翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AMS がアカウントにアクセスする理由とタイミング AWS Managed Services (AMS) は AWS インフラストラクチャを管理し、特定の理由で AMS オペレーターと管理者がアカウントにアクセスすることがあります。これらのアクセスイベントは、 AWS CloudTrail (CloudTrail) ログに記録されます。 AMS がアカウントにアクセスする理由、タイミング、および方法については、以下のトピックで説明します。 ## AMS カスタマーアカウントアクセストリガー AMS カスタマーアカウントアクセスアクティビティは、トリガーによって駆動されます。今日のトリガーは、Amazon CloudWatch (CloudWatch) アラームとイベントに応答して問題管理システムで作成された AWS チケット、および送信したインシデントレポートまたはサービスリクエストです。アクセスごとに複数のサービス呼び出しとホストレベルのアクティビティが実行される場合があります。 アクセスの根拠、トリガー、トリガーのイニシエータを次の表に示します。 **アクセストリガー**
アクセスイニシエータTrigger トリガー)
パッチ適用AMSパッチの問題
インフラストラクチャのデプロイAMSデプロイの問題
内部問題調査AMS問題 (システムとして特定された問題)
アラートの調査と修復AMSAWS Systems Manager 運用作業項目 (SSM OpsItems)
手動 RFC 実行YouRequest for Change (RFC) の問題。(自動化されていない RFCsリソースへの AMS アクセスが必要になる場合があります)
インシデントの調査と修復Youインバウンドサポートケース (送信したインシデントまたはサービスリクエスト)
インバウンドサービスリクエストのフルフィルメントYou
## AMS カスタマーアカウントアクセス IAM ロール トリガーされると、AMS は AWS Identity and Access Management (IAM) ロールを使用してカスタマーアカウントにアクセスします。アカウントのすべてのアクティビティと同様に、ロールとその使用状況は CloudTrail に記録されます。 **重要** これらのロールを変更または削除しないでください。 **カスタマーアカウントへの AMS アクセスの IAM ロール**
ロール名アカウントタイプ (SALZ、MALZ 管理、MALZ アプリケーションなど)説明
ams-service-adminSALZ、MALZAMS サービスの自動化アクセスと、パッチ、バックアップ、自動修復などの自動インフラストラクチャデプロイ。
ams-application-infra-read-onlySALZ、MALZ アプリケーション、MALZ Tools-Applicationオペレーターの読み取り専用アクセス
ams-application-infra-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-application-infra-adminAD 管理者アクセス
ams-primary-read-onlyMALZ 管理オペレーターの読み取り専用アクセス
ams-primary-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-primary-adminAD 管理者アクセス
ams-logging-read-onlyMALZ ログ記録オペレーターの読み取り専用アクセス
ams-logging-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-logging-adminAD 管理者アクセス
ams-networking-read-onlyMALZ ネットワーキングオペレーターの読み取り専用アクセス
ams-networking-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-networking-adminAD 管理者アクセス
ams-shared-services-read-onlyMALZ 共有サービスオペレーターの読み取り専用アクセス
ams-shared-services-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-shared-services-adminAD 管理者アクセス
ams-security-read-onlyMALZ セキュリティオペレーターの読み取り専用アクセス
ams-security-operationsインシデント/サービスリクエストのオペレーターアクセス
ams-security-adminAD 管理者アクセス
ams-access-security-analystSALZ、MALZ アプリケーション、MALZ Tools-Application、MALZ CoreAMS セキュリティアクセス
ams-access-security-analyst-read-onlyAMS セキュリティ、読み取り専用アクセス
Sentinel\_AdminUser\_Role\_PXHazRQadu0PVcCDcMbHESALZ[BreakGlassRole]breakGlassするために使用します
Sentinel\_PowerUser\_Role\_wZuPuS0ROOl0IazDbRI9SALZ、MALZRFC 実行のためのユーザーアカウントへのパワーユーザーアクセス
Sentinel\_ReadOnlyUser\_Role\_Pd4L6Rw9RD0lnLkD5JOoRFC 実行のためのカスタマーアカウントへのReadOnlyアクセス
ams\_admin\_roleRFC 実行のためのカスタマーアカウントへの管理者アクセス
AWSManagedServices\_Provisioning\_CustomerStacksRoleCloudFormation Ingest を通じて顧客に代わって CFN スタックを起動および更新するために使用されます
customer\_ssm\_automation\_roleランブック実行のために CT 実行によって SSM Automation に渡されるロール
ams\_ssm\_automation\_roleSALZ、MALZ アプリケーション、MALZ Coreランブック実行のために AMS サービスによって SSM Automation に渡されるロール
ams\_ssm\_iam\_deployment\_roleMALZ アプリケーションIAM カタログで使用されるロール
ams\_ssm\_shared\_svcs\_intermediary\_roleMALZ 共有サービス共有サービスアカウントで特定の SSM ドキュメントを実行するためにアプリケーション ams\_ssm\_automation\_role で使用されるロール
AmsOpsCenterRoleSALZ、MALZカスタマーアカウントで OpsItems を作成および更新するために使用されます
AMSOpsItemAutoExecutionRoleSSM ドキュメントの取得、リソースタグの説明、OpsItems の更新、自動化の開始に使用されます。
customer-mc-ec2-instance-profileデフォルトのカスタマー EC2 インスタンスプロファイル (ロール)
## インスタンスアクセスのリクエスト リソースにアクセスするには、まずそのアクセスの変更リクエスト (RFC) を送信する必要があります。リクエストできるアクセスには、admin (読み取り/書き込みアクセス許可) と読み取り専用 (標準ユーザーアクセス) の 2 種類があります。デフォルトでは、アクセスは 8 時間続きます。この情報は必須です。 + アクセスするインスタンスのスタック ID、またはスタック IDs のセット。 + AMS 信頼ドメインの完全修飾ドメイン名。 + アクセスを希望するユーザーの Active Directory ユーザー名。 + アクセスするスタックがある VPC の ID。 アクセス権限が付与されたら、必要に応じてリクエストを更新できます。 アクセスをリクエストする方法の例については、[「スタック管理者アクセス \| 許可](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html)」または[「スタック読み取り専用アクセス \| 許可](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html)」を参照してください。