翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS の IAM ユーザーロール
IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。
現在、標準 AMS アカウントCustomer_ReadOnly_Roleには 1 つの AMS デフォルトユーザーロール があり、マネージド Active Directory を持つ AMS アカウントcustomer_managed_ad_user_roleには追加のロールがあります。
ロールポリシーは、CloudWatch および Amazon S3 ログアクション、AMS コンソールアクセス、ほとんどの に対する読み取り専用制限 AWS のサービス、アカウント S3 コンソールへのアクセス制限、AMS 変更タイプアクセスのアクセス許可を設定します。
さらに、 Customer_ReadOnly_Roleには、インスタンスを予約できる可変リザーブドインスタンスのアクセス許可があります。これにはいくつかのコスト削減値があるため、長期間一定数の Amazon EC2 インスタンスが必要になることがわかっている場合は、これらの APIs呼び出すことができます。詳細については、Amazon EC2 リザーブドインスタンス
注記
IAM ユーザーのカスタム IAM ポリシーを作成するための AMS サービスレベル目標 (SLO) は、既存のポリシーが再利用されない限り、4 営業日です。既存の IAM ユーザーロールを変更する場合、または新しいロールを追加する場合は、IAM: エンティティの更新または IAM: エンティティ RFC の作成をそれぞれ送信します。
Amazon IAM ロールに慣れていない場合は、「IAM ロール」で重要な情報を確認してください。
マルチアカウントランディングゾーン (MALZ): AMS マルチアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、MALZ: デフォルトの IAM ユーザーロール次の「」を参照してください。
MALZ: デフォルトの IAM ユーザーロール
デフォルトのマルチアカウント AMS マルチアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。
注記
ユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。
これらは、デフォルトの MALZ ユーザーロールの例です。必要なポリシーが設定されていることを確認するには、AWS コマンドを実行するget-roleか、AWS Management -> IAM コンソール
コア OU アカウントロール
コアアカウントは、MALZ が管理するインフラストラクチャアカウントです。AMS マルチアカウントランディングゾーン Core アカウントには、管理アカウントとネットワークアカウントが含まれます。
| ロール | ポリシー |
|---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess (パブリック AWS 管理ポリシー)。 |
AWSManagedServicesCaseRole |
|
AWSSupportAccess (パブリック AWS 管理ポリシー)。 | |
AWSManagedServicesChangeManagementRole (コアアカウントバージョン) |
|
| ロール | ポリシー |
|---|---|
AWSManagedServicesBillingRole |
AMSBillingPolicy (AMSBillingPolicy)。 |
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess (パブリック AWS 管理ポリシー)。 |
AWSManagedServicesCaseRole |
|
AWSSupportAccess (パブリック AWS 管理ポリシー)。 | |
AWSManagedServicesChangeManagementRole (管理アカウントバージョン) |
|
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy |
| ロール | ポリシー |
|---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess (パブリック AWS 管理ポリシー)。 |
AWSManagedServicesCaseRole |
|
AWSSupportAccess (パブリック AWS 管理ポリシー)。 | |
AWSManagedServicesChangeManagementRole (ネットワークアカウントバージョン) |
|
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy |
アプリケーションアカウントロール
アプリケーションアカウントロールは、アプリケーション固有のアカウントに適用されます。
| ロール | ポリシー |
|---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess (パブリック AWS 管理ポリシー)。 |
AWSManagedServicesCaseRole |
|
AWSSupportAccess (パブリック AWS 管理ポリシー)。 このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。詳細については、「AWS サポートの開始方法」を参照してください。 | |
AWSManagedServicesSecurityOpsRole |
|
AWSSupportAccess の例 このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。 | |
| |
| |
AWSManagedServicesChangeManagementRole (アプリケーションアカウントバージョン) |
|
AWSSupportAccess (パブリック AWS 管理ポリシー)。 このポリシーは、すべてのサポートオペレーションとリソースへのアクセスを提供します。詳細については、「AWS サポートの開始方法」を参照してください。 | |
AWSManagedServicesAdminRole |
|
ポリシーの例
使用するほとんどのポリシーの例を示します。ReadOnlyAccess ポリシー (すべての AWS サービスへの読み取り専用アクセスを提供するページ) を表示するには、アクティブな AWS アカウント: ReadOnlyAccess
AMSBillingPolicy
AMSBillingPolicy
新しい請求ロールは、経理部門が管理アカウントの請求情報またはアカウント設定を表示および変更するために使用できます。代替連絡先などの情報にアクセスしたり、アカウントリソースの使用状況を表示したり、請求のタブを保持したり、支払い方法を変更したりするには、このロールを使用します。この新しいロールは、AWS Billing IAM アクションのウェブページに記載されているすべてのアクセス許可で構成されます。
AMSChangeManagementReadOnlyPolicy
AMSChangeManagementReadOnlyPolicy
すべての AMS 変更タイプと、リクエストされた変更タイプの履歴を表示するアクセス許可。
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
デプロイをリクエストするアクセス許可 | マネージドランディングゾーン | 管理アカウント | アプリケーションアカウントを作成する (VPC を使用) 変更タイプ。
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
デプロイをリクエストするアクセス許可 | マネージドランディングゾーン | ネットワークアカウント | アプリケーションルートテーブルの変更タイプを作成します。
AMSChangeManagementInfrastructurePolicy
AMSChangeManagementInfrastructurePolicy (管理用 | その他 | その他 CTs)
管理をリクエストするアクセス許可 | その他 | その他 | 作成、管理 | その他 | その他 | 変更タイプを更新する。
AMSSecretsManagerSharedPolicy
AMSSecretsManagerSharedPolicy
を通じて AMS によって共有されているシークレットパスワード/ハッシュを表示するアクセス許可 AWS Secrets Manager (監査用のインフラストラクチャへのパスワードなど)。
AMS と共有するためのシークレットパスワード/ハッシュを作成するアクセス許可 (デプロイする必要がある製品のライセンスキーなど)。
AMSChangeManagementPolicy
AMSChangeManagementPolicy
すべての AMS 変更タイプをリクエストおよび表示するアクセス許可、およびリクエストされた変更タイプの履歴。
AMSReservedInstancesPolicy
AMSReservedInstancesPolicy
Amazon EC2 リザーブドインスタンスを管理するアクセス許可。料金情報については、Amazon EC2 リザーブドインスタンス
AMSS3Policy
AMSS3Policy
既存の Amazon S3 バケットからファイルを作成および削除するアクセス許可。
注記
これらのアクセス許可は、S3 バケットを作成する機能を付与しません。これは、デプロイ | 高度なスタックコンポーネント | S3 ストレージ | 変更タイプの作成で実行する必要があります。
AWSSupportAccess
AWSSupportAccess
へのフルアクセス サポート。詳細については、「 の開始方法 サポート」を参照してください。プレミアムサポートの詳細については、「」を参照してくださいサポート
AWSMarketplaceManageSubscriptions
AWSMarketplaceManageSubscriptions (パブリック AWS管理ポリシー)
AWS Marketplace サブスクリプションをサブスクライブ、サブスクライブ解除、表示するアクセス許可。
AWSCertificateManagerFullAccess
AWSCertificateManagerFullAccess
へのフルアクセス AWS Certificate Manager。詳細については、「AWS Certificate Manager
AWSCertificateManagerFullAccess information、 (パブリック AWS 管理ポリシー)。
AWSWAFFullAccess
AWSWAFFullAccess
へのフルアクセス AWS WAF。詳細については、「 AWS WAF - Web Application Firewall
AWSWAFFullAccess information、 (パブリック AWS 管理ポリシー)。このポリシーは、 AWS WAF リソースへのフルアクセスを許可します。
ReadOnlyAccess
ReadOnlyAccess
AWS コンソール上のすべての AWS サービスとリソースへの読み取り専用アクセス。が新しいサービス AWS を起動すると、AMS は ReadOnlyAccess ポリシーを更新して、新しいサービスの読み取り専用アクセス許可を追加します。更新されたアクセス権限は、ポリシーがアタッチされているすべてのプリンシパルエンティティに適用されます。
これにより、EC2 ホストまたはデータベースホストにログインすることはできません。
アクティブな がある場合は AWS アカウント、このリンク ReadOnlyAccess
単一アカウントランディングゾーン (SALZ): AMS シングルアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、SALZ: デフォルトの IAM ユーザーロール次の「」を参照してください。
SALZ: デフォルトの IAM ユーザーロール
デフォルトの AMS シングルアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。
注記
SALZ のデフォルトのユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。
デフォルトの SALZ ユーザーロールの例を次に示します。ポリシーが設定されていることを確認するには、 get-role コマンドを実行します。または、https://console.aws.amazon.com/iam/
顧客の読み取り専用ロールは、複数のポリシーの組み合わせです。ロール (JSON) の内訳は次のとおりです。
マネージドサービス監査ポリシー:
マネージドサービス IAM ReadOnly ポリシー
マネージドサービスユーザーポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomerToListTheLogBucketLogs", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "aws/*", "app/*", "encrypted", "encrypted/", "encrypted/app/*" ] } } }, { "Sid": "BasicAccessRequiredByS3Console", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowCustomerToGetLogs", "Effect": "Allow", "Action": [ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/aws/*", "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*" ] }, { "Sid": "AllowAccessToOtherObjects", "Effect": "Allow", "Action": [ "s3:DeleteObject*", "s3:Get*", "s3:List*", "s3:PutObject*" ], "Resource": [ "*" ] }, { "Sid": "AllowCustomerToListTheLogBucketRoot", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringEquals": { "s3:prefix": [ "", "/" ] } } }, { "Sid": "AllowCustomerCWLConsole", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "AllowCustomerCWLAccessLogs", "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/*", "arn:aws:logs:*:*:log-group:/infra/*", "arn:aws:logs:*:*:log-group:/app/*", "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*" ] }, { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] }, { "Sid": "ModifyAWSBillingPortal", "Effect": "Allow", "Action": [ "aws-portal:Modify*" ], "Resource": [ "*" ] }, { "Sid": "DenyDeleteCWL", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "DenyMCCWL", "Effect": "Deny", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:FilterLogEvents", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/mc/*" ] }, { "Sid": "DenyS3MCNamespace", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*", "arn:aws:s3:::mc-a*-logs-*/mc/*", "arn:aws:s3:::mc-a*-logs-*-audit/*", "arn:aws:s3:::mc-a*-internal-*/*", "arn:aws:s3:::mc-a*-internal-*" ] }, { "Sid": "ExplicitDenyS3CfnBucket", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::cf-templates-*" ] }, { "Sid": "DenyListBucketS3LogsMC", "Action": [ "s3:ListBucket" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "auditlog/*", "encrypted/mc/*", "mc/*" ] } } }, { "Sid": "DenyS3LogsDelete", "Effect": "Deny", "Action": [ "s3:Delete*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/*" ] }, { "Sid": "DenyAccessToKmsKeysStartingWithMC", "Effect": "Deny", "Action": [ "kms:*" ], "Resource": [ "arn:aws:kms::*:key/mc-*", "arn:aws:kms::*:alias/mc-*" ] }, { "Sid": "DenyListingOfStacksStartingWithMC", "Effect": "Deny", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/mc-*" ] }, { "Sid": "AllowCreateCWMetricsAndManageDashboards", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Sid": "AllowCreateandDeleteCWDashboards", "Effect": "Allow", "Action": [ "cloudwatch:DeleteDashboards", "cloudwatch:PutDashboard" ], "Resource": [ "*" ] } ] }
Customer Secrets Manager 共有ポリシー
Customer Marketplace サブスクライブポリシー
