは、AMS 変更管理 RFCs は削除されません。DCM を使用して AMS RFCs にフルアクセスできます。

AMS Direct Change Mode (DCM) は、リソースをプロビジョニングおよび更新するための AMS Advanced Plus および Premium アカウントへのネイティブ AWS アクセスを提供することで、AMS Advanced 変更管理を拡張します AWS 。IAM ロールを通じて直接変更モードのアクセス許可を付与されたユーザーは、ネイティブ AWS API アクセスを使用して、AMS Advanced アカウントのリソースをプロビジョニングおよび変更できます。ユーザーは、同じ IAM ロールを使用して AMS Advanced 変更管理 RFCs を引き続き使用できます。どちらの場合も、リソースとその変更は、モニタリング、パッチ、バックアップ、インシデント対応管理など、AMS によって完全にサポートされています。これらのアカウントで適切なロールを持たないユーザーは、AMS Advanced 変更管理 RFC プロセスを使用して変更を行う必要があります。

## 変更管理のユースケース
<a name="dcm-cm-use-cases"></a>

セキュリティ上の理由から、AMS Advanced の一部の変更は、変更管理の変更リクエスト (RFC) プロセスを通じてのみ行うことができます。`AWSManagedServicesCloudFormationAdminRole` は、CloudFormation (CFN) を通じて実行されるアクションに制限されます。DCM を使用してスタックを作成する方法の詳細については、[「直接変更モードを使用したスタックの作成](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html)」を参照してください。`AWSManagedServicesUpdateRole` は、次のアクションに制限されています。

管理 \$1 マネージドアカウント \$1 直接変更モード \$1 有効化 (ct-3rd4781c2nnhp) 変更タイプを含む各変更タイプのチュートリアルについては、*「AMS Advanced Change Type Reference* [Change Types by Classification](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)」セクションの「Additional Information」セクションを参照してください。

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/dcm-change-mgmt.html)

# Direct Change モードを使用したスタックの作成
<a name="dcm-creating-stacks"></a>

を使用して CloudFormation でスタックを起動する場合`AWSManagedServicesCloudFormationAdminRole`、スタックを AMS で管理するには、次の 2 つの要件があります。
+ テンプレートには が含まれている必要があります`AmsStackTransform`。
+ スタック名はプレフィックスで始まり、その後に 17 文字の英数字文字列が`stack-`続く必要があります。

**注記**  
を正常に使用するには`AmsStackTransform`、 CloudFormation (CFN) がスタックを作成または更新するために、スタックテンプレートに `CAPABILITY_AUTO_EXPAND`機能が含まれていることを確認する必要があります。これを行うには、 を create-stack リクエスト`CAPABILITY_AUTO_EXPAND`の一部として渡します。がテンプレートに含まれているときにこの機能が確認されない場合、CFN `AmsStackTransform`はリクエストを拒否します。CFN コンソールでは、テンプレートに 変換がある場合にこの機能を渡すことができますが、APIs を介して CFN とやり取りしている場合、この機能が失われる可能性があります。  
この機能は、次の CFN API コールを使用するたびに渡す必要があります。  
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)

DCM を使用してスタックを作成または更新する場合、CFN Ingest および Stack Update CTs[CloudFormation 「Ingest Guidelines」、「Best Practices」、および「Limitations](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html)」を参照してください。ただし、AMS のデフォルトのセキュリティグループ (SGs) は、Auto Scaling グループ (ASGs) のスタンドアロン EC2 インスタンスまたは EC2 インスタンスにはアタッチされません。スタンドアロン EC2 インスタンスまたは ASGs を使用して CloudFormation テンプレートを作成する場合、デフォルトの SGs をアタッチできます。

**注記**  
IAM ロールを で作成および管理できるようになりました`AWSManagedServicesCloudFormationAdminRole`。

AMS デフォルト SGs には、インスタンスが正常に起動し、後で AMS オペレーションとユーザーによって SSH または RDP を介してアクセスできるようにする進入および退出ルールがあります。で AMS のデフォルトのセキュリティグループが許容されすぎることがわかった場合は、より制限の厳しいルールを使用して独自の SGs を作成し、インスタンスにアタッチできます。ただし、インシデント発生時にユーザーと AMS オペレーションがインスタンスにアクセスできる場合に限ります。

AMS のデフォルトのセキュリティグループは次のとおりです。
+ SentinelDefaultSecurityGroupPrivateOnly: この SSM パラメータを使用して CFN テンプレートでアクセスできます `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: この SSM パラメータを使用して CFN テンプレートでアクセスできます `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`

## AMS 変換
<a name="dcm-cs-ams-transform"></a>

 CloudFormation テンプレートに`Transform`ステートメントを追加します。これにより、起動時にスタックを検証して AMS に登録する CloudFormation マクロが追加されます。

**JSON **の例

```
"Transform": {
    "Name": "AmsStackTransform",
    "Parameters": {
      "StackId": {"Ref" : "AWS::StackId"}
    }
  }
```

**YAML **の例

```
Transform:
  Name: AmsStackTransform
  Parameters:
    StackId: !Ref 'AWS::StackId'
```

また、既存のスタックのテンプレートを更新するときに `Transform`ステートメントを追加します。

**JSON **の例

```
{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Description" : "Create an SNS Topic",
    "Transform": {
      "Name": "AmsStackTransform",
      "Parameters": {
        "StackId": {"Ref" : "AWS::StackId"}
     }
  },
  "Parameters": {
    "TopicName": {
      "Type": "String",
      "Default": "HelloWorldTopic"
    }
  },
  "Resources": {
    "SnsTopic": {
      "Type": "AWS::SNS::Topic",
      "Properties": {
        "TopicName": {"Ref": "TopicName"}
      }
    }
  }
}
```

**YAML **の例

```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
  Name: AmsStackTransform
  Parameters:
    StackId: !Ref 'AWS::StackId'
Parameters:
  TopicName:
    Type: String
    Default: HelloWorldTopic
Resources:
  SnsTopic:
    Type: AWS::SNS::Topic
    Properties:
      TopicName: !Ref TopicName
```

## スタック名
<a name="dcm-cs-stack-name"></a>

スタック名はプレフィックスで始まり、その後に 17 文字の英数字文字列が`stack-`続く必要があります。これは、AMS スタック IDs。 

 互換性のあるスタック IDs を生成する方法の例を次に示します。

Bash:

```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```

Python:

```
import string
import random

'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```

Powershell:

```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17  | % {[char]$_}) )
```

# 直接変更モードのユースケース
<a name="dcm-use-cases"></a>

以下は、直接変更モードのユースケースです。

**によるリソースのプロビジョニングと管理 CloudFormation**
+ 既存の CloudFormation ベースのツールとプロセスを統合します。

**継続的なリソース管理と更新**
+ リスクの低い小さなアトミック変更。
+ 手動または自動 RFC を通じて実行される変更。
+ ネイティブ AWS API アクセスを必要とするツール。
+ DCM ロールは、移行段階にある場合に使用できます。移行チームは、DCM のアクセス許可を活用してスタックを作成または変更します。
+ DCM ロールは、CI/CD パイプラインで新しい AMIs の構築、Amazon ECS タスクの作成などに使用できます。

# AMS Advanced Developer モード
<a name="developer-mode-section"></a>

**Topics**
+ [AMS Advanced Developer モードの開始方法](developer-mode-implement.md)
+ [デベロッパーモードでのセキュリティとコンプライアンス](developer-mode-security-and-compliance.md)
+ [デベロッパーモードでの変更管理](developer-mode-change-management.md)
+ [AMS Developer モードでのインフラストラクチャのプロビジョニング](developer-mode-provisioning.md)
+ [AMS デベロッパーモードでの検出コントロール](developer-mode-detective-controls.md)
+ [AMS Developer モードでのログ記録、モニタリング、イベント管理](developer-mode-logging.md)
+ [AMS デベロッパーモードでのインシデント管理](developer-mode-incident-management.md)
+ [AMS デベロッパーモードでのパッチ管理](developer-mode-patch-management.md)
+ [AMS デベロッパーモードでの継続管理](developer-mode-continuity.md)
+ [AMS Developer モードでのセキュリティとアクセスの管理](developer-mode-security-and-access.md)

AWS Managed Services (AMS) デベロッパーモードでは、AMS Advanced Plus および Premium アカウントの昇格されたアクセス許可を使用して、AMS Advanced 変更管理プロセス外の AWS リソースをプロビジョニングおよび更新します。AMS Advanced Developer モードは、AMS Advanced Virtual Private Cloud (VPC) 内のネイティブ AWS API コールを活用して、マネージド環境でインフラストラクチャとアプリケーションを設計および実装できるようにします。

デベロッパーモードが有効になっているアカウントを使用する場合、AMS Advanced 変更管理プロセスまたは AMS Amazon マシンイメージ (AMI) を使用してプロビジョニングされたリソースには、継続性管理、パッチ管理、変更管理が提供されます。ただし、これらの AMS 管理機能は、ネイティブ AWS APIs を介してプロビジョニングされたリソースには提供されません。

AMS Advanced 変更管理プロセス外でプロビジョニングされるインフラストラクチャリソースをモニタリングする責任があります。デベロッパーモードは、本番ワークロードと非本番ワークロードの両方と互換性があります。アクセス許可が引き上げられると、内部管理を確実に順守する責任が増大します。

**重要**  
デベロッパーモードを使用して作成したリソースは、AMS Advanced 変更管理プロセスを使用して作成された場合にのみ、AMS Advanced によって管理できます。

デベロッパーモードは、使用できる AMS Advanced モードの 1 つです。詳細については、「[モードの概要](ams-modes-ug.md)」を参照してください。

# AMS Advanced Developer モードの開始方法
<a name="developer-mode-implement"></a>

AMS Advanced Developer モードを使用したさまざまな AMS Advanced アカウントと、Developer モードを正常に実装する方法について説明します。

**Topics**
+ [[開始する前に]](developer-mode-faqs.md)
+ [デベロッパーモードの前提条件](#developer-mode-implement-prerequisites)
+ [デベロッパーモードの実装方法](#developer-mode-implement-steps)
+ [デベロッパーモードのアクセス許可](#developer-mode-role)

# AMS デベロッパーモードを開始する前に
<a name="developer-mode-faqs"></a>

デベロッパーモードを実装する前に、知っておくべきことがいくつかあります。

AMS Advanced は、変更リクエスト (RFCs) を通じて AMS Advanced 変更管理プロセス外で作成された DevMode アカウントの既存のスタックまたはリソースを管理することはできません。ただし、アカウントが DevMode にある間、AMS Advanced は AMS Advanced 変更管理プロセスを通じてプロビジョニングされたリソースを RFCs。

DevMode アカウントから始めて、後で AMS Advanced が管理するアプリケーションアカウントに隠すことはできません。

## AMS デベロッパーモードの前提条件
<a name="developer-mode-implement-prerequisites"></a>

デベロッパーモードを実装するための前提条件は次のとおりです。
+ 少なくとも 1 つのオンボードされた AMS Advanced Plus または Premium アカウントを持つ AMS Advanced のお客様である必要があります。
+ 使用するアカウントは、AMS Advanced Plus または Premium アカウントである必要があります。
+ **マルチアカウントランディングゾーン (MALZ)**: `AWSManagedServicesDevelopmentRole`事前定義された AWS Identity and Access Management (IAM) ロールを使用する必要があります。このロールをリクエストします。次のセクションでは、デベロッパーモードのアクセス許可を取得する方法について説明します。
+ **単一アカウントランディングゾーン (SALZ)**: `customer_developer_role`事前定義された AWS Identity and Access Management (IAM) ロールを使用する必要があります。このロールをリクエストします。次のセクションでは、デベロッパーモードのアクセス許可を取得する方法について説明します。

## AMS Advanced Developer モードを実装する方法
<a name="developer-mode-implement-steps"></a>

デベロッパーモードを実装するには、対象の AMS Advanced アカウントを事前定義された IAM ロールでプロビジョニングするようにリクエストします。
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`

次に、フェデレーティッドネットワーク内の関連するユーザーにロールを割り当てます。

デベロッパーモードを使用すると、AMS Advanced マネージドリソースの AMS Advanced 変更管理と、カスタマーが管理するリソースのカスタマーマネージドロールフェデレーションの 2 つの変更ベクトルが作成されるため、AMS Advanced では、デベロッパーモードの使用が内部コントロールフレームワークと標準に準拠していることを確認することをお勧めします。AMS Advanced プロセスは宣言に準拠していますが、顧客プロセスとコントロールフレームワークを更新する必要がある場合があります。

**AMS Advanced アカウントにデベロッパーモードを実装するには**

1. デベロッパーモードで使用するアカウントが、「」に記載されている要件を満たしていることを確認します[AMS デベロッパーモードの前提条件](#developer-mode-implement-prerequisites)。

1. 変更タイプ (CT) 管理 \$1 マネージドアカウント \$1 デベロッパーモード \$1 有効化 (マネージドオートメーション) を使用して、変更リクエスト (RFC) を送信します。この CT の使用方法の例については、[「デベロッパーモード \$1 有効 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)」を参照してください。

   CT が処理されると、事前定義された IAM ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) がリクエストされたアカウントにプロビジョニングされます。

1. 内部フェデレーションプロセスを使用して、開発者モードアクセスを必要とするユーザーに適切なロールを割り当てます。

   AMS Advanced では、リソースの望ましくないまたは未承認のプロビジョニングや変更を防ぐためにアクセスを制限することをお勧めします。

## AMS Advanced Developer モードのアクセス許可
<a name="developer-mode-role"></a>

事前定義されたロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は MALZ、**SALZ** `customer_developer_role`の場合は ) は、AMS Advanced によって運用されている*共有サービス*コンポーネント (管理ホスト、ドメインコントローラー、Trend Micro EPS、踏み台、サポートされていない AWS サービスなど) へのアクセスを制限しながら、IAM ロールを含む AMS Advanced VPC 内にアプリケーションインフラストラクチャリソースを作成するアクセス許可を付与します。このロールは、 AWS のサービス Amazon GuardDuty、 AWS Organizations、 AWS Directory Service APIs、AMS Advanced ログへのアクセスも制限します。

ロールでは追加の IAM ロールを作成できますが、デベロッパーモードアクセスに含まれるのと同じアクセス許可の境界は、 によって作成されたすべての IAM ロールに適用されます`AWSManagedServicesDevelopmentRole`。

# デベロッパーモードでのセキュリティとコンプライアンス
<a name="developer-mode-security-and-compliance"></a>

セキュリティとコンプライアンスは、AMS Advanced とお客様との間の責任共有です。AMS アドバンストデベロッパーモードは、変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされたリソースに対して、デベロッパーモードのアクセス許可で更新されたリソースに対する責任共有を移行します。責任共有の詳細については、[AWS Managed Services](https://aws.amazon.com/managed-services/)」を参照してください。

**注意：**
+ DevMode を使用すると、ユーザーと承認されたチームは、AMS セキュリティの中核となるdeny-by-defaultの原則を回避できます。利点、セルフサービス、AMS の待機時間の短縮は欠点と照らし合わせて検討する必要があります。セキュリティチームの知識がなくても、誰でも予期しない破壊的なアクションを実行できます。開発モードと直接変更モードを有効にする自動変更タイプが公開され、組織内の承認されたユーザーがこれらの CTsを実行してこれらのモードを有効にすることができます。
+ ユーザーベースからの CT 実行のアクセス許可を管理する責任があります。
+ AMS は CT 実行アクセス許可を管理しません

**推奨事項:**
+ **保護**
  + お客様は、アクセス許可によってこの CT へのアクセスを防ぐことができます。[「IAM ロールポリシーステートメントによるアクセス許可の制限](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)」を参照してください。
  + ITSM システムなどのプロキシを実装してこの CT へのアクセスを防止する
  + 必要に応じてポリシーと動作を防止するサービスコントロールポリシー (SCPs[「AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)」を参照してください。
+ **検出**
  + これらの CTs の RFC をモニタリングし (開発者モード ct-1opjmhuddw194 と直接変更モードを有効にする、ct-3rd4781c2nnhp を有効にする）、それに応じて応答します。
  + アカウントで IAM リソースの有無を確認および/または監査して、デベロッパーモードまたは直接変更モードがデプロイされているアカウントを特定します。
+ **応答**
  + 必要に応じてデベロッパーモードでアカウントを削除する

## デベロッパーモードのセキュリティ
<a name="developer-mode-security"></a>

AMS Advanced は、規範的なランディングゾーン、変更管理システム、アクセス管理で追加の値を提供します。デベロッパーモードを使用する場合、AMS Advanced のセキュリティ値は、ベースライン AMS Advanced セキュリティ強化ネットワークを確立する標準 AMS Advanced アカウントと同じアカウント設定を使用して保持されます。ネットワークは、ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は MALZ、**SALZ** `customer_developer_role`の場合は ) で強制されるアクセス許可の境界によって保護されます。これにより、ユーザーは、アカウントの設定時に確立されたパラメータ保護を破ることが制限されます。

たとえば、 ロールを持つユーザーは Amazon Route 53 にアクセスできますが、AMS Advanced の内部ホストゾーンは制限されています。によって作成された IAM ロールにも同じアクセス許可の境界が適用され`AWSManagedServicesDevelopmentRole`、アカウント`AWSManagedServicesDevelopmentRole`が AMS Advanced にオンボーディングされたときに確立されたパラメータ保護をユーザーが壊すことを制限するアクセス許可の境界が に強制されます。

## デベロッパーモードでのコンプライアンス
<a name="developer-mode-compliance"></a>

デベロッパーモードは、本番ワークロードと非本番ワークロードの両方と互換性があります。コンプライアンス標準 (PHI、HIPAA、PCI など) を確実に順守し、デベロッパーモードの使用が内部管理フレームワークと標準に準拠していることを確認するのはお客様の責任です。

# デベロッパーモードでの変更管理
<a name="developer-mode-change-management"></a>

変更管理は、AMS Advanced サービスが変更リクエストを実装するために使用するプロセスです。変更リクエスト (RFC) は、AMS Advanced インターフェイスを介してユーザーまたは AMS Advanced によって作成され、マネージド環境に変更を加えるリクエストであり、特定のオペレーションの変更タイプ (CT) ID が含まれます。詳細については、「[変更管理モード](using-change-management.md)」を参照してください。

開発者モードのアクセス許可が付与されている AMS Advanced アカウントでは、変更管理は適用されません。IAM ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) でデベロッパーモードのアクセス許可を付与されたユーザーは、ネイティブ AWS API アクセスを使用して、AMS Advanced アカウントのリソースをプロビジョニングおよび変更できます。これらのアカウントで適切なロールを持たないユーザーは、AMS Advanced 変更管理プロセスを使用して変更を行う必要があります。

**重要**  
デベロッパーモードを使用して作成したリソースは、AMS Advanced 変更管理プロセスを使用して作成された場合にのみ、AMS Advanced によって管理できます。AMS Advanced 変更管理プロセス外で作成されたリソースについて AMS Advanced に送信された変更のリクエストは、ユーザーが処理する必要があるため、AMS Advanced によって拒否されます。

## セルフサービスプロビジョニングサービス API の制限
<a name="developer-mode-ssps-restrictions"></a>

すべての AMS Advanced セルフプロビジョニングサービスは、 デベロッパーモードでサポートされています。セルフプロビジョニングサービスへのアクセスには、それぞれのユーザーガイドセクションで説明されている制限が適用されます。デベロッパーモードロールでセルフプロビジョニングサービスを使用できない場合は、デベロッパーモードの変更タイプを使用して更新されたロールをリクエストできます。

以下のサービスは、サービス APIs へのフルアクセスを提供しません。


**デベロッパーモードで制限されるセルフプロビジョニングサービス**  

| サービス | 注意 | 
| --- | --- | 
|  Amazon API Gateway | を除くすべての Gateway APIsコールが許可されます`SetWebACL`。 | 
|  Application Auto Scaling | スケーラブルターゲットの登録または登録解除、スケーリングポリシーの配置または削除のみが可能です。 | 
|  AWS CloudFormation | というプレフィックスが付いた名前の CloudFormation スタックにアクセスまたは変更することはできません`mc-`。 | 
|  AWS CloudTrail | `ams-` および/または というプレフィックスが付いた名前の CloudTrail リソースにアクセスまたは変更することはできません`mc-`。 | 
|  Amazon Cognito (ユーザープール） | ソフトウェアトークンを関連付けることはできません。 ユーザープール、ユーザーインポートジョブ、リソースサーバー、または ID プロバイダーを作成することはできません。 | 
|  AWS Directory Service | `Connect` および `WorkSpaces`サービスでは、次の Directory Service アクションのみが必要です。他のすべての Directory Service アクションは、デベロッパーモードのアクセス許可境界ポリシーによって拒否されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/developer-mode-change-management.html) シングルアカウントランディングゾーンアカウントでは、境界ポリシーは、開発モードが有効なアカウントへのアクセスを維持するために AMS Advanced が使用する AMS Advanced マネージドディレクトリへのアクセスを明示的に拒否します。 | 
|  Amazon Elastic Compute Cloud | 、`DhcpOptions`、`Gateway`、`Subnet`、`VPC`および の文字列を含む Amazon EC2 APIs にはアクセスできません`VPN`。 、`AMS`、、`ManagementHostASG`および/または のプレフィックスが付いたタグを持つ Amazon EC2 `mc`リソースにアクセスまたは変更することはできません`sentinel`。 | 
|  Amazon EC2 (レポート） | ビューアクセスのみが付与されます (変更できません）。注: Amazon EC2 レポートは移動中です。**レポート**メニュー項目は Amazon EC2 コンソールのナビゲーションメニューから削除されます。削除された Amazon EC2 使用状況レポートを表示するには、 AWS Billing および コスト管理コンソールを使用します。 | 
|  AWS Identity and Access Management (IAM) | 既存のアクセス許可の境界を削除したり、IAM ユーザーパスワードポリシーを変更したりすることはできません。 正しい IAM ロール (`AWSManagedServicesDevelopmentRole` **MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) を使用しない限り、IAM リソースを作成または変更することはできません。 プレフィックスが `ams`、、`customer_deny_policy`、および/または の IAM `mc`リソースを変更することはできません`sentinel`。 新しい IAM リソース (ロール、ユーザー、またはグループ) を作成するときは、アクセス許可の境界 (**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**: `ams-app-infra-permissions-boundary`) をアタッチする必要があります。 | 
|  AWS Key Management Service (AWS KMS) | AMS Advanced マネージド KMS キーにアクセスまたは変更することはできません。 | 
|  AWS Lambda | プレフィックスが の AWS Lambda 関数にアクセスまたは変更することはできません`AMS`。 | 
|  CloudWatch Logs | 、`mc`、、`lambda`および/または というプレフィックスが付いた名前の CloudWatch `aws`ログストリームにはアクセスできません`AMS`。 | 
|  Amazon Relational Database Service (Amazon RDS) | というプレフィックスが付いた名前の Amazon Relational Database Service (Amazon RDS) データベース (DBs) にアクセスまたは変更することはできません。 `mc-` | 
|  AWS Resource Groups | `Get`、、`List`および `Search`リソースグループ API アクションにのみアクセスできます。 | 
|  Amazon Route 53 | Route53 AMS Advanced が管理するリソースにアクセスまたは変更することはできません。 | 
|  Amazon S3 | 、`ams-*`、、`ms-a`または というプレフィックスが付いた名前の Amazon S3 `ams`バケットにはアクセスできません`mc-a`。 | 
|  AWS Security Token Service | 許可されるセキュリティトークンサービス API は のみです`DecodeAuthorizationMessage`。 | 
|  Amazon SNS | 、`AMS-`、`Energon-Topic`または というプレフィックスが付いた名前の SNS トピックにはアクセスできません`MMS-Topic`。 | 
|  AWS Systems Manager マネージャー (SSM) | `ams`、、`mc`または のプレフィックスが付いた SSM パラメータを変更することはできません`svc`。 `ams` または のプレフィックスが付いたタグを持つ Amazon EC2 インスタンス`SendCommand`に対して SSM API を使用することはできません`mc`。 | 
|  AWS タグ付け | プレフィックスが の AWS タグ付け API アクションにのみアクセスできます`Get`。 | 
|  AWS Lake Formation | 次の AWS Lake Formation API アクションは拒否されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/developer-mode-change-management.html) | 
|  Amazon Elastic Inference | Elastic Inference API アクション のみを呼び出すことができます`elastic-inference:Connect`。このアクセス許可は、 にアタッチ`customer_sagemaker_admin_policy`されている に含まれています`customer_sagemaker_admin_role`。このアクションにより、Elastic Inference アクセラレーターにアクセスできます。 | 
|  AWS Shield | このサービスの APIs またはコンソールにはアクセスできません。 | 
|  Amazon Simple Workflow Service | このサービスの APIs またはコンソールにはアクセスできません。 | 

# AMS Developer モードでのインフラストラクチャのプロビジョニング
<a name="developer-mode-provisioning"></a>

デベロッパーモードが有効になっているアカウント`AWSManagedServicesDevelopmentRole`で、デベロッパーモード IAM ロール を持たないユーザーは、AMS Advanced AMIs を活用する AMS Advanced 変更管理プロセスに従う必要があります。正しいロール (**MALZ**: `AWSManagedServicesDevelopmentRole`、**SALZ**: `customer_developer_role`) を持つユーザーは、AMS Advanced 変更管理システムと AMS Advanced AMIs を使用できますが、必須ではありません。

**注記**  
AMS Advanced ワークロードの取り込みによって処理されていない、または AMS Advanced アカウントで作成された AWS AMI には、AMS Advanced に必要な設定は含まれません。



# AMS デベロッパーモードでの検出コントロール
<a name="developer-mode-detective-controls"></a>

このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。

# AMS Developer モードでのログ記録、モニタリング、イベント管理
<a name="developer-mode-logging"></a>

ログ記録、モニタリング、イベント管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソースや、変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。

# AMS デベロッパーモードでのインシデント管理
<a name="developer-mode-incident-management"></a>

インシデント対応時間に変更はありません。インシデント解決は、変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースのベストエフォートです。

**注記**  
AMS サービスレベルアグリーメント (SLA) は、AMS 変更管理システムの外部で作成または更新されたリソース (変更または RFCs のリクエスト) には適用されません。デベロッパーモードが含まれるため、デベロッパーモードで更新または作成されたリソースは自動的に P3 に低下し、AMS サポートがベストエフォートです。

# AMS デベロッパーモードでのパッチ管理
<a name="developer-mode-patch-management"></a>

パッチ管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。パッチ適用時間：
+ 重要なセキュリティ更新の場合: ベンダーによるリリースから 10 営業日以内に、変更管理によってプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソース。
+ 重要な更新の場合: ベンダーによるリリースから 2 か月以内に、変更管理によってプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソース。

# AMS デベロッパーモードでの継続管理
<a name="developer-mode-continuity"></a>

継続性管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。

環境復旧の開始時間は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースの場合、最大 12 時間かかることがあります。

# AMS Developer モードでのセキュリティとアクセスの管理
<a name="developer-mode-security-and-access"></a>

マルウェア対策保護は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースに対するお客様の責任です。AMS Advanced 変更管理によってプロビジョニングされていない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのアクセスは、フェデレーティッドアクセスを提供する代わりに、キーペアによって制御される場合があります。

# AMS でのセルフサービスプロビジョニングモード
<a name="self-service-provisioning-section"></a>

AWS Managed Services (AMS) セルフサービスプロビジョニング (SSP) モードは、AMS マネージドアカウントのネイティブ AWS サービスと API 機能へのフルアクセスを提供します。標準化、スコープダウン、 AWS Identity and Access Management ロールを通じてサービスにアクセスします。AMS はサービスリクエストとインシデント管理を提供します。アラート、モニタリング、ログ記録、パッチ適用、バックアップ、変更管理はお客様の責任となります。多くの場合、セルフサービスプロビジョニングサービス (SSPS) はセルフマネージド型またはサーバーレスであり、パッチ適用などの特定の運用タスクを管理する必要はありません。AMS ガードレールで定義された環境境界内でこれらのサービスを使用すると、プラットフォームのベースラインセキュリティを維持するために、IAM の変更 (サービスにリンクされたロール、サービスロール、クロスアカウントロール、ポリシーの更新を含む) を AMS オペレーションで承認する必要があります。テンプレートを活用して CloudFormation これらのサービスのデプロイを自動化できますが、これはすべての SSP サービスでサポートされているわけではありません。

**重要**  
AWS Managed Services (AMS) アカウントで SSP モードを使用して、サービスにアクセスして採用します。ただし AWS 、記載されている制限があります。

AMS アカウントには、AMS 管理なしで AWS のサービス 使用できるものもあります。セルフサービスプロビジョニングモードサービス、つまり略して SSPS を AMS アカウントに追加する方法とそれぞれのよくある質問FAQs「」セクションで説明します。

セルフサービスプロビジョニングサービスはそのまま提供され、管理するのはお客様の責任です。AMS は、これらのサービスに関連付けられたリソースに対してアラート、モニタリング、ログ記録、またはパッチ適用を行いません。AMS には、AMS アカウントでサービスを安全に使用できる IAM ロールが用意されています。AMS SLAs は適用されません。

セルフサービスでプロビジョニングするリソースの場合、AMS は、インシデント管理、検出コントロールとガードレール、レポート、指定されたリソース (Cloud Service Delivery Manager と Cloud Architect)、セキュリティとアクセス、サービスリクエストによるテクニカルサポートを提供します。さらに、該当する場合、AMS 変更管理システムの外部でプロビジョニングまたは設定されたリソースの継続管理、パッチ管理、インフラストラクチャモニタリング、変更管理に責任を負います。

# AMS での SSP モードの開始方法
<a name="ssp-mode-get-start"></a>

セルフサービスプロビジョニングは、マルチアカウントランディングゾーン (MALZ) に使用できる AMS モードの 1 つです。詳細については、「[モードの概要](ams-modes-ug.md)」を参照してください。

セルフサービスプロビジョニング機能を提供するために、AMS は、直接 AWS のサービス アクセスからの意図しない変更を制限するためのアクセス許可の境界を持つ昇格された IAM ロールを作成しました。ロールによってすべての変更が妨げられるわけではなく、内部コントロールとコンプライアンスポリシーに準拠し、使用されているすべての AWS のサービス が必須の証明書を満たしていることを確認する必要があります。これはセルフサービスプロビジョニングモードです。 AWS コンプライアンス要件の詳細については、[AWS 「コンプライアンス](https://aws.amazon.com/compliance/)」を参照してください。

マルチアカウントランディングゾーンアプリケーションアカウントにセルフサービスプロビジョニングサービスを追加するには、サービスの指示に従って、 **Management \$1 AWS service \$1 Self-provisioned service \$1 Add** change type (CT) を使用します。

**注記**  
AMS に追加のセルフサービスプロビジョニングサービスを提供するようにリクエストするには、サービスリクエストを提出します。

# AMS SSP を使用して AMS アカウントに Amazon API Gateway をプロビジョニングする
<a name="api-gateway"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon API Gateway 機能に直接アクセスします。[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) は、デベロッパーがあらゆる規模で API の公開、保守、モニタリング、セキュリティ保護を簡単に行えるフルマネージドサービスです。を使用すると AWS マネジメントコンソール 、アプリケーションが Amazon Elastic Compute Cloud (Amazon [Amazon EC2](https://aws.amazon.com/ec2/)) で実行されているワークロード、 で実行されているコード、ウェブアプリケーション、リアルタイム通信アプリケーションなど、バックエンドサービスからデータ、ビジネスロジック、機能にアクセスするためのフロントドアとして機能する [AWS Lambda](https://aws.amazon.com/lambda/)REST および WebSocket APIs を作成できます。

API Gateway は、トラフィック管理、認可とアクセスコントロール、モニタリング、API バージョン管理など、最大数十万の同時 API コールの受け入れと処理に関連するすべてのタスクを処理します。API Gateway には最低料金やスタートアップコストはありません。支払いは、受信した API コールと転送されたデータ量に対してのみ発生し、API Gateway 階層型料金モデルを使用すると、API 使用量が拡大するにつれてコストを削減できます。詳細については、[Amazon API Gateway](https://aws.amazon.com/api-gateway/)」を参照してください。

## よくある質問: AMS の API Gateway
<a name="set-api-gateway-faqs"></a>

**Q: AMS アカウントの Amazon API Gateway へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type で RFC を送信して API Gateway へのアクセスをリクエストします。この RFC は、 `customer_apigateway_author_role`および の IAM ロールをアカウントにプロビジョニングします`customer_apigateway_cloudwatch_role`。アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon API Gateway の使用にはどのような制限がありますか？**
+ API Gateway の設定は、AMS インフラストラクチャへの変更を防ぐために、 `MC-` `AMS-`または プレフィックスのないリソースに制限されます。
+ `CREATE` Elastic Load Balancer の規制されていない作成を防ぐために、VPCLink の 権限は無効になっています。VPCLinks[Application Load Balancer \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html)」を参照してください。

**Q: AMS アカウントで Amazon API Gateway を使用するための前提条件または依存関係は何ですか？**

デプロイする API Gateway のタイプによって異なります。スタンドアロンサービスでもかまいませんが、既存のサービス (Network Load Balancer など) へのアクセスをリクエストすることもできます。

# AMS SSP を使用して AMS アカウントで Alexa for Business をプロビジョニングする
<a name="aws-alexa-bus"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Alexa for Business 機能に直接アクセスします。Alexa for Business は、組織と従業員が Alexa を使用してより多くの作業を完了できるようにするサービスです。Alexa for Business を使用すると、Alexa をインテリジェントアシスタントとして使用して、会議室、デスク、自宅や外出先で既に使用している Alexa デバイスでも生産性を高めることができます。IT および施設マネージャーは、Alexa for Business を使用して、職場の既存の会議室の使用率を測定し、向上させることができます。

詳細については、[Alexa for Business](https://aws.amazon.com/alexaforbusiness/)」を参照してください。

## AWS Managed Servicesでの Alexa for Business に関するよくある質問
<a name="set-aws-alexa-bus-faqs"></a>

**Q: AMS アカウントで Alexa for Business へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_alexa_console_role`。`customer_alexa_device_setup_user` は、Alexa for Business が提供する Device Setup Tool にも作成されます。その後、この Device Setup Tool を使用してデバイスをセットアップできます。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

Alexa for Business ゲートウェイを使用すると、Alexa for Business を Cisco Webex エンドポイントと Poly Group Series エンドポイントに接続して、音声で会議を制御できます。ゲートウェイソフトウェアは、オンプレミスのハードウェアで実行され、Alexa for Business から Cisco エンドポイントへの会議ディレクティブを安全にプロキシします。ゲートウェイは、Alexa for Business と通信するために 2 組の AWS 認証情報を必要とします。アクセスが制限され`customer_alexa_gateway_execution_user`た IAM ユーザーを 2 人用意しています。`customer_alexa_gateway_installer_user`1 つは Alexa for Business ゲートウェイのインストール用、もう 1 つはゲートウェイの運用用です。これらは、デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 Create entity or policy (managed automation) change type (ct-3dpd8mdd9jn1r) を使用して RFC を送信することでリクエストできます。

**注記**  
使用状況レポートを生成して Amazon S3 に送信するには、セルフプロビジョニングサービス RFC で Amazon S3 バケット名を指定します。

**Q: AMS アカウントで Alexa for Business を使用するにはどのような制限がありますか?**

制限はありません。Alexa for Business の全機能は、Alexa for Business の自己プロビジョニング型サービスロールで使用できます。

**Q: AMS アカウントで Alexa for Business を使用する際の前提条件または依存関係は何ですか?**
+ WPA2 Enterprise Wi-Fi を使用して共有デバイスをセットアップする場合は、 AWS Private Certificate Authority が必要な Device Setup Tool でこのネットワークセキュリティタイプを指定します。
+ AMS は、名前空間「A4B」で始まるシークレットキーのみを作成します。これは、この名前空間にのみ制限されます。

**Q: Alexa for Business のどの機能に個別の RFCsが必要ですか?**

Alexa Voice Service (AVS) デバイスを Alexa for Business に登録するには、Alexa 組み込みデバイスメーカーへのアクセスを提供します。これを行うには、管理 \$1 その他 \$1 その他の変更タイプを使用してデプロイできる IAM ロールを Alexa for Business コンソールで作成する必要があります。これにより、AVS デバイスメーカーはユーザーに代わって Alexa for Business にデバイスを登録および管理できます。

# AMS SSP を使用して AMS アカウントで Amazon WorkSpaces アプリケーションをプロビジョニングする
<a name="amz-app-stream-2.0"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon WorkSpaces アプリケーション (WorkSpaces アプリケーション) 機能に直接アクセスします。WorkSpaces アプリケーションを使用すると、デスクトップアプリケーションを書き換えることなく AWSに移動できます。WorkSpaces アプリケーションにアプリケーションをインストールしたり、起動設定を設定したり、ユーザーがアプリケーションを使用できるようにしたりできます。WorkSpaces Applications には、さまざまな仮想マシンオプションが用意されているため、アプリケーションの要件に最適なインスタンスタイプを選択し、エンドユーザーのニーズに合わせて簡単に自動スケーリングパラメータを設定できます。WorkSpaces アプリケーションを使用すると、独自のネットワークでアプリケーションを起動できます。つまり、アプリケーションは既存の AWS リソースとやり取りできます。

Amazon WorkSpaces アプリケーションを使用すると、Image Builder を使用してアプリケーションをすばやく簡単にインストール、テスト、更新できます。Microsoft Windows Server 2012 R2、Windows Server 2016、または Windows Server 2019 で実行されるアプリケーションはサポートされており、変更を加える必要はありません。テストが完了したら、アプリケーションの起動設定、デフォルトのユーザー設定を設定し、ユーザーがアクセスできるようにイメージを公開できます。

詳細については、[WorkSpaces アプリケーション](https://aws.amazon.com/appstream2/)」を参照してください。

## AWS Managed Services での WorkSpaces アプリケーションに関するよくある質問
<a name="set-amz-app-stream-2.0-faqs"></a>

**Q: AMS アカウントの WorkSpaces アプリケーションへのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-3qe6io8t6jtny) 変更タイプで RFC を送信して、WorkSpaces アプリケーションへのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_appstream_console_role`。

`customer_appstream_stream_role` は、Active Directory ログイン認証情報を使用してユーザーを認証する必要があるアプリケーションをストリーミングするためにもデプロイされます。

アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの WorkSpaces アプリケーションの使用にはどのような制限がありますか?**
+ 以下の機能は AMS サポートチームが設定する必要があり、特定の RFCsが必要です。追加機能のリクエスト手順については、セクション 4 を参照してください。
  + インターフェイス VPC エンドポイントからの作成とストリーミング。
  + プライベートネットワークでのホームフォルダとアプリケーション設定の永続化のための Amazon S3 エンドポイントのサポート。
  + すべてのフリートストリーミングインスタンスで使用できる IAM ロールを作成して選択します。
  + WorkSpaces アプリケーションフリートと Image Builder の Microsoft Active Directory ドメインへの参加。
  + WorkSpaces アプリケーションカスタム使用状況レポートの作成。
  + カスタムブランドは現在サポートされていません。

**Q: AMS アカウントで WorkSpaces アプリケーションを使用するための前提条件または依存関係は何ですか?**

WorkSpaces アプリケーションのオンボードに RFC を送信するときは、WorkSpaces アプリケーションの使用状況レポートに使用する Amazon S3 バケット名を含めます。バケット名は、WorkSpaces アプリケーションのオンボーディング時に`customer-appstream-usagereports-policy`作成される に追加されます。

**Q: 個別の RFC を必要とする WorkSpaces アプリケーション機能は何ですか? RFCs**
+ WorkSpaces アプリケーションのインターフェイス VPC エンドポイントを選択するには、管理 \$1 その他 \$1 その他 \$1 変更タイプ RFC を更新して、アカウントに VPC エンドポイントを作成します。WorkSpaces アプリケーションのカスタムエンドポイントを作成する手順については、「WorkSpaces アプリケーションユーザーガイド[」の「インターフェイス VPC エンドポイントからの作成とストリーミング](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html)」を参照してください。 WorkSpaces 
+ ホームフォルダの Amazon S3 エンドポイントとプライベートネットワークでのアプリケーション設定の永続性のサポートは、 管理 \$1 その他 \$1 その他 \$1 変更タイプ RFC の作成で Amazon S3 VPC エンドポイントをリクエストすることで設定できます。RFC には、ホームフォルダのコンテンツをホストするターゲット Amazon S3 バケット、またはアプリケーション設定 Amazon S3 バケットをそれぞれ含める必要があります。この RFC は、Amazon S3 VPC エンドポイントにアクセスするために必要なアクセス許可を WorkSpaces アプリケーションに提供します。ストリームのカスタムエンドポイントを作成する手順については、WorkSpaces アプリケーションユーザーガイド[の「ホームフォルダの Amazon S3 VPC エンドポイントの使用」と「アプリケーション設定の永続化](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html)」を参照してください。 WorkSpaces 
+ すべてのフリートストリーミングインスタンスで使用できる IAM ロールを作成して選択するには、デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 エンティティまたはポリシー (マネージドオートメーション) 変更タイプ (ct-3dpd8mdd9jn1r) RFC を作成して、必要なポリシーで IAM ロールをリクエストします。IAM ロール名は常にプレフィックス「customer\$1appstream」で始まる必要があります。
+ Amazon WorkSpaces アプリケーションフリートと Image Builder は、Active Directory (AD) でサービスアカウントを作成するための管理 \$1 その他 \$1 その他 \$1 更新変更タイプ RFC を送信することで、Microsoft Active Directory のドメインに参加できます。Microsoft Active Directory に参加するために必要な最小限のアクセス許可は、「Active Directory コンピュータオブジェクトを作成および管理するためのアクセス許可の付与」の WorkSpaces [ アプリケーションドキュメントで定義されています](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions)。
+ カスタム WorkSpaces アプリケーション使用状況レポートを作成するには、管理 \$1 その他 \$1 その他 \$1 以下をリクエストする変更タイプ RFC を作成します。
  + AppStreamUsageReports」CFN スタックの作成
  + アカウントで「customer\$1appstream\$1usagereports\$1role」をプロビジョニングする
  + また、以下の詳細を指定します。
    + クローラの実行をスケジュールする CRON 式を指定します。デフォルトでは、毎日 23:00 UTC です。
    + Athena クエリ結果に使用される Amazon S3 バケット ARN。このバケットにはプレフィックスが必要です。 `aws-athena-query-results`
    + WorkSpaces アプリケーション使用状況レポートログの Amazon S3 バケット ARN。

  ロールがプロビジョニングされたら、フェデレーションソリューションとログインにロールをオンボードし、 AWS GlueAWS Glue と Athena にアクセスして、使用状況レポートロールを使用してカスタムレポートを生成します。WorkSpaces アプリケーション使用状況レポートの使用の詳細については、[WorkSpaces アプリケーションドキュメントの「カスタムレポートの作成」および「WorkSpaces アプリケーション使用状況データの分析](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html)」を参照してください。 WorkSpaces 

# AMS SSP を使用して AMS アカウントに Amazon Athena をプロビジョニングする
<a name="athena"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Athena (Athena) 機能に直接アクセスします。Athena は、標準 SQL を使用して Amazon S3 内のデータを分析するためのインタラクティブなクエリサービスです。Athena はサーバーレスであることから管理するインフラストラクチャがなく、実行したクエリの料金のみを支払います。Amazon S3 のデータにポイントし、スキーマを定義して、標準 SQL を使用してクエリを開始します。ほとんどの結果は数秒以内に配信されます。Athena を使用すると、分析用にデータを準備するための複雑なextract-transform-load (ETL) ジョブは必要ありません。これにより、SQL スキルを持つすべてのユーザーが大規模なデータセットをすばやく分析できます。詳細については、[Amazon Athena](https://aws.amazon.com/athena/)」を参照してください。

## よくある質問: AMS の Athena
<a name="set-athena-faqs"></a>

**Q: AMS アカウントの Amazon Athena へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type で RFC を送信して、Athena へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_athena_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Athena の使用にはどのような制限がありますか？**

制限はありません。Amazon Athena の完全な機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Athena を使用するための前提条件または依存関係は何ですか？**

Athena は、 で作成されたデータカタログ/メタストアを使用するため、 AWS Glue サービスに大きく依存します AWS Glue。したがって、 AWS Glue アクセス許可は成功した Athena RFC に含まれます。

ロールには、Amazon S3 バケットの前提条件`customer_athena_console_role`があります。新しいバケットを作成するには、自動 CT `ct-1a68ck03fn98r` (デプロイ \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 作成) を使用します。この自動 CT を使用して Athena の S3 バケットを作成する場合、バケット名はプレフィックス で始まる必要があります`athena-query-results-*`。

# AMS SSP を使用して AMS アカウントに Amazon Bedrock をプロビジョニングする
<a name="bedrock"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Bedrock 機能に直接アクセスします。Amazon Bedrock は、主要な AI スタートアップから高性能な基盤モデル (FMs) を提供し、統合された API AWS を通じて使用できるフルマネージドサービスです。さまざまな基盤モデルから選択して、ユースケースに最適なモデルを見つけることができます。Amazon Bedrock には、セキュリティ、プライバシー、責任のある AI を備えた生成 AI アプリケーションを構築するためのさまざまな機能も用意されています。Amazon Bedrock を使用すると、ユースケースに適した最善の基盤モデルを簡単に試して評価したり、ファインチューニングや検索拡張生成 (RAG) などの手法を使用して基盤モデルをデータでプライベートにカスタマイズしたり、エンタープライズシステムやデータソースを使用してタスクを実行するエージェントを構築したりできます。

Amazon Bedrock のサーバーレスエクスペリエンスを使用すると、インフラストラクチャを管理することなく、すばやく開始し、独自のデータを使用して基盤モデルをプライベートにカスタマイズし、AWS ツールを使用してアプリケーションに簡単かつ安全に統合してデプロイできます。詳細については、「[Amazon Bedrock とは](https://aws.amazon.com/bedrock/)」を参照してください。

## よくある質問: AMS の Amazon Bedrock
<a name="set-bedrock-faqs"></a>

**Q: AMS アカウントの Amazon Bedrock へのアクセスをリクエストするにはどうすればよいですか?**

Amazon Bedrock へのアクセスをリクエストするには、 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを使用して RFC を送信します。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_bedrock_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Bedrock の使用にはどのような制限がありますか?**
+ Amazon Bedrock ナレッジベースは、現在 AMS でサポートされていない Amazon OpenSearch Service Serverless に依存しているため、SSPS ロールの一部としてデフォルトではサポートされていません。
+ Bedrock Studio は、Amazon DataZone などのサポートされていないサービスに依存しているため、サポートされていません。

**Q: AMS アカウントで Amazon Bedrock を使用するための前提条件または依存関係は何ですか?**
+  AWS Marketplace アクセス許可を必要とするサードパーティーモデルのサブスクリプションは、デフォルトのロール (`AWSManagedServicesAdminRole`MALZ では 、SALZ `Customer_ReadOnly_Role`では ) で実行する必要があります。これは、デフォルトのロールに AWS Marketplace アクセス許可が含まれているためです。
+ データ暗号化を使用する場合は、コンソールロールの作成をリクエストするときに AWS KMS キー ARN を指定する必要があります。また、使用する Amazon S3 バケットの名前に「bedrock」が含まれている必要があります。

# AMS SSP を使用して AMS アカウントで Amazon CloudSearch をプロビジョニングする
<a name="cloud-search"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon CloudSearch 機能に直接アクセスします。Amazon CloudSearch は、ウェブサイトまたはアプリケーションの検索ソリューションのセットアップ、管理、スケーリングを費用対効果の高い方法で行うために使用する AWS クラウド内のマネージドサービスです。Amazon CloudSearch は、34 の言語と、強調表示、オートコンプリート、地理空間検索などの一般的な検索機能をサポートしています。詳細については、[Amazon CloudSearch](https://aws.amazon.com/cloudsearch/)」を参照してください。

**注記**  
AWS は、2024 年 7 月 25 日に Amazon CloudSearch への新しい顧客アクセスを閉鎖しました。Amazon CloudSearch の既存のお客様は、引き続きこのサービスを通常どおり使用できます。 AWS は引き続き Amazon CloudSearch のセキュリティ、可用性、パフォーマンスの向上に投資しますが、新機能を導入する予定はありません。  
Amazon CloudSearch と Amazon OpenSearch Service の違いと OpenSearch Service への移行方法を理解するには、クラウドアーキテクト (CA) に連絡してガイダンスを受けてください。OpenSearch Service への移行の詳細については、[Amazon CloudSearch から Amazon OpenSearch Service サービスへの移行](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/)」を参照してください。

## AWS Managed Servicesでの Amazon CloudSearch に関するよくある質問
<a name="set-cs-faqs"></a>

**Q: AMS アカウントの Amazon CloudSearch へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type で RFC を送信して、Amazon CloudSearch へのアクセスをリクエストします。この RFC は、 `customer_csearch_admin_role`および の IAM ロールをアカウントにプロビジョニングします`customer_csearch_dev_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon CloudSearch の使用にはどのような制限がありますか？**

Amazon CloudSearch の全機能は、AMS アカウントで使用できます。AMS がサポートするすべてのデータベースソリューションは、現在 Amazon CloudSearch でサポートされています。現在、インデックスを作成できないマネージド AWS データベースソリューションは DynamoDB のみです。

**Q: AMS アカウントで Amazon CloudSearch を使用するための前提条件または依存関係は何ですか？**

Amazon CloudSearch はAmazon S3 が ID プロバイダーと連携して入力データを自動的に分析し、テーブルフィールドを決定します。Amazon S3 へのアクセスはこの RFC では提供されておらず、サービスリクエストで個別にリクエストする必要があります。

# AMS SSP を使用して AMS アカウントで Amazon CloudWatch Synthetics をプロビジョニングする
<a name="cloud-synth"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon CloudWatch Synthetics 機能に直接アクセスします。Amazon CloudWatch Synthetics を使用して「canaryAPIs をモニタリングできます。

Canary は、Node.js または Python で記述された設定可能なスクリプトで、スケジュールに従って実行されます。Node.js または Python をフレームワークとして使用する Lambda 関数をアカウント内に作成します。Canary は、HTTP プロトコルと HTTPS プロトコルの両方で動作します。Canary はエンドポイントの可用性とレイテンシーをチェックし、ロードタイムデータと UI スクリーンショットを保存できます。REST API、URL、ウェブサイトのコンテンツをモニターリングし、フィッシング、コードインジェクション、およびクロスサイトスクリプティングによる不正な変更をチェックできます。

Canary は顧客と同じルートに従って同じアクションを実行するため、アプリケーションに顧客トラフィックがない場合でもカスタマーエクスペリエンスを継続的に検証できます。Canary を使用すると、顧客が問題を検出する前に問題を検出できます。詳細については、[Amazon CloudWatch: 合成モニタリング](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)の使用」を参照してください。

## AWS Managed Services の Amazon CloudWatch Synthetics に関するよくある質問
<a name="set-cws-faqs"></a>

**Q: AMS アカウントの Amazon CloudWatch Synthetics へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon CloudWatch Synthetics へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: 'customer\$1cw\$1synthetics\$1console\$1role' および 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role'。アカウントにプロビジョニングされたら、フェデレーションソリューションで「customer\$1cw\$1synthetics\$1console\$1role」ロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon CloudWatch Synthetics の使用にはどのような制限がありますか？**

AMS アカウントでの Amazon CloudWatch Synthetics の使用に制限はありません。AMS が提供するサービスロールcustomer\$1cw\$1synthetics\$1canary\$1lambda\$1role」以外の Canary のロールの作成は禁止されています。

**Q: AMS アカウントで Amazon CloudWatch Synthetics を使用するための前提条件または依存関係は何ですか？**

Canary は、デフォルトの Amazon CloudWatch Synthetics S3 バケットを作成および使用します。cw-syn-results-*\$1\$1accountnumber\$1*-*\$1\$1default-region\$1*」

# AMS SSP を使用して AMS アカウントに Amazon Cognito ユーザープールをプロビジョニングする
<a name="cognito-pool"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Cognito ユーザープール機能に直接アクセスします。Amazon Cognito ユーザープールは、何億人ものユーザーにスケールする安全なユーザーディレクトリを提供します。フルマネージドサービスである Amazon Cognito ユーザープールは、サーバーインフラストラクチャの立ち上げを心配することなくセットアップできます。このサービスを使用すると、内部アプリケーションとの統合に使用できる最終ユーザーのプールを管理できます。このサービスでは、カスタマイズされたデータベースまたはウェブアプリケーションやモバイルアプリケーションの最終ユーザーのディレクトリの代わりに使用できます。同時に、Amazon Cognito ユーザープールは、パスワードポリシー、多要素認証、パスワード復旧、サービスへの自己サインアップなど、ディレクトリサービスのフルセットの機能を提供します。また、アプリケーションは OpenID、Facebook、Amazon、Google などの一般的なパブリックサービスでアクセスをフェデレーションすることもできます。

Amazon Cognito は 2 つの主要製品に分かれています。Amazon Cognito ユーザープールと Amazon Cognito ID プロバイダー。このセクションでは、Amazon S3 や DynamoDB などの他のサービスへのアクセスを提供する Amazon Cognito ユーザープールに焦点を当てます。 AWS Amazon S3 DynamoDB このサービスでは、Amazon Cognito ユーザープールまたはサードパーティーの ID プロバイダーを使用して、 AWS サービスへのアクセスを提供できます。また、匿名ゲストアクセスを使用して AWS サービスへのアクセスも提供します。Amazon Cognito ユーザープールの強力な性質により、アカウントへの潜在的なセキュリティ侵害を避けるために、運用手動サービスとしてcase-by-caseで手動で管理されます。詳細については、[Amazon Cognito ユーザープール](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)」を参照してください。

## AWS Managed Services の Amazon Cognito ユーザープールに関するよくある質問
<a name="set-cognito-pool-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Amazon Cognito ユーザープールへのアクセスをリクエストするにはどうすればよいですか？**

AMS での Amazon Cognito ユーザープールの実装は、2 ステップのプロセスです。

1. 管理を送信する \$1 その他 \$1 その他 \$1 変更タイプ (ct-1e1xtak34nx76) を作成し、AMS アカウントで Amazon Cognito ユーザープールの作成をリクエストします。次の情報を含めてください。
   + AWS リージョン。
   + Cognito ユーザープールの名前。
   + デフォルトの内部 Cognito メールサービスの代わりに Amazon Simple Email Service (Amazon SES) を使用してメッセージと通知を送信する場合、お客様はアカウントで Amazon SES Service の検証済みの E メールアドレスを提供する必要があります。このアドレスは、メッセージの「From」フィールドと「REPLY-TO」フィールドに使用されます。また、Amazon SES がアクティブ化されたリージョン (us-east-1、eu-west-1、または us-west-2) も指定する必要があります。
   + ワンタイムパスワードと検証に SMS メッセージを使用する場合は、顧客が指定する必要があります。

1. Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してユーザーアクセスをリクエストします。この RFC は、 `customer_cognito_admin_role`および の IAM ロールをアカウントにプロビジョニングします`customer_cognito_importjob_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。これらのロールを使用すると、Amazon Cognito ユーザープールの管理、プール内のユーザーとグループの管理、ユーザーのインポートジョブの作成、通知メッセージとサブスクリプションメッセージの変更、ユーザープールへのアプリケーションの関連付け、プールへのフェデレーションサービスの追加の自己管理、および既に作成されたプールの削除を行うことができます。

**Q: AMS アカウントでの Amazon Cognito ユーザープールの使用にはどのような制限がありますか？**

Amazon Cognito ユーザープールを作成することはできません。このアクションでは、Amazon SES や Amazon Cognito が使用するサービスを活用するための IAM ロールを作成する必要があります。 Amazon SNS

**Q: AMS アカウントで Amazon Cognito ユーザープールを使用するための前提条件または依存関係は何ですか？**

Amazon SES を使用してユーザープールに E メールでメッセージと通知を送信する場合は、アカウントで Amazon SES サービスをアクティブ化し、送信された E メールの「FROM」フィールドと「REPLY-TO」フィールドで使用する E メールアドレスを既に検証する必要があります。Amazon SES を使用した E メールアドレスの検証の詳細については、[Amazon SES での E メールアドレスの検証](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html)」を参照してください。

# AMS SSP を使用して AMS アカウントに Amazon Comprehend をプロビジョニングする
<a name="comprehend"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Comprehend 機能に直接アクセスします。Amazon Comprehend は、機械学習を使用してテキストでインサイトや関係を見つける自然言語処理 (NLP) サービスであり、機械学習の経験は必要ありません。Amazon Comprehend は機械学習を使用して、非構造化データ内のインサイトと関係を明らかにするのに役立ちます。このサービスは、テキストの言語の識別、キーフレーズ、場所、人物、ブランド、またはイベントの抽出、テキストがどの程度肯定的または否定的であるかの理解、トークン化と音声部分を使ったテキスト分析、テキストファイルコレクションのトピックごとの自動整理を行います。Amazon Comprehend の AutoML 機能を使用すると、組織のニーズに合わせて独自にカスタマイズしたエンティティまたはテキスト分類モデルのカスタムセットを構築することもできます。詳細については、[Amazon Comprehend](https://aws.amazon.com/comprehend/)」を参照してください。

## AWS Managed Services の Amazon Comprehend に関するよくある質問
<a name="set-comprehend-faqs"></a>

**Q: AMS アカウントで Amazon Comprehend へのアクセスをリクエストするにはどうすればよいですか?**

Amazon Comprehend コンソールとデータアクセスロールは、2 つの AMS Service RFCs を送信することでリクエストできます。

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_comprehend_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Comprehend の使用にはどのような制限がありますか?**

Amazon Comprehend コンソールを使用して新しい IAM ロールを作成する機能は制限されています。それ以外の場合は、Amazon Comprehend の全機能が AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Comprehend を使用するための前提条件または依存関係は何ですか?**

Amazon S3 バケットが AWS KMS キーで暗号化されている場合、Amazon Comprehend を使用するには Amazon S3 と AWS Key Management Service (AWS KMS) が必要です。

# AMS SSP を使用して AMS アカウントに Amazon Connect をプロビジョニングする
<a name="connect"></a>

**注記**  
慎重に検討した結果、2026 年 5 月 20 日をもって Amazon Connect Voice ID のサポートを終了することになりました。Amazon Connect Voice ID は、2025 年 5 月 20 日以降、新規のお客様を受け入れません。2025 年 5 月 20 日より前にサービスにサインアップしたアカウントを持つ既存のお客様は、引き続き Amazon Connect Voice ID の機能を使用できます。2026 年 5 月 20 日以降は、Amazon Connect Voice ID を使用できなくなります。

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Connect 機能に直接アクセスします。Amazon Connect は、企業が優れたカスタマーサービスを低コストで提供できるようにするオムニチャネルクラウドコンタクトセンターです。Amazon Connect は顧客とエージェントに音声とチャットのチャネル全体でシームレスなエクスペリエンスを提供します。これには、スキルベースのルーティング、強力なリアルタイム分析と履歴分析、easy-to-use直感的な管理ツールのセットが含まれます。これらはすべてpay-as-you-goです。

仮想コンタクトセンターインスタンスの 1 つ以上のインスタンスは、AMS マルチアカウントランディングゾーンまたはシングルアカウントランディングゾーンアカウントに作成できます。エージェントアクセスには既存の SAML 2.0 ID プロバイダーを使用するか、ユーザーライフサイクル管理には Amazon Connect ネイティブサポートを使用できます。

さらに、Amazon Connect コンソールから各 Amazon Connect インスタンスの通話料無料/直通ダイヤルの電話番号を要求できます。 Amazon Connect 豊富な問い合わせフローを作成して、easy-to-useグラフィカルユーザーインターフェイスを使用して、望ましいカスタマーエクスペリエンスとルーティングを実現できます。問い合わせフローは、 AWS Lambda 関数を活用して、オンプレミスのデータストアや API と統合できます。Kinesis Streams と Firehose を使用してデータストリーミングを有効にすることもできます。

通話録音、チャットトランスクリプト、およびレポートは、 AWS KMS キーを使用して暗号化された Amazon S3 バケットに保存されます。問い合わせフローログは CloudWatch ロググループに保存できます。

詳細については、[Amazon Connect](https://aws.amazon.com/connect/)」を参照してください。

## AWS Managed Services での Amazon Connect に関するよくある質問
<a name="set-connect-faqs"></a>

**Q: AMS アカウントで Amazon Connect へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、 `customer_connect_console_role`および の IAM ロールをアカウントにプロビジョニングします`customer_connect_user_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Connect の使用にはどのような制限がありますか?**

制限はありません。Amazon Connect の完全な機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Connect を使用するための前提条件または依存関係は何ですか?**
+ 標準の AMS RFCs を使用して AWS KMS キーと Amazon S3 バケットを作成する必要があります。通話録音とチャットトランスクリプトを保存するにはAmazon S3 バケットが必要です。
+ Active Directory (AD) と統合する場合は、AMS がホストする Amazon Connect インスタンスとオンプレミスのディレクトリサービスの統合に AD Connector が必要です。AD Connector は、「Management \$1 Other \$1 Other」RFC をリクエストすることで、アカウントで設定できます。
+ 問い合わせフローの要件に基づいて、以下のオプションのセルフプロビジョニングサービスを有効にできます。
  + **AWS Lambda**: Lambda 関数を使用して問い合わせフローを拡張し、既存のオンプレミスデータストアまたは APIsを活用できます。Lambda 自己プロビジョニングサービスを使用して Lambda 関数を作成できます。
  + **Amazon Kinesis Data Streams**: データストリームを作成して、外部アプリケーションへのデータストリーミングを有効にできます。問い合わせトレースレコードまたはエージェントイベントをストリーミングできます。
  + **Amazon Kinesis Data Firehose**: Data Firehose を作成して、大量の問い合わせトレースレコードを外部アプリケーションにストリーミングできます。
  + **Amazon Lex**: Amazon Lex Chatbots を活用して、Amazon Alexa サービスを活用したスマートな問い合わせフローを作成し、豊富なカスタマーエクスペリエンスと自動化を実現できます。
+ **Q: 発信通話または着信通話の国のリストの追加をリクエストするにはどうすればよいですか?**

  アウトバウンド通話またはインバウンド通話の国のリストを追加するには、サービスリクエストを AMS に送信します。

# AMS SSP を使用して AMS アカウントに Amazon Data Firehose をプロビジョニングする
<a name="kdf"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Data Firehose 機能に直接アクセスします。Firehose は、ストリーミングデータをデータレイク、データストア、分析ツールに確実にロードする最も簡単な方法です。Amazon S3、Amazon Redshift、Amazon OpenSearch Service、[Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/) にストリーミングデータをキャプチャ、変換、ロードできるため、現在既に使用している既存のビジネスインテリジェンスツールやダッシュボードでほぼリアルタイムの分析が可能になります。完全マネージド型サービスのため、データスループットに応じて自動的にスケールされ、継続的な管理は不要です。また、データをロードする前にバッチ処理、圧縮、変換、および暗号化を行うことができるため、送信先で使用されるストレージ量を最小限に抑え、セキュリティを強化できます。詳細については、[「Amazon Data Firehose とは」を参照してください。](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)

## AWS Managed Services の Firehose に関するよくある質問
<a name="set-kdf-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの Amazon Data Firehose へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_kinesis_firehose_user_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Firehose の使用にはどのような制限がありますか?**

制限はありません。Amazon Data Firehose の全機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Firehose を使用するための前提条件または依存関係は何ですか?**

配信ストリームごとに新しいサービスにリンクされた IAM ロールをリクエストする必要があります。また、必要なリソースアクセス許可 (S3 バケット/KMS キー/Lambda 関数/Kinesis ストリームを含む) でロールポリシーを更新することで、すべてのストリームに対して単一のサービスにリンクされたロールを再利用することもできます。

RFC を送信して Firehose を追加すると、AMS オペレーションエンジニアが Data Firehose に接続するリソース (S3 AWS KMS、Lambda、Kinesis Streams など) の ARNs のサービスリクエストを通じてお客様に連絡します。

# AMS SSP を使用して AMS アカウントに Amazon DevOps Guru をプロビジョニングする
<a name="devops-guru"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon DevOps Guru 機能に直接アクセスします。Amazon DevOps Guru は、開発者やオペレーターがアプリケーションのパフォーマンスと可用性を簡単に改善できるようにするフルマネージド型のオペレーションサービスです。DevOps Guru は、運用上の問題の特定に関連する管理タスクをオフロードし、アプリケーションを改善するためのリコメンデーションを迅速に実装できるようにします。DevOps Guru は、アプリケーションを今すぐ改善するために使用できる事後対応型のインサイトを作成します。また、将来アプリケーションに影響を与える可能性のある運用上の問題を回避するために事前対応型インサイトを作成します。DevOps Guru は、機械学習を適用して、運用データとアプリケーションのメトリクスおよびイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru が運用上の問題またはリスクを検出すると通知が行われます。DevOps Guru は、各問題について、現在および予測される将来の運用上の問題に対処するためのインテリジェントなレコメンデーションを提示します。

詳細については、[「Amazon DevOps Guru とは](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)」を参照してください。

## AWS Managed Servicesでの Amazon DevOps Guru に関するよくある質問
<a name="devops-guru-faqs"></a>

**Q: AMS アカウントの Amazon DevOps Guru へのアクセスをリクエストするにはどうすればよいですか?**

アクセスをリクエストするには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを追加します。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_devopsguru_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon DevOps Guru の使用にはどのような制限がありますか?**

制限はありません。Amazon DevOps Guru の全機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon DevOps Guru を使用するための前提条件または依存関係は何ですか?**

前提条件はありません。DevOps Guru は、Amazon CloudWatch Logs、RDS Insights AWS X-Ray、および AWS Lambda AWS のサービスを活用します AWS CloudTrail。

# AMS SSP を使用して AMS アカウントに Amazon DocumentDB (MongoDB 互換) をプロビジョニングする
<a name="document-db"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon DocumentDB (MongoDB 互換) 機能に直接アクセスします。Amazon DocumentDB (MongoDB 互換) は、MongoDB ワークロードをサポートする、高速、スケーラブル、高可用性、完全マネージド型のドキュメントデータベースサービスです。Amazon DocumentDB は、ミッションクリティカルな MongoDB ワークロードを大規模に運用するために必要なパフォーマンス、スケーラビリティ、可用性を提供します。Amazon DocumentDB は、MongoDB クライアントが MongoDB サーバーに期待するレスポンスをエミュレートすることで、Apache 2.0 オープンソースの MongoDB 3.6 API を実装し、Amazon DocumentDB で既存の MongoDB ドライバーとツールを使用できます。 MongoDB Amazon DocumentDB では、ストレージとコンピューティングが分離され、それぞれが独立してスケールできるようになります。データのサイズに関係なく、最大 15 個の低レイテンシーのリードレプリカを追加することで、読み取り容量を 1 秒あたり数百万リクエストに増やすことができます。Amazon DocumentDB は 99.99% の可用性を実現するように設計されており、データの 6 つのコピーを 3 つの AWS アベイラビリティーゾーン (AZs) にレプリケートします。 AWS Database Migration Service (DMS) を無料で (6 か月間) 使用して、オンプレミスまたは Amazon Elastic Compute Cloud (Amazon EC2) MongoDB データベースを Amazon DocumentDB にほぼダウンタイムなしで移行できます。詳細については、[Amazon DocumentDB (MongoDB 互換)](https://aws.amazon.com/documentdb/)」を参照してください。

## AWS Managed Services の Amazon DocumentDB に関するよくある質問
<a name="set-document-db-faqs"></a>

**Q: AMS アカウントの Amazon DocumentDB へのアクセスをリクエストするにはどうすればよいですか?**

Amazon DocumentDB コンソールとデータアクセスロールは、コンソールアクセスとデータアクセスの 2 つの AMS RFCs を送信することでリクエストできます。

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して Amazon DocumentDB へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_documentdb_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon DocumentDB の使用にはどのような制限がありますか?**

Amazon DocumentDB には、Amazon RDS 固有のアクセス許可が必要です。AMS は Amazon RDS を完全に管理するため、Amazon DocumentDB の IAM ロールには Amazon RDS でのアクションに対するいくつかの制限が含まれています。以下の制限が適用されます。
+ `DeleteDBInstance` および `DeleteDBCluster` APIs へのアクセスが制限されています。これらの削除 APIs を使用するには、 管理 \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 更新エンティティまたはポリシー (マネージドオートメーション) 変更タイプ (ct-27tuth19k52b4) で RFC を送信します。
+ Amazon RDS インスタンスにタグを追加または削除することはできません。
+ Amazon DocumentDB インスタンスを公開することはできません。

**Q: AMS アカウントで Amazon DocumentDB を使用するための前提条件または依存関係は何ですか?**

Amazon S3 バケット AWS KMS が AWS KMS キーで暗号化されている場合、Amazon DocumentDB を使用するには Amazon S3 と が必要です。

# AMS SSP を使用して AMS アカウントに Amazon DynamoDB をプロビジョニングする
<a name="dynamo-db"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon DynamoDB (DynamoDB) 機能に直接アクセスします。Amazon DynamoDB は、あらゆる規模で 1 桁ミリ秒のパフォーマンスを実現するキー値およびドキュメントデータベースです。これは、セキュリティ、バックアップと復元、インターネットスケールアプリケーション用のインメモリキャッシュが組み込まれた、フルマネージド型のマルチリージョンのマルチアクティブデータベースです。詳細については[Amazon DynamoDB](https://aws.amazon.com/dynamodb/)を参照してください。

Amazon DynamoDB Accelerator (DAX) は、DynamoDB テーブルにキャッシュを追加するプロセスを簡素化するために設計された書き込みスルーキャッシュサービスです。DAX は、高パフォーマンスの読み込みを必要とするアプリケーションを対象としています。

## AWS Managed Services の DynamoDB に関するよくある質問
<a name="set-dynamo-db-faqs"></a>

**Q: AMS アカウントの DynamoDB と DAX へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 サービス \$1 AWS セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、DynamoDB と DAX へのアクセスをリクエストします。この RFC は、次の IAM ロールとポリシーをアカウントにプロビジョニングします。
+ DynamoDB ロール名: `customer_dynamodb_role`

  DAX サービスロール名: `customer_dax_service_role`
+ DynamoDB ポリシー名: `customer_dynamodb_policy`

  DAX サービスポリシー: `customer_dax_service_policy`

アカウントにプロビジョニングされたら、フェデレーションソリューション`customer_dynamodb_role`で をオンボードする必要があります。

**Q: AMS アカウントでの DynamoDB の使用にはどのような制限がありますか？**

DynamoDB Accelerator (DAX) を含むすべての DynamoDB 機能がサポートされています。

特定のテーブルに対してアラームを作成する場合、アラーム名には「customer\$1」というプレフィックスを付ける必要があります`customer-employee-table-high-put-latency`。たとえば、。

DynamoDB 用の Amazon SNS トピックを作成するときは、 という名前にする必要があります`dynamodb`。

DynamoDB によって作成された Amazon SNS トピックを削除するには、管理 \$1 その他 \$1 その他 \$1 更新変更タイプ RFC を送信します。

**Q: AMS アカウントで DynamoDB を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで DynamoDB を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントに Amazon Elastic Container Registry をプロビジョニングする
<a name="ecr"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Elastic Container Registry (Amazon ECR) 機能に直接アクセスします。Amazon Elastic Container Registry は、開発者が [Docker](https://aws.amazon.com/docker/) コンテナイメージを簡単に保存、管理、デプロイできるようにするフルマネージド型の Docker コンテナレジストリです。Amazon ECR は [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) と統合されているため、本番環境への開発ワークフローが簡素化されます。Amazon ECR を使用すると、独自のコンテナリポジトリを運用したり、基盤となるインフラストラクチャのスケーリングを心配する必要がなくなります。Amazon ECS は、高可用性でスケーラブルなアーキテクチャでイメージをホストするため、アプリケーションのコンテナを確実にデプロイできます。 AWS Identity and Access Management (IAM) との統合により、各リポジトリのリソースレベルの制御が可能になります。Amazon ECR では、前払い料金やコミットメントはありません。リポジトリに保存したデータの量とインターネットに転送されたデータに対してのみ料金が発生します。

詳細については、[「Amazon Elastic Container Registry](https://aws.amazon.com/ecr/)」を参照してください。

## AWS Managed Services の Amazon Elastic Container Registry に関するよくある質問
<a name="set-ecr-faqs"></a>

**Q: AMS アカウントの Amazon ECR へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type で RFC を送信して Amazon ECR へのアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします: ` customer_ecr_console_role`、、および関連する IAM ポリシー`customer_ecr_poweruser_instance_profile`を持つ `customer_ecr_poweruser_instance_profile_policy`、`customer_ecr_console_policy`および 。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon ECR の使用にはどのような制限がありますか？**

AMS アカウントでの Amazon ECR の使用には、AMS 名前空間に関する制限があります。コンテナイメージには「AMS-」または「Sentinel-」のプレフィックスを付けることはできません。

**Q: AMS アカウントで Amazon ECR を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Amazon ECR を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントに EC2 Image Builder をプロビジョニングする
<a name="ec2-image-build"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで EC2 Image Builder 機能に直接アクセスします。EC2 Image Builder は、カスタマイズされ、安全でup-to-date「ゴールデン」サーバーイメージの作成、管理、デプロイを簡単に自動化できるフルマネージド AWS サービスです。これらのイメージは、特定の IT 標準を満たすためのソフトウェアと設定がプリインストールされ、事前設定されています。

 AWS マネジメントコンソール、 AWS CLI、または APIs を使用して、 AWS アカウントにカスタムイメージを作成できます。を使用すると AWS マネジメントコンソール、Amazon EC2 Image Builder ウィザードが以下のステップをガイドします。
+ 開始アーティファクトを指定する
+ ソフトウェアの追加と削除
+ 設定とスクリプトをカスタマイズ
+ 選択したテストを実行する
+  AWS イメージをリージョンに配布する

ビルドするイメージはアカウントで作成され、オペレーティングシステムのパッチ用に継続的に設定できます。詳細については、[EC2 Image Builder](https://aws.amazon.com/image-builder/)」を参照してください。

## AWS Managed Services の EC2 Image Builder に関するよくある質問
<a name="set-ec2-image-build-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの EC2 Image Builder へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC を通じて、次の IAM ロールがアカウントにプロビジョニングされます: ` customer_ec2_imagebuilder_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: EC2 Image Builder にはどのような制限がありますか?**

AMS は、インフラストラクチャ設定でのサービスデフォルトの使用をサポートしていません。新しいインフラストラクチャ設定を作成することも、既存の設定を使用することもできます。

AMS は現在、コンテナレシピの作成をサポートしていません。

**Q: EC2 Image Builder を有効にするための前提条件または依存関係は何ですか?**
+ EC2 Image Builder サービスにリンクされたロール: サービスにリンクされたロールを手動で作成する必要はありません。、 CLI AWS マネジメントコンソール、または AWS API で最初の Image Builder AWS リソースを作成すると、Image Builder によってサービスにリンクされたロールが作成されます。
+ Image Builder を使用してイメージを構築し、テストを実行するために使用されるインスタンスは、Systems Manager サービスにアクセスできる必要があります。SSM エージェントは、ソースイメージがまだ存在しない場合はインストールされ、イメージが作成される前に削除されます。
+ AWS IAM: インスタンスプロファイルに関連付ける IAM ロールには、イメージに含まれるビルドコンポーネントとテストコンポーネントを実行するアクセス許可が必要です。インスタンスプロファイルに関連付けられている IAM ロールには、 `EC2InstanceProfileForImageBuilder`および の IAM ロールポリシーをアタッチする必要があります`AmazonSSMManagedInstanceCore`。IAM ロール名には `*imagebuilder*`キーワードを含める必要があります。
+ ロギングを設定する場合、インフラストラクチャ構成で指定されたインスタンスプロファイルは、ターゲットバケット(`arn:aws:s3:::{bucket-name}/*`)に対して`s3:PutObject`の権限を持っている必要があります。例えば、次のようになります。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutObject"
              ],
              "Resource": "arn:aws:s3:::{bucket-name}/*"
          }
      ]
  }
  ```

------
+ EC2 Image Builder からアラートと通知を受信するには、「imagebuilder」という名前の SNS トピックを作成します。

# AMS SSP を使用して AMS アカウントの AWS Fargate で Amazon ECS をプロビジョニングする
<a name="amz-ecs-fargate"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Fargate 機能で Amazon ECS に直接アクセスします。 AWS Fargate は、Amazon EC2 インスタンスのAmazon EC2 で使用できるテクノロジーです (「 の[コンテナ AWS](https://aws.amazon.com/what-are-containers)」を参照）。を使用すると AWS Fargate、コンテナを実行するために仮想マシンのクラスターをプロビジョニング、設定、またはスケーリングする必要がなくなります。これにより、サーバータイプの選択、クラスターをスケールするタイミングの決定、クラスターのパッキングの最適化を行う必要がなくなります。

詳細については、[「Amazon ECS on AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)」を参照してください。

## AWS Managed Services での Fargate での Amazon ECS に関するよくある質問
<a name="set-amz-ecs-fargate-faqs"></a>

**Q: AMS アカウントの Fargate で Amazon ECS へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Fargate で Amazon ECS へのアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします: `customer_ecs_fargate_console_role` (ECS ポリシーを関連付けるための既存の IAM ロールが指定されていない場合)`customer_ecs_fargate_events_service_role`、、`customer_ecs_task_execution_service_role`、`customer_ecs_codedeploy_service_role`、および `AWSServiceRoleForApplicationAutoScaling_ECSService`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Fargate で Amazon ECS を使用することにはどのような制限がありますか?**
+ Amazon ECS タスクのモニタリングとログ記録は、コンテナレベルのアクティビティがハイパーバイザーを超えて発生し、Fargate の Amazon ECS によってログ記録機能が制限されるため、お客様の責任と見なされます。Fargate 上の Amazon ECS のユーザーは、Amazon ECS タスクのログ記録を有効にするために必要な手順を実行することをお勧めします。詳細については、[「コンテナの awslogs ログドライバーの有効化](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs)」を参照してください。
+ コンテナレベルでのセキュリティとマルウェアの保護もお客様の責任と見なされます。Fargate の Amazon ECS には、Trend Micro または事前設定されたネットワークセキュリティコンポーネントは含まれていません。
+ このサービスは、マルチアカウントランディングゾーンとシングルアカウントランディングゾーンの両方の AMS アカウントで使用できます。
+ Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) は、Route 53 プライベートホストゾーンの作成には昇格されたアクセス許可が必要であるため、セルフプロビジョニングロールではデフォルトで制限されています。サービスでサービス検出を有効にするには、管理 \$1 その他 \$1 その他 \$1 変更タイプを更新します。Amazon ECS サービスのサービス検出を有効にするために必要な情報については、[「サービス検出マニュアル](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)」を参照してください。
+ AMS は現在、Amazon ECS Fargate へのコンテナのデプロイに使用されるイメージを管理または制限していません。Amazon ECR、Docker Hub、またはその他のプライベートイメージリポジトリからイメージをデプロイできます。したがって、パブリックイメージやセキュリティで保護されていないイメージは、アカウントで悪意のあるアクティビティが発生する可能性があるため、デプロイしないことをお勧めします。

**Q: AMS アカウントで Fargate で Amazon ECS を使用する際の前提条件または依存関係は何ですか?**
+ 以下は、Fargate 上の Amazon ECS の依存関係です。ただし、自己プロビジョニングロールでこれらのサービスを有効にするための追加のアクションは必要ありません。
  + CloudWatch ログ
  + CloudWatch events
  + CloudWatch アラーム
  + CodeDeploy
  + App Mesh
  + クラウドマップ
  + Route 53
+ ユースケースに応じて、Amazon ECS が依存するリソースを次に示します。アカウントで Fargate で Amazon ECS を使用する前に必要になる場合があります。
  + Amazon ECS サービスで使用するセキュリティグループ。デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 作成 (自動) (ct-3pc215bnwb6p7) を使用するか、セキュリティグループで特別なルールが必要な場合は、デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 作成 (マネージドオートメーション) (ct-1oxx2g2d7hc90) を使用できます。注: Amazon ECS で選択したセキュリティグループは、Amazon ECS サービスまたはクラスターが存在する Amazon ECS 専用に作成する必要があります。詳細については、**「Security Group**」セクションの[「Setting Up with Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) and [Security in Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)」を参照してください。
  + Application Load Balancer (ALB)、Network Load Balancer (NLB)、Classic Load Balancer (ELB)。
  + ALBs のターゲットグループ。
  + Amazon ECS クラスターと統合するためのアプリメッシュリソース (仮想ルーター、仮想サービス、仮想ノードなど）。
+ 現在、標準 AMS 変更タイプ以外で作成された場合、AMS がセキュリティグループのアクセス許可のサポートに関連するリスクを自動的に軽減する方法はありません。Amazon ECS で使用するために指定されていないセキュリティグループを使用する可能性を制限するために、Fargate クラスターで使用する特定のセキュリティグループをリクエストすることをお勧めします。

# AMS SSP を使用して AMS アカウントの AWS Fargate で Amazon EKS をプロビジョニングする
<a name="amz-eks"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Fargate 機能で Amazon EKS に直接アクセスします。 AWS Fargate は、コンテナに適したサイズのコンピューティングキャパシティをオンデマンドで提供するテクノロジーです (コンテナを理解するには、[「コンテナとは](https://aws.amazon.com/what-are-containers)」を参照してください）。を使用すると AWS Fargate、コンテナを実行するために仮想マシンのグループをプロビジョニング、設定、またはスケールする必要がなくなります。これにより、サーバータイプの選択、ノードグループをスケールするタイミングの決定、クラスターのパッキングの最適化を行う必要がなくなります。

Amazon Elastic Kubernetes Service (Amazon EKS) は、Kubernetes が提供するアップストリームの拡張可能なモデル AWS Fargate を使用して構築されたコントローラー AWS を使用して、Kubernetes を と統合します。これらのコントローラーは、Amazon EKS が管理する Kubernetes コントロールプレーンの一部として実行され、ネイティブ Kubernetes ポッドを Fargate にスケジューリングします。Fargate コントローラーには、いくつかの変更と検証アドミッションコントローラーに加えて、デフォルトの Kubernetes スケジューラーとともに実行される新しいスケジューラが含まれています。Fargate で実行する条件を満たすポッドを起動すると、クラスターで実行されている Fargate コントローラーはポッドを認識し、更新し、Fargate にスケジューリングします。

詳細については、[「Amazon EKS on AWS Fargate Now generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/)」および[「Amazon EKS Best Practices Guide for Security](https://aws.github.io/aws-eks-best-practices/security/docs/)」（「Review and revoke unnecessary anonymous access」などの「Recommendations」を含む) を参照してください。

**ヒント**  
AMS には、Amazon EKS で使用できる変更タイプである Deployment \$1 Advanced stack components \$1 Identity and Access Managment (IAM) \$1 Create OpenID Connect provider (ct-30ecvfi3tq4k3) があります。例については、[「Identity and Access Management (IAM) \$1 Create OpenID Connect Provider](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html)」を参照してください。

## AWS Managed Services AWS Fargate の での Amazon EKS に関するよくある質問
<a name="set-amz-eks-faqs"></a>

**Q: AMS アカウントの Fargate で Amazon EKS へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします。
+ `customer_eks_fargate_console_role`.

  アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。
+ これらのサービスロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を Amazon EKS on Fargate に付与します。
  + `customer_eks_pod_execution_role`
  + `customer_eks_cluster_service_role`

**Q: AMS アカウントで Fargate で Amazon EKS を使用することにはどのような制限がありますか?**
+ [マネージド](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) EC2 ノードグループまたは[セルフマネージド](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) EC2 ノードグループの作成は、AMS ではサポートされていません。 EC2 EC2 ワーカーノードの使用が必要な場合は、AMS Cloud Service Delivery Manager (CSDM) または Cloud Architect (CA) にお問い合わせください。
+ AMS には、Trend Micro またはコンテナイメージ用に事前設定されたネットワークセキュリティコンポーネントは含まれません。デプロイ前に悪意のあるコンテナイメージを検出するために、独自のイメージスキャンサービスを管理する必要があります。
+ CloudFormation の相互依存関係のため、EKSCTL はサポートされていません。
+ クラスターの作成中に、クラスターコントロールプレーンのログ記録を無効にするアクセス許可があります。詳細については、「[Amazon EKS コントロールプレーンのログ記録](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)」を参照してください。クラスターの作成時に、すべての重要な API、認証、監査ログを有効にすることをお勧めします。
+ クラスターの作成中、Amazon EKS クラスターのクラスターエンドポイントアクセスはデフォルトでパブリックになります。詳細については、[「Amazon EKS クラスターエンドポイントアクセスコントロール](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html)」を参照してください。Amazon EKS エンドポイントをプライベートに設定することをお勧めします。パブリックアクセスにエンドポイントが必要な場合は、特定の CIDR 範囲に対してのみパブリックに設定することをお勧めします。
+ AMS には、Amazon EKS Fargate のコンテナへのデプロイに使用されるイメージを強制および制限する方法はありません。Amazon ECR、Docker Hub、またはその他のプライベートイメージリポジトリからイメージをデプロイできます。したがって、アカウントで悪意のあるアクティビティを実行する可能性のあるパブリックイメージをデプロイするリスクがあります。
+ Cloud Development Kit (CDK) または CloudFormation Ingest を使用した EKS クラスターのデプロイは、AMS ではサポートされていません。
+ [ct-3pc215bnwb6p7 デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html)イングレス作成用のマニフェストファイルの作成と参照を使用して、必要なセキュリティグループを作成する必要があります。これは、ロールにセキュリティグループを作成する権限`customer-eks-alb-ingress-controller-role`がないためです。

**Q: AMS アカウントで Fargate で Amazon EKS を使用するための前提条件または依存関係は何ですか?**

サービスを使用するには、次の依存関係を設定する必要があります。
+ サービスに対して認証するには、KUBECTL と aws-iam-authenticator の両方をインストールする必要があります。詳細については、[「クラスター認証の管理](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)」を参照してください。
+ Kubernetes は「サービスアカウント」と呼ばれる概念に依存しています。EKS 上の kubernetes クラスター内のサービスアカウント機能を利用するには、次の入力で管理 \$1 その他 \$1 その他 \$1 RFC を更新する必要があります。
  + [必須] Amazon EKS クラスター名
  + [必須] サービスアカウント (SA) がデプロイされる Amazon EKS クラスター名前空間。
  + [必須] Amazon EKS クラスター SA 名。
  + [必須] 関連付ける IAM ポリシー名とアクセス許可/ドキュメント。
  + [必須] リクエストされている IAM ロール名。
  + [オプション] OpenID Connect プロバイダー URL。詳細については、以下を参照してください。
    +  [ クラスターでサービスアカウントの IAM ロールを有効にする](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
    +  [ サービスアカウントのきめ細かな IAM ロールの紹介](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ Config ルールを設定してモニタリングすることをお勧めします。
  + パブリッククラスターエンドポイント
  + 無効化された API ログ記録

  これらの Config ルールをモニタリングして修正するのはユーザーの責任です。

[ALB Ingress](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html) Controller をデプロイする場合は、管理 \$1 その他 \$1 その他の更新 RFC を送信して、ALB Ingress Controller ポッドで使用するために必要な IAM ロールをプロビジョニングします。ALB Ingress Controller (RFC にこれらを含める) に関連付ける IAM リソースを作成するには、次の入力が必要です。
+ [必須] Amazon EKS クラスター名
+ [オプション] OpenID Connect プロバイダー URL
+ [オプション] Application Load Balancer (ALB) Ingress Controller サービスをデプロイする Amazon EKS クラスター名前空間。〔デフォルト: kube-system]
+ [オプション] Amazon EKS クラスターサービスアカウント (SA) 名。〔デフォルト: aws-load-balancer-controller]

クラスターでエンベロープシークレットの暗号化を有効にする場合は (推奨）、使用する KMS キー IDs を RFC の説明フィールドに入力してサービスを追加します (Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct)。エンベロープ暗号化の詳細については、[「Amazon EKS adds envelope encryption for secrets with AWS KMS](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/)」を参照してください。

# AMS SSP を使用して AMS アカウントに Amazon EMR をプロビジョニングする
<a name="amz-emr"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon EMR 機能に直接アクセスします。Amazon EMR は、Apache Spark、Apache Hive、Apache HBase、Apache Flink、Apache Hudi、Presto などのオープンソースツールを使用して大量のデータを処理するための、業界をリードするクラウドビッグデータプラットフォームです。Amazon EMR を使用すると、従来のオンプレミスソリューションのコストの半分未満で、標準の Apache Spark の 3 倍以上の速度で Petabyte スケール分析を実行できます。実行時間の短いジョブでは、クラスターをスピンアップおよびスピンダウンし、使用したインスタンスに対して 1 秒あたりの料金を支払うことができます。長時間実行されるワークロードの場合、需要に合わせて自動的にスケーリングする高可用性クラスターを作成できます。

Amazon EMR クラスターの 1 つ以上のインスタンスを AMS マルチアカウントランディングゾーンまたはシングルアカウントランディングゾーンアカウントに作成して、一時的および永続的な Amazon EMR クラスターの両方をサポートできます。Kerberos 認証を有効にして、オンプレミスの Active Directory ドメインからユーザーを認証することもできます。

Amazon EMR クラスターで複数のデータストアを活用して、ユースケース固有の Hadoop ツールとライブラリをサポートできます。Amazon EMR クラスターは、OnDemandインスタンスまたはスポットインスタンスを使用して作成し、容量を管理し、コストを削減するように自動スケーリングを設定できます。

クラスターログファイルは、ログ記録とデバッグのために Amazon S3 バケットにアーカイブできます。Amazon EMR クラスターでホストされているウェブインターフェイスにアクセスして、hadoop 管理要件をサポートしたり、顧客のノートブックエクスペリエンスをサポートしたりすることもできます。

詳細については、「[Amazon EMR](https://aws.amazon.com/emr/)」を参照してください。

## AWS Managed Services での Amazon EMR に関するよくある質問
<a name="set-amz-emr-faqs"></a>

**Q: AMS アカウントの Amazon EMR へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします。
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`

アカウントにプロビジョニングされたら、フェデレーションソリューションで customer\$1emr\$1console\$1role をオンボードする必要があります。

**Q: AMS アカウントでの Amazon EMR の使用にはどのような制限がありますか?**

AWS コンソールから EC2 クラスターに Amazon EMR を作成するときは、**クラスターの作成 – 詳細**オプションを使用することをお勧めします。Amazon EMR クラスターは、キー**for-use-with-amazon-emr-managed-policies**」と値**「true**」のタグを追加して作成する必要があります。**セキュリティ**オプションで次の設定を選択します。
+ クラスターのカスタムロールを選択します。
  + EMR ロール: customer\$1emr\$1cluster\$1service\$1role
  + EC2 インスタンスプロファイル : customer\$1emr\$1cluster\$1instance\$1profile
  + Auto Scaling ロール: customer\$1emr\$1cluster\$1autoscaling\$1role
+ EC2 セキュリティグループ:
  + マスター : ams-emr-master-security-group
  + コアとタスク: ams-emr-worker-security-group
  + サービスアクセス: ams-emr-serviceaccess-security-group

**Q: AMS アカウントで Amazon EMR を使用するための前提条件または依存関係は何ですか?**

AMS は、Amazon EMR マスター、ワーカー、およびサービスノードのデフォルトのセキュリティグループを作成します。

Amazon EMR クラスターで使用する起動テンプレートとセキュリティグループには、値**「true**」のタグキー**for-use-with-amazon-emr-managed-policies**」が必要です。

デフォルトの Amazon EMR クラスターインスタンスプロファイルでは、名前に「emr」が含まれている s3 バケットや dynamodb テーブルなどのリソースにアクセスできます。Amazon EMR で使用する追加のリソースを使用するように、追加の IAM ポリシーをリクエストできます。customer**\$1emr\$1cluster\$1instance\$1profile** を使用して、Amazon EMR ジョブで次のリソース ARN を使用できます。
+ arn:aws:dynamodb:\$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis:\$1:\$1:stream/\$1emr\$1
+ arn:aws:sns:\$1:\$1:\$1emr\$1arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:AWS-ElasticMapReduce-\$1
+ arn:aws:sdb:\$1:\$1:domain:\$1emr\$1
+ arn:aws:s3:::\$1emr\$1

Amazon EMR クラスターに kerberos 認証が必要な場合:
+ カーバライズされた各 Amazon EMR クラスターに使用する領域名とオンプレミスの Active Directory IP アドレスを指定します。
+ インフラストラクチャ要件:

  **マルチアカウントランディングゾーン (MALZ)**: RFC を送信して、新しいマネージドアプリケーションアカウントまたは既存のアプリケーションアカウントに新しい VPC を作成します。

  **単一アカウントランディングゾーン (SALZ)**: RFC を送信して VPC に新しいサブネットを作成します。
+ オンプレミス Active Directory でクラスターの領域に対する受信信頼を設定します。
+ マネージド AD の領域に DNS ゾーンを設定するには、RFC を送信します。
+ 領域設定:

  **MALZ**: 管理 \$1 その他 \$1 その他 \$1 更新 (ct-0xdawir96cy7k) RFC を送信して、ドメイン名のサフィックスに領域名を使用するように設定された VPC DHCP オプションを更新します。

  **SALZ**: 管理 \$1 その他 \$1 その他 \$1 更新 (ct-0xdawir96cy7k) RFC を送信して、ドメイン名のサフィックスに特定の領域を使用する新しい Amazon EMR AMI を生成します。

Amazon EMR Studio をデプロイするには、ロールに Amazon Simple Storage Service バケットの前提条件`customer_emr_cluster_service_role`があります。バケットを作成するには、自動 CT `ct-1a68ck03fn98r` (デプロイ \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 作成) を使用します。この自動 CT を使用して Amazon EMR 用の Amazon S3 バケットを作成する場合、バケット名はプレフィックス で始まる必要があります`customer-emr-*`。また、Amazon EMR クラスターと同じ AWS リージョンにバケットを作成する必要があります。

# AMS SSP を使用して AMS アカウントに Amazon EventBridge をプロビジョニングする
<a name="amz-eventbridge"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon EventBridge 機能に直接アクセスします。Amazon EventBridge は、アプリケーションをさまざまなイベントソースのデータに簡単に接続できるようにするサーバーレスイベントバスサービスです。EventBridge は、独自のアプリケーション、Software-as-a-Service (SaaS) アプリケーション、および AWS のサービスからリアルタイムデータのストリームを配信し、そのデータを などのターゲットにルーティングします AWS Lambda。お客様は、データの送信先を判断するためのルーティングルールを設定して、すべてのデータソースにリアルタイムで反応するアプリケーションアーキテクチャを構築できます。EventBridge を使用すると、疎結合かつ分散型のイベント駆動型アーキテクチャの構築が可能になります。

詳細については、[「Amazon EventBridge](https://aws.amazon.com/eventbridge/)」を参照してください。

## AWS Managed Services の EventBridge に関するよくある質問
<a name="set-amz-eventbridge-faqs"></a>

**Q: AMS アカウントの EventBridge へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して EventBridge へのアクセスをリクエストします。この RFC は、 `customer_eventbridge_role`および の IAM ロールをアカウントにプロビジョニングします`customer_eventbridge_scheduler_execution_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

実行ロール`customer_eventbridge_scheduler_execution_role`は、EventBridge スケジューラが AWS のサービス ユーザーに代わって他の とやり取りするために引き受ける IAM ロールです。このロールにアタッチされたアクセス許可ポリシーはEventBridge スケジューラにターゲットを呼び出すためのアクセス許可を付与します。

**注記**  
デフォルトでは、EventBridge スケジューラは EventBridge の AWS 所有キーを使用してデータを暗号化します。EventBridge のカスタマーマネージドキーを使用してデータを暗号化するには、 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 サービスプロビジョニングに [(マネージドオートメーション) 変更タイプ (ct-3qe6io8t6jtny) を追加します](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html)。

**Q: AMS アカウントでの EventBridge の使用にはどのような制限がありますか?**

AMS RFCs を送信し、次のリソースを作成する必要があります。バッチジョブ、SQS キュー、CodeBuild、CodePipeline、および SSM コマンドをトリガーするサービスロール。

**Q: AMS アカウントで EventBridge を使用するための前提条件または依存関係は何ですか?**

EventBridge を使用して Lambda、Amazon SNS、Amazon SQS AWS Batch、Amazon CloudWatch Logs リソースなどの他の AWS リソースをトリガーする前に、デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 Create entity or policy (マネージドオートメーション) change type (ct-3dpd8mdd9jn1r) を使用して RFC で EventBridge サービスロールをリクエストする必要があります。 Amazon SNS Amazon SQS サービスロールをリクエストするときに呼び出すサービスを指定します。ターゲットの呼び出しに必要なアクセス許可については、[EventBridge のリソースベースのポリシーの使用](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html)」を参照してください。

EventBridge は AWS CloudTrail、EventBridge のユーザー、ロール、または によって実行されたアクションを記録するサービスである EventBridge と統合 AWS のサービス されています。CloudTrail を有効にして、ログファイルを S3 バケットに保存できるようにする必要があります。注: すべての AMS アカウントで CloudTrail が有効になっているため、アクションは必要ありません。

**Q: ロール customer\$1eventbridge\$1scheduler\$1execution\$1role には、 AWS Key Management Service キーの前提条件があります (暗号化に使用される場合はオプション）。保管時/転送時のデータ暗号化に AWS KMS CMKs を採用するにはどうすればよいですか? ** 

デフォルトでは、EventBridge スケジューラは、 AWS 所有キーに保存するイベントメタデータとメッセージデータを暗号化します (保管時の暗号化）。EventBridge スケジューラは、Transport Layer Security (TLS) (転送中の暗号化) を使用して、EventBridge スケジューラと他の サービスの間を通過するデータも暗号化します。

特定のユースケースで、EventBridge スケジューラでデータを保護する暗号化キーを管理および監査する必要がある場合は、カスタマーマネージドキーを使用できます。

Amazon EventBridge を使用してアクセス AWS KMS 許可をオンボードする前に、 管理 \$1 AWS のサービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) 変更タイプを使用して RFC をリクエストする必要があります。

# AMS SSP を使用して AMS アカウントに Amazon Forecast をプロビジョニングする
<a name="forecast"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Forecast (Forecast) 機能に直接アクセスします。Amazon Forecast は、機械学習を使用して高精度の予測を提供するフルマネージドサービスです。

**注記**  
AWS は、2024 年 7 月 29 日に Amazon Forecast への新しい顧客アクセスを閉鎖しました。Amazon Forecast の既存のお客様は、通常どおりサービスを引き続き使用できます。 AWS は引き続き Amazon Forecast のセキュリティ、可用性、パフォーマンスの向上に投資しますが、新機能を導入する予定 AWS はありません。  
Amazon Forecast を使用する場合は、CSDM に連絡して、Amazon [Forecast の使用を Amazon SageMaker Canvas に移行する](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)方法について詳しく説明してもらいます。

Amazon.com で使用されているのと同じテクノロジーに基づいて、Forecast は機械学習を使用して時系列データと追加の変数を組み合わせて予測を構築します。Forecast では、開始するために機械学習の経験は必要ありません。履歴データに加えて、予測に影響を与える可能性があると思われる追加データを提供するだけで済みます。例えば、シャツの特定の色の需要は、季節や店舗の場所によって変わる可能性があります。この複雑な関係を単独で判断することは困難ですが、機械学習はそれを認識するのに最適です。データを指定すると、Forecast はデータを自動的に調査し、意味のあるものを特定し、時系列データだけを見るよりも最大 50% 正確な予測を行うことができる予測モデルを生成します。

詳細については、[「Amazon Forecast](https://aws.amazon.com/forecast/)」を参照してください。

## AWS Managed Services での Amazon Forecast に関するよくある質問
<a name="set-forecast-faqs"></a>

**Q: AMS アカウントの Forecast へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を使用して RFC を送信 AWS Firewall Manager して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_forecast_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Forecast を使用することにはどのような制限がありますか？**

デフォルトの S3 バケットアクセスでは、「customer-forecast-\$1」という名前のバケットにのみアクセスできます。データバケットの独自の命名規則がある場合は、Cloud Architect (CA) でバケットの命名と関連するアクセス設定について説明します。例:
+ 「AmazonForecast-ExecutionRole-\$1」などの名前と、関連する適切な S3 バケットアクセスを使用して、特定の Amazon Forecast サービスロールを定義できます。 ExecutionRole S3 IAM コンソールの「サービスロール - AmazonForecast-ExecutionRole-Admin」および「IAM ポリシー - customer\$1forecast\$1default\$1s3\$1access\$1policy」を参照してください。
+ 関連する S3 バケットアクセスを IAM フェデレーションロールに関連付ける必要がある場合があります。IAM コンソールの「IAM ポリシー - customer\$1forecast\$1default\$1s3\$1access\$1policy」を参照してください。

**Q: AMS アカウントで Forecast を使用するための前提条件または依存関係は何ですか？**
+ Forecast を使用する前に、適切な Amazon S3 バケット (複数可) を作成する必要があります。特に、デフォルトの S3 バケットアクセスは命名パターン「customer-forecast-\$1」です。
+ 「customer-forecast-\$1」以外の S3 バケットに命名パターンを使用する場合は、バケットに対する S3 アクセス許可を持つ新しいサービスロールを作成する必要があります。

  1. 「AmazonForecast-ExecutionRole-\$1suffix\$1'」という名前で作成される新しいサービスロール。

  1. customer\$1forecast\$1default\$1s3\$1access\$1policy に似ており、新しいサービスロールおよび関連するフェデレーション管理者ロール (「customer\$1forecast\$1admin\$1role」など) に関連付けられている新しい IAM ポリシーを作成する

**Q: Amazon Forecast の使用中にデータセキュリティを強化するにはどうすればよいですか？**
+ 保管中のデータ暗号化の場合、 AWS KMS を使用してカスタマー管理の CMK をプロビジョニングし、Amazon S3 サービス上のデータストレージを保護できます。
  + プロビジョニングキーを使用してバケットでデフォルトの暗号化を有効にし、データの配置中に AWS KMS データ暗号化を受け入れるようにバケットポリシーを設定します。
  +  AWS KMS キーユーザーとして Amazon Forecast サービスロールAmazonForecast-ExecutionRole-\$1」とフェデレーション管理者ロール (「customer\$1forecast\$1admin\$1role」など) を有効にします。
+ 転送中のデータ暗号化の場合、Amazon S3 バケットポリシーでオブジェクトを転送するときに必要な HTTPS プロトコルを設定できます。
+ アクセスコントロールのさらなる制限により、Amazon Forecast サービスロールAmazonForecast-ExecutionRole-\$1」と管理者ロール (「customer\$1forecast\$1admin\$1role」など) の承認済みアクセスのバケットポリシーを有効にします。

**Q: Amazon Forecast を使用する際のベストプラクティスは何ですか？**
+ Amazon Forecast で S3 バケットを使用する際は、データ分類のプラクティスを十分に理解し、関連するデータセキュリティのニーズをマッピングする必要があります。
+ Amazon S3 バケット設定では、S3 バケットポリシーで HTTPS 適用を有効にすることを強くお勧めします。
+ Amazon S3 バケットに対する「customer-forecast\$1admin\$1role」サポートの管理者ロール「customer-forecast-\$1」という名前のアクセス許可 (Get/Delete/Put Amazon S3 オブジェクト) に注意する必要があります。注: 複数のチームにきめ細かなアクセスコントロールが必要な場合は、次のプラクティスに従ってください。
  + 関連する Amazon S3 バケットへの最小特権アクセスを持つチームベースのアクセス IAM ID (ロール/ユーザー) を定義します。
  + チーム/プロジェクトベースの AWS KMS CMKs対応する IAM ID への適切なアクセスが許可されます (ユーザーアクセスとAmazonForecast-ExecutionRole-\$1team/project\$1'。
  + 作成したCMK を使用して S3 バケットのデフォルトの暗号化を設定します。 AWS KMS CMKs
  + S3 バケットポリシーで HTTPS プロトコルを使用して S3 API トラフィックを強制します。
  + 関連する IAM ID (ユーザーアクセスとAmazonForecast-ExecutionRole-\$1team/project\$1」がバケットに承認されたアクセスのために S3 バケット設定を適用します。
+ 汎用に「customer\$1forecast\$1admin\$1role」を使用する場合は、前述のポイントを考慮して S3 バケットを保護します。

**Q: Amazon Forecast に関するコンプライアンス情報はどこにありますか？**

「 [AWS サービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。

# AMS SSP を使用して AMS アカウントに Amazon FSx をプロビジョニングする
<a name="amz-fsx"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon FSx 機能に直接アクセスします。Amazon FSx は、フルマネージド型のサードパーティーファイルシステムを提供します。Amazon FSx は、Windows ベースのストレージ、ハイパフォーマンスコンピューティング (HPC)、機械学習、電子設計自動化 (EDA) などのワークロード用の機能セットを備えたサードパーティーのファイルシステムのネイティブ互換性を提供します。Amazon FSx は、ハードウェアのプロビジョニング、ソフトウェア設定、パッチ適用、バックアップなど、時間のかかる管理タスクを自動化します。Amazon FSx は、ファイルシステムをクラウドネイティブ AWS サービスと統合するため、より広範なワークロードのセットでさらに役立ちます。

Amazon FSx には、Windows ベースのアプリケーション用の Amazon FSx for Windows File Server と、コンピューティング負荷の高いワークロード用の Amazon FSx for Lustre の 2 つのファイルシステムがあります。詳細については、[「Amazon FSx](https://aws.amazon.com/fsx/)」を参照してください。

## AWS Managed Services での Amazon FSx に関するよくある質問
<a name="set-amz-fsx-faqs"></a>

**Q: AMS アカウントの Amazon FSx へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon FSx へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_fsx_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon FSx の使用にはどのような制限がありますか？**

制限はありません。サービスの完全な機能を利用できます。

**Q: AMS アカウントで Amazon FSx を使用するための前提条件または依存関係は何ですか？**

前提条件はありません。ただし、マルチ AZ などの事前設定を行うには、DFS レプリケーションおよび DFS 名前空間サービスをインストールおよび管理する必要があります。詳細については、[「マルチ AZ ファイルシステムのデプロイ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html)」を参照してください。

**Q: Amazon FSx ファイルシステムをマルチアカウントランディングゾーン Managed AD と統合するにはどうすればよいですか？**

Amazon FSx ファイルシステムを作成するときは、MALZ Managed AD を Windows 認証用のAWS 「マネージド Microsoft Active Directory」として指定できます。詳細については、[「Microsoft Active Directory での Amazon FSx の使用 AWS Directory Service](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)」を参照してください。

また、最初に Managed AD をアプリケーションアカウントと共有する必要があります。これを行うには、Management \$1 Directory Service \$1 Directory \$1 Share directory change type (ct-369odosk0pd9w) を使用して RFC を送信します。

**Q: **AWS 委任 FSx 管理者**グループに属するユーザーはどれですか？**

IT ファイルサーバー管理者のみ。このグループには、すべてのファイル共有に対する**フルアクセス**権限があります。

**Q: FSx システムがプロビジョニングされたときに作成されるデフォルトのファイル共有、**共有**を使用する必要がありますか？**

いいえ。プロビジョニングされたデフォルトのファイル共有、**共有**を使用することはお勧めしません。**すべてのユーザーに****フルアクセス**を付与します。これは最小特権の原則に違反します。代わりに、ビジネスニーズに合った小さなカスタムファイル共有を作成します。

**Q: ビジネス内の特定の組織のカスタムファイル共有を作成するにはどうすればよいですか？**

カスタム[ファイル共有の作成手順については、](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html)「ファイル共有」を参照してください。最小特権の原則を使用して、各ファイル共有へのアクセスを制限します。

# AMS SSP を使用して AMS アカウントで Amazon FSx for OpenZFS をプロビジョニングする
<a name="amz-fsx-open-zfs"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon FSx for OpenZFS 機能に直接アクセスします。FSx for OpenZFS は、フルマネージド型のファイルストレージサービスです。これにより、アプリケーションコードやデータ管理方法を変更することなく、オンプレミスの ZFS やその他の Linux ベースのファイルサーバーにあるデータを AWS に簡単に移動できます。オープンソースの OpenZFS ファイルシステム上に構築された、信頼性、スケーラビリティ、パフォーマンス、機能豊富なファイルストレージを提供し、OpenZFS ファイルシステムの使い慣れた機能と機能に、フルマネージド AWS サービスの俊敏性、スケーラビリティ、シンプルさを提供します。クラウドネイティブアプリケーションを構築するデベロッパー向けに、データを操作するための豊富な機能を備えたシンプルで高性能なストレージを提供します。

FSx for OpenZFS ファイルシステムは、業界標準の NFS プロトコル (v3、v4.0、v4.1、v4.2) を使用して、Linux、Windows、macOS コンピューティングインスタンスおよびコンテナから広くアクセスできます。Graviton AWS プロセッサと最新の AWS ディスクおよびネットワークテクノロジー ( AWS スケーラブルな信頼性の高い Datagram ネットワークと AWS Nitro システムを含む) を搭載した FSx for OpenZFS は、数百マイクロ秒のレイテンシーで最大 100 万 IOPS を提供します。FSx for OpenZFS は、インスタンpoint-in-timeスナップショットやデータクローン作成などの OpenZFS 機能を完全にサポートしているため、オンプレミスのファイルサーバーを使い慣れたファイルシステム機能を提供する AWS ストレージに簡単に置き換えることができます。これにより、長時間の認定や既存のアプリケーションやツールの変更や再設計を行う必要がなくなります。 OpenZFS また、OpenZFS データ管理機能の能力と最新の AWS テクノロジーの高パフォーマンスとコスト効率を組み合わせることで、FSx for OpenZFS では、高性能でデータ集約型のアプリケーションを構築して実行できます。

フルマネージドサービスである FSx for OpenZFS を使用すると、オンプレミスで実行しているファイルサーバーを置き換え AWS るフルマネージドファイルシステムの起動、実行、スケーリングが簡単になり、俊敏性とコスト削減に役立ちます。FSx for OpenZFS を使用すると、ファイルサーバーとストレージボリュームのセットアップとプロビジョニング、データのレプリケーション、ファイルサーバーソフトウェアのインストールとパッチ適用、ハードウェア障害の検出と対処、バックアップの手動実行について心配する必要がなくなりました。また、 AWS Identity and Access Management (IAM)、 AWS Key Management Service ()、AWS KMS Amazon CloudWatch、 などの他の AWS サービスとの豊富な統合も提供します AWS CloudTrail。

Amazon FSx には、Windows ベースのアプリケーション用の Amazon FSx for Windows File Server と、コンピューティング負荷の高いワークロード用の Amazon FSx for Lustre の 2 つのファイルシステムがあります。詳細については、[「Amazon FSx](https://aws.amazon.com/fsx/)」を参照してください。

## AWS Managed Services での Amazon FSx for OpenZFS に関するよくある質問
<a name="set-amz-fsx-open-zfs-faqs"></a>

**Q: AMS アカウントで FSx for OpenZFS を使用するためのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon FSx OpenZFS へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_fsx_ontap_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで FSx for OpenZFS を使用することにはどのような制限がありますか?**

Amazon FSx Elastic Network Interface (ENIs) のセキュリティグループを置き換えるには、管理 \$1 その他 \$1 その他 \$1 RFCs を更新する必要があります。これは、セキュリティグループが AMS 環境にとって重要な境界であるためです。これが唯一の制限です。

**Q: AMS アカウントで FSx for OpenZFS を使用するための前提条件または依存関係は何ですか?**

前提条件はありません。ただし、 [AMS SSP を使用して AMS アカウントに Amazon FSx をプロビジョニングする](amz-fsx.md)がインストールされている必要があります。

# AMS SSP を使用して AMS アカウントで Amazon FSx for NetApp ONTAP をプロビジョニングする
<a name="amz-fsx-netapp-ontap"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon FSx for NetApp ONTAP 機能に直接アクセスします。Amazon FSx for NetApp ONTAP は、NetApp の人気ある ONTAP ファイルシステム上に構築された、高い信頼性、拡張性、パフォーマンス、機能豊富なファイルストレージを提供するフルマネージド型サービスです。NetApp ファイルシステムの使い慣れた機能、パフォーマンス、機能、APIs に、フルマネージド型の の俊敏性、スケーラビリティ、シンプルさを提供します AWS のサービス。

Amazon FSx for NetApp ONTAP は、 AWS またはオンプレミスで実行されている Linux、Windows、macOS コンピューティングインスタンスから幅広くアクセスできる、機能豊富で高速、柔軟な共有ファイルストレージを提供します。FSx for ONTAP は、ミリ秒未満のレイテンシーを備えた高性能 SSD ストレージを提供し、ボタンをクリックするだけでファイルのスナップショット作成、クローン作成、複製を行えるため、データをすばやく簡単に管理できます。また、データを低コストで伸縮性のあるストレージに自動的に階層化することで、容量のプロビジョニングや管理が不要になり、ごく一部のデータに対して SSD ストレージの費用を支払うのみで、ワークロードに対して SSD レベルのパフォーマンスを実現することができます。フルマネージドバックアップとクロスリージョン災害対策のサポートにより、可用性と耐久性に優れたストレージを提供し、一般的なデータセキュリティおよびアンチウイルスアプリケーションをサポートし、データの保護とセキュリティをさらに容易にします。NetApp ONTAP をオンプレミスで使用するお客様にとって、FSx for ONTAP は、アプリケーションコードやデータの管理方法を変更 AWS することなく、ファイルベースのアプリケーションをオンプレミスから に移行、バックアップ、またはバーストするための理想的なソリューションです。

フルマネージドサービスとして、Amazon FSx for NetApp ONTAP は、クラウドでの信頼性、パフォーマンス、安全な共有ファイルストレージを簡単に起動および拡張できます。Amazon FSx for NetApp ONTAP を使用すると、ファイルサーバーとストレージボリュームの設定とプロビジョニング、データのレプリケーション、ファイルサーバーソフトウェアのインストールとパッチ適用、ハードウェア障害の検出と対応、フェイルオーバーとフェイルバックの管理、バックアップの手動実行について心配する必要がなくなります。また、Amazon WorkSpaces AWS のサービスや AWS Identity and Access Managementなど AWS Key Management Service、他の との豊富な統合も提供します AWS CloudTrail。

Amazon FSx には、Windows ベースのアプリケーション用の Amazon FSx for Windows File Server と、コンピューティング負荷の高いワークロード用の Amazon FSx for Lustre の 2 つのファイルシステムがあります。詳細については、[「Amazon FSx](https://aws.amazon.com/fsx/)」を参照してください。

## AWS Managed Services の Amazon FSx for NetApp ONTAP に関するよくある質問
<a name="set-amz-fsx-netapp-ontap-faqs"></a>

**Q: AMS アカウントで Amazon FSx for NetApp ONTAP へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon FSx for NetApp ONTAP へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_fsx_ontap_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Amazon FSx for NetApp ONTAP を使用することにはどのような制限がありますか？**

Amazon FSx for NetApp ONTAP Elastic Network Interface (ENIs) のセキュリティグループを置き換えるには、管理 \$1 その他 \$1 その他 \$1 RFCs を更新する必要があります。これは、セキュリティグループが AMS 環境にとって重要な境界であるためです。これが唯一の制限です。

**Q: AMS アカウントで Amazon FSx for NetApp ONTAP を使用するための前提条件または依存関係は何ですか？**

前提条件はありません。ただし、 [AMS SSP を使用して AMS アカウントに Amazon FSx をプロビジョニングする](amz-fsx.md)がインストールされている必要があります。

# AMS SSP を使用して AMS アカウントに Amazon Inspector Classic をプロビジョニングする
<a name="inspector"></a>

**注記**  
サポート終了通知: 2026 年 5 月 20 日に、 AWS は Amazon Inspector Classic のサポートを終了します。2026 年 5 月 20 日以降、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。Amazon Inspector Classic は、新しいアカウント、および過去 6 か月間に評価を完了していないアカウントで利用できなくなります。他のすべてのアカウントでは、アクセスは 2026 年 5 月 20 日まで有効です。その後、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。詳細については、[Amazon Inspector Classic のサポート終了](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)」を参照してください。

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Inspector Classic 機能に直接アクセスします。Amazon Inspector Classic は、デプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるのに役立つ自動セキュリティ評価サービスです AWS。Amazon Inspector Classic は、アプリケーションの露出、脆弱性、ベストプラクティスからの逸脱を自動的に評価します。評価を実行すると、Amazon Inspector Classic は重要度レベル別に優先順位が付けられたセキュリティ検出結果の詳細なリストを作成します。これらの検出結果は、直接レビューすることも、Amazon Inspector Classic コンソールまたは API から入手できる詳細な評価レポートの一部としてレビューすることもできます。詳細については、[Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html)」を参照してください。

## AWS Managed Services の Amazon Inspector に関するよくある質問
<a name="set-inspector-faqs"></a>

**Q: AMS アカウントで Amazon Inspector Classic へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon Inspector Classic へのアクセスをリクエストします。この RFC は、IAM `customer_inspector_admin_role` ロールをアカウントにプロビジョニングします。ロールには AWS、 管理の AmazonInspectorFullAccess ポリシーが含まれます。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Inspector Classic の使用にはどのような制限がありますか？**

制限はありません。Amazon Inspector Classic の全機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Inspector Classic を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Amazon Inspector Classic を使用するための前提条件や依存関係はありません。

## AMS で新しい Amazon Inspector を使用する
<a name="inspector-v2-ams"></a>

AMS アカウントで新しい Amazon Inspector を使用できるようになりました。

Amazon Inspector Classic では、 `customer-inspector-admin-role-ssm-inspector-agent-policy`と が必要`AmazonInspectorFullAccess`でした。ただし、SSPS ロール が更新され`customer-inspector-admin-role`、追加の が含まれるようになりました`policyAmazonInspector2FullAccess`。この新しいポリシーは、Amazon Inspector の新しいバージョンの API アクセス許可を付与します。

# AMS SSP を使用して AMS アカウントに Amazon Kendra をプロビジョニングする
<a name="kendra"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Kendra 機能に直接アクセスします。Amazon Kendra は、自然言語処理と高度な機械学習アルゴリズムを使用して、データからの検索質問に対する特定の回答を返すインテリジェントな検索サービスです。従来のキーワードベースの検索とは異なり、Amazon Kendra はセマンティックおよびコンテキスト理解機能を使用して、ドキュメントが検索クエリに関連しているかどうかを判断します。Amazon Kendra は質問に対する特定の回答を返すため、エクスペリエンスは人間の専門家とのやり取りに近いです。Amazon Kendra はスケーラビリティが高く、パフォーマンスの需要を満たすことができ、Amazon S3 や Amazon Lex などの他の AWS サービスと緊密に統合されており、エンタープライズレベルのセキュリティを提供します。詳細については、[「Amazon Kendra;](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html)」を参照してください。

## AWS Managed Services の Amazon Kendra に関するよくある質問
<a name="set-kendra-faqs"></a>

**Q: AMS アカウントの Amazon Kendra へのアクセスをリクエストするにはどうすればよいですか？**

Amazon Inspector Classic へのアクセスをリクエストするには、 Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny) 変更タイプを使用して RFC を送信します。この RFC は、IAM `customer_kendra_console_role` ロールをアカウントにプロビジョニングします。アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Kendra の使用にはどのような制限がありますか？**

制限はありません。Amazon Kendra の完全な機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Kendra を使用するための前提条件または依存関係は何ですか？**

Amazon Kendra の使用を開始するための前提条件や依存関係はありません。ただし、特定のユースケースによっては、他の AWS サービスへのアクセスが必要になる場合があります。

# AMS SSP を使用して AMS アカウントに Amazon Kinesis Data Streams をプロビジョニングする
<a name="kds"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Kinesis Data Streams (KDS) 機能に直接アクセスします。Amazon Kinesis Data Streams は、スケーラビリティと耐久性に優れたリアルタイムのデータストリーミングサービスです。KDS は、ウェブサイトのクリックストリーム、データベースイベントストリーム、金融取引、ソーシャルメディアフィード、IT ログ、位置追跡イベントなど、数十万のソースから 1 秒あたり数ギガバイトのデータを継続的にキャプチャできます。収集されたデータはミリ秒単位で利用でき、リアルタイムダッシュボード、リアルタイム異常検出、動的料金設定などのリアルタイム分析のユースケースを可能にします。詳細については、[Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/)」を参照してください。

## AWS Managed Services での Kinesis Data Streams に関するよくある質問
<a name="set-kds-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Amazon Kinesis Data Streams へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプを追加 (ct-1w8z66n899dct) で RFC を送信して、Amazon Kinesis Data Streams へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_kinesis_data_streaming_user_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Kinesis Data Streams の使用にはどのような制限がありますか？**

制限はありません。Amazon Kinesis Data Streams のフル機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Kinesis Data Streams を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Amazon Kinesis Data Streams を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントに Amazon Kinesis Video Streams をプロビジョニングする
<a name="kvs"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Kinesis Video Streams (KVS) 機能に直接アクセスします。Amazon Kinesis Video Streams を使用すると、接続されたデバイスから にビデオを安全にストリーミングして、 AWS 分析、機械学習 (ML)、再生、その他の処理を行うことができます。Kinesis Video Streams は、何百万ものデバイスからストリーミングビデオデータを取り込むために必要なすべてのインフラストラクチャを自動的にプロビジョニングし、伸縮自在にスケーリングします。また、ビデオデータをストリームに永続的に保存、暗号化、インデックス化し、easy-to-use APIs を介してデータにアクセスできます。Kinesis Video Streams を使用すると、ライブおよびオンデマンド視聴用の動画を再生し、Amazon Rekognition Video との統合、および Apache MxNet、TensorFlow、OpenCV などの ML フレームワーク用のライブラリを通じて、コンピュータビジョンと動画分析を活用するアプリケーションをすばやく構築できます。詳細については、[Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/)」を参照してください。

## AWS Managed Services での Amazon Kinesis Video Streams に関するよくある質問
<a name="set-kvs-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Amazon Kinesis Video Streams へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプの追加 (ct-1w8z66n899dct) で RFC を送信して、Amazon Kinesis Video Streams へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_kinesis_video_streaming_user_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Kinesis Video Streams の使用にはどのような制限がありますか？**

制限はありません。Amazon Kinesis Video Streams の全機能は、AMS アカウントで使用できます。

**Q: AMS アカウントで Amazon Kinesis Video Streams を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Amazon Kinesis Video Streams を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントに Amazon Lex をプロビジョニングする
<a name="amz-lex"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Lex 機能に直接アクセスします。Amazon Lex は、音声とテキストを使用して会話型インターフェイスを任意のアプリケーションに構築するためのサービスです。Amazon Lex は、音声をテキストに変換するための自動音声認識 (ASR) の高度な深層学習機能と、テキストの意図を認識するための自然言語理解 (NLU) を提供し、非常に魅力的なユーザーエクスペリエンスとリアルな会話インタラクションでアプリケーションを構築できるようにします。Amazon Lex では、Amazon Alexa を強化するのと同じ深層学習テクノロジーをすべての開発者が利用できるようになりました。これにより、洗練された自然言語の会話ボットやチャットボットを迅速かつ簡単に構築できます。詳細については、[Amazon Lex](https://aws.amazon.com/lex/)」を参照してください。

## AWS Managed Services の Amazon Lex に関するよくある質問
<a name="set-amz-lex-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Amazon Lex へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_lex_author_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Lex の使用にはどのような制限がありますか？**

Amazon Lex と Lambda の統合は、AMS インフラストラクチャへの変更を防ぐために、「AMS-」プレフィックスのない Lambda 関数に制限されています。

**Q: AMS アカウントで Amazon Lex を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Amazon Lex を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントに Amazon MQ をプロビジョニングする
<a name="mq-comp"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon MQ 機能に直接アクセスします。Amazon MQ は Apache ActiveMQ のマネージドメッセージブローカーサービスで、クラウドでのメッセージブローカーのセットアップと運用に役立ちます。メッセージブローカーを使用すると、多くの場合、異なるプログラミング言語と異なるプラットフォームで異なるソフトウェアシステムを使用して、情報を通信および交換できます。Amazon MQ は、一般的なオープンソースメッセージブローカーである ActiveMQ のプロビジョニング、セットアップ、メンテナンスを管理することで、運用負荷を軽減します。現在のアプリケーションを Amazon MQ に接続すると、JMS、NMS、AMQP、STOMP、MQTT、WebSocket などの業界標準APIs とプロトコルがメッセージングに使用されます。標準を使用すると、ほとんどの場合、移行時にメッセージングコードを書き直す必要はありません AWS。詳細については、[Amazon MQ とは」を参照してください。](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)

## AWS Managed Services の Amazon MQ に関するよくある質問
<a name="set-mq-comp-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Amazon MQ へのアクセスをリクエストするにはどうすればよいですか？**

AMS アカウントでの Amazon MQ の使用には、次の 2 つのステップがあります。

1. Amazon MQ ブローカーをプロビジョニングします。これを行うには、Amazon MQ ブローカーを含む CFN テンプレートを、デプロイ \$1 Ingestion \$1 Stack from CloudFormation Template \$1 Create change type (ct-36cn2avfrrj9v) の RFC を通じて送信するか、Management \$1 Other \$1 Other \$1 Create change type (ct-1e1xtak34nx76) change type を使用して RFC を送信してAmazon MQ ブローカーをアカウントでプロビジョニングするようにリクエストします。

1. Amazon MQ コンソールにアクセスします。Amazon MQ ブローカーがプロビジョニングされたら、 Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) で RFC を送信して Amazon MQ コンソールへのアクセスを取得します。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_mq_console_role`。

アカウントでロールがプロビジョニングされたら、フェデレーションソリューションにロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon MQ の使用にはどのような制限がありますか？**

Amazon MQ の完全な機能は AMS アカウントで使用できますが、必要なアクセス許可が昇格しているため、ポリシーを通じて Amazon MQ ブローカーをプロビジョニングすることはできません。アカウントで Amazon MQ ブローカーをプロビジョニングする方法の詳細については、上記を参照してください。

**Q: AMS アカウントで Amazon MQ を使用する際の前提条件または依存関係は何ですか？**

AMS アカウントで Amazon MQ を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントで Amazon Managed Service for Apache Flink をプロビジョニングする
<a name="kda"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Managed Service for Apache Flink 機能に直接アクセスします。Managed Service for Apache Flink は、ストリーミングデータを分析し、実用的なインサイトを取得し、ビジネスと顧客のニーズにリアルタイムで対応するための最も簡単な方法です。Amazon Managed Service for Apache Flink は、ストリーミングアプリケーションの構築、管理、他の AWS サービスとの統合の複雑さを軽減します。SQL ユーザーは、テンプレートとインタラクティブな SQL エディタを使用して、ストリーミングデータのクエリやストリーミングアプリケーション全体の構築を簡単に行うことができます。Java 開発者は、オープンソースの Java ライブラリと AWS 統合を使用して高度なストリーミングアプリケーションをすばやく構築し、データをリアルタイムで変換および分析できます。Amazon Managed Service for Apache Flink は、リアルタイムアプリケーションを継続的に実行するために必要なすべてを処理し、受信データのボリュームとスループットに合わせて自動的にスケーリングします。Amazon Managed Service for Apache Flink では、ストリーミングアプリケーションが消費するリソースに対してのみ料金が発生します。最低料金やセットアップ料金はかかりません。詳細については、[「Amazon Managed Service for Apache Flink](https://aws.amazon.com/kinesis/data-analytics/)」を参照してください。

## AWS Managed Services の「Managed Service for Apache Flink」に関するよくある質問
<a name="set-kda-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの Amazon Managed Service for Apache Flink へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_kinesis_analytics_application_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Amazon Managed Service for Apache Flink を使用する際の制限は何ですか?**
+ AMS インフラストラクチャへの変更を防ぐため、設定は「AMS-」または「MC-」プレフィックスのないリソースに限定されます。
+ 新しい Kinesis Data Streams または Firehose を削除または作成するアクセス許可がポリシーから削除されました。これを許可する別のポリシーがあります。

**Q: AMS アカウントで Amazon Kinesis Data Streams を使用するための前提条件または依存関係は何ですか?**

いくつかの依存関係があります。
+ Amazon Managed Service for Apache Flink では、Managed Service for Apache Flink でアプリケーションを設定する前に、Kinesis Data Streams または Firehose を作成する必要があります。
+ リソースベースのポリシーのアクセス許可は、特定の入力データソースを示す必要があります。

# AMS SSP を使用して AMS アカウントに Amazon Managed Streaming for Apache Kafka をプロビジョニングする
<a name="msk"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Managed Streaming for Apache Kafka (Amazon MSK) 機能に直接アクセスします。Amazon Managed Streaming for Apache Kafka は、フルマネージド型の AWS ストリーミングデータサービスです。これにより、Apache Kafka クラスターの運用に関するエキスパートになることなく、Apache Kafka を使用してストリーミングデータを処理するアプリケーションを簡単に構築および実行できます。Amazon MSK は、Apache Kafka クラスターと Apache ZooKeeper ノードのプロビジョニング、設定、メンテナンスを管理します。Amazon MSK は AWS 、コンソールに主要な Apache Kafka パフォーマンスメトリクスも表示します。

Amazon MSK は、VPC ネットワークの分離、コントロールプレーン API 認可のための AWS IAM、保管時の暗号化、転送中の TLS 暗号化、TLS ベースの証明書認証、 で保護された SASL/SCRAM 認証など、Apache Kafka クラスターに複数のレベルのセキュリティを提供します AWS Secrets Manager。詳細については、[「Amazon MSK](https://aws.amazon.com/msk/)」を参照してください。

## AWS Managed Services での Amazon MSK に関するよくある質問
<a name="set-msk-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの Amazon MSK へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、次の IAM ポリシーとロールをアカウントにプロビジョニングします。
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`

アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: Amazon MSK の使用にはどのような制限がありますか?**

Amazon MSK が設定した宛先にブローカーログを配信するには、`AmazonMSKFullAccess` ポリシーが IAM ロールに添付されていることを確認してください。そのため、フルアクセス許可はすでに設定されています。

**Q: Amazon MSK を使用する際の前提条件または依存関係は何ですか?**

MSK クラスターを作成する前に、その VPC 内に VPC とサブネットが必要です。デフォルトでは、AMS はこれをデフォルトの [AMS VPC 作成](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html)の一部として扱います。

Amazon MSK の制限については、[「Amazon MSK の制限](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html)」を参照してください。

# AMS SSP を使用して AMS アカウントで Amazon Managed Service for Prometheus をプロビジョニングする
<a name="pro"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Managed Service for Prometheus (AMP) 機能に直接アクセスします。Amazon Managed Service for Prometheus は、コンテナメトリクスをモニタリングするためのサーバーレスの Prometheus 互換のサービスであり、コンテナ環境の大規模かつ安全なモニタリングを簡単に行えるようになります。Amazon Managed Service for Prometheus では、現在使用されているものと同じオープンソースの Prometheus データモデルとクエリ言語を使用して、コンテナ化されたワークロードのパフォーマンスをモニタリングできます。また、基盤のインフラストラクチャを管理する必要なく、スケーラビリティ、可用性、セキュリティを強化できます。

Amazon Managed Service for Prometheus は、ワークロードのスケールアップとスケールダウンに応じて、運用メトリクスの取り込み、ストレージ、クエリを自動的にスケーリングします。これは AWS セキュリティサービスと統合され、データへの高速で安全なアクセスを可能にします。詳細については、[「Amazon Managed Service for Prometheus とは」を参照してください。](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)

## AWS Managed Services での Amazon Managed Service for Prometheus に関するよくある質問
<a name="set-pro-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントで Amazon Managed Service for Prometheus へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer-prometheus-console-role`。アカウントにプロビジョニングされたら、フェデレーションソリューションで`customer-prometheus-console-role`ロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Managed Service for Prometheus の使用にはどのような制限がありますか?**

すべての機能がサポートされています。

**Q: AMS アカウントで Amazon Managed Service for Prometheus を使用するための前提条件または依存関係は何ですか?**

Amazon Managed Service for Prometheus の使用を開始するための前提条件や依存関係はありません。ただし、特定のユースケースによっては、他の AWS サービスへのアクセスが必要になる場合があります。

# AMS SSP を使用して AMS アカウントに Amazon Personalize をプロビジョニングする
<a name="personalize"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Personalize 機能に直接アクセスします。Amazon Personalize は、開発者がアプリケーションを使用する顧客向けに個別のレコメンデーションを簡単に作成できるようにする機械学習サービスです。

機械学習は、パーソナライズされた製品とコンテンツのレコメンデーション、カスタマイズされた検索結果、ターゲットを絞ったマーケティングプロモーションを強化することで、カスタマーエンゲージメントを向上させるためにますます使用されています。ただし、これらの高度なレコメンデーションシステムを生成するために必要な機械学習機能の開発は、複雑さのため、現在のほとんどの組織の手の届かないところにあります。Amazon Personalize を使用すると、これまで機械学習の経験がない開発者は、Amazon.com で長年使用されていた機械学習テクノロジーを使用して、アプリケーションに高度なパーソナライゼーション機能を簡単に構築できます。

Amazon Personalize では、クリック、ページビュー、サインアップ、購入など、アプリケーションからのアクティビティストリームと、記事、製品、動画、音楽などの推奨アイテムのインベントリを提供します。年齢や位置情報などのユーザーの人口統計情報を Amazon Personalize に提供することもできます。Amazon Personalize は、データの処理と調査、意味のあるものの特定、適切なアルゴリズムの選択、データに合わせてカスタマイズされたパーソナライゼーションモデルのトレーニングと最適化を行います。Amazon Personalize が分析したすべてのデータについては、プライバシーとセキュリティが確保され、お客様に合わせたレコメンデーションの提供にのみ使用されます。シンプルな API コールを使用して、パーソナライズされたレコメンデーションの提供を開始できます。使用した分だけ料金が発生します。最低料金や初期費用は不要です。

詳細については、[「Amazon Personalize](https://aws.amazon.com/personalize/)」を参照してください。

## AWS Managed Services での Amazon Personalize に関するよくある質問
<a name="personalize-faqs"></a>

**Q: AMS アカウントで Amazon Personalize へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。また、 AWS パーソナライズによってレコメンデーションの生成に使用されるデータを含む S3 バケットを指定する必要があります。この RFC は、 `customer_personalize_console_role`および の IAM ロールをアカウントにプロビジョニングします`customer_personalize_service_role`。
+ アカウントで `customer_personalize_console_role`がプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。以外の既存のロール`customer_personalize_console_policy`に をアタッチすることもできます`Customer_ReadOnly_Role`。
+ `customer_personalize_service_role` がアカウントに提供されたら、新しいデータセットグループを作成するときに ARN を参照できます。

この時点で、AMS Operations はこのサービスロールをアカウント にもデプロイします`aws_code_pipeline_service_role_policy`。

**Q: AMS アカウントでの Amazon Personalize の使用にはどのような制限がありますか?**

Amazon Personalize の設定は、AMS インフラストラクチャへの変更を防ぐために、「ams-」または「mc-」プレフィックスのないリソースに限定されます。

**Q: AMS アカウントで Amazon Personalize を使用する際の前提条件または依存関係は何ですか?**
+ データが保存されている S3 バケットが暗号化されている場合、Amazon Personalize がバケットを復号化するために使用するロールを許可できるように、KMS キー ID を指定する必要があります。

  Amazon Personalize は、デフォルトの KMS S3 キーをサポートしていません。KMS を使用する必要がある場合は、カスタムキーを作成し、変更タイプ KMS キー \$1 作成 (マネージドオートメーション) の RFC を開いて次のポリシーを追加します。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Id": "key-consolepolicy-3",
      "Statement": [
          {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                  "Service": "personalize.amazonaws.com"
              },
              "Action": "kms:*",
              "Resource": "*"
          }
      ]
  }
  ```

------
+ S3 バケットは、次のバケットポリシーを使用して作成する必要があります。これを行うには、変更タイプ S3 ストレージ \$1 ポリシーの作成で RFC を送信します。このポリシーは、Amazon Personalize がデータにアクセスすることを許可します。そのバケットには、Amazon Personalize が使用するデータが含まれます。

------
#### [ JSON ]

****  

  ```
  {
  "Version":"2012-10-17",		 	 	 
  "Id": "PersonalizeS3BucketAccessPolicy",
  "Statement": [
  {
  "Sid": "PersonalizeS3BucketAccessPolicy",
  "Effect": "Allow",
  "Principal": {
  "Service": "personalize.amazonaws.com"
  },
  "Action": [
  "s3:GetObject",
  "s3:ListBucket"
  ],
  "Resource": [
  "arn:aws:s3:::bucket-name",
  "arn:aws:s3:::bucket-name/*"
  ]
  }
  ]
  }
  ```

------

# AMS SSP を使用して AMS アカウントに Amazon Quick をプロビジョニングする
<a name="quicksight"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントでクイック機能に直接アクセスします。Quick は、組織内のすべてのユーザーにインサイトを提供する、高速でクラウドを活用したビジネスインテリジェンスサービスです。フルマネージドサービスである Quick を使用すると、機械学習 (ML) インサイトを含むインタラクティブなダッシュボードを簡単に作成して公開できます。詳細については、[「Amazon Quick](https://aws.amazon.com/quicksight/)」を参照してください。

## AWS Managed Servicesクイックに関するよくある質問
<a name="set-quicksight-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの Quick へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_quicksight_console_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Quick の使用にはどのような制限がありますか?**
+ AWS Quick の リソース設定には、IAM ポリシーの依存関係のためアクセスできません。ただし、AMS チームはリクエストに応じて各リソースを有効にし、サービスを有効にします。
+ この機能により、ユーザーは AMS インフラストラクチャを侵害する可能性のある IAM アクセス許可を変更できるため、個々のユーザーとグループのリソースアクセスはこのモデルではサポートされていません。
+ QuickSight 内から IAM アイデンティティを招待する機能は、IAM オブジェクトの変更に伴うリスクのためサポートされていません。
+ クイックサービスには、Enterprise と Standard の 2 つのエディションがあります。どちらも、AMS でサポートされているシングルサインオン (SSO) オプションを提供します。ただし、Enterprise Edition には、Quick と Active Directory (AD) を統合するオプションがあります。AMS のクイックは、AMS アカウント構造とクイック信頼要件との互換性がないため、AD との統合をサポートしていません。

**Q: AMS アカウントで Quick を使用するための前提条件または依存関係は何ですか?**
+ AMS がこの RFC を受信して Quick を追加すると、追加情報のサービスリクエストが送信され、以下を提供します。
  + クイックアカウント名 (例: `CustomerName-quicksight`
  + Quick Edition (Standard と Enterprise)
  + クイックサービスを有効にする AWS リージョン (デフォルトは AMS AWS リージョン）。
  + クイックアカウントの通知 E メールアドレス。
  + (オプション) 分析するデータファイルがある S3 バケット。
  + Quick に接続する VPC とサブネット IDsは、VPC 接続を追加する機能をサポートしています。これにより、Quick とアカウント内のリソース間のプライベート接続が可能になります。

AMS オペレーターは、ユーザーに代わってサインアッププロセスを実行し、2 つの QuickSight 機能を設定します。
+  データソースへの[自動検出](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html)。
+  [VPC 接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。

**注記**  
これらのアクションは、サインインプロセス中に昇格された IAM および VPC アクセス許可が必要なため、AMS オペレーターが実行する必要があります。

# AMS SSP を使用して AMS アカウントに Amazon Rekognition をプロビジョニングする
<a name="rekognition"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Rekognition 機能に直接アクセスします。Amazon Rekognition を使用すると、機械学習の専門知識を必要としない、実証済みの高度にスケーラブルな深層学習テクノロジーを使用して、アプリケーションにイメージ分析とビデオ分析を簡単に追加できます。Amazon Rekognition を使用すると、イメージやビデオ内のオブジェクト、人物、テキスト、シーン、アクティビティを特定し、不適切なコンテンツを検出できます。Amazon Rekognition は、高精度の顔分析および顔検索機能も提供しており、ユーザー認証、人数カウント、公共安全など、幅広いユースケースで顔を検出、分析、比較できます。

Amazon Rekognition Custom Labels を使用すると、ビジネスニーズに固有のイメージ内のオブジェクトやシーンを特定できます。例えば、アセンブリライン上の特定の機械部品を分類したり、育ちの悪い植物を検出したりするモデルを構築できます。Amazon Rekognition Custom Labels はモデル開発の面倒な作業を処理するため、機械学習の経験は必要ありません。識別するオブジェクトまたはシーンの画像を提供するだけで、サービスが残りの作業を処理します。

詳細については、[Amazon Rekognition](https://aws.amazon.com/rekognition/)」を参照してください。

## AWS Managed Services の Amazon Rekognition に関するよくある質問
<a name="set-rekognition-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントで Amazon Rekognition へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_rekognition_console_role & customer_rekognition_service_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Rekognition の使用にはどのような制限がありますか?**

Amazon Rekognition の完全な機能は、Amazon Rekognition の自己プロビジョニング型サービスロールで使用できます。

**Q: AMS アカウントで Amazon Rekognition を使用するための前提条件または依存関係は何ですか?**

Amazon Rekognition Video ストリームプロセッサまたはデータストリームのソースストリーミングビデオを提供する Kinesis Video Streams を Kinesis Data Streams にデータを書き込む送信先として使用する場合は、RFC の作成`kinesisStreamName`時に AMS に を提供してください。

# AMS SSP を使用して AMS アカウントに Amazon SageMaker AI をプロビジョニングする
<a name="sagemaker"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon SageMaker AI 機能に直接アクセスします。SageMaker AI は、すべての開発者とデータサイエンティストに、機械学習モデルを迅速に構築、トレーニング、デプロイする機能を提供します。Amazon SageMaker AI は、データのラベル付けと準備、アルゴリズムの選択、モデルのトレーニング、デプロイのための調整と最適化、予測、アクションを実行するための機械学習ワークフロー全体をカバーするフルマネージドサービスです。モデルは、はるかに少ない労力と低コストで本番環境に迅速に移行できます。詳細については、[Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)」を参照してください。

## AWS Managed Services での SageMaker AI に関するよくある質問
<a name="set-sagemaker-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの SageMaker AI へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を送信してアクセスをリクエストします。この RFC は、IAM ロール `customer_sagemaker_admin_role`とサービスロール をアカウントにプロビジョニングします`AmazonSageMaker-ExecutionRole-Admin`。SageMaker AI がアカウントにプロビジョニングされたら、フェデレーションソリューションで`customer_sagemaker_admin_role`ロールをオンボードする必要があります。サービスロールに直接アクセスすることはできません。SageMaker AI サービスは、「ロール[の受け渡し」で説明されているように、さまざまなアクションを実行する際にサービスロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)を使用します。

**Q: AMS アカウントでの SageMaker AI の使用にはどのような制限がありますか?**
+ AMS Amazon SageMaker AI IAM ロールでは、次のユースケースはサポートされていません。
  + SageMaker AI Studio は現在サポートされていません。
  + SageMaker AI Ground Truth は、プライベートワークフォースを管理するためのサポート対象外です。この機能では、Amazon Cognito リソースへの過度に寛容なアクセスが必要になるためです。プライベートワークフォースの管理が必要な場合は、SageMaker AI と Amazon Cognito アクセス許可を組み合わせたカスタム IAM ロールをリクエストできます。それ以外の場合は、データのラベル付けにパブリックワークフォース (Amazon Mechanical Turk がサポート) または AWS Marketplace サービスプロバイダーを使用することをお勧めします。
+ SageMaker AI サービス (aws.sagemaker.\$1region\$1.notebook、com.amazonaws.\$1region\$1.sagemaker.api & com.amazonaws.\$1region\$1.sagemaker.runtime) への API コールをサポートする VPC エンドポイントの作成は、アクセス許可を SageMaker AI 関連サービスのみに限定することはできないためサポートされていません。このユースケースをサポートするには、管理 \$1 その他 \$1 その他の RFC を送信して、関連する VPC エンドポイントを作成します。
+ SageMaker AI エンドポイントの自動スケーリングはサポートされていません。SageMaker AI には (「\$1」) リソースに対する`DeleteAlarm`アクセス許可が必要なためです。エンドポイントの自動スケーリングをサポートするには、管理 \$1 その他 \$1 その他の RFC を送信して、SageMaker AI エンドポイントの自動スケーリングを設定します。

**Q: AMS アカウントで SageMaker AI を使用する際の前提条件または依存関係は何ですか?**
+ 次のユースケースでは、使用前に特別な設定が必要です。
  + S3 バケットを使用してモデルアーティファクトとデータを保存する場合は、デプロイ \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 RFC の作成で、必要なキーワード (SageMaker」、「Sagemaker」、「sagemaker」、または「aws-glue」) を含む という名前の S3 バケットをリクエストする必要があります。
  + Elastic File Store (EFS) を使用する場合は、EFS ストレージを同じサブネットに設定し、セキュリティグループで許可する必要があります。
  + 他のリソースが SageMaker AI サービス (ノートブック、API、ランタイムなど) に直接アクセスする必要がある場合は、次の方法で設定をリクエストする必要があります。
    + RFC を送信してエンドポイントのセキュリティグループを作成する (デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 作成 (自動))。
    + 管理の送信 \$1 その他 \$1 その他 \$1 RFC を作成して関連する VPC エンドポイントを設定します。

**Q: が直接`customer_sagemaker_admin_role`アクセスできるリソースでサポートされている命名規則は何ですか?** (更新および削除のアクセス許可については、以下を参照してください。リソースでサポートされている追加の命名規則が必要な場合は、AMS Cloud Architect に連絡して相談してください。)
+ リソース: `AmazonSageMaker-ExecutionRole-*`ロールを渡す
  + アクセス許可: SageMaker AI セルフプロビジョニングサービスロールは、 AWS Glue、 AWS RoboMaker、および での SageMaker AI サービスロール (`AmazonSageMaker-ExecutionRole-*`) の使用をサポートします AWS Step Functions。
+ リソース: Secrets Manager の AWS シークレット
  + アクセス許可: `AmazonSageMaker-*`プレフィックスを使用してシークレットを記述、作成、取得、更新します。
  + アクセス許可: `SageMaker`リソースタグが に設定されているときにシークレットを取得するについて説明します`true`。
+ リソース: 上のリポジトリ AWS CodeCommit
  + アクセス許可: `AmazonSageMaker-*`プレフィックスを持つリポジトリを作成/削除します。
  + アクセス許可: Git Pull/Push on repositories with following prefixes, `*sagemaker*`, `*SageMaker*`, and `*Sagemaker*`。
+ リソース: Amazon ECR (Amazon Elastic Container Registry) リポジトリ
  + アクセス許可: アクセス許可: 次のリソース命名規則が使用されている場合、リポジトリポリシーを設定、削除し、コンテナイメージをアップロードします`*sagemaker*`。
+ リソース: Amazon S3 バケット
  + アクセス許可: リソースにプレフィックス 、、 `*sagemaker*` がある場合、オブジェクトの取得、配置、削除`*SageMaker*``*Sagemaker*`、マルチパートアップロード S3 オブジェクトの中止を行います`aws-glue`。
  + アクセス許可: `SageMaker` タグが に設定されているときに S3 オブジェクトを取得します`true`。
+ リソース: Amazon CloudWatch Log Group
  + アクセス許可: ロググループまたはストリームの作成、ログイベントの入力、一覧表示、更新、 の作成、プレフィックス を使用したログ配信の削除`/aws/sagemaker/*`。
+ リソース: Amazon CloudWatch メトリクス
  + アクセス許可: 、`AWS/SageMaker`、`AWS/SageMaker/`、、`aws/SageMaker`、、および のプレフィックスを使用する場合は`aws/SageMaker/``aws/sagemaker``aws/sagemaker/`、メトリクスデータを配置します`/aws/sagemaker/.`。
+ リソース: Amazon CloudWatch Dashboard
  + アクセス許可: プレフィックス が使用されているときにダッシュボードを作成/削除します`customer_*`。
+ リソース: Amazon SNS (Simple Notification Service) トピック
  + アクセス許可: 、`*sagemaker*`、および のプレフィックスを使用する場合`*SageMaker*`にトピックをサブスクライブ/作成します`*Sagemaker*`。

**Q: `AmazonSageMakerFullAccess`と の違いは何ですか`customer_sagemaker_admin_role`?**

`customer_sagemaker_admin_role` と は、以下を除き、AmazonSageMakerFullAccess とほぼ同じアクセス許可`customer_sagemaker_admin_policy`を提供します。
+  AWS RoboMaker、Amazon Cognito、および AWS Glue リソースに接続するためのアクセス許可。
+ SageMaker AI エンドポイントの自動スケーリング。管理 \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 エンティティまたはポリシー (マネージドオートメーション) の変更タイプ (ct-27tuth19k52b4) を更新して、自動スケーリングのアクセス許可を一時的または永続的に昇格させる必要があります。これは、自動スケーリングには CloudWatch サービスへの許可付きアクセスが必要なためです。

**Q: 保管中のデータ暗号化に AWS KMS カスタマーマネージドキーを採用するにはどうすればよいですか?**

関連する IAM ユーザーまたはロールがキーを使用できるように、カスタマーマネージドキーでキーポリシーが正しく設定されていることを確認する必要があります。詳細については、[AWS KMS 「 キーポリシー」ドキュメント](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)を参照してください。

# AMS SSP を使用して AMS アカウントに Amazon Simple Email Service をプロビジョニングする
<a name="amz-ses"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Simple Email Service (Amazon SES) 機能に直接アクセスします。Amazon Simple Email Service は、デジタルマーケティング担当者やアプリケーション開発者、マーケティング、通知、トランザクション E メールの送信を支援するように設計されたクラウドベースの E メール送信サービスです。

SMTP インターフェイスまたはいずれかの AWS SDKs を使用して、Amazon SES を既存のアプリケーションに直接統合できます。Amazon SES の E メール送信機能を、チケットシステムや E メールクライアントなど、既に使用しているソフトウェアに統合することもできます。

詳細については、[「Amazon Simple Email Service](https://aws.amazon.com/ses/)」を参照してください。

## AWS Managed Services での Amazon SES に関するよくある質問
<a name="set-amz-ses-faqs"></a>

**Q: AMS アカウントの Amazon SES へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Amazon SES へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_ses_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Amazon SES を使用するための前提条件または依存関係は何ですか？**
+ Amazon SES がバケットにイベントを発行できるようにするには、S3 バケットポリシーを設定する必要があります。
+ Amazon AWS SES が E メールを暗号化し、アカウントに属する Amazon S3、Amazon SES Amazon SNS を使用するか、CMK キーを設定する必要があります。

**Q: AMS アカウントでの Amazon SES の使用にはどのような制限がありますか？**

次のリソースを作成するにはRFCs を生成する必要があります。
+ Kinesis Firehose ストリームへの PutEvents アクセス許可を持つ SMTP ユーザーと IAM サービスロール。
+ Amazon SES ルールと設定セットの送信先がそれらの AWS リソースと連携するには、AMS 変更タイプを使用して S3 バケット、Firehose ストリーム、SNS トピックなどの新しいリソースを作成する必要があります。 Amazon SES 
+ SMTP 認証情報。新しい SMTP 認証情報をリクエストするには、変更タイプ (管理 \$1 その他 \$1 その他 \$1 作成) を使用します。AMS は認証情報を作成し、Secrets Manager に追加します。

# AMS SSP を使用して AMS アカウントに Amazon Simple Workflow Service をプロビジョニングする
<a name="workflow"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Simple Workflow Service (Amazon SWF) 機能に直接アクセスします。Amazon Simple Workflow Service は、デベロッパーが並列またはシーケンシャルなステップを持つバックグラウンドジョブを構築、実行、スケーリングするのに役立ちます。Amazon SWF は、 クラウドでフルマネージド型のステートトラッカーおよびタスクコーディネーターと考えることができます。アプリケーションのステップが完了するまでに 500 ミリ秒以上かかる場合、処理の状態を追跡する必要がある場合、またはタスクが失敗した場合に復旧または再試行する必要がある場合、Amazon SWF が役立ちます。詳細については、[「Amazon Simple Workflow Service](https://aws.amazon.com/swf/)」を参照してください。

## AWS Managed Services の Amazon SWF に関するよくある質問
<a name="set-workflow-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントの Amazon SWF へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_swf_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon SWF の使用にはどのような制限がありますか？**

Lambda アクセス`InvokeFunction`許可はこのサービスに含まれていますが、すべての AMS カスタマーロールに追加された AMS `customer_deny_policy`は、AMS Lambda 関数と AMS 所有リソースへのアクセスを明示的に拒否します。Amazon SWF 内のリソースにタグ付けまたはタグ付け解除するには、管理 \$1 その他 \$1 その他の変更タイプを送信します。

**Q: AMS アカウントで Amazon SWF を使用するための前提条件または依存関係は何ですか？**

Amazon SWF は AWS Lambda サービスに依存するため、このロールの一部として Lambda を呼び出すアクセス許可が提供されており、Amazon SWF から Lambda を呼び出す追加のアクセス許可は必要ありません。それ以外の場合、Amazon SWF を使用するための前提条件はありません。

# AMS SSP を使用して AMS アカウントに Amazon Textract をプロビジョニングする
<a name="textract"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Textract 機能に直接アクセスします。Amazon Textract は、スキャンされたドキュメントから印刷されたテキスト、手書き、その他のデータを自動的に抽出するフルマネージド型の機械学習サービスで、シンプルな光学文字認識 (OCR) を超えて、フォームやテーブルからデータを識別、理解、抽出します。詳細については、[「Amazon Textract](https://aws.amazon.com/textract/)」を参照してください。

## AWS Managed Services の Amazon Textract に関するよくある質問
<a name="set-textract-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントで Amazon Textract をセットアップするようにリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、、`customer_textract_console_role`、`customer_textract_human_review_execution_role`および の IAM ロールをアカウントにプロビジョニングします`customer_ec2_textract_instance_profile`。アカウントにプロビジョニングされたら、フェデレーションソリューション`customer_textract_console_role`でロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Textract の使用にはどのような制限がありますか?**

AMS アカウントでの Amazon Textract の使用に制限はありません。

**Q: AMS アカウントで Amazon Textract を使用するための前提条件または依存関係は何ですか?**

RFC デプロイ \$1 高度なスタックコンポーネント \$1S3 ストレージ \$1 作成 (ct-1a68ck03fn98r) を送信して、S3 バケットの作成をリクエストする必要があります。

# AMS SSP を使用して AMS アカウントに Amazon Transcribe をプロビジョニングする
<a name="transcribe"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon Transcribe 機能に直接アクセスします。Amazon Transcribe は、オーディオファイルからタイムスタンプ付きのテキストトランスクリプトを自動的に生成する、フルマネージドで継続的にトレーニングされた自動音声認識サービスです。Amazon Transcribe を使用すると、開発者はアプリケーションにspeech-to-text機能を簡単に追加できます。コンピュータがオーディオデータを検索して分析することは事実上不可能です。したがって、記録された音声は、アプリケーションで使用する前にテキストに変換する必要があります。これまで、顧客は文字起こしプロバイダーと連携する必要があり、高価な契約に署名する必要があり、このタスクを実行するためにテクノロジースタックに統合するのが困難でした。これらのプロバイダーの多くは、コンタクトセンターで一般的な低忠実度の電話オーディオなど、さまざまなシナリオにうまく適応しない古いテクノロジーを使用しているため、精度が低下します。

Amazon Transcribe は、自動音声認識 (ASR) と呼ばれる深層学習プロセスを使用して、音声をテキストに迅速かつ正確に変換します。Amazon Transcribe を使用して、カスタマーサービスへの電話の文字起こし、クローズドキャプションと字幕の自動化、メディアアセットのメタデータの生成を行い、完全に検索可能なアーカイブを作成できます。Amazon Transcribe Medical を使用して、臨床ドキュメントアプリケーションに医療speech-to-text機能を追加できます。詳細については、[Amazon Transcribe](https://aws.amazon.com/transcribe/)」を参照してください。

## AWS Managed Services での Amazon Transcribe に関するよくある質問
<a name="set-transcribe-faqs"></a>

一般的な質問と回答:

**Q: Amazon Transcribe を AMS アカウントでセットアップするようにリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_transcribe_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Amazon Transcribe の使用にはどのような制限がありますか?**

RA と特に指定がない限り、文字起こしを操作するときは、バケットのプレフィックスとして「customer-transcribe\$1」を使用する必要があります。

Amazon 文字起こし内で IAM ロールを作成することはできません。

デフォルトの SSPS の出力データにサービスマネージド S3 バケットを使用することはできません (必要な場合は、 アカウント CA にお問い合わせください）。

AMS 名前空間に属さないカスタマー管理の KMS キーを使用する場合は、リスク承諾を送信する必要があります。

**Q: AMS アカウントで Amazon Transcribe を使用するための前提条件または依存関係は何ですか?**

S3 は、「customer-transcribe\$1」という名前のバケットにアクセスできる必要があります。S3 バケットが KMS キーで暗号化されている場合、Amazon Transcribe を使用するには KMS が必要です。バケットを暗号化する必要がない場合は、「KMStranscribeAllow」を削除できます。

# AMS SSP を使用して AMS アカウントに Amazon WorkSpaces をプロビジョニングする
<a name="workspaces"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで WorkSpaces 機能に直接アクセスします。WorkSpaces を使用すると、WorkSpaces と呼ばれる仮想クラウドベースの Microsoft Windows または Amazon Linux デスクトップをユーザーにプロビジョニングできます。WorkSpaces は、ハードウェアの調達とデプロイ、または複雑なソフトウェアのインストールの必要性を排除します。必要に応じてユーザーをすばやく追加または削除できます。ユーザーは、サポートされているデバイスからクライアントアプリケーションを使用するか、Windows WorkSpaces の場合はウェブブラウザを使用して WorkSpaces にアクセスし、既存のオンプレミス Active Directory (AD) 認証情報を使用してログインします。 WorkSpaces

詳細については、[Amazon WorkSpaces](https://aws.amazon.com/workspaces/)」を参照してください。

## AWS Managed Services の WorkSpaces に関するよくある質問
<a name="set-workspaces-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの WorkSpaces へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_workspaces_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの WorkSpaces の使用にはどのような制限がありますか?**

WorkSpaces の完全な機能は、Amazon WorkSpaces のセルフプロビジョニングサービスロールで使用できます。

**Q: AMS アカウントで WorkSpaces を使用するための前提条件または依存関係は何ですか?**
+ WorkSpaces は AWS リージョンによって制限されるため、AD Connector は WorkSpaces インスタンスがホストされているのと同じ AWS リージョンで設定する必要があります。

  お客様は、次の 2 つの方法のいずれかを使用して WorkSpaces をカスタマー AD に接続できます。

  1. AD コネクタを使用して認証をオンプレミス Active Directory サービスにプロキシする (推奨):

     WorkSpaces インスタンスをオンプレミスのディレクトリサービスと統合する前に、AMS アカウントに Active Directory (AD) Connector を設定します。AD Connector は、既存の AD ユーザー (ドメインから) のプロキシとして機能し、既存のオンプレミス AD 認証情報を使用して WorkSpaces に接続します。WorkSpaces はお客様のオンプレミスドメインに直接結合され、リソースフォレストとユーザーフォレストの両方として機能し、お客様側でより細かく制御できるため、これが推奨されます。

     詳細については、[Amazon WorkSpaces をデプロイするためのベストプラクティス (シナリオ 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html)」を参照してください。

  1.  AWS Microsoft AD、共有サービス VPC、オンプレミスへの一方向の信頼で AD Connector を使用する:

     また、まず AMS 管理 AD からオンプレミス AD への一方向の送信信頼を確立することで、オンプレミスディレクトリでユーザーを認証することもできます。WorkSpaces は AD Connector を使用して AMS マネージド AD に参加します。その後、WorkSpaces アクセス許可は AMS マネージド AD を介して WorkSpaces インスタンスに委任されます。オンプレミス環境との双方向の信頼を確立する必要はありません。このシナリオでは、ユーザーフォレストはカスタマー AD にあり、リソースフォレストは AMS マネージド AD にあります (AMS マネージド AD への変更は RFC 経由でリクエストできます）。WorkSpaces VPC と AMS マネージド AD を実行している MALZ 共有サービス VPC 間の接続は、Transit Gateway を介して確立されることに注意してください。

     詳細については、[Amazon WorkSpaces をデプロイするためのベストプラクティス (シナリオ 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html)」を参照してください。
**注記**  
AD Connector は、管理 \$1 その他 \$1 その他 \$1 前提条件の AD 設定の詳細を含む変更タイプ RFC を送信することで設定できます。詳細については、[「AD Connector の作成](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)」を参照してください。メソッド 2 を使用して AMS マネージド AD でリソースフォレストを作成する場合は、別の管理 \$1 その他 \$1 その他 \$1 AMS マネージド AD を実行して AMS 共有サービスアカウントに変更タイプ RFC を作成します。

# AMS SSP を使用して AMS アカウントで AMS Code サービスをプロビジョニングする
<a name="code-services"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AMS Code サービス機能に直接アクセスします。AMS Code サービスは、次に示すように、AWS コード管理サービスの独自のバンドルです。AMS Code サービスを使用して AMS のすべてのサービスをデプロイするか、AMS に個別にデプロイするかを選択できます。

AMS Code サービスには、次のサービスが含まれます。
+ AWS CodeCommit: セキュアな Git ベースのリポジトリをホストするフルマネージド型の[ソースコントロール](https://aws.amazon.com/devops/source-control)サービス。これにより、チームは安全でスケーラブルなエコシステムでコードでコラボレーションできます。CodeCommit を使用することにより、独自のソース管理システムを運用したり、そのインフラストラクチャをスケールしたりする必要がなくなります。CodeCommit を使用すると、ソースコードからバイナリまで、あらゆるものを安全に保存でき、既存の Git ツールとシームレスに連携します。詳細については、「[AWS CodeCommit](https://aws.amazon.com/codecommit/)」を参照してください。

  AMS Code サービスとは別に AMS アカウントにこれをデプロイするには、「」を参照してください[AMS SSP を使用して AMS アカウント AWS CodeCommit でプロビジョニングする](codecommit.md)。
+ AWS CodeBuild: ソースコードをコンパイルし、テストを実行し、デプロイ可能なソフトウェアパッケージを生成するフルマネージドの継続的統合サービス。CodeBuild により、ビルドサーバーのプロビジョニング、管理、スケーリングが不要になります。CodeBuild では、継続的にスケーリングされ、複数のビルドが同時にプロセスされるため、ビルドの実行までキューで待機することはありません。パッケージ済みのビルド環境を使用、またはご自分のビルドツールを使用するカスタムビルド環境を作成できることですぐに開始できます。CodeBuild では毎分ごとに使用するコンピューティングリソースの使用量が有料になります。詳細については、「[AWS CodeBuild](https://aws.amazon.com/codebuild/)」を参照してください。

  AMS Code サービスとは別に AMS アカウントにこれをデプロイするには、「」を参照してください[AMS SSP を使用して AMS アカウント AWS CodeBuild でプロビジョニングする](code-build.md)。
+ AWS CodeDeploy: Amazon EC2 やオンプレミスサーバーなどのさまざまなコンピューティングサービスへのソフトウェアデプロイを自動化するフルマネージドデプロイサービス。 AWS CodeDeploy は、新機能を迅速にリリースし、アプリケーションのデプロイ中のダウンタイムを回避し、アプリケーションの更新の複雑さを処理するのに役立ちます。 AWS CodeDeploy を使用してソフトウェアのデプロイを自動化できるため、エラーが発生しやすい手動操作が不要になります。サービスは、デプロイのニーズに合わせてスケーリングされます。詳細については、「[AWS CodeDeploy](https://aws.amazon.com/codedeploy/)」を参照してください。

  AMS Code サービスとは別に AMS アカウントにこれをデプロイするには、「」を参照してください[AMS SSP を使用して AMS アカウント AWS CodeDeploy でプロビジョニングする](code-deploy.md)。
+ AWS CodePipeline: 完全マネージド型の[継続的デリバリー](https://aws.amazon.com/devops/continuous-delivery/)サービス。リリースパイプラインを自動化して、アプリケーションとインフラストラクチャを迅速かつ確実に更新できます。CodePipeline はお客様が定義したリリースモデルに基づき、コードチェンジがあった場合のフェーズの構築、テスト、およびデプロイを自動化します。機能とアップデートをすばやく、信頼性の高い方法で配信できます。GitHub などの AWS CodePipeline サードパーティーサービスと、または独自のカスタムプラグインと簡単に統合できます。では AWS CodePipeline、使用した分のみお支払いいただきます。前払い金や長期契約はありません。詳細については、「[AWS CodePipeline](https://aws.amazon.com/codepipeline/)」を参照してください。

  AMS Code サービスとは別に AMS アカウントにこれをデプロイするには、「」を参照してください[AMS SSP を使用して AMS アカウント AWS CodePipeline でプロビジョニングする](code-pipeline.md)。

## AWS Managed Services の AMS Code サービスに関するよくある質問
<a name="set-code-services-faqs"></a>

**Q: AMS アカウントの AMS Code サービスへのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_code_suite_console_role`。アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。この時点で、AMS Operations は CodeBuild`customer_codebuild_service_role`、CodeDeploy、CodePipeline `aws_code_pipeline_service_role`サービスのアカウントに `customer_codedeploy_service_role`、、 サービスロールもデプロイします。 CodeBuild に追加の IAM アクセス許可が必要な場合は`customer_codebuild_service_role`、AMS サービスリクエストを送信します。

**注記**  
これらのサービスを個別に追加することもできます。詳細については、[AMS SSP を使用して AMS アカウント AWS CodeBuild でプロビジョニングする](code-build.md)「」、[AMS SSP を使用して AMS アカウント AWS CodeDeploy でプロビジョニングする](code-deploy.md)「」、および[AMS SSP を使用して AMS アカウント AWS CodePipeline でプロビジョニングする](code-pipeline.md)「」をそれぞれ参照してください。

**Q: AMS アカウントでの AMS Code サービスの使用にはどのような制限がありますか?**
+ AWS CodeCommit: CodeCommit のトリガー機能は、SNS トピックを作成する権限が関連付けられているため無効になっています。CodeCommit に対する直接認証は制限されています。ユーザーは 認証情報ヘルパーで認証する必要があります。一部の KMS コマンドも制限されています。kms:Encrypt、kms:Decrypt、kms:ReEncrypt、kms:GenereteDataKey、kms:GenerateDataKeyWithoutPlaintext、および kms:DescribeKey。
+ CodeBuild: AWS CodeBuild コンソール管理者アクセスの場合、アクセス許可はリソースレベルで制限されます。たとえば、CloudWatch アクションは特定のリソースに制限され、`iam:PassRole`アクセス許可は制御されます。
+ CodeDeploy: 現在、CodeDeploy は Amazon EC2/オンプレミスでのデプロイのみをサポートしています。CodeDeploy を介した ECS および Lambda でのデプロイはサポートされていません。
+ CodePipeline: CodePipeline の機能、ステージ、プロバイダーは以下に限定されます。
  + デプロイステージ: Amazon S3 および AWS CodeDeploy
  + ソースステージ: Amazon S3、 AWS CodeCommit、ビットバケット、GitHub
  + ビルドステージ: AWS CodeBuild および Jenkins
  + 承認ステージ: Amazon SNS
  + テストステージ: AWS CodeBuild、Jenkins、BlazeMeter、Ghost Inspector UI テスト、Micro Focus StormRunner Load、Runscope API Monitoring
  + ステージの呼び出し: Step Functions と Lambda
**注記**  
AMS オペレーションは `customer_code_pipeline_lambda_policy`をアカウントにデプロイします。Lambda 呼び出しステージの Lambda 実行ロールにアタッチする必要があります。このポリシーを追加する Lambda サービス/実行ロール名を指定します。カスタム Lambda サービス/実行ロールがない場合、AMS は という名前の新しいロールを作成します。これは `customer_code_pipeline_lambda_execution_role`` customer_lambda_basic_execution_role`と のコピーです`customer_code_pipeline_lambda_policy`。

**Q: AMS アカウントで AMS Code サービスを使用するための前提条件または依存関係は何ですか?**
+ CodeCommit: S3 バケットが AWS KMS キーで暗号化されている場合は、S3 と AWS KMS を使用する必要があります AWS CodeCommit。
+ CodeBuild: 定義された AWS CodeBuild サービスロールに追加の IAM アクセス許可が必要な場合は、AMS サービスリクエストを通じてリクエストします。
+ CodeDeploy: なし。
+ CodePipeline: None. AWS supported services—AWS CodeCommit, AWS CodeBuild, AWS CodeDeploy— は、CodePipeline の起動前または起動時に起動する必要があります。ただし、これは AMS エンジニアによって行われます。

# AMS SSP を使用して AMS アカウント AWS Amplify でプロビジョニングする
<a name="amplify"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Amplify 機能に直接アクセスします。 AWS Amplify は、フロントエンドのウェブおよびモバイル開発者がフルスタックアプリケーションを簡単に構築、接続、ホストできるようにする完全なソリューションです。Amplify は、ユースケースの進化に応じて幅広い AWS サービスを活用する柔軟性を提供します。Amplify は、フルスタックの iOS、Android、Flutter、Web、React Native アプリケーションを構築するための製品を提供しています。詳細については[AWS Amplify](https://docs.amplify.aws/console)を参照してください。

## AWS Amplify AWS Managed Servicesに関するよくある質問
<a name="set-amplify-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントでの設定 AWS Amplify をリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_amplify_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

さらに、 にはインフラストラクチャの変更許可 AWS Amplify があるため、リスク承諾を提供する必要があります。これを行うには、Cloud Service Delivery Manager (CSDM) を使用します。

**Q: AMS アカウント AWS Amplify で を使用することにはどのような制限がありますか?**

特に RA と が指定されていない限り、Amplify を使用するときは、バケットのプレフィックス`'amplify*'`として を使用する必要があります。

**Q: AMS アカウント AWS Amplify で を使用するための前提条件または依存関係は何ですか?**

AMS アカウント AWS Amplify で を使用するための前提条件はありません。

**Malz 環境のみ**: Amplify のデフォルトのオンボードロールは「customer\$1amplify\$1console\$1role」です。カスタムロールを使用するには、まず IAM エンティティをデプロイします。次に、追加の RFC を作成して、アプリケーションアカウントのサービスコントロールポリシーの許可リストにカスタムロールを追加します。

# AMS SSP を使用してプロビジョニングする AWS AppSync
<a name="app-sync"></a>

AMS Self-Service Provisioning (SSP) モードを使用して、AMS マネージドアカウント内の AWS AppSync 機能に直接アクセスします。 は、1 つ以上のデータソースのデータに安全にアクセスし、操作し、結合するための柔軟な API を作成できるようにすることで、アプリケーション開発 AWS AppSync を簡素化します。 AWS AppSync は、GraphQL を使用してアプリケーションが必要とするデータを正確に取得できるようにするマネージドサービスです。

を使用すると AWS AppSync、リアルタイムの更新を必要とするアプリケーションを含むスケーラブルなアプリケーションを、NoSQL データストア、リレーショナルデータベース、HTTP APIs、カスタムデータソースなどのさまざまなデータソースで構築できます AWS Lambda。モバイルアプリとウェブアプリの場合、 は AWS AppSync さらに、デバイスがオフラインになったときにローカルデータアクセスを提供し、オンラインに戻ったときにカスタマイズ可能な競合解決によるデータ同期を提供します。詳細については[AWS AppSync](https://aws.amazon.com/appsync/)を参照してください。

## AWS AppSync AWS Managed Servicesに関するよくある質問
<a name="set-app-sync-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントのアクセス AWS AppSync をリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、 `customer_appsync_service_role`および の IAM ロールをアカウントにプロビジョニングします`customer_appsync_author_role`。アカウントにプロビジョニングされたら、フェデレーションソリューション`customer_appsync_author_role`で をオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS AppSync？**
+ AppSync でデータソースを作成する場合、お客様は以前に作成したサービスロールを指定する必要があります。新しいロールの作成は許可されないため、アクセス拒否が返されます。
+ AppSync ロールは、AMS インフラストラクチャへの変更を防ぐために、「AMS-」または「MC-」プレフィックスを含むリソースへのアクセス許可を制限するように設定されています。

**Q: を使用するための前提条件または依存関係は何ですか AWS AppSync？**

このサービスでは、他の複数の サービスをデータソースとして使用できます。これらのサービスを使用するための基本的なアクセス許可はサービスロール (`customer_appsync_service_role`) に含まれていますが、サービスを使用するときはサービスロールを手動で選択する必要があります。

# AMS SSP を使用して AMS アカウント AWS App Mesh でプロビジョニングする
<a name="app-mesh"></a>

AMS Self-Service Provisioning (SSP) モードを使用して、AMS マネージドアカウント内の AWS App Mesh 機能に直接アクセスします。 は、複数のタイプのコンピューティングインフラストラクチャ間でサービスが相互に簡単に通信できるように、アプリケーションレベルのネットワーク AWS App Mesh を提供します。App Mesh は、サービスの通信方法を標準化し、end-to-end可視性を提供し、アプリケーションの高可用性を確保します。

AWS App Mesh は、複数のタイプのコンピューティングインフラストラクチャにまたがって構築されたサービスの一貫した可視性とネットワークトラフィック制御を提供することで、サービスの実行を容易にします。App Mesh を使用すると、アプリケーションコードを更新して、モニタリングデータの収集方法やサービス間のトラフィックのルーティング方法を変更する必要がなくなります。App Mesh は、モニタリングデータをエクスポートするように各サービスを設定し、アプリケーション全体で一貫した通信制御ロジックを実装します。これにより、エラーの正確な場所をすばやく特定し、障害が発生したときやコード変更をデプロイする必要がある場合にネットワークトラフィックを自動的に再ルーティングすることが容易になります。詳細については[AWS App Mesh](https://aws.amazon.com/app-mesh/)を参照してください。

## AWS App Mesh AWS Managed Servicesに関するよくある質問
<a name="set-app-mesh-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウント AWS App Mesh でアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_app_mesh_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS App Mesh？**

のフル機能は AWS App Mesh 、AMS アカウントで使用できます。

**Q: を使用するための前提条件または依存関係は何ですか AWS App Mesh？**

AMS アカウント AWS App Mesh で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Audit Manager でプロビジョニングする
<a name="audit-mgr"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Audit Manager 機能に直接アクセスします。Audit Manager は、 AWS 使用状況を継続的に監査し、リスクと規制や業界標準への準拠を評価する方法を簡素化するのに役立ちます。Audit Manager はエビデンスの収集を自動化するため、ポリシー、手順、アクティビティが効果的に機能しているかどうかの評価が容易になります。監査の時期になると、Audit Manager はコントロールのステークホルダーレビューを管理し、手動作業を大幅に削減して監査対応レポートを構築するのに役立ちます。詳細については、[「Audit Manager](https://aws.amazon.com/audit-manager/)」を参照してください。

## AWS Audit Manager AWS Managed Servicesに関するよくある質問
<a name="set-audit-mgr-faqs"></a>

一般的な質問と回答:

**Q: AWS Audit Manager AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

 AWS サービス RFC 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション) (ct-3qe6io8t6jtny) の送信を通じてアクセスをリクエストできます。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer-audit-manager-admin-Role`。アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS Audit Manager?**

AMS アカウント AWS Audit Manager での の使用に制限はありません。の完全な機能 AWS Audit Manager が提供されます。

**Q: を使用するための前提条件または依存関係は何ですか AWS Audit Manager?**

1. レポート/評価を配置する s3 バケットを AMS に提供する必要があります。

1. サービスで暗号化する場合は、使用する KMS CMK ARN を AMS に提供する必要があります。

1. トピックに SNS 通知を送信する場合は、トピックまたは ARN の名前を指定する必要があります。

1. **(オプション)** Audit Manager のマルチアカウントランディングゾーンの一部として Organizations を有効にし、委任された管理者アカウントが必要な場合は、追加の前提条件があります。RFC の説明フィールド (Management \$1 AWS service \$1 Compatible Service\$1 Add) で、Audit Manager Setup の一部として委任された管理者アカウントを使用するように指定し、以下の詳細を指定します。
   + KMS CMK ARN (最初は Audit Manager のセットアップに使用)
   + Audit Manager がこのマルチアカウントランディングゾーンの一部として使用する委任管理者アカウント ID (MALZ アプリケーションアカウントでもかまいません)

# AMS SSP を使用して AMS アカウント AWS Batch でプロビジョニングする
<a name="batch"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Batch 機能に直接アクセスします。 AWS Batch は、開発者、サイエンティスト、エンジニアが数十万のバッチコンピューティングジョブを簡単かつ効率的に実行できるようにします AWS。 は、送信されたバッチジョブのボリュームと特定のリソース要件に基づいて、最適な量とタイプのコンピューティングリソース (CPU またはメモリ最適化インスタンスなど) を AWS Batch 動的にプロビジョニングします。を使用すると AWS Batch、ジョブの実行に使用するバッチコンピューティングソフトウェアやサーバークラスターをインストールおよび管理する必要がなくなるため、結果の分析と問題の解決に集中できます。詳細については[AWS Batch](https://aws.amazon.com/batch/)を参照してください。

## AWS Batch AWS Managed Servicesに関するよくある質問
<a name="set-batch-faqs"></a>

一般的な質問と回答：

**Q: AWS Batch AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

1. へのアクセスをリクエストするには AWS Batch、RFC 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) を送信します。この RFC は、アカウントに次の IAM ロールとポリシーをプロビジョニングします。

IAM ロール：
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`

ポリシー:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`

2. アカウントでプロビジョニングしたら、フェデレーションソリューション`customer_batch_console_role`でロールをオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS Batch？**

コンピューティング環境を作成するときは、EC2 インスタンスを「customer\$1batch」または「customer-batch」としてタグ付けする必要があります。インスタンスにタグが付けられていない場合、ジョブの完了時にインスタンスはバッチで終了されません。

**Q: を使用するための前提条件または依存関係は何ですか AWS Batch？**

AMS アカウント AWS Batch で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Certificate Manager でプロビジョニングする
<a name="acm"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS Certificate Manager (ACM) 機能に直接アクセスします。 AWS Certificate Manager は、 サービスおよび内部接続リソースで使用できるように、パブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書をプロビジョニング、管理、デプロイできる AWS サービスです。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトとプライベートネットワーク上のリソースのアイデンティティを確立するために使用されます。 は、SSL/TLS 証明書を購入、アップロード、更新する時間のかかる手動プロセス AWS Certificate Manager を削除します。

を使用すると AWS Certificate Manager、証明書をリクエストし、Elastic Load Balancer、Amazon CloudFront ディストリビューション、API Gateway APIs などの ACM 統合 AWS リソースにデプロイし、 が証明書の更新 AWS Certificate Manager を処理できます。内部リソースのプライベート証明書を作成し、証明書のライフサイクルを一元管理することもできます。ACM 統合サービスで使用できる AWS Certificate Manager ように でプロビジョニングされたパブリック証明書とプライベート証明書は無料です。アプリケーションを実行するために作成した AWS リソースに対してのみ料金が発生します。では[AWS Private Certificate Authority](https://aws.amazon.com/certificate-manager/private-certificate-authority/)、 のオペレーション AWS Private CA と発行するプライベート証明書に対して毎月お支払いいただきます。詳細については、[AWS Certificate Manager 「- AWS Documentation](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)」を参照してください。

## AWS Managed Services の ACM に関するよくある質問
<a name="set-acm-faqs"></a>

一般的な質問と回答:

**Q: AWS Certificate Manager AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_acm_create_role`。このロールを使用して、ACM 証明書を作成および管理できます。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

ACM 証明書は、IAM `customer_acm_create_role` ロールを追加していない場合でも、次の変更タイプを使用して作成できます。
+  [ ACM \$1 パブリック証明書の作成](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+  [ ACM \$1 プライベート証明書の作成](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+  [ 追加の SANs を含む ACM 証明書 \$1 作成](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)

**Q: の使用にはどのような制限がありますか AWS Certificate Manager?**

既存の証明書を削除または変更するには、変更リクエスト (RFC) を AMS に送信する必要があります。これらのアクションには完全な管理者アクセスが必要です (管理 \$1 高度なスタックコンポーネント \$1 ACM \$1 証明書変更タイプの削除 (ct-1q8q56cmwqj9m) を使用）。IAM ポリシーでは、タグ名 (mc\$1、ams\$1 など) に基づいて権限を除外できないことに注意してください。証明書にはコストが発生しないため、未使用の証明書を削除しても時間的制約はありません。

**Q: Certificate Manager を使用するための前提条件または依存関係は何ですか?**

既存のパブリック DNS 名、および DNS CNAME レコードを作成するためのアクセス。ただし、マネージドアカウントでホストする必要はありません。

# AMS SSP を使用して AMS アカウント AWS Private Certificate Authority でプロビジョニングする
<a name="acm-priv-ca"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Private Certificate Authority 機能に直接アクセスします。プライベート証明書は、サーバー、モバイル、IoT デバイス、アプリケーションなどのプライベートネットワーク上の接続されたリソース間の通信を識別して保護するために使用されます。 AWS Private CA は、プライベート証明書のライフサイクルを簡単かつ安全に管理できるマネージドプライベート CA サービスです。 は、独自のプライベート CA を運用するための事前投資と継続的なメンテナンスコストなしで、高可用性のプライベート CA サービス AWS Private CA を提供します。 は、ACM の証明書管理機能をプライベート証明書に AWS Private CA 拡張し、パブリック証明書とプライベート証明書を一元的に作成および管理できるようにします。 AWS マネジメントコンソールまたは ACM API を使用して、 AWS リソースのプライベート証明書を簡単に作成およびデプロイできます。EC2 インスタンス、コンテナ、IoT デバイス、オンプレミスリソースの場合、プライベート証明書を簡単に作成して追跡し、独自のクライアント側のオートメーションコードを使用してデプロイできます。また、プライベート証明書を作成して、カスタム証明書の有効期間、キーアルゴリズム、またはリソース名を必要とするアプリケーション用に自分で管理することもできます。詳細については、「」を参照してください[AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)。

## AWS Private CA AWS Managed Servicesに関するよくある質問
<a name="set-app-sync-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントのアクセス AWS Private CA をリクエストするにはどうすればよいですか?**

 AWS サービス RFC (管理 \$1 AWS サービス \$1 互換サービス) の送信を通じてアクセスをリクエストします。この RFC を通じて、次の IAM ロールがアカウントにプロビジョニングされます: `customer_acm_pca_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS Private CA?**

現在、 AWS Resource Access Manager (AWS RAM) を使用してクロスアカウントを共有 AWS Private CA することはできません。

**Q: を使用するための前提条件または依存関係は何ですか AWS Private CA?**

1. CRL を作成する場合は、保存先の S3 バケットが必要です。 AWS Private CA は指定した Amazon S3 バケットに CRL を自動的に預金し、定期的に更新します。CRL を設定する前に、S3 バケットに以下のバケットポリシーがあることが前提条件です。このリクエストを続行するには、次のように ct-0fpjlxa808sh2 (管理 \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 更新ポリシー) を使用して RFC を作成します。
+ S3 バケット名または ARN を指定します。
+ 以下のポリシーを RFC にコピーし、 を目的の S3 バケット名`bucket-name`に置き換えます。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}
```

------

2. 上記の S3 バケットが暗号化されている場合、サービスプリンシパル acm-pca.amazonaws.com には復号するためのアクセス許可が必要です。このリクエストを続行するには、次のように ct-3ovo7px2vsa6n (管理 \$1 高度なスタックコンポーネント \$1 KMS キー \$1 更新) を使用して RFC を作成します。
+ ポリシーを更新する必要がある KMS キー ARN を指定します。
+ 以下のポリシーを RFC にコピーし、 を目的の S3 バケット名`bucket-name`に置き換えます。

```
{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}
```

3. AWS Private CA CRLs「新しいアクセスコントロールリスト (ACLs」をサポートしていません。 S3 「ACM プライベート CA の AWS Private CA CRL を安全に作成して保存する方法」で説明されているように、S3 アカウントとバケットでこの設定を無効にする必要があります。無効にするには、ct-0xdawir96cy7k (管理 \$1 その他 \$1 その他 \$1 更新) を使用して新しい RFC を作成し、リスク許容をアタッチします。 CRLs [https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/) リスクの受け入れについてご質問がある場合は、 クラウドアーキテクトにお問い合わせください。

# AMS SSP を使用して AMS アカウントで AWS CloudEndure をプロビジョニングする
<a name="cloud-endure"></a>

**注記**  
の起動に成功すると AWS Application Migration Service、CloudEndure Migration サービスはすべての AWS リージョンでサポート終了となります。GovCloud リージョンと商用リージョンへの移行 AWS Application Migration Service には、 を使用することをお勧めします。詳細については、[「 とは AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)」を参照してください。  
を使用する場合は AWS Application Migration Service、CA に連絡して指示を受けてください。

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS CloudEndure 機能に直接アクセスします。 AWS CloudEndure 移行は、物理、仮想、クラウドベースのインフラストラクチャから への大規模な移行を簡素化、迅速化、自動化します AWS。CloudEndure ディザスタリカバリ (DR) は、ランサムウェアやサーバーの破損などの脅威によるダウンタイムやデータ損失から保護します。

## AWS Managed Services でのAWS CloudEndure に関するよくある質問
<a name="cloud-endure-faqs"></a>

**Q: AMS アカウントの CloudEndure へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、次の IAM ユーザーをアカウントにプロビジョニングします: `customer_cloud_endure_user`。アカウントでプロビジョニングされると、ユーザーのアクセスキーとシークレットキーは AWS Secrets Manager で共有されます。

これらのポリシーは、 `customer_cloud_endure_policy`および のアカウントにもプロビジョニングされます`customer_cloud_endure_deny_policy`。

さらに、アプリケーション統合用の CloudEndure DR ソリューションにはインフラストラクチャ変更のアクセス許可があるため、リスク承諾を提供する必要があります。これを行うには、クラウドサービスデリバリーマネージャー (CSDM) を使用します。

**Q: AMS アカウントでの CloudEndure の使用にはどのような制限がありますか?**

クラウド耐久性レプリケーションおよび変換インスタンスは、指定したサブネットでのみ起動できます。

**Q: AMS アカウントで CloudEndure を使用するための前提条件または依存関係は何ですか?** RFC 双方向通信を介して以下を共有します。
+ 起動するレプリケーションインスタンスと変換インスタンスの VPC サブネットの詳細。
+ EBS ボリュームが暗号化されている場合の KMS キー Amazon リソースネーム (ARN)。

# AMS SSP を使用して AMS アカウント AWS CloudHSM でプロビジョニングする
<a name="cloud-hsm"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS CloudHSM 機能に直接アクセスします。 AWS CloudHSM 企業、 契約上の AWS クラウド内で専用のハードウェアセキュリティモジュール (HSM) インスタンスを使用して、データセキュリティに関する および の規制コンプライアンス要件 AWS。 および AWS Marketplace パートナー、 は、 AWS プラットフォーム内の機密データを保護するためのさまざまなソリューションを提供します。 ただし、暗号化キーの管理に関する契約上または規制上の義務の対象となるアプリケーションやデータについては、 追加の保護が必要になる場合があります。 は既存のデータ保護ソリューションを AWS CloudHSM 補完し、安全なキー管理のために政府の標準に従って設計および検証された HSMs 内の暗号化キーを保護することができます。 AWS CloudHSM を使用すると、 保存、 は、データ暗号化に使用される暗号化キーを、ユーザーのみがキーにアクセスできるように管理します。詳細については[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)を参照してください。

## AWS CloudHSM AWS Managed Servicesに関するよくある質問
<a name="set-cloud-hsm-faqs"></a>

よくある質問と回答：

**Q: AWS CloudHSM AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

AMS アカウントでの の使用には 2 つのステップがあります。

1.  AWS CloudHSM クラスターをリクエストします。これを行うには、管理 \$1 その他 \$1 その他 \$1 作成 (ct-1e1xtak34nx76) 変更タイプを使用して RFC を送信します。次の詳細を含めます。
   + AWS リージョン。
   + VPC ID/ARN。送信する RFC と同じアカウントにある VPC ID/VPC ARN を指定します。
   + クラスターに少なくとも 2 つのアベイラビリティーゾーンを指定します。
   + HSM クラスターに接続する Amazon EC2 インスタンス ID。

1.  AWS CloudHSM コンソールにアクセスします。これを行うには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信します。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_cloudhsm_console_role`。

アカウントでロールがプロビジョニングされたら、フェデレーションソリューションにロールをオンボードする必要があります。

**Q: AMS アカウント AWS CloudHSM で を使用することにはどのような制限がありますか？**

 AWS CloudHSM コンソールへのアクセスでは、クラスターを作成、終了、または復元することはできません。これらの操作を行うには、管理 \$1 その他 \$1 その他 \$1 変更タイプの作成 (ct-1e1xtak34nx76) 変更タイプを送信します。

**Q: AMS アカウント AWS CloudHSM で を使用するための前提条件または依存関係は何ですか？**

VPC 内のクライアント Amazon EC2 インスタンスを介してポート 2225 を使用する TCP トラフィックを許可するか、HSM クラスターへのアクセスを必要とするオンプレミスサーバーに Direct Connect VPN を使用する必要があります。 AWS CloudHSM は、セキュリティグループとネットワークインターフェイスの Amazon EC2 に依存します。ログのモニタリングまたは監査では、HSM はすべてのローカル HSM デバイスアクティビティで CloudTrail (AWS API オペレーション) と CloudWatch Logs に依存します。

**Q: AWS CloudHSM クライアントおよび関連するソフトウェアライブラリに更新を適用するのは誰ですか？**

ライブラリとクライアントの更新を適用する責任はお客様にあります。リリースの [CloudHSM バージョン履歴](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html)ページをモニタリングし、[CloudHSM クライアントアップグレード](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html)を使用して更新を適用します。

**注記**  
HSM アプライアンスのソフトウェアパッチは、常にサービスによって AWS CloudHSM 自動的に適用されます。

# AMS SSP を使用して AMS アカウント AWS CodeBuild でプロビジョニングする
<a name="code-build"></a>

AMS Self-Service Provisioning (SSP) モードを使用して、AMS マネージドアカウント内の AWS CodeBuild 機能に直接アクセスします。 AWS CodeBuild は、ソースコードをコンパイルし、テストを実行し、デプロイ可能なソフトウェアパッケージを生成するフルマネージドの継続的統合サービスです。CodeBuild により、ビルドサーバーのプロビジョニング、管理、スケーリングが不要になります。CodeBuild では、継続的にスケーリングされ、複数のビルドが同時にプロセスされるため、ビルドの実行までキューで待機することはありません。パッケージ済みのビルド環境を使用、またはご自分のビルドツールを使用するカスタムビルド環境を作成できることですぐに開始できます。CodeBuild では毎分ごとに使用するコンピューティングリソースの使用量が有料になります。詳細については[AWS CodeBuild](https://aws.amazon.com/codebuild/)を参照してください。

**注記**  
CodeCommit、CodeBuild、CodeDeploy、および CodePipeline を単一の RFC でオンボードするには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信し、CodeBuild、CodeDeploy、および CodePipeline の 3 つのサービスをリクエストします。次に、、、`customer_codebuild_service_role`、 `customer_codedeploy_service_role``aws_code_pipeline_service_role`の 3 つのロールすべてがアカウントにプロビジョニングされます。アカウントでプロビジョニングした後、フェデレーションソリューションでロールをオンボードする必要があります。

## AWS Managed Services での CodeBuild に関するよくある質問
<a name="set-code-build-faqs"></a>

一般的な質問と回答:

**Q: AWS CodeBuild AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

AMS アカウント AWS CodeBuild での の使用には 2 つのステップがあります。

1. S3 バケット、Amazon CloudWatch、ロググループと AWS 調整する`CodeBuild Service Role`ビルドプロセスの をプロビジョニングする

1. CodeBuild コンソールへのアクセスをリクエストする

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプの追加 (ct-1w8z66n899dct) を使用して RFC を送信することで、両方の設定を AMS アカウントでリクエストできます。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS CodeBuild で を使用することにはどのような制限がありますか?**

 AWS CodeBuild コンソール管理者アクセスの場合、アクセス許可はリソースレベルで制限されます。たとえば、CloudWatch アクションは特定のリソースに制限され、`iam:PassRole`アクセス許可は制御されます。

**Q: AMS アカウントで CodeBuild を使用するための前提条件または依存関係は何ですか?**

定義された AWS CodeBuild サービスロールに追加の IAM アクセス許可が必要な場合は、AMS サービスリクエストを通じてリクエストします。

# AMS SSP を使用して AMS アカウント AWS CodeCommit でプロビジョニングする
<a name="codecommit"></a>

**注記**  
AWS は AWS CodeCommit、2024 年 7 月 25 日以降、 への新しいお客様のアクセスを閉鎖しました。 AWS CodeCommit 既存のお客様は、引き続きこのサービスを通常どおり使用できます。 AWS は引き続きセキュリティ、可用性、パフォーマンスの向上に投資しますが AWS CodeCommit、新機能を導入する予定はありません。  
AWS CodeCommit Git リポジトリを他の Git プロバイダーに移行するには、クラウドアーキテクト (CA) に連絡してガイダンスを受けてください。Git リポジトリの移行の詳細については、[AWS CodeCommit リポジトリを別の Git プロバイダーに移行する方法](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)」を参照してください。

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS CodeCommit 機能に直接アクセスします。 AWS CodeCommit は、セキュアな Git ベースのリポジトリをホストするフルマネージド型の[ソースコントロール](https://aws.amazon.com/devops/source-control/)サービスです。これは、安全でスケーラブルなエコシステムでチームがコードでコラボレーションするのに役立ちます。CodeCommit を使用することにより、独自のソース管理システムを運用したり、そのインフラストラクチャをスケールしたりする必要がなくなります。CodeCommit を使用すると、ソースコードからバイナリまで、あらゆるものを安全に保存でき、既存の Git ツールとシームレスに連携します。詳細については[AWS CodeCommit](https://aws.amazon.com/codecommit/)を参照してください。

**注記**  
CodeCommit、CodeBuild、CodeDeploy、および CodePipeline を単一の RFC でオンボードするには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信し、CodeBuild、CodeDeploy、および CodePipeline の 3 つのサービスをリクエストします。次に、、、`customer_codebuild_service_role`、 `customer_codedeploy_service_role``aws_code_pipeline_service_role`の 3 つのロールすべてがアカウントにプロビジョニングされます。アカウントでプロビジョニングした後、フェデレーションソリューションでロールをオンボードする必要があります。

## AWS Managed Services の CodeCommit に関するよくある質問
<a name="set-codecommit-faqs"></a>

**Q: AMS アカウントの CodeCommit へのアクセスをリクエストするにはどうすればよいですか?**

AWS CodeCommit コンソールとデータアクセスロールは、2 つの AWS Service RFCs、コンソールアクセス、データアクセスを送信することでリクエストできます。
+ Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を使用して RFC を送信 AWS CodeCommit して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_codecommit_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

  データアクセス (トレーニングやエンティティリストなど) には、S3 データソース (必須）、出力バケット (必須）、KMS (オプション) を指定する個別の CTs がデータソースごとに必要です。すべてのデータソースにアクセスロールが付与されている限り、 AWS CodeCommit ジョブの作成に制限はありません。データアクセスをリクエストするには、 管理 \$1 その他 \$1 その他 \$1 作成 (ct-1e1xtak34nx76) を使用して RFC を送信します。

**Q: AMS アカウント AWS CodeCommit で を使用することにはどのような制限がありますか?**

SNS トピックを作成する権限が関連付けられているため、CodeCommit のトリガー機能は無効になっています。CodeCommit に対する直接認証は制限されているため、ユーザーは 認証情報ヘルパーで認証する必要があります。、`kms:Encrypt`、、`kms:Decrypt`、`kms:ReEncrypt``kms:GenereteDataKey`、 `kms:GenerateDataKeyWithoutPlaintext`などの KMS コマンドも制限されています`kms:DescribeKey`。

**Q: AMS アカウント AWS CodeCommit で を使用するための前提条件または依存関係は何ですか?**

S3 バケットが KMS キーで暗号化されている場合、 を使用するには S3 と KMS が必要です AWS CodeCommit。

# AMS SSP を使用して AMS アカウント AWS CodeDeploy でプロビジョニングする
<a name="code-deploy"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS CodeDeploy 機能に直接アクセスします。 AWS CodeDeploy は、Amazon EC2、 AWS Fargate AWS Lambda、オンプレミスサーバーなどのさまざまなコンピューティングサービスへのソフトウェアデプロイを自動化するフルマネージドデプロイサービスです。 AWS CodeDeploy は、新機能を迅速にリリースし、アプリケーションのデプロイ中のダウンタイムを回避し、アプリケーションの更新の複雑さに対処します。 AWS CodeDeploy を使用してソフトウェアのデプロイを自動化できるため、エラーが発生しやすい手動操作が不要になります。サービスは、デプロイのニーズに合わせてスケーリングされます。詳細については[AWS CodeDeploy](https://aws.amazon.com/codedeploy/)を参照してください。

**注記**  
CodeCommit、CodeBuild、CodeDeploy、および CodePipeline を単一の RFC でオンボードするには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信し、CodeBuild、CodeDeploy、および CodePipeline の 3 つのサービスをリクエストします。次に、、、`customer_codebuild_service_role`、 `customer_codedeploy_service_role``aws_code_pipeline_service_role`の 3 つのロールすべてがアカウントにプロビジョニングされます。アカウントでプロビジョニングした後、フェデレーションソリューションでロールをオンボードする必要があります。

## AWS Managed Services での CodeDeploy に関するよくある質問
<a name="set-code-deploy-faqs"></a>

**Q: AMS アカウントの CodeDeploy へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して CodeDeploy へのアクセスをリクエストします。この RFC は、 `customer_codedeploy_console_role`および の IAM ロールをアカウントにプロビジョニングします`customer_codedeploy_service_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションで`customer_codedeploy_console_role`ロールをオンボードする必要があります。

**Q: AMS アカウントでの CodeDeploy の使用にはどのような制限がありますか?**

現在、Compute Platform は Amazon EC2/オンプレミスとしてのみサポートされています。ブルー/グリーンデプロイはサポートされていません。

**Q: AMS アカウントで CodeDeploy を使用するための前提条件または依存関係は何ですか?**

AMS アカウントで CodeDeploy を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS CodePipeline でプロビジョニングする
<a name="code-pipeline"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS CodePipeline 機能に直接アクセスします。 AWS CodePipeline はフルマネージド型の[継続的デリバリー](https://aws.amazon.com/devops/continuous-delivery/)サービスであり、リリースパイプラインを自動化して、アプリケーションとインフラストラクチャを迅速かつ確実に更新できます。CodePipeline はお客様が定義したリリースモデルに基づき、コードチェンジがあった場合のフェーズの構築、テスト、およびデプロイを自動化します。機能とアップデートをすばやく、信頼性の高い方法で配信できます。GitHub などの AWS CodePipeline サードパーティーサービスと、または独自のカスタムプラグインと簡単に統合できます。では AWS CodePipeline、使用した分のみお支払いいただきます。前払い金や長期契約はありません。詳細については[AWS CodePipeline](https://aws.amazon.com/codepipeline/)を参照してください。

**注記**  
CodeCommit、CodeBuild、CodeDeploy、および CodePipeline を単一の RFC でオンボードするには、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信し、CodeBuild、CodeDeploy、および CodePipeline の 3 つのサービスをリクエストします。次に、、、`customer_codebuild_service_role`、 `customer_codedeploy_service_role``aws_code_pipeline_service_role`の 3 つのロールすべてがアカウントにプロビジョニングされます。アカウントでプロビジョニングした後、フェデレーションソリューションでロールをオンボードする必要があります。  
AMS の CodePipeline は、ソースステージのAmazon CloudWatch Events」をサポートしていません。これは、最小特権モデルと AMS 変更管理プロセスをバイパスするサービスロールとポリシーを作成するための昇格されたアクセス許可が必要なためです。

## AWS Managed Services の CodePipeline に関するよくある質問
<a name="set-code-pipeline-faqs"></a>

**Q: AMS アカウントの CodePipeline へのアクセスをリクエストするにはどうすればよいですか?**

関連するアカウントの のサービスリクエストを送信して、CodePipeline `customer_code_pipeline_console_role` へのアクセスをリクエストします。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

この時点で、AMS Operations はこのサービスロールをアカウント にもデプロイします`aws_code_pipeline_service_role_policy`。

**Q: AMS アカウントでの CodePipeline の使用にはどのような制限がありますか?**

はい。CodePipeline の機能、ステージ、プロバイダーは以下に限定されます。

1. デプロイステージ: Amazon S3 に限定、および AWS CodeDeploy

1. ソースステージ: Amazon S3、 AWS CodeCommit、BitBucket、GitHub に限定

1. ビルドステージ: AWS CodeBuildおよび Jenkins に限定

1. 承認ステージ: Amazon SNS に限定

1. テストステージ: Jenkins AWS CodeBuild、BlazeMeter、Ghost Inspector UI テスト、Micro Focus StormRunner Load、Runscope API Monitoring に限定

1. 呼び出しステージ: Step Functions と Lambda に限定
**注記**  
AMS オペレーションは`customer_code_pipeline_lambda_policy`アカウントにデプロイされます。Lambda 呼び出しステージの Lambda 実行ロールにアタッチする必要があります。このポリシーを追加する Lambda サービス/実行ロール名を指定してください。カスタム Lambda サービス/実行ロールがない場合、AMS は という名前の新しいロールを作成します。これは `customer_code_pipeline_lambda_execution_role``customer_lambda_basic_execution_role`と一緒に のコピーになります`customer_code_pipeline_lambda_policy`。

**Q: AMS アカウントで CodePipeline を使用するための前提条件または依存関係は何ですか?**

AWS がサポートする サービスは AWS CodeCommit AWS CodeBuild、CodePipeline の起動前または起動と同時に起動 AWS CodeDeploy する必要があります。

# AMS SSP を使用して AMS アカウント AWS Compute Optimizer でプロビジョニングする
<a name="compute-optimizer"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Compute Optimizer 機能に直接アクセスします。 は、ワークロードに最適な AWS コンピューティングリソース AWS Compute Optimizer を推奨し、機械学習を使用して過去の使用率メトリクスを分析し、コストを削減し、パフォーマンスを向上させます。コンピューティング (Amazon EC2 および ASGs) の過剰プロビジョニングにより、不要なインフラストラクチャコストが発生し、コンピューティングのプロビジョニングが不足すると、アプリケーションのパフォーマンスが低下する可能性があります。Compute Optimizer は、使用率データに基づいてAmazon EC2 Auto Scaling グループの一部であるインスタンスタイプを含め、最適な Amazon EC2 インスタンスタイプを選択するのに役立ちます。詳細については[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)を参照してください。

## AWS Managed Services の Compute Optimizer に関するよくある質問
<a name="set-compute-optimizer-faqs"></a>

**Q: AMS アカウントの Compute Optimizer へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_compute_optimizer_readonly_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの Compute Optimizer の使用にはどのような制限がありますか?**

制限はありません。の完全な機能は AWS Compute Optimizer 、AMS アカウントで使用できます。

**Q: AMS アカウントで Compute Optimizer を使用するための前提条件または依存関係は何ですか?**
+ アカウントでサービスを有効にするには、AMS Ops を承認する RFC (管理 \$1 その他 \$1 その他 \$1 更新) を送信する必要があります。デプロイ中に、メトリクスの収集とレポートの生成を可能にするサービスリンクロール (SLR) が作成されます。SLR にはAWSServiceRoleForComputeOptimizer」というラベルが付けられています。詳細については、[「 のサービスにリンクされたロールの使用」を参照してください。 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html)
+ CloudWatch メトリクスは、次のメトリクスに対して有効にする必要があります。
  + **CPU 使用率**: インスタンスで使用されている割り当てられた Amazon EC2 コンピューティングユニットの割合。このメトリクスは、選択したインスタンスでアプリケーションを実行するために必要な処理能力を識別します。
  + **メモリ使用率**: サンプル期間中に何らかの方法で使用されたメモリの量。このメトリクスは、選択したインスタンスでアプリケーションを実行するために必要なメモリを識別します。メモリ使用率は、統合 CloudWatch エージェントがインストールされているリソースについてのみ分析されます。詳細については、CloudWatch エージェントによるメモリ使用率の有効化」(p. 10) を参照してください。
  + **Network in**: インスタンスがすべてのネットワークインターフェイスで受信したバイト数。このメトリクスは、単一のインスタンスへの受信ネットワークトラフィックのボリュームを識別します。
  + **ネットワーク出力**: インスタンスによってすべてのネットワークインターフェイスで送信されたバイト数。このメトリクスは、1 つのインスタンスからの送信ネットワークトラフィックの量を識別します。
  + **ローカルディスク入出力 (I/O)**: ローカルディスクの入出力オペレーションの数。このメトリクスは、インスタンスのルートボリュームのパフォーマンスを識別します。

# AMS SSP を使用して AMS アカウント AWS DataSync でプロビジョニングする
<a name="data-sync"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS DataSync 機能に直接アクセスします。 は、オンプレミスストレージと Amazon S3、Amazon Elastic File System (Amazon Elastic File System)、または Amazon FSx の間で大量のデータをオンライン AWS DataSync に移動します。 Amazon Elastic File System データ転送に関連する手動タスクは、移行を遅らせ、IT 運用に負担をかける可能性があります。DataSync は、コピージョブのスクリプト作成、転送のスケジュールとモニタリング、データの検証、ネットワーク使用率の最適化など、これらのタスクの多くを排除または自動的に処理します。DataSync ソフトウェアエージェントはネットワークファイルシステム (NFS) およびサーバーメッセージブロック (SMB) ストレージに接続するため、アプリケーションを変更する必要はありません。DataSync は、インターネットまたは AWS Direct Connect リンク経由で、オープンソースツールの最大 10 倍の速度で数百テラバイトと数百万のファイルを転送できます。DataSync を使用して、アクティブなデータセットまたはアーカイブを に移行したり AWS、データをクラウドに転送してタイムリーな分析と処理を行ったり、ビジネス継続 AWS 性のためにデータを にレプリケートしたりできます。

詳細については[AWS DataSync](https://aws.amazon.com/datasync/)を参照してください。

## AWS Managed Services での DataSync に関するよくある質問
<a name="data-sync-faqs"></a>

**Q: AMS アカウントの DataSync へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_datasync_console_role`。

アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

タスクログをストリーミングするために使用する CloudWatch ロググループは「/aws/datasync」です。

**Q: AMS アカウントでの DataSync の使用にはどのような制限がありますか?**

の完全な機能は AWS DataSync 、AMS アカウントで使用できます。

**Q: AMS アカウントで DataSync を使用するための前提条件または依存関係は何ですか?**
+ Amazon S3サービスロール を使用して実行される DataSync タスクに関連付けられたすべての S3 バケットには、Amazon DataSync S3 ARNs (Amazon リソースネーム) が必要です`customer_datasync_service_role`。
+ DataSync エージェントの VPC エンドポイントとセキュリティグループは、VPC エンドポイントを使用する前に、管理 \$1 その他 \$1 その他 \$1 作成 (ct-1e1xtak34nx76) 変更タイプを使用して RFC でリクエストする必要があります。
+ AWS DataSync エージェントはアプライアンスとして AMS で実行されます。 AWS DataSync エージェントにパッチが適用され、サービスによって更新されます。詳細については、[AWS DataSync 「よくある質問](https://aws.amazon.com/datasync/faqs/)」を参照してください。
+  AWS DataSync エージェントを起動するには、管理 \$1 その他 \$1 その他 \$1 作成 (ct-1e1xtak34nx76) 変更タイプを使用して RFC を送信し、エージェントのデプロイをリクエストします。 AWS DataSync Amazon EC2 AMI ID、インスタンスタイプ、サブネット、セキュリティグループを指定し、既存の Amazon EC2 キーペアを参照するか、新しいキーペアの作成をリクエストします。
**注記**  
AMS は、お客様に代わって AWS DataSync エージェントを手動でプロビジョニングするため、 AWS DataSync Amazon EC2 AMI での WIGS 取り込みプロセスは必要ありません。

# AMS SSP を使用して AMS アカウント AWS Device Farm でプロビジョニングする
<a name="device-farm"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Device Farm 機能に直接アクセスします。 AWS Device Farm は、テストインフラストラクチャをプロビジョニングおよび管理することなく、幅広いデスクトップブラウザと実際のモバイルデバイスでテストすることで、ウェブおよびモバイルアプリケーションの品質を向上させるアプリケーションテストサービスです。このサービスを使用すると、複数のデスクトップブラウザまたは実際のデバイスでテストを同時に実行してテストスイートの実行を高速化し、ビデオとログを生成して、アプリの問題をすばやく特定できます。

詳細については[AWS Device Farm](https://aws.amazon.com/device-farm/)を参照してください。

## AWS Device Farm AWS Managed Servicesに関するよくある質問
<a name="device-farm-faqs"></a>

**Q: AWS Device Farm AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_devicefarm_role`。

アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Device Farm で を使用することにはどのような制限がありますか?**

 AWS Device Farm サービスへのフルアクセスは、「Name」タグで AMS 名前空間を使用することを除いて提供されます。

**Q: AMS アカウント AWS Device Farm で を使用するための前提条件または依存関係は何ですか?**

なし。

# AMS SSP を使用して AMS アカウント AWS Elastic Disaster Recovery でプロビジョニングする
<a name="elastic-disaster-recovery"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Elastic Disaster Recovery 機能に直接アクセスします。 は、手頃な価格のストレージ、最小限のコンピューティング、point-in-timeリカバリを使用して、オンプレミスおよびクラウドベースのアプリケーションの高速で信頼性の高いリカバリにより、ダウンタイムとデータ損失 AWS Elastic Disaster Recovery を最小限に抑えます。を使用して、サポートされているオペレーティングシステムで実行されているオンプレミスまたはクラウドベースのアプリケーションをレプリケートする場合 AWS Elastic Disaster Recovery 、IT レジリエンスを高めることができます。 AWS マネジメントコンソール を使用して、レプリケーションと起動の設定、データレプリケーションのモニタリング、ドリルまたはリカバリ用のインスタンスの起動を行います。

詳細については[AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)を参照してください。

## AWS Elastic Disaster Recovery AWS Managed Servicesに関するよくある質問
<a name="elastic-disaster-recovery-faqs"></a>

**Q: AWS Elastic Disaster Recovery AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_drs_console_role`。

アカウントでプロビジョニングされたロールは、フェデレーションソリューションでオンボードする必要があります。

**Q: AMS アカウント AWS Elastic Disaster Recovery で を使用することにはどのような制限がありますか?**

AMS アカウント AWS Elastic Disaster Recovery で使用する制限はありません。

**Q: AMS アカウント AWS Elastic Disaster Recovery で を使用するための前提条件または依存関係は何ですか?**
+ コンソールロールにアクセスしたら、Elastic Disaster Recovery サービスを初期化して、アカウント内で必要な IAM ロールを作成する必要があります。
  + インスタンスプロファイルのクローンを作成して`AWSElasticDisasterRecoveryEc2InstancePolicy`ポリシーを`customer-mc-ec2-instance-profile`アタッチするには、変更タイプ管理 \$1 アプリケーション \$1 IAM インスタンスプロファイル \$1 変更タイプ ct-0ixp4ch2tiu04 RFC を作成 (マネージドオートメーション) する必要があります。新しいポリシーをアタッチするマシンを指定する必要があります。
  + インスタンスがデフォルトのインスタンスプロファイルを使用していない場合、AMS は自動化`AWSElasticDisasterRecoveryEc2InstancePolicy`を通じてアタッチできます。
+ クロスアカウントリカバリには、顧客所有の KMS キーを使用する必要があります。ターゲットアカウントへのアクセスを許可するには、ソースアカウントの KMS キーをポリシーに従って更新する必要があります。詳細については、[「EBS 暗号化キーをターゲットアカウントと共有する](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs)」を参照してください。
+ ロール`customer_drs_console_role`の表示を切り替える場合は、KMS キーポリシーを更新して、ポリシーの表示を許可する必要があります。
+ クロスアカウント、クロスリージョンディザスタリカバリの場合、AMS はソースアカウントとターゲットアカウントを信頼されたアカウントとして設定し、フェ[イルバックロールとAWS 右サイジングロール](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html)をデプロイする必要があります CloudFormation。

# AMS SSP を使用して AMS アカウント AWS Elemental MediaConvert でプロビジョニングする
<a name="amz-elemental-media-convert"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Elemental MediaConvert 機能に直接アクセスします。 AWS Elemental MediaConvert は、ブロードキャストグレードの機能を持つファイルベースのビデオトランスコーディングサービスです。これにより、ブロードキャストおよびマルチスクリーン配信用のvideo-on-demand (VOD) コンテンツを大規模に作成できます。このサービスは、高度なビデオおよびオーディオ機能と、シンプルなウェブサービスインターフェイスと従量制料金。を使用すると AWS Elemental MediaConvert、独自のビデオ処理インフラストラクチャの構築と運用の複雑さを心配することなく、魅力的なメディアエクスペリエンスの提供に集中できます。

詳細については[AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/)を参照してください。

## AWS Managed Services での MediaConvert に関するよくある質問
<a name="set-amz-ecs-faqs"></a>

**Q: AMS アカウントの MediaConvert へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_mediaconvert_author_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

2 番目のロール が提供されます。これは`customer_MediaConvert_Default_Role`、ソース S3 バケットから読み取り、出力を送信先 S3 バケットに書き込むため、およびデジタル著作権管理 (DRM) が必要な場合に API ゲートウェイを呼び出すために MediaConvert によって使用されます。

**Q: AMS アカウントでの MediaConvert の使用にはどのような制限がありますか?**

AMS での MediaConvert の使用に制限はありません。

**Q: AMS アカウントで MediaConvert を使用するための前提条件または依存関係は何ですか?**

AMS アカウントで MediaConvert を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Elemental MediaLive でプロビジョニングする
<a name="elemental-media-live"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Elemental MediaLive 機能に直接アクセスします。 AWS Elemental MediaLive はブロードキャストグレードのライブビデオ処理サービスです。これにより、接続されたテレビ、タブレット、スマートフォン、セットトップボックスなどTVs、ブロードキャストテレビやインターネットに接続されたマルチスクリーンデバイスに配信するための高品質のビデオストリームを作成できます。このサービスは、ライブビデオストリームをリアルタイムでエンコードし、より大きなサイズのライブビデオソースを取得し、視聴者に配信するためにより小さなバージョンに圧縮することで機能します。を使用すると AWS Elemental MediaLive、高度なブロードキャスト機能、高可用性、pay-as-you-goで、ライブイベントと 24 時間 365 日対応のチャネルの両方にストリームを簡単に設定できます。 AWS Elemental MediaLive では、ブロードキャストグレードのビデオ処理インフラストラクチャの構築と運用を複雑にすることなく、視聴者に魅力的なライブビデオエクスペリエンスの作成に集中できます。

詳細については[AWS Elemental MediaLive](https://aws.amazon.com/medialive/)を参照してください。

## AWS Managed Services での MediaLive に関するよくある質問
<a name="elemental-media-live-faqs"></a>

**Q: AMS アカウントの MediaLive へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_medialive_author_role`。

この RFC の一部として、2 番目のロールがアカウントにデプロイされます。`customer_medialive_service_role`このロールは、Amazon S3、MediaStore、CloudWatch Logs などの他のサービスとやり取りするために、Media Live チャネルと入力に割り当てることができます。 CloudWatch 

アカウントにロールがプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの MediaLive の使用にはどのような制限がありますか?**

AMS での MediaLive の使用に制限はありません。

**Q: AMS アカウントで MediaLive を使用するための前提条件または依存関係は何ですか?**

AMS アカウントで MediaLive を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Elemental MediaPackage でプロビジョニングする
<a name="amz-elemental-media-package"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Elemental MediaPackage 機能に直接アクセスします。 は、インターネット経由で配信するためのビデオ AWS Elemental MediaPackage を確実に準備して保護します。 AWS Elemental MediaPackage は 1 つのビデオ入力から、接続されたテレビ、携帯電話、コンピュータ、タブレット、ゲームコンソールで再生するようにフォーマットされたビデオストリームを作成します。これにより、DVRs で一般的に見られるような、視聴者向けの一般的な動画機能 (起動、一時停止、巻き戻しなど) を簡単に実装できます。 AWS Elemental MediaPackage は、デジタル著作権管理 (DRM) を使用してコンテンツを保護することもできます。 は負荷に応じて自動的に AWS Elemental MediaPackage スケーリングするため、視聴者は必要な容量を事前に正確に予測することなく、常に優れたエクスペリエンスを得ることができます。

詳細については[AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/)を参照してください。

## AWS Managed Servicesでの MediaPackage に関するよくある質問
<a name="set-amz-elemental-media-package-faqs"></a>

**Q: AWS Elemental MediaPackage AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_mediapackage_author_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

2 番目のロール が提供されます。これは`customer_mediapackage_service_role`、S3 や Secrets Manager などの他のサービスとやり取りするための Media Live チャネルと入力に割り当てることができます。

**Q: AMS アカウントでの MediaPackage の使用にはどのような制限がありますか?**

AMS での MediaPackage の使用に制限はありません。

**Q: AMS アカウントで MediaPackage を使用するための前提条件または依存関係は何ですか?**

AMS アカウントで MediaPackage を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Elemental MediaStore でプロビジョニングする
<a name="elemental-media-store"></a>

**注記**  
慎重に検討した結果、 AWS は 2025 年 11 月 13 日に MediaStore の廃止を決定しました。MediaStore のアクティブなお客様は、サービスのサポートが終了する 2025 年 11 月 13 日まで MediaStore を通常どおり使用できます。この日以降、MediaStore またはこのサービスが提供する機能を使用できなくなります。

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Elemental MediaStore 機能に直接アクセスします。 AWS Elemental MediaStore は、メディア用に最適化された AWS ストレージサービスです。これにより、ライブストリーミングビデオコンテンツを配信するために必要なパフォーマンス、一貫性、低レイテンシーが得られます。 AWS Elemental MediaStore は、ビデオワークフローのオリジンストアとして機能します。その高性能機能は、最も要求の厳しいメディア配信ワークロードのニーズを満たすとともに、長期的で費用対効果の高いストレージを提供します。詳細については[AWS Elemental MediaStore](https://aws.amazon.com/mediastore/)を参照してください。

## AWS Managed Services の MediaStore に関するよくある質問
<a name="elemental-media-store-faqs"></a>

**Q: AMS アカウントの MediaStore へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して MediaStore へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_mediastore_author_role`。この RFC の一部として、2 番目のロールがアカウントにデプロイされます。ロールは`MediaStoreAccessLogs`、この機能を有効にすることを選択した場合、MediaStore サービスが CloudWatch でアクティビティをログに記録するために使用されます。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

この時点で、AMS Operations はこのサービスロールをアカウント にもデプロイします`aws_code_pipeline_service_role_policy`。

**Q: AMS アカウントでの MediaStore の使用にはどのような制限がありますか？**

AMS での MediaStore の使用に制限はありません。

**Q: AMS アカウントで MediaStore を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで MediaStore を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Elemental MediaTailor でプロビジョニングする
<a name="amz-elemental-media-tailor"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Elemental MediaTailor 機能に直接アクセスします。 AWS Elemental MediaTailor は、ブロードキャストレベルのquality-of-serviceを犠牲にすることなく、ビデオプロバイダーが個別にターゲットを絞った広告をビデオストリームに挿入します。を使用すると AWS Elemental MediaTailor、ライブビデオまたはオンデマンドビデオの視聴者はそれぞれ、コンテンツとパーソナライズされた広告を組み合わせたストリームを受け取ります。ただし、他のパーソナライズされた広告ソリューションとは異なり、動画と広告は AWS Elemental MediaTailor 、視聴者のエクスペリエンスを向上させるためにブロードキャストグレードの動画品質で配信されます。 は、クライアント側とサーバー側の広告配信メトリクスの両方に基づいて自動レポート AWS Elemental MediaTailor を提供し、広告のインプレッションと視聴者の動作を正確に測定します。を使用して、予想外のオンデマンド視聴イベントを前払いコストなしで簡単に収益化できます AWS Elemental MediaTailor。また、広告配信レートも向上し、すべての動画からより多くの収益を得ることができ、さまざまなコンテンツ配信ネットワーク、広告決定サーバー、クライアントデバイスで動作します。

詳細については[AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/)を参照してください。

## AWS Managed Services の MediaTailor に関するよくある質問
<a name="set-amz-elemental-media-tailor-faqs"></a>

**Q: AMS アカウントの MediaTailor へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して MediaTailor へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer-mediatailor-role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの MediaTailor の使用にはどのような制限がありますか？**

AMS での MediaTailor の使用に制限はありません。

**Q: AMS アカウントで MediaTailor を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで MediaTailor を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Global Accelerator でプロビジョニングする
<a name="global-acc"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Global Accelerator 機能に直接アクセスします。Global Accelerator は、世界中のユーザーが使用するインターネットアプリケーションの可用性とパフォーマンスを向上させるアクセラレーターを作成するネットワークレイヤーサービスです。詳細については、[「Global Accelerator](https://aws.amazon.com/global-accelerator/)」を参照してください。

## AWS Managed Services での Global Accelerator に関するよくある質問
<a name="set-global-acc-faqs"></a>

一般的な質問と回答：

**Q: Global Accelerator を AMS アカウントでセットアップするようにリクエストするにはどうすればよいですか？**

 AWS サービス RFC (管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス) の送信を通じてアクセスをリクエストします。この RFC を通じて、次の IAM ロールがアカウントにプロビジョニングされます: `customer_global_accelerator_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでコンソールロールをオンボードする必要があります。

**Q: AMS アカウントでの Global Accelerator の使用にはどのような制限がありますか？**

Global Accelerator は、リージョン[AWS 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)に記載されている複数の AWS リージョンのエンドポイントをサポートするグローバルサービスです。

**Q: AMS アカウントで Global Accelerator を使用するための前提条件または依存関係は何ですか？**

Global Accelerator でアクセラレーターを設定するときは、静的 IP アドレスを 1 つ以上の AWS リージョンのリージョンエンドポイントに関連付けます。標準アクセラレーターの場合、エンドポイントは Network Load Balancer、Application Load Balancer、Amazon EC2 インスタンス、または Elastic IP アドレスです。カスタムルーティングアクセラレーターの場合、エンドポイントは 1 つ以上の EC2 インスタンスを持つ Virtual Private Cloud (VPC) サブネットです。

# AMS SSP を使用して AMS アカウント AWS Glue でプロビジョニングする
<a name="glue"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Glue 機能に直接アクセスします。 AWS Glue は、分析用のデータの準備とロードに役立つフルマネージド型の抽出、変換、ロード (ETL) サービスです。数回クリックするだけで、ETL ジョブを作成して実行できます AWS マネジメントコンソール。に保存されている AWS Glue データをポイントすると AWS、 はデータ AWS Glue を検出し、関連するメタデータ (テーブル定義やスキーマなど) を に保存します AWS Glue Data Catalog。カタログ化されると、データはすぐに検索可能で、クエリ可能で、ETL アクションに使用できます。詳細については[AWS Glue](https://aws.amazon.com/glue/)を参照してください。

## AWS Glue AWS Managed Servicesに関するよくある質問
<a name="set-glue-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントでの設定 AWS Glue をリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプを追加 (ct-1w8z66n899dct) で RFC を送信 AWS Glue して、 へのアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします。
+ `customer_glue_console_role`
+ `customer_glue_service_role`

上記のロールには、以下のアタッチされたポリシーが含まれます。
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`

 アカウントでロールがプロビジョニングされたら、フェデレーションソリューションにロールをオンボードする必要があります。

クローラ、ジョブ、開発エンドポイント (特定のユースケースに必要なロール) にアクセスするには、デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 エンティティまたはポリシーの作成 (ct-3dpd8mdd9jn1r) を使用して RFC を送信します。

**Q: AMS アカウント AWS Glue で を使用することにはどのような制限がありますか？**

制限はありません。の完全な機能は AWS Glue 、AMS アカウントで使用できます。ETL スクリプトを作成およびテストできるインタラクティブ環境の場合は、 AWS Glue Studio で Notebooks を使用します。 AWS Glue インタラクティブセッションとジョブノートブックは、 で使用できる AWS Glue AWS Glue のサーバーレス機能であり、 AWS Glue サービスロールを使用します。

**AWS Glue 2.0 より前：** AWS Glue ノートブックは、アカウントで Amazon EC2 インスタンスを起動する非マネージドリソースです。ベストプラクティスとして、独自の Amazon EC2 インスタンスを起動し、ノートブック環境と開発をサポートするために必要なソフトウェアをインストールします。詳細については、[「チュートリアル: ETL スクリプトをテストおよびデバッグするためのローカル Apache Zeppelin ノートブックのセットアップ](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html)」および[「スクリプトの開発に開発エンドポイントを使用する](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)」を参照してください。

**Q: AMS アカウント AWS Glue で を使用するための前提条件または依存関係は何ですか？**

AWS Glue は、Amazon S3、CloudWatch、CloudWatch Logs に依存しています。推移的な依存関係はデータソースによって異なり、他の AWS Glue サービス機能が とやり取りしている可能性があります (Amazon Redshift、Amazon RDS、Athena など）。

# AMS SSP を使用して AMS アカウント AWS Lake Formation でプロビジョニングする
<a name="lake-formation"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Lake Formation 機能に直接アクセスします。 AWS Lake Formation は、安全なデータレイクを数日で簡単にセットアップできるサービスです。データレイクは、分析用に準備および選別され、セキュリティ保護されたリポジトリで、すべてのデータを元の形式で保存します。データレイクを使用すると、データサイロを分解し、さまざまな種類の分析を組み合わせてインサイトを獲得し、優れたビジネス意思決定を導くことができます。

Lake Formation を使用したデータレイクの作成は、データソースおよび適用するデータアクセスとセキュリティポリシーを定義するのと同様に簡単です。Lake Formation は、データベースやオブジェクトストレージからのデータの収集とカタログ化、新しい Amazon S3 データレイクへのデータの移動、Machine Learning アルゴリズムを使用したデータのクリーンアップと分類、機密データへの安全なアクセスを支援します。ユーザーは、利用可能なデータセットとその適切な使用状況を説明する一元化されたデータカタログにアクセスできます (詳細については、[AWS Glue 「よくある質問](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)」を参照してください）。その後、ユーザーはこれらのデータセットを、[Amazon Redshift](https://aws.amazon.com/redshift/)、[Amazon Athena](https://aws.amazon.com/athena/)、Amazon [EMR](https://aws.amazon.com/emr/) for Apache Spark (ベータ版) などの分析サービスと機械学習サービスの選択で活用します。Lake Formation は、 で利用可能な機能に基づいています[AWS Glue](https://aws.amazon.com/glue/)。

詳細については[AWS Lake Formation](https://aws.amazon.com/lake-formation/)を参照してください。

## AWS Managed Services での Lake Formation に関するよくある質問
<a name="set-lake-formation-faqs"></a>

**Q: AWS Lake Formation AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_lakeformation_data_analyst_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

さらに、次の 2 つのロールはオプションです。
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`

管理者権限の場合、同じ SSPS 変更タイプ (ct-3qe6io8t6jtny) `customer_lakeformation_admin_role`の一部としてロールをオンボードすることを選択できます。

 AWS Lake Formation コンソールでブループリントを作成する場合は、管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを追加し、明示的に を追加して をデプロイする必要があります`customer_lakeformation_workflow_role`。RFC では、ブループリントの作成時にバケットがソースである場合は、S3 バケット名を指定する必要があります。S3 バケットは AWS CloudTrail、設計図タイプが Classic Load Balancer Logs または Application Load Balancer Logs の場合に適用されます。

**Q: AMS アカウント AWS Lake Formation で を使用することにはどのような制限がありますか?**

Lake Formation の全機能は AMS で利用できます。

**Q: AMS アカウント AWS Lake Formation で を使用するための前提条件または依存関係は何ですか?**

Lake Formation は AWS Glue サービスと統合されるため、 AWS Glue ユーザーは Lake Formation アクセス許可を持つデータベースとテーブルにのみアクセスできます。さらに、 AWS Athena および Amazon Redshift ユーザーは、Lake Formation アクセス許可を持つ AWS Glue データベースとテーブルのみをクエリできます。

# AMS SSP を使用して AMS アカウント AWS Lambda でプロビジョニングする
<a name="lambda"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Lambda 機能に直接アクセスします。サーバーをプロビジョニングまたは管理せずにコードを実行する AWS Lambda 。消費したコンピューティング時間に対してのみ料金が発生します。コードが実行されていない場合は料金は発生しません。Lambda を使用すると、ほぼあらゆるタイプのアプリケーションまたはバックエンドサービスのコードを、すべて管理なしで実行できます。 はコードをアップロードし、Lambda はコードの実行とスケールに必要なすべてを高可用性で処理します。他のサービスから自動的にトリガーするようにコードを設定することも AWS 、ウェブやモバイルアプリから直接呼び出すこともできます。詳細については[AWS Lambda](https://aws.amazon.com/lambda/)を参照してください。

## AWS Managed Services の Lambda に関するよくある質問
<a name="set-lambda-faqs"></a>

**Q: AWS Lambda AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、 `customer_lambda_admin_role`および の IAM ロールをアカウントにプロビジョニングします`customer_lambda_basic_execution_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Lambda で を使用することにはどのような制限がありますか?**
+ Lambda 関数は、イベントソースによって呼び出されるように設計されています。Lambda イベントソースとして使用できるサービスのリストについては、[「Using AWS Lambda with Other Services](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html)」を参照してください。現在、これらのサービスの一部が AMS アカウントで利用できるわけではありません。利用できないサービスが必要な場合は、AMS CSDM と連携して例外を申請します。
+ デフォルトでは、AMS は `AWSLambdaBasicExecutionRole`および アクセス`AWSXrayWriteOnlyAccess`許可を含む基本的な Lambda 開始ロールを提供します。詳細については、[AWS Lambda 「開始ロール](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)」を参照してください。AMS VPC 内で Lambda 関数をプロビジョニングする機能など、追加のアクセス許可が必要な場合は、 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (マネージドオートメーション)(ct-3qe6io8t6jtny) 変更タイプを使用して RFC を送信します。

**Q: AMS アカウント AWS Lambda で を使用するための前提条件または依存関係は何ですか?**

開始するための前提条件や依存関係はありません AWS Lambdaが、特定のユースケースによっては、イベントソースを作成するために他の AWS サービスへのアクセスや、関数がさまざまなアクションを実行するための追加のアクセス許可が必要になる場合があります。追加のアクセス許可が必要な場合は、 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) 変更タイプを追加 (ct-3qe6io8t6jtny) で RFC を送信します。

**Q: いずれかのアカウントで Lambda 関数を実行するにはどうすればよいですか?**

Lambda 関数をコアアカウントにデプロイするには、次のガイドラインを使用します。
+ の SSPS AWS Lambda がオンボードされていることを確認します。
+ AMS リソースが保護および準拠している限り、AMS の責任の下でこのデプロイを禁止する特定の制限はありません。
+ AMS で Lambda 関数を作成する場合は、まず指定された SSPS ロールを使用する必要があります AWS Lambda。次に、AMS のサポートで関数をデプロイまたはサポートする場合は、CA に連絡して範囲外 (OOS) プロセスを開始します。

# AMS SSP を使用して AMS アカウント AWS License Manager でプロビジョニングする
<a name="license-manager"></a>

AMS Self-Service Provisioning (SSP) モードを使用して、AMS マネージドアカウント内の AWS License Manager 機能に直接アクセスします。 は AWS サービスと AWS License Manager 統合して、1 つの AWS アカウントを通じて複数の AWS アカウント、IT カタログ、オンプレミスのライセンスの管理を簡素化します。 AWS License Manager では、管理者はライセンス契約の条件をエミュレートするカスタマイズされたライセンスルールを作成し、Amazon EC2 のインスタンスが起動されたときにこれらのルールを適用できます。のルール AWS License Manager では、インスタンスの起動を物理的に停止するか、侵害について管理者に通知することで、ライセンス違反を制限できます。詳細については[AWS License Manager](https://aws.amazon.com/license-manager/)を参照してください。

## AWS Managed Services の License Manager に関するよくある質問
<a name="set-license-manager-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントでの設定 AWS License Manager をリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type で RFC を送信 AWS License Manager して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_license_manager_role`。License Manager IAM ロールがアカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS License Manager で を使用することにはどのような制限がありますか？**

所有する AMI に AWS License Manager ルールを関連付けることができます (「Owned by me」でフィルタリングされます）。 AMIs 制限の関連付けを AMI に強制することを選択した場合 (例: この AMI の 100 個の vCPU のみをサポート可能）、制限を使い果たすと、その AMI での今後の起動はブロックされ、「ライセンスなし」というエラーが返されます。これは、このサービスの意図した動作です (ライセンスを使い果たすことはできません）。制限を使い果たしても AMI を再度起動する必要がある場合は、 で設定されたルールを変更する必要があります AWS License Manager。

**Q: AMS アカウント AWS License Manager で を使用するための前提条件または依存関係は何ですか？**

AMS アカウント AWS License Manager で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Migration Hub でプロビジョニングする
<a name="migration-hub"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Migration Hub 機能に直接アクセスします。 は、複数の AWS およびパートナーソリューション間のアプリケーション移行の進行状況を追跡できる単一の場所 AWS Migration Hub を提供します。Migration Hub を使用すると、アプリケーションポートフォリオ全体の移行のステータスを可視化しながら、ニーズに最適な AWS およびパートナー移行ツールを選択できます。Migration Hub は、移行に使用されているツールに関係なく、個々のアプリケーションの主要なメトリクスと進行状況も提供します。これにより、すべての移行の進行状況の更新をすばやく取得し、問題を簡単に特定してトラブルシューティングし、移行プロジェクトに費やす全体的な時間と労力を削減できます。詳細については[AWS Migration Hub](https://aws.amazon.com/migration-hub/)を参照してください。

## AWS Managed Services の Migration Hub に関するよくある質問
<a name="set-migration-hub-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Migration Hub へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して Migration Hub へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_migrationhub_author_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: Migration Hub にはどのような制限がありますか？**

なし。

**Q: Migration Hub を有効にするための前提条件は何ですか？**

AMS アカウントで Migration Hub の使用を開始するための前提条件はありません。ただし、Migration Hub 以外のアクセス許可は、サーバー情報をアップロードするためのアクセス許可を Amazon S3 に書き込むなど、サービスの管理中に必要になる場合があります。

# AMS SSP を使用して AMS アカウント AWS Outposts でプロビジョニングする
<a name="outposts"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Outposts 機能に直接アクセスします。 AWS Outposts は、 AWS インフラストラクチャ、 AWS サービス、APIs、ツールを事実上あらゆるデータセンター、コロケーションスペース、またはオンプレミス施設に拡張し、一貫したハイブリッドエクスペリエンスを実現します。 AWS Outposts は、オンプレミスシステム、ローカルデータ処理、またはローカルデータストレージへの低レイテンシーアクセスを必要とするワークロードに適しています。詳細については[AWS Outposts](https://aws.amazon.com/outposts/)を参照してください。

## AWS Outposts AWS Managed Servicesに関するよくある質問
<a name="set-outposts-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントでの設定 AWS Outposts をリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を使用して RFC を送信 AWS Outposts して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_outposts_role`。アカウントにロールがプロビジョニングされたら、フェデレーションソリューションにロールをオンボードする必要があります。

**Q: AMS アカウント AWS Outposts で を使用することにはどのような制限がありますか？**

AMS アカウント AWS Outposts での の使用に制限はありません。

**Q: AMS アカウント AWS Outposts で を使用するための前提条件または依存関係は何ですか？**

AMS アカウント AWS Outposts で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Resilience Hub でプロビジョニングする
<a name="res-hub"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Resilience Hub 機能に直接アクセスします。 AWS Resilience Hub は AWS 、アプリケーションを事前に準備し、中断から保護するのに役立ちます。Resilience Hub は、ソフトウェア開発ライフサイクルに統合される耐障害性評価と検証を提供し、耐障害性の弱点を明らかにします。Resilience Hub は、アプリケーションが目標復旧時間 (RTO) と目標復旧時点 (RPO) の目標を達成できるかどうかを推定し、本番環境にリリースされる前に問題を解決するのに役立ちます。 AWS アプリケーションを本番環境にデプロイした後、Resilience Hub を使用してアプリケーションの回復体制の追跡を続行できます。停止が発生した場合、Resilience Hub はオペレーターに通知を送信して、関連する復旧プロセスを起動します。

## AWS Resilience Hub AWS Managed Servicesに関するよくある質問
<a name="set-res-hub-faqs"></a>

よくある質問と回答：

**Q: AWS Resilience Hub AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Resilience Hub へのアクセスをリクエストします。この RFC は、次の IAM ロールとポリシーをアカウントにプロビジョニングします。

**IAM; ロール**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`

**ポリシー**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`

アカウントにロールがプロビジョニングされたら、フェデレーションソリューション`customer_resiliencehub_console_role`でロールをオンボードする必要があります。

**Q: AMS アカウント AWS Resilience Hub で を使用することにはどのような制限がありますか？**

制限はありません。Resilience Hub のフル機能は、AMS アカウントで使用できます。

**Q: AMS アカウント AWS Resilience Hub で を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Resilience Hub を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Secrets Manager でプロビジョニングする
<a name="secrets-manager"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Secrets Manager 機能に直接アクセスします。アプリケーション、サービス、IT リソースへのアクセスに必要なシークレットを保護する AWS Secrets Manager のに役立ちます。このサービスを使用すると、データベースクレデンシャル、APIキー、およびその他のシークレットをライフサイクル全体で簡単にローテーション、管理、および取得できます。ユーザーとアプリケーションは Secrets Manager APIs を呼び出すことでシークレットを取得するため、機密情報をプレーンテキストでハードコードする必要がなくなります。Secrets Manager には、Amazon RDS、Amazon Redshift、Amazon DocumentDB の統合機能が組み込まれたシークレットローテーションが用意されています。また、このサービスは API キーや OAuth トークンなど、他のタイプのシークレットにも拡張できます。詳細については[AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)を参照してください。

**注記**  
デフォルトでは、AMS 演算子は、アカウントのデフォルト AWS KMS キー (CMK) を使用して暗号化 AWS Secrets Manager された のシークレットにアクセスできます。シークレットを AMS オペレーションにアクセスできるようにするには、シークレットに保存されているデータに適したアクセス許可を定義する AWS Key Management Service (AWS KMS) キーポリシーを持つカスタム CMK を使用します。

## AWS Managed Services の Secrets Manager に関するよくある質問
<a name="set-secrets-manager-faqs"></a>

**Q: AWS Secrets Manager AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-3qe6io8t6jtny) 変更タイプで RFC を送信して Secrets Manager へのアクセスをリクエストします。この RFC は、 `customer_secrets_manager_console_role`および の IAM ロールをアカウントにプロビジョニングします`customer-rotate-secrets-lambda-role`。`customer_secrets_manager_console_role` は、シークレットをプロビジョニングおよび管理するための管理者ロールとして使用され、シークレットをローテーションする Lambda 関数の Lambda 実行ロールとして`customer-rotate-secrets-lambda-role`使用されます。アカウントにプロビジョニングされたら、フェデレーションソリューションで`customer_secrets_manager_console_role`ロールをオンボードする必要があります。

**Q: AMS アカウント AWS Secrets Manager で を使用することにはどのような制限がありますか?**

のフル機能は、シークレットの自動ローテーション機能とともに、AMS アカウントで AWS Secrets Manager 使用できます。ただし、「ローテーションを実行するための新しい Lambda 関数の作成」を使用してローテーションを設定することはサポートされていません。これは、変更管理プロセスをバイパスする CloudFormation スタックの作成 (IAM ロールと Lambda 関数の作成) に昇格されたアクセス許可が必要なためです。AMS Advanced は、「既存の Lambda 関数を使用してローテーションを実行する」のみをサポートします。ここでは、Lambda 関数を管理して AWS Lambda SSPS 管理者ロールを使用してシークレットをローテーションします。AMS Advanced は、シークレットを更新するために Lambda を作成または管理しません。

**Q: AMS アカウント AWS Secrets Manager で を使用するための前提条件または依存関係は何ですか?**

次の名前空間は AMS が使用するために予約されており、 への直接アクセスの一部としては使用できません AWS Secrets Manager。
+ arn:aws:secretsmanager:\$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:customer-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:ams/\$1

## Secrets Manager (AMS SSPS) を使用したキーの共有
<a name="set-secrets-manager-sharing"></a>

RFC、サービスリクエスト、またはインシデントレポートのプレーンテキストでシークレットを AMS と共有すると、情報開示インシデントが発生し、AMS はケースからの情報とキーを再生成するリクエストを編集します。

[AWS Secrets Manager](https://aws.amazon.com/secrets-manager/) (Secrets Manager) は、この名前空間 で使用できます`customer-shared`。

![\[Secrets Manager ワークフロー。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/secretsManager.png)


### Secrets Manager を使用したキーの共有に関するよくある質問
<a name="set-secrets-manager-sharing-faqs"></a>

**Q: Secrets Manager を使用して共有する必要があるシークレットのタイプは何ですか?**

例としては、VPN 作成用の事前共有キー、認証キー (IAM、SSH)、ライセンスキー、パスワードなどの機密キーなどがあります。

**Q: Secrets Manager を使用して AMS とキーを共有するにはどうすればよいですか?**

1. フェデレーティッドアクセスと適切なロールを使用して、 AWS マネジメントコンソールにログインします。

   SALZ の場合は、 `Customer_ReadOnly_Role`

   MALZ の場合は、`AWSManagedServicesChangeManagementRole`。

1. [AWS Secrets Manager コンソール](https://console.aws.amazon.com/secretsmanager/home)に移動し、**新しいシークレットを保存する**をクリックします。

1. [**その他のシークレット**] を選択します。

1. シークレット値をプレーンテキストとして入力し、デフォルトの KMS 暗号化を使用します。**[次へ]** をクリックします。

1. シークレット名と説明を入力します。名前は常に **customer-shared/** で始まります。たとえば、**customer-shared/mykey2022** などです。**[次へ]** をクリックします。

1. 自動ローテーションを無効にしたまま、**次へ**をクリックします。

1. Store を確認してクリックし****、シークレットを保存します。

1. シークレットを識別して取得できるように、サービスリクエスト、RFC、またはインシデントレポートを通じてシークレット名を返信してください。

**Q: Secrets Manager を使用してキーを共有するには、どのようなアクセス許可が必要ですか?**

**SALZ**: `customer_secrets_manager_shared_policy`マネージド IAM ポリシーを探し、ポリシードキュメントが以下の作成ステップでアタッチされているものと同じであることを確認します。ポリシーが次の IAM ロールにアタッチされていることを確認します: `Customer_ReadOnly_Role`。

**MALZ**: `ams-shared`名前空間で `GetSecretValue`アクションを許可する`AWSManagedServicesChangeManagementRole`ロールに `AMSSecretsManagerSharedPolicy`がアタッチされていることを確認します。

例:

```
{
 "Action": "secretsmanager:*",
 "Resource": [
 "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
 "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
 ],
 "Effect": "Allow",
 "Sid": "AllowAccessToSharedNameSpaces"
 }
```

**注記**  
セルフサービスでプロビジョニングされたサービス AWS Secrets Manager として を追加すると、必要なアクセス許可が付与されます。

# AMS SSP を使用して AMS アカウント AWS Security Hub CSPM でプロビジョニングする
<a name="sec-hub"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Security Hub CSPM 機能に直接アクセスします。 AWS Security Hub CSPM では、 内のセキュリティ状態 AWS と、セキュリティ業界標準およびベストプラクティスへの準拠を包括的に把握できます。Security Hub CSPM は、 AWS アカウント、サービス、およびサポートされているサードパーティーパートナー間のセキュリティとコンプライアンスの検出結果を一元化して優先順位付けし、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。詳細については[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)を参照してください。

## AWS Managed Services の Security Hub CSPM に関するよくある質問
<a name="set-sec-hub-faqs"></a>

**Q: AWS Security Hub CSPM AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Security Hub CSPM へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_securityhub_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントで Security Hub CSPM を使用することにはどのような制限がありますか?**

アーカイブ機能は、潜在的なセキュリティおよび運用上のリスクとして認識されており、自己プロビジョニングサービスセキュリティロールの一部として制限されています。

**Q: AMS アカウント AWS Security Hub CSPM で を使用するための前提条件または依存関係は何ですか?**

AMS アカウント AWS Security Hub CSPM で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Service Catalog AppRegistry でプロビジョニングする
<a name="service-catalog-appregistry"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AppRegistry 機能に直接アクセスします。AppRegistry を使用すると、アプリケーションの検索、レポート、管理アクションを一元的に実行できます。ビルダーが 1 つの AWS アカウントでアプリケーションを作成することはめったにありません。通常、アプリケーションリソースは、開発、テスト、本番稼働などのライフサイクルフェーズごとに分離されます。AppRegistry を使用すると、定義した AWS アカウント全体ですべてのリソースコレクションをグループ化して表示できます。

AppRegistry を使用すると、 AWS アプリケーション、アプリケーションに関連付けられているリソースのコレクション、およびアプリケーション属性グループを保存できます。詳細については、[AppRegistry とは](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html)」を参照してください。

## よくある質問: AMS AWS Service Catalog AppRegistry 内
<a name="service-catalog-appregistry-faqs"></a>

**Q: AWS Service Catalog AppRegistry AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 (マネージドオートメーション) (ct-3qe6io8t6jtny) 変更タイプで RFC を送信して AppRegistry へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer-appregistry-console-role`。アカウントでプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Service Catalog AppRegistry で を使用することにはどのような制限がありますか?**

`'Name'` タグで AMS 名前空間を使用する場合を除き、AppRegistry サービスへのフルアクセスが提供されます。

**Q: AMS アカウント AWS Service Catalog AppRegistry で を使用するための前提条件または依存関係は何ですか?**

AMS アカウントで AppRegistry を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Shield Advanced でプロビジョニングする
<a name="aws-shield"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Shield Advanced 機能に直接アクセスします。 AWS Shield Advanced は、 で実行されているアプリケーションを保護するマネージド型分散型サービス拒否 (DDoS) 保護サービスです AWS。Shield Advanced は、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和を提供するため、DDoS 保護のメリットを享受するために AWS Support を関与させる必要はありません。Standard AWS Shield と Advanced の 2 つの階層があります。AMS には Shield Advanced が用意されています。詳細については、[「Shield Advanced](https://aws.amazon.com/shield/)」を参照してください。

すべての AWS お客様は AWS Shield Standard、追加料金なしで自動保護を利用できます。 は、ウェブサイトまたはアプリケーションをターゲットとする最も一般的な、頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃に対して AWS Shield Standard 防御します。Amazon CloudFront および Amazon Route 53 AWS Shield Standard で を使用すると、すべての既知のインフラストラクチャ (レイヤー 3 および 4) 攻撃に対する包括的な可用性保護が得られます。

Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront AWS Global Accelerator、Amazon Route 53 リソースで実行されているアプリケーションをターゲットとする攻撃に対する保護レベルを高めるには、 にサブスクライブできます AWS Shield Advanced。

に付属するネットワークおよびトランスポートレイヤーの保護に加えて AWS Shield Standard、 は、大規模で高度な DDoS 攻撃に対する追加の検出と軽減、攻撃に対するほぼリアルタイムの可視性、およびウェブアプリケーションファイアウォールとの統合 AWS Shield Advanced を提供します。 AWS Shield Advanced また AWS WAF、 は AWS Shield 、レスポンスチーム (SRT) への 24 時間 365 日アクセス、および Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (Elastic Load Balancing)、Amazon CloudFront AWS Global Accelerator、および Amazon Route 53 料金の DDoS 関連のスパイクに対する保護も提供します。

## AWS Managed Servicesでの Shield Advanced に関するよくある質問
<a name="aws-shield-faqs"></a>

**Q: AMS アカウントで Shield Advanced へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) 変更タイプで RFC を送信して、Shield Advanced へのアクセスをリクエストします。この RFC は、 `customer_shield_role`および の IAM ロールをアカウントにプロビジョニングします`aws_drt_shield_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

ロールがアカウントにデプロイされたら、 `customer_shield_role` を使用してアカウントの AWS Shield Advanced へのサブスクリプションを確認できます。

**注記**  
の使用には、月額料金と 1 年間のコミットメントがあることに注意してください AWS Shield Advanced。さらに、AMS AWS Shield Advanced で を使用すると、AMS が AWS Shield (SRT) にエスカレートすることを許可します。SRT は、エスカレートされた分散サービス拒否 (DDoS) インシデント中にウェブアプリケーションファイアウォール (AWS WAF) ルールを変更する可能性があります。これらの変更は、AMS と連携して行われます。

**Q: AMS アカウントでの Shield Advanced の使用にはどのような制限がありますか？**

制限ではありませんが、Shield Advanced を使用すると がデプロイされるため`aws_drt_shield_role`、 AWS Shield チーム (SRT) はエスカレーションされた DDoS インシデント中に AMS アカウント内の AWS WAF ルールに緊急変更を加えることができます。これは、DDoS 攻撃の迅速な修復のために AMS によって推奨され、SRT への AMS エスカレーション後に行われます。

**Q: AMS アカウントで Shield Advanced を使用するための前提条件または依存関係は何ですか？**

AMS アカウントで Shield Advanced を使用するための前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Snowball Edge でプロビジョニングする
<a name="snowball"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Snowball Edge 機能に直接アクセスします。Snowball Edge はペタバイト規模のデータ転送ソリューションで、安全なデバイスを使用して大量のデータを AWS クラウドとの間で転送します。Snowball Edge は、高いネットワークコスト、長い転送時間、セキュリティ上の懸念など、大規模なデータ転送に関する一般的な課題に対処します。Snowball Edge を使用して、分析データ、ゲノムデータ、ビデオライブラリ、イメージリポジトリ、バックアップを移行し、データセンターのシャットダウン、テープ交換、またはアプリケーション移行プロジェクトの一部をアーカイブできます。Snowball Edge によるデータ転送はシンプル、高速、より安全であり、高速インターネットによるデータ転送のコストの 5 分の 1 にすぎません。

Snowball Edge では、データを転送するためにコードを記述したり、ハードウェアを購入したりする必要はありません。まず、 AWS マネジメントコンソールを使用して Snowball の[インポートジョブを作成する](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html)と、Snowball デバイスが自動的に配送されます。到着したら、デバイスをローカルネットワークに接続し、Snowball クライアント (「クライアント」) をダウンロードして実行して接続を確立し、クライアントを使用してデバイスに転送するファイルディレクトリを選択します。その後、クライアントはファイルを暗号化し、高速でデバイスに転送します。転送が完了し、デバイスを返却する準備ができると、E Ink 配送ラベルが自動的に更新され、Amazon Simple Notification Service (Amazon SNS)、テキストメッセージ、または コンソールで直接ジョブステータスを追跡できます。詳細については[AWS Snowball Edge](https://aws.amazon.com/snowball/)を参照してください。

## AWS Managed Services の Snowball Edge に関するよくある質問
<a name="set-snowball-faqs"></a>

一般的な質問と回答：

**Q: AWS Snowball Edge AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

AMS での Snowball Edge の実装は、2 ステップのプロセスです。

1. 管理を送信する \$1 その他 \$1 その他 \$1 変更タイプ (ct-1e1xtak34nx76) を作成し、AMS アカウントの Snowball Edge のサービスロールをリクエストします。

1. Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を送信してユーザーアクセスをリクエストします。この RFC は、、`customer_snowball_console_role`、`customer_snowball_export_role`および の IAM ロールをアカウントにプロビジョニングします`customer_snowball_import_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Snowball Edge で を使用することにはどのような制限がありますか？**

の完全な機能は AWS Snowball Edge 、AMS アカウントで使用できます。

**Q: AMS アカウント AWS Snowball Edge で を使用するための前提条件または依存関係は何ですか？**

上記のように、サービスロールアカウントが必要です。

# AMS SSP を使用して AMS アカウント AWS Step Functions でプロビジョニングする
<a name="step"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Step Functions 機能に直接アクセスします。 AWS Step Functions は、ビジュアルワークフローを使用して分散アプリケーションとマイクロサービスのコンポーネントを調整できるウェブサービスです。それぞれ別個の関数 (タスク) を実行する個々のコンポーネントからアプリケーションを構築することで、簡単にアプリケーションをスケールおよび変更できます。Step Functions を使えば、安心してコンポーネントを調整し、アプリケーションの関数を配置できます。Step Functions には、アプリケーションのコンポーネントを一連のステップとして視覚化するためのグラフィカルコンソールが用意されています。各ステップを自動的にトリガーして追跡し、エラーが発生したときに再試行するため、アプリケーションは毎回、想定どおりに順番に実行されます。また、Step Functions では各ステップの状態がログに記録されるため、問題が発生した場合は、問題を簡単に診断およびデバッグできます。詳細については[AWS Step Functions](https://aws.amazon.com/step-functions/)を参照してください。

## AWS Managed Services の Step Functions に関するよくある質問
<a name="set-step-faqs"></a>

よくある質問と回答：

**Q: AWS Step Functions AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を使用して RFC を送信 AWS Step Functions して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_step_functions_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Step Functions で を使用することにはどのような制限がありますか？**

の完全な機能は AWS Step Functions 、AMS アカウントで使用できます。

**Q: AMS アカウント AWS Step Functions で を使用するための前提条件または依存関係は何ですか？**

実行時に、Step Functions で使用されるロールは、ステップ関数で使用されるサービスにアクセスできる必要があります。たとえば、ステップ関数は Lambda 関数に依存することができます。ステップ関数を作成するユーザーは、Lambda 関数を同時に作成している可能性があり、そのサービスへのアクセスもリクエストする必要があります。

# AMS SSP を使用して AMS AWS Systems Manager アカウントに Parameter Store をプロビジョニングする
<a name="sys-man-param-store"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS Systems Manager Parameter Store 機能に直接アクセスします。 AWS Systems Manager Parameter Store は、設定データ管理とシークレット管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、およびライセンスコードなどのデータをパラメータ値として保存することができます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。スケーラビリティ、可用性、耐久性に優れた Parameter Store は AWS クラウドでサポートされています。詳細については、[AWS Systems Manager 「Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)」を参照してください。

**注記**  
ライフサイクル管理を備えた専用シークレットストアが必要な場合は、Parameter Store [AMS SSP を使用して AMS アカウント AWS Secrets Manager でプロビジョニングする](secrets-manager.md)の代わりに を使用します。Secrets Manager は、シークレットを自動的にローテーションできるようにすることで、セキュリティとコンプライアンスの要件を満たすのに役立ちます。Secrets Manager は、Amazon RDS 上の MySQL、PostgreSQL、Amazon Aurora の統合を組み込み、Lambda 関数をカスタマイズすることで他のタイプのシークレットに拡張できます。

## AWS Systems Manager AWS Managed Services のパラメータストアに関するよくある質問
<a name="set-sys-man-param-store-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントの Systems Manager パラメータストアへのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を使用して RFC を送信して、 AWS Systems Manager Parameter Store へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_systemsmanager_parameterstore_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの AWS Systems Manager Parameter Store の使用にはどのような制限がありますか？**

 AWS マネージドキーを使用する必要があります。アクセスはカスタム KMS キーの作成に制限されます。ただし、カスタムキーが必要な場合は、RFC を送信して、Deployment \$1 Advanced Stack Components \$1 KMS Key \$1 Create change type (ct-1d84keiri1jhg) with this IAM role, `customer_systemsmanager_parameterstore_console_role` as the value for the `IAMPrincipalsRequiringDecryptPermissions`および `IAMPrincipalsRequiringEncryptPermissionsPrincipal` parameters を使用してカスタマーマネージドキー (CMK) を作成します。KMS キーを作成したら、それを使用して Secure String を作成できます。

**Q: AMS アカウントで AWS Systems Manager Parameter Store を使用するための前提条件または依存関係は何ですか？**

前提条件はありませんが、SSM パラメータストアは KMS に依存して Secure String を作成するため、パラメータストアに保存されている値を暗号化および復号できます。

# AMS SSP を使用して AMS アカウントに AWS Systems Manager オートメーションをプロビジョニングする
<a name="sys-man-runbook"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS Systems Manager オートメーション機能に直接アクセスします。 AWS Systems Manager Automation は、ランブック、アクション、サービスクォータを使用して、Amazon Elastic Compute Cloud インスタンスおよびその他の AWS リソースの一般的なメンテナンスおよびデプロイタスクを簡素化します。これにより、自動化を大規模に構築、実行、モニタリングできます。Systems Manager Automation は、Systems Manager がマネージドインスタンスで実行するアクションを定義する Systems Manager ドキュメントの一種です。マネージドインスタンス内でコマンドやオートメーションスクリプトを実行するなど、一般的なメンテナンスおよびデプロイタスクを実行するために使用されるランブック。Systems Manager には、Amazon Elastic Compute Cloud タグを使用してインスタンスの大規模なグループをターゲットにするのに役立つ機能と、定義した制限に従って変更をロールアウトするのに役立つ速度制御が含まれています。ランブックは、JavaScript Object Notation (JSON) または YAML を使用して記述されます。ただし、Systems Manager Automation コンソールの [Document Builder (ドキュメントビルダー)] を使用すると、ネイティブの JSON または YAML で作成しなくても、ランブックを作成できます。または、Systems Manager が提供するランブックを、ニーズに合った事前定義されたステップで使用することもできます。詳細については、 AWS Systems Manager ドキュメントの[「ランブックの使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)」を参照してください。

**注記**  
Systems Manager Automation は、ランブックで使用できる 20 のアクションタイプをサポートしていますが、AMS Advanced アカウントで使用するランブックの作成時に使用できるアクションの数は限られています。同様に、Systems Manager が提供するランブックは、限られた数だけ、直接使用することも、独自のランブック内から使用することもできます。詳細については、次の FAQ の制限を参照してください。

## AWS Systems Manager AWS Managed Services での自動化に関するよくある質問
<a name="set-sys-man-runbook-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントの Systems Manager Automation へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を使用して RFC を送信して、 AWS Systems Manager オートメーションへのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_systemsmanager_automation_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウントでの AWS Systems Manager オートメーションの使用にはどのような制限がありますか？**

 マネージドインスタンス内でコマンドやスクリプトを実行するためだけに、自動化のために Systems Manager がサポートするアクションのセットを制限してランブックを作成する必要があります。使用できるアクションと制限の概要は次のとおりです。


**AWS Systems Manager 自動化の制限**  

| アクション | 説明 | 制限 | 
| --- | --- | --- | 
| aws:assertAwsResourceProperty –  |  AWS リソースの状態またはイベントの状態をアサートする | EC2 インスタンスのみ | 
| aws:aws:branch –  | 条件付きオートメーションステップを実行する | 制限なし | 
| aws:createTags –  |  AWS リソースのタグを作成する | 作成した SSM オートメーションランブックのみ  | 
| aws:executeAutomation –  | 別のオートメーションを実行する | 作成したオートメーションランブックのみ  | 
| aws:executeScript –  | スクリプトを実行する | サービスに対して API コールを行わないスクリプトのみ | 
| aws:pause – | オートメーションを一時停止する | 制限なし | 
| aws:runCommand –  | マネージドインスタンスでコマンドを実行する | System Manager が提供するドキュメントのみを使用する - AWS-RunShellScript および AWS-RunPowerShellScript | 
| aws:sleep –  | オートメーションの遅延 | 制限なし | 
| aws:waitForAwsResourceProperty –  |  AWS リソースプロパティを待機する | EC2 インスタンスのみ | 

Systems Manager コンソール内から「Run Command」機能を使用して、Systems Manager が提供するランブック AWS-RunShellScript および AWS-RunPowerShellScript でコマンドまたはスクリプトを直接実行することもできます。これらのランブックをランブック内にネストして、追加の検証前や検証後、または複雑な自動化ロジックに対応することもできます。

ロールは最小特権の原則に従い、マネージドインスタンス内でコマンドやスクリプトを実行することを目的としたランブックの実行の詳細を作成、実行、取得するために必要なアクセス許可のみを提供します。 AWS Systems Manager サービスが提供する他の機能に対するアクセス許可は付与されません。この機能を使用すると自動化ランブックを作成できますが、ランブックの実行を AMS 所有リソースの対象にすることはできません。

**Q: AMS アカウントで AWS Systems Manager オートメーションを使用するための前提条件または依存関係は何ですか？**

前提条件はありませんが、ランブックの作成中は、内部プロセスやコンプライアンスコントロールが準拠していることを確認する必要があります。また、本番稼働用リソースに対してランブックを実行する前に、ランブックを徹底的にテストすることをお勧めします。

**Q: Systems Manager ポリシーを他の IAM ロールにアタッチ`customer_systemsmanager_automation_policy`できますか？**

いいえ。他のセルフプロビジョニング対応サービスとは異なり、このポリシーはプロビジョニングされたデフォルトロール にのみ割り当てることができます`customer_systemsmanager_automation_console_role`。

 他の SSPS ロールのポリシーとは異なり、この SSM SSPS ポリシーは他のカスタム IAM ロールと共有できません。これは、この AMS サービスがマネージドインスタンス内でコマンドまたはオートメーションスクリプトを実行する場合のみであるためです。これらのアクセス許可を他のカスタム IAM ロールにアタッチすることが許可され、他の のサービスに対するアクセス許可がある場合、許可されるアクションの範囲はマネージドサービスにまで及ぶ可能性があり、アカウントのセキュリティ体制が低下する可能性があります。

AMS 技術標準に照らして変更リクエスト (RFCs[「RFC セキュリティレビュー](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html)」を参照してください。

**注記**  
AWS Systems Manager では、 アカウントと共有されているランブックを使用できます。共有ランブックを使用する場合は注意を払い、デューディリジェンスチェックを実行することをお勧めします。ランブックを実行する前に、必ずコンテンツを確認して、それらが実行するコマンド/スクリプトを理解してください。詳細については、[「共有 SSM ドキュメントのベストプラクティス](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html)」を参照してください。

# AMS SSP を使用して AMS アカウント AWS Transfer Family でプロビジョニングする
<a name="transfer-sftp"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS Transfer Family (Transfer Family) 機能に直接アクセスします。 AWS Transfer Family は、セキュアファイル転送プロトコル (SFTP) 経由で Amazon Simple Storage Service (Amazon S3) ストレージとの間でファイルを転送できるフルマネージド AWS サービスです。SFTP は、Secure Shell (SSH) ファイル転送プロトコルとも呼ばれています。SFTP は、金融サービス、医療、広告、リテールなどのさまざまな業界間におけるデータ交換ワークフローに使用されます。

SFTP を使用すると、サーバーインフラストラクチャを実行する AWS ことなく、 AWS の SFTP サーバーにアクセスできます。このサービスを使用して、エンドユーザーのクライアントと設定をそのまま維持 AWS しながら、SFTP ベースのワークフローを に移行できます。まずホスト名を SFTP サーバーエンドポイントに関連付け、ユーザーを追加して適切なレベルのアクセスでプロビジョニングします。これを行うと、ユーザーの転送リクエストは SFTP AWS サーバーエンドポイントから直接処理されます。詳細については、[AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family)「」、[「SFTP 対応サーバーの作成](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html)」を参照してください。

## AWS Transfer for SFTP AWS Managed Servicesに関するよくある質問
<a name="set-transfer-sftp-faqs"></a>

一般的な質問と回答：

**Q: AWS Transfer for SFTP AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を使用して RFC を送信 AWS Transfer for SFTP して、 へのアクセスをリクエストします。この RFC を通じて、次の IAM ロールとポリシーがアカウントにプロビジョニングされます。
+ `customer_transfer_author_role`。 このロールは、 コンソールを使用して SFTP サービスを管理するように設計されています。
+ `customer_transfer_sftp_server_logging_role`。 このロールは、SFTP サーバーにアタッチされるように設計されています。これにより、SFTP サーバーは CloudWatch にログをプルできます。
+ `customer_transfer_sftp_user_role`。 このロールは、SFTP ユーザーにアタッチされるように設計されています。これにより、SFTP ユーザーは S3 バケットとやり取りできます。
+ `policy customer_transfer_scope_down_policy`。 このポリシーは、SFTP ユーザーに適用して、S3 バケットへのアクセスをホームフォルダに制限できるスコープダウンポリシーです。
+ `customer_transfer_sftp_efs_user_role`。 このロールは、SFTP ユーザーにアタッチされるように設計されています。これにより、SFTP ユーザーは EFS ファイルシステムとやり取りできます。

アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Transfer for SFTP で を使用することにはどのような制限がありますか？**

AWS SFTP 設定の転送は、AMS インフラストラクチャへの変更を防ぐために、「AMS-」または「MC-」プレフィックスのないリソースに制限されます。

**Q: AMS アカウント AWS Transfer for SFTP で を使用するための前提条件または依存関係は何ですか？**
+  AWS Transfer for SFTP サーバーとユーザーを作成する前に、キーワード「転送」を含む名前の Amazon S3 バケットが必要です。
+ 「顧客識別プロバイダー」を使用するには、API Gateway、Lambda 関数、ユーザーリポジトリ (AD、Secrets Manager など) をデプロイする必要があります。詳細については、「ID [ プロバイダー AWS Transfer for SFTP の使用と操作のパスワード認証 AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/)を有効にする」を参照してください。 [https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html)

# AMS SSP を使用して AMS アカウント AWS Transit Gateway でプロビジョニングする
<a name="transit-gateway"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Transit Gateway 機能に直接アクセスします。 AWS Transit Gateway は、Amazon Virtual Private Cloud (VPCs) とオンプレミスネットワークを単一のゲートウェイに接続できるサービスです。で実行されているワークロードの数が増えるにつれて AWS、増加に対応するために、複数のアカウントと Amazon VPCs にまたがってネットワークをスケールできる必要があります。現在、ピアリングを使用して Amazon VPCsのペアを接続できます。ただし、接続ポリシーを一元管理することなく、多くの Amazon VPCs point-to-point接続を管理することは、運用コストが高く、面倒な作業になる可能性があります。オンプレミス接続の場合は、 AWS VPN を個々の Amazon VPC にアタッチする必要があります。このソリューションでは、構築に時間がかかり、VPCs 数が数百に増加すると管理が困難になる場合があります。詳細については[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)を参照してください。

## AWS Transit Gateway AWS Managed Servicesに関するよくある質問
<a name="set-transit-gateway-faqs"></a>

一般的な質問と回答：

**Q: AWS Transit Gateway AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) を使用して RFC を送信 AWS Transit Gateway して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_tgw_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Transit Gateway で を使用することにはどのような制限がありますか？**

のフル機能は AWS Transit Gateway 、Transit Gateway ルーティングのルートテーブルの変更を除き、AMS シングルアカウントランディングゾーンアカウントで使用できます。管理 \$1 その他 \$1 その他 \$1 変更タイプの作成 (ct-1e1xtak34nx76) を送信してルートテーブルの変更をリクエストします。

**注記**  
このサービスは、マルチアカウントランディングゾーン (MALZ) ではなく、シングルアカウントランディングゾーン (SALZ) でのみサポートされています。

**Q: AMS アカウント AWS Transit Gateway で を使用するための前提条件または依存関係は何ですか？**

AMS アカウント AWS Transit Gateway で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウントで AWS WAF ウェブアプリケーションファイアウォールをプロビジョニングする
<a name="set-waf"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS WAF 機能に直接アクセスします。 AWS WAF は、アプリケーションの可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする一般的なウェブエクスプロイトからウェブアプリケーションを保護するウェブアプリケーションファイアウォール (AWS WAF) AWS WAF です。 は、カスタマイズ可能なウェブセキュリティルールを定義することで、ウェブアプリケーションに対して許可またはブロックするトラフィックを制御します。を使用して AWS WAF 、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするカスタムルールと、特定のアプリケーション用に設計されたルールを作成できます。

詳細については、「 [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/)」を参照してください。

AMS は、 のモニタリング (CloudWatch アラーム/イベント/MMS アラート) をサポートしていません AWS WAF。の性質上 AWS WAF、アプリケーションのカスタムルールを作成する必要があります。AMS はアプリケーションのコンテキストなしではアラームを定量化および作成できません。詳細については、「 [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/)」を参照してください。

## AWS WAF AWS Managed Servicesに関するよくある質問
<a name="set-waf-faqs"></a>

よくある質問と回答：

**Q: AMS アカウントでの設定 AWS WAF をリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプを追加 (ct-1w8z66n899dct) で RFC を送信 AWS WAF して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_waf_role`。アカウントに IAM AWS WAF ロールがプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: の使用にはどのような制限がありますか AWS WAF？**

アクセス許可がプロビジョニングされたら、 のすべての機能を使用できます AWS WAF。

**Q: を使用するための前提条件または依存関係は何ですか AWS WAF？**

AMS アカウント AWS WAF で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS Well-Architected Tool でプロビジョニングする
<a name="well-arch"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Well-Architected Tool 機能に直接アクセスします。 AWS Well-Architected Tool は、ワークロードの状態を確認し、最新の AWS アーキテクチャのベストプラクティスと比較するのに役立ちます。このツールは、クラウドアーキテクトが安全で高性能、回復力があり、効率的なアプリケーションインフラストラクチャを構築できるように開発された [AWS Well-Architected フレームワーク](https://aws.amazon.com/architecture/well-architected/)に基づいています。このフレームワークは、アーキテクチャを評価するための一貫したアプローチを提供し、ソリューションアーキテクチャチームによって AWS 数万件のワークロードレビューに使用され、時間の経過とともにアプリケーションのニーズに合わせてスケールする設計を実装するためのガイダンスを提供します。詳細については[AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)を参照してください。

## AWS WA Tool AWS Managed Servicesに関するよくある質問
<a name="set-well-arch-faqs"></a>

一般的な質問と回答：

**Q: AWS Well-Architected Tool AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 変更タイプを追加 (ct-1w8z66n899dct) で RFC を送信 AWS Well-Architected Tool して、 へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_well_architected_tool_console_admin_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

**Q: AMS アカウント AWS Well-Architected Tool で を使用することにはどのような制限がありますか？**

の完全な機能は AWS Well-Architected Tool 、AMS アカウントで使用できます。

**Q: AMS アカウント AWS Well-Architected Tool で を使用するための前提条件または依存関係は何ですか？**

AMS アカウント AWS Well-Architected Tool で使用する前提条件や依存関係はありません。

# AMS SSP を使用して AMS アカウント AWS X-Ray でプロビジョニングする
<a name="comp-xray"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS X-Ray (X-Ray) 機能に直接アクセスします。開発者 AWS X-Ray は、マイクロサービスアーキテクチャを使用して構築されたアプリケーションなど、本番稼働用の分散アプリケーションを分析およびデバッグできます。X-Ray を使用すると、アプリケーションとその基盤となるサービスのパフォーマンスを理解し、パフォーマンスの問題やエラーの根本原因を特定してトラブルシューティングできます。X-Ray は、アプリケーションを通過するリクエストのend-to-endビューを提供し、アプリケーションの基礎となるコンポーネントのマップを表示します。X-Ray を使用して、シンプルな 3 層アプリケーションから何千ものサービスで構成される複雑なマイクロサービスアプリケーションまで、開発中と本番環境の両方のアプリケーションを分析できます。詳細については[AWS X-Ray](https://aws.amazon.com/xray/)を参照してください。

## AWS Managed Servicesでの X-Ray に関するよくある質問
<a name="xray-faqs"></a>

一般的な質問と回答：

**Q: AWS X-Ray AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を送信してアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: `customer_xray_console_role`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。さらに、Amazon EC2 インスタンスから X-Ray にデータをプッシュ`customer_xray_daemon_write_instance_profile`するには、 が必要です。このインスタンスプロファイルは、 を受け取ると作成されます`customer_xray_console_role`。

AMS Operations にサービスリクエストを送信して、 `customer_xray_daemon_write_policy`を既存のインスタンスプロファイルに割り当てることも、AMS Operations が X-Ray を有効にしたときに作成されるインスタンスプロファイルを使用することもできます。

**Q: AMS アカウント AWS X-Ray で を使用することにはどのような制限がありますか？**

のフル機能は、KMS キー ( AWS KMS キー) による暗号化を除き、AMS アカウントで使用できます。 AWS X-Ray はデフォルトですべてのトレースデータを AWS X-Ray 暗号化します。デフォルトでは、X-Ray はトレースおよび保管中の関連データを暗号化します。保管中のデータをキーで暗号化する必要がある場合は、 AWSマネージド KMS キー (aws/xray) または KMS カスタマーマネージドキーを選択できます。X-Ray 暗号化用の KMS カスタマーマネージドキーの場合は、管理 \$1 その他 \$1 その他 \$1 変更タイプの作成 (ct-1e1xtak34nx76) を送信します。

**Q: AMS アカウント AWS X-Ray で を使用するための前提条件または依存関係は何ですか？**

AWS X-Ray は、AMS アカウントに既に実装されている Amazon S3、CloudWatch、CloudWatch Logs に依存しています。推移的な依存関係は、 機能がやり取り AWS X-Ray しているデータソースやその他の AWS サービス (Amazon Redshift、Amazon RDS、Athena など) によって異なります。

# AMS SSP を使用して AMS アカウントで VM Import/Export をプロビジョニングする
<a name="vm-im-ex"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで VM Import/Export 機能に直接アクセスします。VM Import/Export を使用すると、既存の環境から Amazon EC2 インスタンスに仮想マシンイメージを簡単にインポートし、オンプレミス環境にエクスポートし直すことができます。この機能により、IT セキュリティ、設定管理、コンプライアンス要件を満たすために構築した仮想マシンへの既存の投資を活用できます。これらの仮想マシンをready-to-useインスタンスとして Amazon EC2 に取り込むことができます。インポートしたインスタンスをオンプレミスの仮想化インフラストラクチャにエクスポートして、IT インフラストラクチャ全体にワークロードをデプロイすることもできます。詳細については、[「VM Import/Export](https://aws.amazon.com/ec2/vm-import/)」を参照してください。

## AWS Managed Services での VM Import/Export に関するよくある質問
<a name="set-vm-im-ex-faqs"></a>

一般的な質問と回答：

**Q: AMS アカウントの VM Import/Export へのアクセスをリクエストするにはどうすればよいですか？**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct) で RFC を送信して VM Import/Export へのアクセスをリクエストします。この RFC は、アカウントに次の IAM ポリシーをプロビジョニングします: `customer_vmimport_policy`。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

サービスがアカウントでアクションを実行するには、VM **Import/Export サービス**ロールという追加のロールが必要です。

**Q: AMS アカウントでの VM Import/Export の使用にはどのような制限がありますか？**
+ カスタムマシンイメージとデータボリュームをインポートする機能は、どちらも AMS VM Import/Export で使用できます。ただし、S3 へのアクセス許可は、アカウント内の情報へのアクセスを制限`customer-vmimport-*`するために、名前に一致するバケットにアクションを制限するようにスコープダウンされています。
+ イメージとスナップショットのインポートは、AMS VM Import/Export でサポートされています。ただし、セキュリティ対策のため、インスタンスのインポートおよびインスタンスのエクスポート機能は利用できません。
+ さらに、制限されたデータや機密データをエクスポートするリスクを軽減するために、エクスポート機能が無効になっています。

**Q: AMS アカウントで VM Import/Export を使用するための前提条件または依存関係は何ですか？**
+  AWS 環境にインポートするには、サポートされているディスクイメージを指定する必要があります。詳細については、[「VM Import/Export Requirements](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html)」を参照してください。
+ VM Import/Export には AWS コンソールからアクセスできません。このサービスには AWS CLI、 AWS Tools for PowerShell、、または AWS SDKs からアクセスする必要があります。または、変更タイプ ct-117rmp64d5mvb: Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create EC2 instance profile を送信して、インスタンスプロファイルをリクエストすることもできます。このインスタンスプロファイルにより、ツールはインスタンスからコマンドを実行できます。

# カスタマーマネージドモード
<a name="ams-modes-customer-section"></a>

AWS Managed Services (AMS) カスタマーマネージドモードは、柔軟で要件に適応できるガバナンスモデルを提供します。これは、AMS が動作できないサービスやアプリケーションのフォールバックオプションと考えることができます。AMS は、このモードで作成されたアカウントでホストされるインフラストラクチャを運用しません。ただし、このモードでは、一元化されたマルチアカウント管理を活用できます。このモードでは、次のマルチアカウントランディングゾーン機能を活用できます。
+ 自動アカウントデプロイ
+ ネットワークアカウントの Transit Gateway を介した接続
+ AMS Config ルールライブラリ
+ ログ記録アカウントにログのコピーを保存する
+ セキュリティアカウントへのカスタマーマネージド Guard Duty アラートの集約
+ 一括請求
+ カスタムサービスコントロールポリシーの有効化。

例: AMS によって管理されるオペレーティングシステムではない Ubuntu Pro でワークロードを実行する場合は、カスタマーマネージドアカウントを使用してワークロードをホストできます。また、カスタマーマネージドアカウントを通じてワークロードを統合し、AWS 組織全体での共有を通じて利用可能なリザーブドインスタンス/共有プランの一括割引を利用することもできます。

# カスタマーマネージドモードの開始方法
<a name="cust-man-mode-get-start"></a>

AMS カスタマーマネージドモードは、特別なマルチアカウントランディングゾーンアプリケーションアカウントを通じて使用できます。

カスタマーマネージドアプリケーションアカウントの作成方法などの詳細については、[「カスタマーマネージドアプリケーションアカウント](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html)」を参照してください。

# AMS と AWS Service Catalog
<a name="ams-service-catalog-section"></a>

AWS Managed Services (AMS) のサービスカタログを使用すると、組織は AWS 情報テクノロジー (IT) サービスのカタログを作成および管理でき、IT 管理者は承認された製品のカタログを作成、管理、およびアカウントのエンドユーザーに配布できます。エンドユーザーは、パーソナライズされたサービスポータルで必要な製品にアクセスできます。管理者は、どのユーザーが各製品にアクセスできるかを制御して、組織のビジネスポリシーへの準拠を強制できます。管理者は、承認されたリソースをデプロイするためにエンドユーザーが Service Catalog への IAM アクセスのみを必要とするようにロールを設定することもできます。Service Catalog を使用すると、エンドユーザーは管理するカタログから必要な製品のみを見つけて起動できるため、組織は俊敏性とコスト削減の恩恵を受けることができます。

Service Catalog では、AMS マネージドアカウント (複数可) でリソースをプロビジョニングおよび更新するための AMS 変更リクエスト (RFC) プロセスの代わりに使用できます。AMS は、セキュリティ、コンプライアンス、プロビジョニング、可用性、パッチ、モニタリング、アラート、レポート、インシデント対応、コスト最適化など、Service Catalog を通じてプロビジョニングされたすべてのインフラストラクチャリソースに対して AWS を大規模に実行するために必要なすべてのインフラストラクチャオペレーションタスクを管理します。AMS マネージドアカウントで Service Catalog を使用すると、一般的にデプロイされる IT サービスを一元管理するためのメカニズムが提供され、ユーザーが必要とする承認済みの IT サービスのみをマネージド環境にすばやくデプロイしながら、一貫したガバナンスを実現できます。

# Service Catalog の開始方法
<a name="serv-cat-get-start"></a>

AMS で Service Catalog の使用を開始するには、AMS コンソールからサービスリクエストを送信して、Service Catalog へのアクセスをリクエストします。リクエストを送信すると、3 つの IAM ロールがアカウント (複数可) にデプロイされ、AMS (前`Transform`述) を呼び出す CloudFormation マクロを含む AMS マネージドスタックとともにデプロイされます。これにより、システムに製品を登録し、Service Catalog を介してプロビジョニングされたインフラストラクチャに対してオペレーションを実行できます。デプロイされた 3 つの IAM ロールには、IT 管理者が Service Catalog 管理者として製品を管理するためのロール、アプリケーション所有者とエンドユーザーが製品を設定、起動、管理するためのロール、および製品の起動または更新時に Service Catalog が使用するアクセス許可を定義する起動制約として使用されるロールが含まれます。

# 開始する前に AMS の Service Catalog
<a name="ams-service-catalog-section-faq"></a>

**Service Catalog は、既存の AMS 変更リクエスト (RFC) プロセスを置き換えますか？**  
Service Catalog が有効になっているアカウントでは、事前定義された製品カタログを使用して AMS アカウントで IT サービスをプロビジョニングおよび更新する変更管理システムとして機能します。AMS はデフォルトのポートフォリオ/製品カタログを提供し、IT 管理者は独自の を作成および設定できます。Service Catalog は、Service Catalog を介してプロビジョニングされたスタックのみを承認します。同様に、Service Catalog を介してプロビジョニングされたサービスは AMS RFC プロセスを通じて変更できません。Service Catalog の外部で変更すると、承認された製品設定からスタックがドリフトするためです。

**AMS コンソールでサービスカタログを通じてプロビジョニングされたスタックを確認できますか？**  
はい。AMS コンソールで、サービスカタログを通じてプロビジョニングされたすべてのスタックを表示できます。サービスカタログを介してプロビジョニングされたスタックは、スタック ID 「SC-」によって簡単に識別できます。スタックは AMS コンソールで表示できますが、AMS RFC プロセスを通じて更新することはできません。AMS 変更管理システム (RFCs) へのアクセスは、アクセスリクエスト、パッチオーケストレーション、バックアップ RFCs。

**Service Catalog を使用してスタックをプロビジョニングまたは更新する場合、対応する RFC が AMS コンソールにありますか？**  
AMS コンソールに表示される唯一の RFC は、スタックが最初にプロビジョニングされたときにスタックを AMS に登録する RFC です。この RFC は、Service Catalog を介してスタックが起動されたときにトリガーされる AMS 検証プロセスによって自動的にファイルされます。その他のプロビジョニングと変更は Service Catalog で直接追跡され、Service Catalog コンソールで表示できます。さらに、Service Catalog の**プロビジョニング済み製品プラン**機能を使用して、製品のプロビジョニングまたは更新の前にリソースに加えられる変更のリストを表示できます。

**AMS マネージドアカウントで製品をプロビジョニングするために、特定の操作を行う必要がありますか？**  
はい。AMS アカウントでプロビジョニングされるすべての Service Catalog 製品には、その製品を定義する CFN テンプレートにこの JSON 行が含まれている必要があります。  

```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
この CloudFormation コードスニペットは、リソースを AMS マネージドアカウントでプロビジョニングするために必要な AMS 検証をトリガーします。このコード行を製品定義の一部として含めるのはお客様の責任です。含まれていない場合、プロビジョニングは失敗し、「製品の作成に失敗しました」というエラーメッセージが表示されます。このアカウントは AMS によって管理されます。AMS アカウントのすべての製品には、テンプレートに AMS `Transform`コードが必要です。」

**起動時に AMS のお客様に利用できない、または制限されている Service Catalog 機能はありますか？**  
はい。AMS のお客様は、初回起動時に以下の SC 機能を使用できません。  
+ Service Catalog によるアカウントの作成
+ Service Catalog を介してすべての AWS サービスを AMS マネージドアカウントで起動する機能。AWS サービスの可用性は、AMS がサポートするサービス (マネージド型およびセルフプロビジョニング型) に限定されます。AMS がサポートするサービスの詳細については、AMS サービスの説明を参照してください。
+ Service Catalog IT サービスマネージャー (ITSM) コネクタは、AMS インシデントレポートやサービスリクエストと通信しません。
+ Service Catalog のクイックスタートとリファレンスアーキテクチャを、変更なしで活用する機能。AMS アカウントの Service Catalog 製品には、次の JSON コード行が含まれている必要があることに注意してください。

  ```
  "Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
  ```

  CNF テンプレートの 。この行は一般的な AWS CloudFormation テンプレートの一部*ではなく*、明示的に追加する必要があることに注意してください。
+ Terraform は現在、Service Catalog 製品のプロビジョニングのために AMS でサポートされていません。
+ AWS CFN スタックセットは AMS ではサポートされていません。
+ カスタム IAM ロールを作成することはできません。
+ サービスアクションは以下に限定されます。
  + [ AWS-RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
  + [ AWS-RestartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
  + [ AWS-StartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
  + [ AWS-StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
  + [ AWS-StopEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
  + [ AWS-StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
  + [ AWS-CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
  + [ AWS-CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
  + [ AWS-CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**注記**  
サービスアクションを作成するときは、実行ロールをエンドユーザーのアクセス許可、起動ロール、または選択したカスタム IAM ロールに設定できます。選択した実行ロールには、サービスアクションを実行するための十分なアクセス許可が必要であり、Service Catalog による引き受けを許可する TrustPolicy が必要です。そうしないと、サービスアクションは実行時に失敗します。サービスアクションとして使用する正しいアクセス許可と信頼ポリシーを持つ AWSManagedServicesServiceCatalogLaunchRole を使用することをお勧めします。

**AMS RFC システムの使用にはまだ何が必要ですか？**  
一般提供 (GA) では、RFCS を使用して以下のアクションを実行する必要があります。  
+ パッチオーケストレーターの設定
+ バックアップポリシーの設定
+ インスタンスアクセスのリクエスト
+ AMS ガイドラインの範囲外のセキュリティグループを作成して割り当てる。
+ ワークロード取り込みの実行 (WIGS)
+ 「IAM ロールの作成」

**Service Catalog CLI を使用して AMS マネージドアカウントの Service Catalog にアクセスすることはできますか？**  
はい。Service Catalog APIsは CLI で使用および有効化できます。Service Catalog アーティファクトの管理から、それらのアーティファクトのプロビジョニングと終了までのアクションを使用できます。詳細については、[AWS Service Catalog リソース](https://aws.amazon.com/servicecatalog/resources/)」を参照するか、最新の AWS SDK または CLI をダウンロードしてください。

**顧客の承認済み製品のカタログを作成、管理、配布するのは誰ですか？**  
お客様のカタログ管理者および/または IT 管理者、または割り当てられたリソースは、Service Catalog カタログおよび承認済み製品の管理を担当します。

**AMS AMIs?**  
2020 年 3 月以降に販売された AMS AMIs は、AWS Service Catalog を通じてデプロイできます。

**Service Catalog を使用して AMS に移行するにはどうすればよいですか？**  
Service Catalog を使用してワークロードを AMS に移行するには、まず[ワークロード取り込み](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) (WIGs) プロセスに従って AMS に AMI を作成します。WIGS によって生成された AMI を使用して、Service Catalog で製品を作成します。これを行う方法については、[AWS Service Catalog - 開始方法](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html)を参照してください。