AMS の IAM ユーザーロール - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS の IAM ユーザーロール

IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。

現在、標準 AMS アカウントCustomer_ReadOnly_Roleには 1 つの AMS デフォルトユーザーロール があり、マネージド Active Directory を持つ AMS アカウントcustomer_managed_ad_user_roleには追加のロールがあります。

ロールポリシーは、CloudWatch および Amazon S3 ログアクション、AMS コンソールアクセス、ほとんどの に対する読み取り専用制限 AWS のサービス、アカウント S3 コンソールへのアクセス制限、AMS 変更タイプアクセスのアクセス許可を設定します。

さらに、 Customer_ReadOnly_Roleには、インスタンスを予約できる可変リザーブドインスタンスのアクセス許可があります。これにはいくつかのコスト削減値があるため、長期間一定数の Amazon EC2 インスタンスが必要になることがわかっている場合は、これらの APIs呼び出すことができます。詳細については、Amazon EC2 リザーブドインスタンス」を参照してください。

注記

IAM ユーザーのカスタム IAM ポリシーを作成するための AMS サービスレベル目標 (SLO) は、既存のポリシーが再利用されない限り、4 営業日です。既存の IAM ユーザーロールを変更する場合、または新しいロールを追加する場合は、IAM: エンティティの更新または IAM: エンティティ RFC の作成をそれぞれ送信します。

Amazon IAM ロールに慣れていない場合は、「IAM ロール」で重要な情報を確認してください。

マルチアカウントランディングゾーン (MALZ): AMS マルチアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、MALZ: デフォルトの IAM ユーザーロール次の「」を参照してください。

MALZ: デフォルトの IAM ユーザーロール

デフォルトのマルチアカウント AMS マルチアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。

注記

ユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。

これらは、デフォルトの MALZ ユーザーロールの例です。必要なポリシーが設定されていることを確認するには、AWS コマンドを実行するget-roleか、AWS Management -> IAM コンソールにサインインし、ナビゲーションペインでロールを選択します。

コア OU アカウントロール

コアアカウントは、MALZ が管理するインフラストラクチャアカウントです。AMS マルチアカウントランディングゾーン Core アカウントには、管理アカウントとネットワークアカウントが含まれます。

Core OU アカウント: 一般的なロールとポリシー
ロール ポリシー

AWSManagedServicesReadOnlyRole

ReadOnlyAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesChangeManagementRole (コアアカウントバージョン)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

Core OU アカウント: 管理アカウントのロールとポリシー
ロール ポリシー

AWSManagedServicesBillingRole

AMSBillingPolicy (AMSBillingPolicy)。

AWSManagedServicesReadOnlyRole

ReadOnlyAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesChangeManagementRole (管理アカウントバージョン)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Core OU アカウント: ネットワークアカウントのロールとポリシー
ロール ポリシー

AWSManagedServicesReadOnlyRole

ReadOnlyAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesChangeManagementRole (ネットワークアカウントバージョン)

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

アプリケーションアカウントロール

アプリケーションアカウントロールは、アプリケーション固有のアカウントに適用されます。

アプリケーションアカウント: ロールとポリシー
ロール ポリシー

AWSManagedServicesReadOnlyRole

ReadOnlyAccess (パブリック AWS 管理ポリシー)。

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccess (パブリック AWS 管理ポリシー)。

このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。詳細については、「AWS サポートの開始方法」を参照してください。

AWSManagedServicesSecurityOpsRole

ReadOnlyAccess

AWSSupportAccess の例

このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。

AWSCertificateManagerFullAccess information、 (パブリック AWS 管理ポリシー)

AWSWAFFullAccess information、 (パブリック AWS 管理ポリシー)。このポリシーは、AWS WAF リソースへのフルアクセスを許可します。

AMSSecretsManagerSharedPolicy

AWSManagedServicesChangeManagementRole (アプリケーションアカウントバージョン)

ReadOnlyAccess

AWSSupportAccess (パブリック AWS 管理ポリシー)。

このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。詳細については、「AWS サポートの開始方法」を参照してください。

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AMSReservedInstancesPolicy

AMSS3Policy

AWSManagedServicesAdminRole

ReadOnlyAccess

AWSSupportAccess

AMSChangeManagementInfrastructurePolicy

AWSMarketplaceManageSubscriptions

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AWSCertificateManagerFullAccess

AWSWAFFullAccess

AMSS3Policy

AMSReservedInstancesPolicy

ポリシーの例

使用するほとんどのポリシーの例を示します。ReadOnlyAccess ポリシー (すべての AWS サービスへの読み取り専用アクセスを提供するページ) を表示するには、アクティブな AWS アカウント: ReadOnlyAccess がある場合、このリンクを使用できます。また、要約バージョンがここに含まれています。

AMSBillingPolicy

AMSBillingPolicy

新しい請求ロールは、経理部門が管理アカウントの請求情報またはアカウント設定を表示および変更するために使用できます。代替連絡先などの情報にアクセスしたり、アカウントリソースの使用状況を表示したり、請求のタブを保持したり、支払い方法を変更したりするには、このロールを使用します。この新しいロールは、AWS Billing IAM アクションのウェブページに記載されているすべてのアクセス許可で構成されます。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToBilling" }, { "Action": [ "aws-portal:ViewAccount", "aws-portal:ModifyAccount" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToAccountSettings" }, { "Action": [ "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToAccountBudget" }, { "Action": [ "aws-portal:ViewPaymentMethods", "aws-portal:ModifyPaymentMethods" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPaymentMethods" }, { "Action": [ "aws-portal:ViewUsage" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToUsage" }, { "Action": [ "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToCostAndUsageReport" }, { "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPricing" }, { "Action": [ "ce:*", "compute-optimizer:*" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToCostExplorerComputeOptimizer" }, { "Action": [ "purchase-orders:ViewPurchaseOrders", "purchase-orders:ModifyPurchaseOrders" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPurchaseOrders" }, { "Action": [ "redshift:AcceptReservedNodeExchange", "redshift:PurchaseReservedNodeOffering" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToRedshiftAction" }, { "Action": "savingsplans:*", "Resource": "*", "Effect": "Allow", "Sid": "AWSSavingsPlansFullAccess" } ] }

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

すべての AMS 変更タイプと、リクエストされた変更タイプの履歴を表示するアクセス許可。

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

デプロイをリクエストするアクセス許可 | マネージドランディングゾーン | 管理アカウント | アプリケーションアカウントを作成する (VPC を使用) 変更タイプ。

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

デプロイをリクエストするアクセス許可 | マネージドランディングゾーン | ネットワークアカウント | アプリケーションルートテーブルの変更タイプを作成します。

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy (管理用 | その他 | その他 CTs)

管理をリクエストするアクセス許可 | その他 | その他 | 作成、管理 | その他 | その他 | 変更タイプを更新する。

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

を通じて AMS によって共有されているシークレットパスワード/ハッシュを表示するアクセス許可 AWS Secrets Manager (監査用のインフラストラクチャへのパスワードなど)。

AMS と共有するためのシークレットパスワード/ハッシュを作成するアクセス許可 (デプロイする必要がある製品のライセンスキーなど)。

JSON
{ "Version":"2012-10-17", "Statement": [{ "Sid": "AllowAccessToSharedNameSpaces", "Effect": "Allow", "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:*:*:secret:ams-shared/*", "arn:aws:secretsmanager:*:*:secret:customer-shared/*" ] }, { "Sid": "DenyGetSecretOnCustomerNamespace", "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*" }, { "Sid": "AllowReadAccessToAMSNameSpace", "Effect": "Deny", "NotAction": [ "secretsmanager:Describe*", "secretsmanager:Get*", "secretsmanager:List*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*" } ] }

AMSChangeManagementPolicy

AMSChangeManagementPolicy

すべての AMS 変更タイプをリクエストおよび表示するアクセス許可、およびリクエストされた変更タイプの履歴。

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Amazon EC2 リザーブドインスタンスを管理するアクセス許可。料金情報については、Amazon EC2 リザーブドインスタンス」を参照してください。

JSON
{ "Version":"2012-10-17", "Statement": [{ "Sid": "AllowReservedInstancesManagement", "Effect": "Allow", "Action": [ "ec2:ModifyReservedInstances", "ec2:PurchaseReservedInstancesOffering" ], "Resource": [ "*" ] }] }

AMSS3Policy

AMSS3Policy

既存の Amazon S3 バケットからファイルを作成および削除するアクセス許可。

注記

これらのアクセス許可は、S3 バケットを作成する機能を付与しません。これは、デプロイ | 高度なスタックコンポーネント | S3 ストレージ | 変更タイプの作成で実行する必要があります。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:PutObject" ], "Resource": "*" } ] }

AWSSupportAccess

AWSSupportAccess

へのフルアクセス サポート。詳細については、「 の開始方法 サポート」を参照してください。プレミアムサポートの詳細については、「」を参照してくださいサポート

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "support:*" ], "Resource": "*" }] }

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions (パブリック AWS管理ポリシー)

AWS Marketplace サブスクリプションをサブスクライブ、サブスクライブ解除、表示するアクセス許可。

JSON
{ "Version":"2012-10-17", "Statement": [{ "Action": [ "aws-marketplace:ViewSubscriptions", "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe" ], "Effect": "Allow", "Resource": "*" }] }

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

へのフルアクセス AWS Certificate Manager。詳細については、「AWS Certificate Manager」を参照してください。

AWSCertificateManagerFullAccess information、 (パブリック AWS 管理ポリシー)。

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "acm:*" ], "Resource": "*" }] }

AWSWAFFullAccess

AWSWAFFullAccess

へのフルアクセス AWS WAF。詳細については、「 AWS WAF - Web Application Firewall」を参照してください。

AWSWAFFullAccess information、 (パブリック AWS 管理ポリシー)。このポリシーは、 AWS WAF リソースへのフルアクセスを許可します。

JSON
{ "Version":"2012-10-17", "Statement": [{ "Action": [ "waf:*", "waf-regional:*", "elasticloadbalancing:SetWebACL" ], "Effect": "Allow", "Resource": "*" }] }

ReadOnlyAccess

ReadOnlyAccess

AWS コンソール上のすべての AWS サービスとリソースへの読み取り専用アクセス。が新しいサービス AWS を起動すると、AMS は ReadOnlyAccess ポリシーを更新して、新しいサービスの読み取り専用アクセス許可を追加します。更新されたアクセス権限は、ポリシーがアタッチされているすべてのプリンシパルエンティティに適用されます。

これにより、EC2 ホストまたはデータベースホストにログインすることはできません。

アクティブな がある場合は AWS アカウント、このリンク ReadOnlyAccess を使用して ReadOnlyAccess ポリシー全体を表示できます。ReadOnlyAccess ポリシー全体は、すべてへの読み取り専用アクセスを提供する限り、非常に長くなります AWS のサービス。以下は、ReadOnlyAccess ポリシーの一部の抜粋です。

単一アカウントランディングゾーン (SALZ): AMS シングルアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、SALZ: デフォルトの IAM ユーザーロール次の「」を参照してください。

SALZ: デフォルトの IAM ユーザーロール

デフォルトの AMS シングルアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。

注記

SALZ のデフォルトのユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。

デフォルトの SALZ ユーザーロールの例を次に示します。ポリシーが設定されていることを確認するには、 get-role コマンドを実行します。または、https://console.aws.amazon.com/iam/ で AWS Identity and Access Management コンソールにサインインし、ロールを選択します。

顧客の読み取り専用ロールは、複数のポリシーの組み合わせです。ロール (JSON) の内訳は次のとおりです。

マネージドサービス監査ポリシー:

マネージドサービス IAM ReadOnly ポリシー

マネージドサービスユーザーポリシー

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomerToListTheLogBucketLogs", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "aws/*", "app/*", "encrypted", "encrypted/", "encrypted/app/*" ] } } }, { "Sid": "BasicAccessRequiredByS3Console", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowCustomerToGetLogs", "Effect": "Allow", "Action": [ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/aws/*", "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*" ] }, { "Sid": "AllowAccessToOtherObjects", "Effect": "Allow", "Action": [ "s3:DeleteObject*", "s3:Get*", "s3:List*", "s3:PutObject*" ], "Resource": [ "*" ] }, { "Sid": "AllowCustomerToListTheLogBucketRoot", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringEquals": { "s3:prefix": [ "", "/" ] } } }, { "Sid": "AllowCustomerCWLConsole", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "AllowCustomerCWLAccessLogs", "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/*", "arn:aws:logs:*:*:log-group:/infra/*", "arn:aws:logs:*:*:log-group:/app/*", "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*" ] }, { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] }, { "Sid": "ModifyAWSBillingPortal", "Effect": "Allow", "Action": [ "aws-portal:Modify*" ], "Resource": [ "*" ] }, { "Sid": "DenyDeleteCWL", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "DenyMCCWL", "Effect": "Deny", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:FilterLogEvents", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/mc/*" ] }, { "Sid": "DenyS3MCNamespace", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*", "arn:aws:s3:::mc-a*-logs-*/mc/*", "arn:aws:s3:::mc-a*-logs-*-audit/*", "arn:aws:s3:::mc-a*-internal-*/*", "arn:aws:s3:::mc-a*-internal-*" ] }, { "Sid": "ExplicitDenyS3CfnBucket", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::cf-templates-*" ] }, { "Sid": "DenyListBucketS3LogsMC", "Action": [ "s3:ListBucket" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "auditlog/*", "encrypted/mc/*", "mc/*" ] } } }, { "Sid": "DenyS3LogsDelete", "Effect": "Deny", "Action": [ "s3:Delete*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/*" ] }, { "Sid": "DenyAccessToKmsKeysStartingWithMC", "Effect": "Deny", "Action": [ "kms:*" ], "Resource": [ "arn:aws:kms::*:key/mc-*", "arn:aws:kms::*:alias/mc-*" ] }, { "Sid": "DenyListingOfStacksStartingWithMC", "Effect": "Deny", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/mc-*" ] }, { "Sid": "AllowCreateCWMetricsAndManageDashboards", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Sid": "AllowCreateandDeleteCWDashboards", "Effect": "Allow", "Action": [ "cloudwatch:DeleteDashboards", "cloudwatch:PutDashboard" ], "Resource": [ "*" ] } ] }

Customer Secrets Manager 共有ポリシー

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSecretsManagerListSecrets", "Effect": "Allow", "Action": "secretsmanager:listSecrets", "Resource": "*" }, { "Sid": "AllowCustomerAdminAccessToSharedNameSpaces", "Effect": "Allow", "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:*:*:secret:ams-shared/*", "arn:aws:secretsmanager:*:*:secret:customer-shared/*" ] }, { "Sid": "DenyCustomerGetSecretCustomerNamespace", "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*" }, { "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace", "Effect": "Deny", "NotAction": [ "secretsmanager:Describe*", "secretsmanager:Get*", "secretsmanager:List*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*" } ] }

Customer Marketplace サブスクライブポリシー

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowMarketPlaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions", "aws-marketplace:Subscribe" ], "Resource": [ "*" ] } ] }