翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AMS Advanced での IAM リソースのデプロイ
AMS は、次の 2 つの方法でマルチアカウントランディングゾーン (MALZ) アプリケーションとシングルアカウントランディングゾーン (SALZ) アカウントに IAM リソースをデプロイします。
+ 自動 IAM プロビジョニング: AMS のこの機能を使用すると、オペレータによるレビューなしで、IAM ロールまたはポリシープロビジョニングの変更タイプを作成、更新、または削除し、IAM と AMS の検証チェックを自動的に実行できます。
この機能は、 管理 \$1 マネージドアカウント \$1 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング \$1 [(マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) 変更タイプを有効にする (ct-1706xvvk6j9hf) で明示的に有効にする必要があります。詳細については[自動 IAM プロビジョニング AMS](auto-iam-provisioning.md)を参照してください。AMS 自動 IAM プロビジョニングを有効にすると、IAM リソースを管理するための変更タイプの作成、更新、削除にアクセスできます。
+ マネージドオートメーション IAM 変更タイプ: この変更タイプ、デプロイ \$1 アドバンストスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 [Create entity or policy (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html) (ct-3dpd8mdd9jn1r) では、AMS オペレータによるレビューが必要です。明確化が必要な場合、完了までに数日かかることがあります。
**注記**
どちらの方法を使用する場合でも、IAM ロールは関連するアカウントまたはアカウントにプロビジョニングされ、ロールがプロビジョニングされた後、フェデレーションソリューションでロールをオンボードする必要があります。
# 自動 IAM プロビジョニング AMS
AWS Managed Services (AMS) は、AMS Advanced requests for change (RFCs) と新しい変更タイプ (CTs) を使用したロールとポリシーを含む IAM リソースの自動検証とプロビジョニングをサポートしています。以前は、これらのリクエストは半自動プロセスを経ており、待機時間が長くなることがあります。これで、AMS 自動 IAM プロビジョニングを使用して IAM リソースをプロビジョニングし、結果をより迅速に取得できるようになりました。
# AMS での IAM 自動プロビジョニングの仕組み
自動 IAM プロビジョニングは、IAM リソースの変更を検証するために IAM の自動ランタイムチェックに依存します。これらの自動チェックは、変更タイプの作成、更新、削除が実行されたときに実行され、過度に許可されている、または安全でないパターンを持つ IAM リソースがアカウントにデプロイされるのを防ぎます。これにより、IAM レビューの厳密さのレベルをチームの専門知識と一致させることができます。クラウドサービスを初めて使用し、すべての IAM リソースの変更に手動チェックが必要なチームは、既存のレビューで必要な変更タイプ デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 [エンティティまたはポリシーの作成 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)、 (ct-3dpd8mdd9jn1r) を使用することをお勧めします。環境の AWS 専門知識と制御を持つチームは、自動 IAM プロビジョニングを使用してデプロイを高速化できます。この機能を使用して、自動ランタイムチェックによる検証を実行したり、検証が成功した後に IAM リソースの検証とプロビジョニングを実行したりできます。
**重要**
AWS Managed Services は、特定のアクセス許可と条件を持つ IAM リソースまたはポリシーの作成を妨げる検証[ランタイムチェック](aip-runtime-checks.md)のリストを事前に実装しています。これらの権限と条件の詳細については、[「AMS Advanced での IAM リソースのデプロイ](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html)」を参照してください。自動変更タイプ [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html)、[ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) では、IAM リソースの管理に精通しているユーザーが、読み取り専用権限を超えるアクションを許可する IAM ロールとポリシーをプロビジョニングできます。
さらに、自動変更タイプ [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html)、[ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) で作成されたロールを使用して、新しいリソースを作成できます。ただし、リソースは AMS 命名基準に従うことができず、標準 AMS スタックの一部ではありません。AMS は、ベストエフォートベースでこれらの特定のリソースの運用およびセキュリティサポートを提供します。
手動プロセスと自動プロセスの両方がセキュリティ標準を維持することを目指していますが、この 2 つのチェックには違いがあることに注意してください。自動プロビジョニングにより、ロールとポリシーの作成と更新の柔軟性が向上します。したがって、これらは同じではありません。組織が AMS ユーザーガイドに記載されている検証[ランタイムチェック](aip-runtime-checks.md)を注意深く確認し、組織の期待と要件に沿っていることを確認することをお勧めします。
**検証フロー**
![\[検証フロー\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/Validation-Flow.png)
**検証とプロビジョニングのフロー**
![\[検証とプロビジョニングのフロー\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)
**注記**
この機能は、 AWS および IAM リソースの経験があるチームに適しています。また、初めてのチームにはお勧めしません AWS。自動検証プロセスは、ほとんどのエラーをキャッチするように設計されており、チームが必要なアクセス許可を理解したときに、IAM の変更をすばやくレビューするのに役立ちます。新しい変更タイプを安全かつ効果的に使用するには、IAM AWS と、変更タイプによって提供される[ランタイムチェック](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html)をよく理解し、それらがチームに適しているかどうかを判断することをお勧めします。
# AMS での AMS 自動 IAM プロビジョニングへのオンボーディング
新しい変更タイプを使用するには、まず、次の変更タイプを使用して RFC を送信して AMS 自動 IAM プロビジョニングを有効にします。管理 \$1 マネージドアカウント \$1 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング \$1 [有効化 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvvk6j9hf)。 AWS では、これらの変更タイプの使用が組織ポリシーと一致していることを確認するために、組織がカスタマーセキュリティリスク管理 (CSRM) プロセスを経る必要があります。 AWS 運用チームはお客様と協力して、必要なレビューの一環として、リスク承諾の形式でセキュリティチームの連絡先から明示的な承認を取得します。詳細については、[RFC カスタマーリスク管理 (CSRM) プロセス](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html)を参照してください。
読み取り/書き込みアクセス許可機能を使用して AMS 自動 IAM プロビジョニングを有効にするための RFC が成功すると、AMS は、有効化 RFC の送信に使用したアカウントで AMS 自動 IAM プロビジョニングの変更タイプを有効にします。アカウントで AMS 自動 IAM プロビジョニングが有効になっていることを確認するには、IAM コンソールで`AWSManagedServicesIAMProvisionAdminRole`ロールを確認します。
オンボーディングの一環として、AMS はアカウントの同じ AWS リージョンに IAM Access Analyzer をプロビジョニングして、アクセスプレビュー機能を活用します。IAM Access Analyzer は、組織内のリソースと外部エンティティと共有されているアカウントを識別し、ポリシーの文法とベストプラクティスに照らして IAM ポリシーを検証し、 AWS CloudTrail ログ内のアクセスアクティビティに基づいて IAM ポリシーを生成します。詳細については、[「 の使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)」を参照してください。
オンボーディングされると、 `AWSManagedServicesIAMProvisionAdminRole`は有効なアカウントにデプロイされます。SAML フェデレーションでこのロールを使用する場合は、フェデレーションソリューションにロールをオンボードする必要があります。
オンボーディングの一環として、AWSManagedServicesIAMProvisionAdminRole の信頼ポリシーを更新して、このロールを引き受ける別の IAM ロール ARN を付与するようにリクエストできます AWS Security Token Service。
# AMS での AMS 自動 IAM プロビジョニングの使用
次の AMS 自動 IAM プロビジョニング変更タイプを使用して RFCs を作成できます。
**注記**
ロールとポリシーのプロビジョニングのみがサポートされています。
ロールの更新中、Update CT は、マネージドポリシー Amazon リソースネーム (ARNs」ポリシードキュメントを、提供されたマネージドポリシー ARNsと「ロールを引き受ける」ポリシードキュメントに置き換えます。部分的な更新では、例えば、マネージドポリシー ARN の既存のリストで ARNs」ポリシードキュメントに追加または削除することはできません。同様に、ポリシーの更新中、Update CT は既存のポリシードキュメントを置き換え、既存のポリシードキュメントで個々のポリシーステートメントを追加または削除することはできません。
「検証のみ」オプションを選択すると、IAM エンティティまたはポリシーをプロビジョニングせずにランタイムチェックが実行されます。検出結果に関係なく、RFC ステータスは「成功」です。「成功」ステータスは、指定された IAM エンティティまたはポリシーに対する検証が成功したことを示します。
+ デプロイ \$1 アドバンストスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 [エンティティまたはポリシーの作成 (読み取り/書き込みアクセス許可)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)(ct-1n9gfnog5x7fl): 新しい IAM エンティティまたはポリシーが自動的に検証およびプロビジョニングされます。
+ 管理 \$1 アドバンストスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 [更新エンティティまたはポリシー (読み取り/書き込みアクセス許可)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html)(ct-1e0xmuy1diafq): 既存の IAM エンティティまたはポリシーは自動的に更新および検証されます。
+ 管理 \$1 アドバンストスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 [Delete entity or policy (読み取り/書き込みアクセス許可)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)(ct-17cj84y7632o6): 自動作成エンティティまたはポリシー変更タイプを使用してプロビジョニングされた既存の IAM エンティティまたはポリシーが削除されます。
専用 IAM ロール を使用してのみ、前述の 3 つの CTs を呼び出すことができます`AWSManagedServicesIAMProvisionAdminRole`。このロールは、 管理 \$1 マネージドアカウント \$1 AMS 自動 IAM プロビジョニングの読み取り/書き込みアクセス許可 \$1 [有効 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvvk6j9hf) を使用して 機能にオンボードされたアカウントでのみ使用できます。
**重要**
変更タイプの作成、更新、削除は常にアカウントに表示されますが、デフォルトでは有効になっていません。最初に AMS 自動 IAM プロビジョニング機能を有効にせずに、これらの変更タイプのいずれかを使用して RFC を送信しようとすると、「未承認」エラーが表示されます。
**機能制限:**
+ Create CT では、 AWS リソースを作成するアクセス許可を持つ IAM ロールまたはポリシーを作成できる場合があります。ただし、これらのロールとポリシーによって作成された AWS リソースは AMS によって管理されません。このようなロールやポリシーの作成を制限するために、組織の管理に従うのがベストプラクティスです。
+ Update CT は、CFN Ingest、Direct Change Mode、Developer Mode、または場合によっては既存の AMS Advanced 手動または自動 CTs を使用して作成された IAM ロールとポリシーを変更できません。
+ Delete CT は、AMS 自動 IAM プロビジョニング Create CT で作成されていない既存のロールやポリシーを削除することはできません。
+ 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング機能は、Direct Change Mode ロールではサポートされていません。つまり、これらのロールを使用して読み取り/書き込みアクセス許可を持つ IAM ロールとポリシーをプロビジョニングまたは更新することはできません。
+ 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング 変更タイプの作成、更新、削除は、ServiceNow Connector と互換性がありません。
# AMS での AMS 自動 IAM プロビジョニングのランタイムチェック
自動 IAM プロビジョニングは、 からのチェックを活用し AWS Identity and Access Management Access Analyzer、AMS 境界ポリシーに対して追加のチェックと検証を実行します。AMS は、IAM のベストプラクティス、クラウドでのお客様のワークロードの運用経験、および集合的な AMS IAM 手動評価経験に基づいて、追加のチェックと検証を定義しました。
ポリシーランタイムチェックの結果は、変更リクエスト (RFC) 出力で表示できます。検出結果には、リソース識別子、検出結果を生成したロールやポリシー内の場所、IAM エンティティまたはリソースが合格できなかったことのチェックの概要を示すメッセージが含まれます。これらの検出結果は、機能し、セキュリティのベストプラクティスに準拠するポリシーを作成するのに役立ちます。
**注記**
自動 IAM プロビジョニングは、チェックに合格しなかったエンティティまたはポリシー定義内の場所について特定しようとします。タイプに応じて、場所にはリソース名または ARN、または配列内のインデックスが含まれる場合があります。例えば、エンティティまたはポリシーを正常な結果に調整するのに役立つステートメントです。
スムーズな AMS 自動 IAM プロビジョニングエクスペリエンスを得るには、「検証のみ」オプションを使用して、RFC 出力で報告された検証チェックの結果がなくなるまで検証チェックを実行することをお勧めします。検証チェックで検出結果が報告されない場合は、AMS コンソールから**コピーの作成**を選択して、既存の RFC のコピーをすばやく作成します。プロビジョニングの準備ができたら、**「パラメータ**」セクションで、**検証のみ**の値を****「はい」から**「いい**え」に切り替え、続行します。
IAM リソースが安全であることを確認するために AMS 自動 IAM プロビジョニングが実行するランタイムチェックは次のとおりです。
**注記**
これらの自動変更タイプによって拒否されたアクションを含む IAM ポリシーをプロビジョニングするには、RFC カスタマーセキュリティリスク管理 (CSRM) プロセスに従う必要があります。次の変更タイプを使用します: デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 エンティティまたはポリシーの作成 (マネージドオートメーション) (ct-3dpd8mdd9jn1r)。
+ **IAM Access Analyzer ポリシーのチェックと検証:** [「Access Analyzer ポリシーのチェックリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)」と[「IAM Access Analyzer ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」も参照してください。
+ **AMS アクセス許可の境界ポリシーチェック:** デフォルトで拒否される一連のサービスに対するアクション。詳細については、[「自動 IAM プロビジョニングアクセス許可の境界チェック](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html)」を参照してください。
+ **カスタマー定義のアクセス許可の境界ポリシーチェック:** 拒否された一連のサービスに対する追加の制限付きアクション。詳細については、[「自動 IAM プロビジョニングアクセス許可の境界チェック](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html)」を参照してください。
+ **AMS 定義のカスタムチェック**: リクエストされた IAM エンティティまたはポリシー内のさまざまな安全でないポリシーや過度に寛容なポリシー、またはアクセスパターンを識別し、見つかった場合はリクエストを拒否するチェック。詳細については、[AWS 「JSON ポリシー要素: プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)」を参照してください。
| 結果 | 説明 |
| --- | --- |
| ロールには、信頼ゾーン外の外部アカウントからアクセスできます。 | この検出結果は、信頼ゾーン外のロール信頼ポリシーにリストされているプリンシパルを指します。信頼ゾーンは、ロールが作成されるアカウントまたはアカウントが属する AWS 組織として定義されます。アカウントまたは同じ AWS Organization に属していないエンティティは外部エンティティです。検出結果を解決するには、プリンシパル ARNs、それらが自分に属していて、AMS オンボードアカウントであることを確認します。 |
| ロールには、AMS 顧客所有アカウント Account*\$1ID によって所有されていないアカウント External\$1Account**\$1ID* が所有する外部エンティティがアクセスできます。 | この検出結果は、ロールの信頼ポリシーに、自分と AMS オンボーディングアカウントが所有していないアカウント ID を持つプリンシパル ARN が含まれている場合に生成されます。この結果を解決するには、ロールの信頼ポリシーからそのようなプリンシパルを削除します。 |
| 正規ユーザー ID は、IAM 信頼ポリシーでサポートされているプリンシパルではありません。 | 正規プリンシパル IDsは IAM 信頼ポリシーではサポートされていません。検出結果を解決するには、ロールの信頼ポリシーからそのようなプリンシパルを削除します。 |
| ロールには、信頼ゾーン外の外部ウェブ ID からアクセスできます。 | この検出結果は、ロール信頼ポリシーが SAML IdP 以外の外部ウェブ ID プロバイダー (IdP) を許可する場合に生成されます。この結果を解決するには、ロールの信頼ポリシーを確認し、 `sts:AssumeRoleWithWebIdentity` オペレーションを許可するステートメントを削除します。 |
| ロールには SAML フェデレーションを介してアクセスできますが、提供された SAML ID プロバイダー (IdP) は存在しません。 | この検出結果は、ロールの信頼ポリシーに、アカウントに存在しない SAML IdP が含まれている場合に生成されます。解決するには、リストされているすべての SAML IdP がアカウントに存在することを確認します。 |
| ポリシーには、管理者またはパワーユーザーアクセスに相当する特権アクションが含まれています。アクセス許可の範囲を特定のサービス、アクション、またはリソースに減らすことを検討してください。**NotAction** や **NotResource** などの高度なポリシー要素を使用する場合は、特に **Allow** ステートメントで、意図した以上のアクセスを許可していないことを確認してください。 | IAM ポリシーでアクセス許可を設定するときに、タスクの実行に必要なアクセス許可のみを付与 AWS Identity and Access Management するのが、 のベストプラクティスです。これを行うには、最小特権のアクセス許可とも呼ばれる特定の条件下で特定のリソースに対して実行できるアクションを定義します。この検出結果は、自動化がポリシーが広範なアクセス許可を付与していることを検出し、最小特権の原則に準拠していない場合に生成されます。検出結果を解決するには、 アクセス許可を確認して減らします。 |
| ステートメントには、*Service\$1Name* の特権アクションが含まれています。拒否ステートメントを使用してこれらのアクションを除外することを検討してください。特権アクションのリストについては、AMS ドキュメントの境界ポリシーリファレンスを参照してください。 | AMS は、特定のサービスの特定のアクションをリスクのあるものとして特定し、顧客セキュリティチームによるさらなるリスクレビューと承認を必要とします。この検出結果は、オートメーションがそのようなアクセス許可を付与する特定のポリシーを検出したときに生成されます。この結果を解決するには、ポリシーでこれらのアクションを拒否します。アクションのリストについては、AMS 境界ポリシーを参照してください。AMS 境界ポリシーの詳細については、「」を参照してください[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)。 |
| ステートメントは、*service\$1Name* の特権 RFC 変更タイプ [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html)、[ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) へのアクセスを許可します。特定の変更タイプへのアクセス許可の範囲を指定するか、拒否ステートメントを使用してこれらの変更タイプを除外することを検討してください。 | この検出結果は、ポリシーが自動 IAM プロビジョニング変更タイプ (CTs。CTs はリスク承諾の対象であり、オンボーディングされたロールを通じてのみ使用する必要があります。したがって、これらの CTs にアクセス許可を付与することはできません。この結果を解決するには、これらの CTs。 |
| ステートメントには、service *Service\$1Name* のリソースに限定されていない特権アクションが含まれています。アクションを特定のリソースにスコープするか、AMS 名前空間プレフィックスを持つリソースを除外することを検討してください。ワイルドカードを使用する場合は、スコープをリソースに制限してください。 | この検出結果は、ポリシーが特定のサービスのリソースにスコープされていない特権アクションを付与した場合に生成されます。ワイルドカードは、多くの場合、アクセス許可の範囲にさまざまなリソースやアクションを取り込む過度に寛容なポリシーを作成します。検出結果を解決するには、所有するリソースへのアクセス許可の範囲を減らすか、AMS 名前空間にあるリソースを除外します。AMS 名前空間プレフィックスのリストについては、AMS ドキュメントの境界ポリシーを参照してください。すべてのプレフィックスがすべてのサービスに適用されるわけではありません。AMS 境界ポリシーの詳細については、「」を参照してください[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)。 |
| 無効なアカウント ID または Amazon リソースネーム (ARN)。 | この検出結果は、ポリシーまたはロールの信頼ポリシーで指定された ARN またはアカウント ID が無効である場合に生成されます。サービスの有効なリソース ARN のリソースを確認するには、[「サービス認可リファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html)」を参照してください。アカウント ID が 12 桁の数字であり、アカウントがアクティブであることを確認します AWS。 |
| ARN のアカウント ID にワイルドカード (\$1) を使用することは制限されています。 | この検出結果は、ARN のアカウント ID フィールドにワイルドカード (\$1) が指定されている場合に生成されます。アカウント ID フィールドのワイルドカードは任意のアカウントと一致し、リソースに意図しないアクセス許可を付与する可能性があります。これを解決するには、ワイルドカードを特定のアカウント ID に置き換えます。 |
| Account*\$1ID* を所有する同じ AMS 顧客によって所有されていない指定されたリソースアカウント。 | この検出結果は、リソース ARN で指定されたアカウント ID がユーザーに属しておらず、AMS によって管理されていない場合に生成されます。これを解決するには、すべてのリソース (ポリシーの ARN で指定) が AMS によって管理されているアカウントに属していることを確認します。 |
| ロール名は AMS の制限付き名前空間にあります。 | この検出結果は、AMS 予約プレフィックスで始まる名前のロールを作成しようとすると生成されます。これを解決するには、ユースケースに固有のロールの名前を使用します。AMS 予約プレフィックスのリストについては、[「AMS 予約プレフィックス](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)」を参照してください。 |
| ポリシー名は AMS の制限付き名前空間にあります。 | この結果は、AMS 予約プレフィックスで始まる名前のポリシーを作成しようとすると生成されます。これを解決するには、ユースケースに固有のポリシーの名前を使用します。AMS 予約プレフィックスのリストについては、[「AMS 予約プレフィックス](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)」を参照してください。 |
| ARN のリソース ID は AMS の制限付き名前空間にあります。 | この検出結果は、AMS 名前空間にある名前付きリソースにアクセス許可を付与するポリシーを作成しようとすると生成されます。これを解決するには、アクセス許可をリソースにスコープするか、AMS 名前空間にあるリソースへのアクセス許可を拒否してください。AMS 名前空間の詳細については、[「AMS の制限付き名前空間](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html)」を参照してください。 |
| ポリシー変数の大文字と小文字が無効です。変数を *Variable\$1Names* に更新します。 | この検出結果は、正しくないケースで IAM グローバルポリシー変数を含むポリシーを作成しようとすると生成されます。これを解決するには、ポリシーのグローバル変数に正しい大文字と小文字を使用します。グローバル変数のリストについては、[AWS 「 グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。ポリシー変数の詳細については、[「IAM ポリシー要素: 変数とタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。 |
| ステートメントには、KMS キーの範囲に含まれていない特権アクションが含まれています。これらのアクセス許可を特定のキーにスコープするか、AMS 所有のキーを除外することを検討してください。 | この検出結果は、ポリシーに、所有する特定の KMS キーに限定されていないアクセス許可が含まれている場合に生成されます。これを解決するには、アクセス許可を特定のキーにスコープするか、AMS が所有するキーを除外します。AMS 所有のキーには、特定のエイリアスセットがあります。AMS 所有のキーエイリアスのリストについては、「」を参照してください[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)。 |
| ステートメントには、KMS キーエイリアスの範囲に含まれていない特権アクションが含まれています。これらのアクセス許可をキーまたはエイリアスにスコープするか、AMS 所有のキーエイリアスを除外することを検討してください。 | この検出結果は、ポリシーに、所有する特定の KMS キーエイリアスに限定されていないアクセス許可が含まれている場合に生成されます。これを解決するには、アクセス許可を特定のキーにスコープするか、AMS が所有するキーを除外します。AMS 所有のキーには、特定のエイリアスセットがあります。AMS 所有のキーエイリアスのリストについては、「」を参照してください[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)。 |
| ステートメントには、 を使用して KMS キーに適切にスコープされていない特権アクションが含まれています`kms:ResourceAliases condition`。条件キーに適切なセット演算子とともに、特定のエイリアス名を使用することを検討してください。エイリアス名にワイルドカードを使用する場合は、範囲を KMS キーの限定されたセットに制限してください。 | この検出結果は、条件を使用して KMS キーへのアクセス許可をスコープし、 を使用して KMS キーのエイリアスにスコープダウンしない場合`kms:ResourceAliases`に生成されます。または、`kms:ResourceAliases`条件キーに AMS 所有の KMS キーエイリアスも含まれる値がある場合。これを解決するには、 条件を更新して、KMS キーのエイリアスにのみアクセス許可をスコープダウンするか、AMS 所有の KMS キーのエイリアスを除外します。AMS 所有のキーエイリアスのリストについては、「」を参照してください[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)。 |
| ロールには customer\$1deny\$1policy がアタッチされている必要があります。マネージドポリシー ARN のリストにポリシー ARNs。 | この検出結果は、作成するロールに が`customer_deny_policy`アタッチされていない場合に生成されます。これを解決するには、マネージドポリシー ARN リスト`customer_deny_policy`に を含めます。 ARNs |
| AWS 管理ポリシーは過度に許可されているか、AMS 境界ポリシーによって制限されたアクセス許可を付与します。 | この検出結果は、ロールの **ManagedPolicyArns** 値に、関連するサービスへのフルレベルまたは管理者レベルのアクセスを提供する AMS 管理ポリシーが含まれている場合に生成されます。これを解決するには、 AWS 管理ポリシーの使用を確認し、スコープダウン許可を提供するポリシーを使用するか、最小特権の原則に従う独自のポリシーを定義します。 |
| カスタマー管理ポリシーは、制限された AMS 名前空間にあります。 | この検出結果は、名前 AWS 空間に名前のプレフィックスが付いたカスタマー管理ポリシーがロールにアタッチされている場合に生成されます。これを解決するには、ロールの **ManagedPolicyArn** リストからポリシーを削除します。 |
| customer\$1deny\$1policy をロールからデタッチすることはできません。マネージドポリシー ARN のリストにポリシー ARNs。 | この検出結果は、更新中に `customer_deny_policy`がロールからデタッチされた場合に生成されます。これを解決するには、ロールの `customer_deny_policy` **ManagedPolicyArns** フィールドに を追加して、もう一度試してください。 |
| カスタマー管理ポリシーは、AMS 変更管理サービス外または事前検証なしでプロビジョニングされました。 | この検出結果は、1 つ以上の既存のカスタマー管理ポリシー ARNs がロールにアタッチされていて、ポリシーが AMS 変更管理サービス (RFC) を通じてプロビジョニングされていない場合に生成されます。たとえば、デベロッパーモードまたは直接変更モードを使用すると、お客様は RFC なしで IAM ポリシーをプロビジョニングできます。これを解決するには、ロールの **ManagedPolicyArns** リストからカスタマー管理ポリシー ARNs を削除します。 |
| 提供された管理ポリシー ARNs の数が、ロールごとのアタッチされたポリシーのクォータを超えています。 | この検出結果は、ロールにアタッチされた管理ポリシーの総数が、ロールあたりのポリシーのクォータを超えた場合に生成されます。IAM クォータの詳細については、[「IAM および AWS STS クォータ、名前の要件、および文字制限](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)」を参照してください。この情報を使用して、ロールにアタッチするポリシーの数を減らします。 |
| 信頼ポリシーサイズ (\$1trust\$1policy\$1) が \$1size\$1 の引き受けロールポリシーサイズのクォータを超えています。 | この検出結果は、ロールを引き受けるポリシードキュメントのサイズがポリシーサイズのクォータを超えた場合に生成されます。IAM クォータの詳細については、[「IAM および AWS STS クォータ、名前の要件、および文字制限](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)」を参照してください。 |
| ステートメントには、Amazon S3 のすべての変更アクションが含まれます。これらのアクセス許可を必要なアクションのみにスコープすることを検討してください。ワイルドカードを使用する場合は、制限された一連のミュータティブアクションの範囲を指定してください。 | この検出結果は、特定のポリシーが 1 つ以上のリソースに関係なく、すべての Amazon Simple Storage Service ミューテーションアクセス許可を付与した場合に生成されます。これを解決するには、バケットに対して必要な Amazon S3 ミュータティブアクションのみを含めます。 |
| ステートメントには、Amazon S3 のバケットに対して許可されていない特権アクションが含まれています。これらのアクションを拒否するステートメントを追加することを検討してください。 | この検出結果は、ポリシーが任意のバケットに特権アクションを付与した場合に生成されます。特権アクションのリストについては、「この検出結果を解決[AMS 自動 IAM プロビジョニングアクセス許可の境界チェック](aip-runtime-checks-perm-boundary.md)するには、ポリシーでこれらのアクションを削除または拒否する」を参照してください。 |
| ステートメントには、Amazon S3 のバケットに限定されていない特権アクションが含まれています。バケットを含めるか、AMS 名前空間プレフィックスを持つバケットを除外することを検討してください。ワイルドカードを使用する場合は、名前空間内のバケットと一致することを確認してください。 | この検出結果は、ポリシーがバケットに限定されていない Amazon S3 アクションのみを許可する場合に生成されます。これは、バケットリソースを指定するときにワイルドカードを使用する場合によく発生します。これを解決するには、所有しているバケット名または ARNs を指定するか、AMS 名前空間プレフィックスを持つバケットを除外します。 |
| ステートメントには、Amazon S3 のバケットに限定されていない特権アクションが含まれています。アカウント内のすべてのバケットをスコープするワイルドカード (\$1) の使用は避けることを検討してください。 | この検出結果は、ポリシーがバケットにスコープされていない Amazon S3 アクションを付与した場合に生成されます。これは、バケットリソースを指定するときにワイルドカードを使用する場合によく発生します。これを解決するには、所有しているバケット名または ARNs を指定するか、AMS 名前空間プレフィックスを持つバケットを除外します。 |
| ステートメントには、存在しないバケットや を所有していないバケットなど、すべての Amazon S3 バケットを対象とするリソースワイルドカードが含まれています。条件と`s3:ResourceAccount`条件キーを使用してアクセス許可の範囲を設定することを検討してください。 | この検出結果は、ポリシーがワイルドカードを使用して指定されたバケットにアクセス許可を付与した場合に生成されます。ワイルドカードを使用すると、多くの場合、存在しないバケットや所有者以外のバケットが対象範囲に含まれます。これを解決するには、 条件と `aws:ResourceAccount`条件キーを使用して、現在のアカウント内のバケットにのみアクセス許可をスコープします。詳細については、[「特定の AWS アカウントが所有する Amazon S3 バケットへのアクセスを制限する](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/)」を参照してください。 |
| ステートメントには`NotResource`ポリシー要素が含まれており、存在しないバケットや所有していないバケットなど、多数のバケットにスコープできます。条件と`s3:ResourceAccount`条件キーを使用してアクセス許可の範囲を設定することを検討してください。 | この検出結果は、ポリシーが`NotResources`ポリシー要素を使用してバケットリソースを指定した場合に生成されます。`NotResource` 要素を使用すると、存在しないバケットや所有者ではないバケットなど、多数のバケットがスコープされる可能性があります。これを解決するには、 条件と `aws:ResourceAccount`条件キーを使用して、現在のアカウント内のバケットにのみアクセス許可をスコープします。 |
| ステートメントには、存在しないバケット、アカウント *Account**\$1ID によって所有されていないバケット Bucket\$1Name* への Amazon S3 アクション、または所有していないバケットや存在しないバケットなど、多数のバケットを対象とする可能性のあるワイルドカードの名前が含まれています。条件と条件キーを使用してアクセス許可の範囲を設定することを検討してください`s3:ResourceAccount`。 | この検出結果は、ポリシーが、存在しないバケット、ユーザーが所有していないバケット、または多数のバケットをカバーするバケット名にワイルドカードがあり、アクセスが現在のアカウントのみにスコープされていない場合に生成されます。これを解決するには、 条件と `aws:ResourceAccount`条件キーを使用して、現在のアカウント内のバケットにのみアクセス許可をスコープします。 |
| ステートメントには、存在しないバケット、アカウント *Account**\$1ID によって所有されていないバケット Bucket\$1Name* への Amazon S3 アクション、または所有していないバケットや存在しないバケットなど、多数のバケットにスコープされる可能性のあるワイルドカードの名前が含まれています。条件 の `s3:ResourceAccount`または指定されたリソースアカウントを使用してもアクセスは制限されません。 | この検出結果は、ポリシーが、存在しないバケット、ユーザーが所有していないバケット、または多数のバケットをカバーするバケット名にワイルドカードがあり、アクセスが特定のアカウントのみにスコープされている場合に生成されます。ただし、`aws:ResourceAccount`条件キーで指定されたアカウントはユーザーに属さず、AMS によって管理されます。これを解決するには、 `aws:ResourceAccount` 条件キーを更新し、所有していて AMS によって管理されている適切なアカウント ID を設定します。 |
| ステートメントには、Amazon EC2 のインスタンスに限定されていない特権アクションが含まれています。アクションを特定のインスタンス ARNs、AMS 名前空間プレフィックスの値を持つ名前タグキーを持つインスタンスを除外することを検討してください。ワイルドカードを使用する場合は、所有している名前空間と一致することを確認してください。 | この検出結果は、ポリシーが AMS が所有する Amazon EC2 インスタンスに対して特権アクションを付与した場合に生成されます。AMS インスタンスには、AMS 名前空間の値を持つ**名前**タグキーがタグ付けされます。これを解決するには、 `StringNotLike`演算子を使用して AMS 名前空間の値を除外する`aws:ResourceTag/Name`キーを持つ条件を使用して、リソースを指定するか、AMS インスタンスを除外します。 |
| ステートメントには、 AWS Systems Manager パラメータストアのリソースに限定されていない特権アクションが含まれています。パラメータの ARNs を指定するか、AMS 名前空間プレフィックスを使用してパラメータを除外することを検討してください。ワイルドカードを使用する場合は、パラメータのみを対象とするようにしてください。 | この検出結果は、ポリシーが所有していないパラメータにアクセス許可を付与した場合に生成されます。これは通常、ワイルドカードが使用されている場合、または AMS 名前空間プレフィックスを持つパラメータがポリシーステートメントのリソースにリストされている場合です。これを解決するには、名前空間内のパラメータを指定するか、拒否ステートメントを使用して AMS パラメータを除外します。 |
| ステートメントには、 のリソースに対する特権アクションが含まれています AWS Systems Manager。リソースに対するアクションまたはアクションのみを読み取るためのアクセス許可の範囲を設定することを検討してください。 | この検出結果は、ポリシーが Systems Manager リソースに対してパラメータストアまたは読み取り専用アクション以外のアクセス許可を付与した場合に生成されます。この結果を解決するには、読み取り専用アクションまたはパラメータストアのみのアクセス許可を減らします。 |
| ステートメントには、所有する *Service\$1Name* の \$1message\$1 に限定されていない特権アクションが含まれています。必要に応じて、これらのアクセス許可を特定のリソースタイプにスコープするか、AMS が所有するリソースを除外することを検討してください。ワイルドカードを使用する場合は、*リソース*と一致することを確認してください。 | この検出結果は、ポリシーがリソース、特に名前付きリソースに対して付与されない特権アクションを許可する場合に生成されます。この結果を解決するには、リソースリストを確認し、それらが名前空間にあるリソースのみをスコープするかどうかを確認します。または、AMS 名前空間にあるリソースを除外します。 |
| ステートメントには、名前タグキーの特定の値にスコープされていない \$1*Service\$1Name*\$1 のタグ付けアクションが含まれています。名前空間の値で`aws:RequestTag/Name`条件キーを設定してこれらのアクションの範囲を設定するか、AMS 名前空間プレフィックスの値で `StringNotLike`演算子で`aws:RequestTag/Name`条件キーを設定してこれらのアクションを制限することを検討してください。 | この検出結果は、ポリシーが特定のサービスのタグ付けアクセス許可を付与し、そのアクセス許可が特定のタグキー/値の範囲に含まれていない場合に生成されます。タグアクションで使用できるキーまたは値を絞り込むには、たとえば、アクションを実行するようにリクエストするときは、 `aws:RequestTag/tag key`条件を使用します。したがって、これを解決するには、この条件キーを使用して名前空間のキーまたは値を制限します。または、AMS 名前空間の値を持つ`Name`タグキー (`aws:RequestTag/Name`) を拒否します。 |
| IAM ロールの信頼ポリシーの検証中に内部エラーが発生しました。 | この検出結果は、CT オートメーションが IAM Access Analyzer サービスを介して IAM ロールの信頼ポリシーの検証を実行する際にエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| カスタマー管理ポリシーの検証中に内部エラーが発生しました。 | この検出結果は、IAM Access Analyzer サービスを介してカスタマー管理ポリシーで楕円化を実行する際に、CT オートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| アクセスアナライザーが に見つかりません*AWS リージョン*。ロール信頼ポリシーのアクセスプレビューチェックを実行できません。 | この検出結果は、IAM Access Analyzer リソースが に見つからない場合に生成されます AWS リージョン。AMS オペレーションに連絡して、AWS リージョンで IAM Access Analyzer リソースのトラブルシューティングと作成を行います。 |
| Role*\$1Name *ロールの信頼ポリシーが無効です | この検出結果は、指定された IAM ロールに無効な信頼ポリシーが含まれている場合に生成されます。解決するには、信頼ポリシーを確認して、そのポリシーが有効であることを確認します。 |
| IAM Access Analyzer で内部エラーが発生しました。Role*\$1Name *ロールのアクセスプレビューを作成できませんでした | この検出結果は、IAM Access Analyzer を使用してロールのアクセスプレビューを作成中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| Role*\$1Name *ロールの信頼ポリシーのアクセスプレビューを作成できませんでした | この検出結果は、IAM Access Analyzer を使用してロールのアクセスプレビューを作成中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| リストされた SAML IdP の検証中に内部エラーが発生しました。 | この検出結果は、ロール信頼ポリシーにリストされている指定された SAML IdPs の検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| アクセス許可の検証に関する内部エラー AWS Key Management Service。 | この検出結果は、提供されたポリシーで AWS KMS キーアクセス許可の検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| リストされた管理ポリシー ARNs を検証する内部エラー。 | この検出結果は、リストされた管理ポリシー ARNs。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| デフォルトの`customer_deny_policy`アタッチメントの検証中に内部エラーが発生しました。 | この検出結果は、 `customer_deny_policy`がロールにアタッチされていることの検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| Role*\$1Name *ロールのマネージドポリシー ARN の検証の内部エラー | この検出結果は、ロールのマネージドポリシー ARNsに生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| ユーザー定義の境界ポリシーに対する *Policy\$1name* の検証の内部エラー `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | この検出結果は、カスタム拒否リストを含むポリシーの検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS オペレーションに連絡してエラーのトラブルシューティングを行います。 |
| カスタマー定義の境界ポリシー`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`がアカウントに存在する。ただし、ポリシーには、アクセス許可を付与する許可ステートメントが含まれています。ポリシーには拒否ステートメントのみを含める必要があります。 | この検出結果は、カスタム拒否リストを含むポリシーに、 アクセス許可を付与するステートメントが含まれている場合に生成されます。カスタム拒否リストは IAM 管理ポリシーとしてアカウント内に存在しますが、アクセス許可管理には使用できません。ポリシーには、AMS 自動 IAM プロビジョニングが作成する IAM ポリシーでそれらのアクションを検証および拒否することを示す拒否ステートメントのみを含める必要があります。 |
| ステートメントには、*Service\$1Name* の組織によって定義された特権アクションが含まれています。拒否ステートメントを使用してこれらのアクションを除外することを検討してください。制限付きアクションのリストを参照するには、アカウントで という名前のポリシーを参照してください。 | この検出結果は、カスタム拒否リストで定義したポリシー内のアクションをオートメーションが検出したときに生成されます。検出結果を解決するには、ポリシーステートメントを確認し、カスタム拒否リストで定義されているアクションを削除するか、それらのアクションを拒否する拒否ステートメントを追加します。 |
| ロールには *POLICY\$1ARN* がアタッチされている必要があります。マネージドポリシー ARN のリストにポリシー ARNs。 | この検出結果は、作成するロールに *POLICY\$1ARN* がアタッチされていない場合に生成されます。これを解決するには、ロールの **ManagedPolicyArns** フィールドに *POLICY\$1ARN* を含めて、もう一度試してください。 |
| *POLICY\$1ARN* をロールからデタッチすることはできません。マネージドポリシー ARN のリストにポリシー ARNs。 | この検出結果は、更新中に *POLICY\$1ARN* がロールからデタッチされた場合に生成されます。これを解決するには、ロールの **ManagedPolicyArns** フィールドに *POLICY\$1ARN* を追加して、もう一度試してください。 |
# AMS 自動 IAM プロビジョニングアクセス許可の境界チェック
AMS アクセス許可の境界チェックは、AMS が提供するデフォルトのアクセス許可の境界ポリシーに準拠するのに役立ちます。このポリシーは、AMS 自動 IAM プロビジョニングによって拒否されたアクションのリストです。これらの制限されたアクションを含むプロビジョニングポリシーには、追加の明示的なリスク承諾が必要です。ポリシーをここでダウンロードします: [boundary-policy.zip](samples/boundary-policy.zip)。
カスタマー定義のアクセス許可境界ポリシーチェックを使用して、AMS アクセス許可境界ポリシーのデフォルトを超える拒否アクションをカスタマイズします。次の変更タイプを使用して AMS 自動 IAM プロビジョニングにオンボードする場合: 管理 \$1 マネージドアカウント \$1 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング \$1 [有効化 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvvk6j9hf)、追加の制限付きアクションを指定するカスタム拒否アクションのリストを含めることができます。
拒否アクションのリストは、次の変更タイプを使用して更新できます。管理 \$1 マネージドアカウント \$1 読み取り/書き込みアクセス許可による自動 IAM プロビジョニング \$1 [カスタム拒否リストの更新](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0)。この変更タイプ`AWSManagedServicesIAMProvisionAdminRole`を実行するには、専用の IAM ロールを使用する必要があります。
**注記**
更新ごとに拒否アクションの包括的なリストを提供する必要があります。前のリストは新しいリストに置き換えられます。
拒否アクションのリストには、拒否するアクションのみを含める必要があります。許可アクションはサポートされていません。
拒否アクションのリストは、 という名前の IAM 管理ポリシーとしてアカウント内にあります`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`。ポリシーをロールにアタッチすることはできません。
AMS 自動 IAM プロビジョニングで拒否されたアクションを示すために使用される*アクセス許可の境界*という用語は、IAM アクセス許可の境界とは異なるコンテキスト上の意味を持ちます。IAM アクセス許可の境界は、ポリシーが実行時に IAM エンティティに付与できるアクセス許可の上限を設定します。IAM アクセス許可の境界の詳細については、*AWS Identity and Access Management 「 ユーザーガイド*」の[「ポリシータイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)」を参照してください。AMS 自動 IAM プロビジョニングのアクセス許可の境界により、アクションの拒否リストなど、特定のアクセス許可のセットを含む IAM ポリシーをプロビジョニングできなくなります。
# AMS 自動 IAM プロビジョニングのフェンディングとエラーのトラブルシューティング
AMS 自動 IAM プロビジョニングを使用する際に問題が発生する方法は 3 つあります。
+ RFC エラー: これらは、誤った入力など、さまざまな理由で発生する可能性があります。詳細については、「[AMS での RFC エラーのトラブルシューティング](rfc-troubleshoot.md)」を参照してください。
+ SSM エラー: フォーマットが悪いなど、さまざまな理由で発生する可能性があります。詳細については、[「Systems Manager Automation のトラブルシューティング](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html)」を参照してください。
+ 検証チェックの検出結果: 自動 IAM プロビジョニングが実行する多数の検証チェックのいずれかで問題が見つかった場合に発生します。検証チェックのリストと修正すべき推奨アクションについては、「」を参照してください[AMS での AMS 自動 IAM プロビジョニングのランタイムチェック](aip-runtime-checks.md)。