翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Resource Explorer
のクラウドセキュリティが最優先事項 AWS です。 AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWS とユーザーの間で共有される責任です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。
+ **クラウドのセキュリティ** — AWS は、 AWS のサービス で実行されるインフラストラクチャを保護する責任を担います AWS クラウド。また、 は、お客様が安全に使用できるサービス AWS も提供します。コンプライアンス[AWS プログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラム の一環として、サードパーティーの監査者は定期的にセキュリティの有効性をテストおよび検証。Resource Explorer に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS のサービス による対象範囲内の」、「コンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** — お客様の責任は AWS のサービス 、使用する によって決まります。また、お客様は、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Resource Explorer。ここでは、セキュリティとコンプライアンスの目標を満たすように Resource Explorer を設定する方法を説明します。また、Resource Explorer リソースのモニタリングや保護 AWS のサービス に役立つ他の の使用方法についても説明します。
**Topics**
+ [IAM ポリシーを にアップグレードする IPv6](arex-security-ipv6-upgrade.md)
+ [ID およびアクセス管理](security_iam.md)
+ [データ保護](data-protection.md)
+ [コンプライアンス検証](compliance-validation.md)
+ [耐障害性](disaster-recovery-resiliency.md)
+ [インフラストラクチャセキュリティ](infrastructure-security.md)
# IAM ポリシーを にアップグレードする IPv6
AWS Resource Explorer のお客様は、IAMポリシーを使用して IP アドレスの許容範囲を設定し、設定された範囲外の IP アドレスが Resource Explorer にアクセスできないようにしますAPIs。
*resource-explorer-2。*region*Resource Explorer がホストされている .api.aws* ドメインAPIsは、 IPv6に加えて をサポートするようにアップグレードされていますIPv4。
アドレスを処理するように更新されていない IP IPv6 アドレスフィルタリングポリシーは、クライアントが Resource Explorer APIドメインのリソースにアクセスできなくなる可能性があります。
## から IPv4 へのアップグレードの影響を受けるお客様 IPv6
*aws:sourceIp* を含むポリシーでデュアルアドレス指定を使用しているお客様は、このアップグレードの影響を受けます。デュアルアドレス指定は、ネットワークが IPv4と の両方をサポートしていることを意味しますIPv6。
デュアルアドレス指定を使用している場合は、現在IPv4フォーマットアドレスで設定されているIAMポリシーを更新して、IPv6フォーマットアドレスを含める必要があります。
アクセスに関する問題については、[サポート](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create) にお問い合わせください。
**注記**
次のお客様は、アップグレードの影響は受けません。**
IPv4 ネットワーク*のみ*を利用しているお客様。
IPv6 ネットワーク*のみ*を利用しているお客様。
## IPv6 とは?
IPv6 は、最終的に を置き換えることを意図した次世代 IP 標準ですIPv4。以前のバージョン ではIPv4、32 ビットのアドレス指定スキームを使用して 43 億台のデバイスをサポートしています。IPv6 代わりに、 は 128 ビットアドレス指定を使用して、約 340 兆兆 (または 128 番目の電力に 2) デバイスをサポートします。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## の IAMポリシーの更新 IPv6
IAM ポリシーは現在、 `aws:SourceIp` フィルターを使用して IP アドレスの許容範囲を設定するために使用されます。
デュアルアドレス指定は、 IPv4および IPV6トラフィックの両方をサポートします。ネットワークでデュアルアドレス指定を使用している場合は、IP アドレスフィルタリングに使用されるIAMポリシーがIPv6アドレス範囲を含むように更新されていることを確認する必要があります。
例えば、この Amazon S3 バケットポリシーは、 `Condition`要素`203.0.113.0.*`で許可されたIPv4アドレス範囲 `192.0.2.0.*` と を識別します。
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
このポリシーを更新するには、ポリシーの `Condition`要素が更新され、IPv6アドレス範囲 `2001:DB8:1234:5678::/64`と が含まれます`2001:cdba:3257:8593::/64`。
**注記**
下位互換性のために必要になるため、NOTREMOVE既存のIPv4アドレスを実行します。
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
によるアクセス許可の管理の詳細についてはIAM、「 ユーザーガイド」の[「 管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)*AWS Identity and Access Management *」を参照してください。
## クライアントが をサポートできることを確認する IPv6
*resource-explorer-2.\$1region\$1.api.aws* エンドポイントを使用しているお客様は、クライアントが既にIPv6有効になっている他の AWS のサービス エンドポイントにアクセスできるかどうかを確認することをお勧めします。次の手順では、これらのエンドポイントを検証する方法について説明します。
この例では、Linux および curl バージョン 8.6.0 を使用し、*api.aws* [ドメイン にあるエンドポイントを有効にした Amazon Athena サービス](https://docs.aws.amazon.com/general/latest/gr/athena.html)エンドポイントを使用します。 IPv6
**注記**
AWS リージョン を、クライアントが配置されているのと同じリージョンに切り替えます。この例では、米国東部 (バージニア北部) – `us-east-1`エンドポイントを使用します。
1. 次の curl コマンドを使用して、エンドポイントがIPv6アドレスで解決されるかどうかを確認します。
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. 次の curl コマンドIPv6を使用して、クライアントネットワークが接続を行えるかどうかを確認します。
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
リモート IP が特定され**、**レスポンスコードが でない場合`0`、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv6。
リモート IP が空白の場合、またはレスポンスコードが の場合`0`、クライアントネットワークまたはエンドポイントへのネットワークパスは IPv4のみになります。この設定は、次の curl コマンドで確認できます。
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
リモート IP が特定され**、**レスポンスコードが でない場合`0`、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv4。オペレーティングシステムはクライアントに有効なプロトコルを選択する必要があるため、リモート IP は IPv4 アドレスである必要があります。リモート IP がIPv4アドレスでない場合は、次のコマンドを使用して curl に の使用を強制しますIPv4。
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# のアイデンティティとアクセスの管理 AWS Resource Explorer
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、Resource Explorer リソースの使用を*認証* (サインイン) および*承認* (アクセス許可を持つ) できるユーザーを制御します。IAM は、追加料金なしで AWS のサービス 使用できる です。
**Topics**
+ [対象者](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Resource Explorer と の連携方法 IAM](security_iam_service-with-iam.md)
+ [AWS Resource Explorer アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Organizations および Resource Explorer のサービスコントロールポリシーの例](security_iam_scp.md)
+ [AWS の マネージドポリシー AWS Resource Explorer](security_iam_awsmanpol.md)
+ [Resource Explorer でのサービスリンクロールの使用](security_iam_service-linked-roles.md)
+ [アクセス AWS Resource Explorer 許可のトラブルシューティング](security_iam_troubleshoot.md)
## 対象者
AWS Identity and Access Management (IAM) の使用方法は、Resource Explorer で行う作業によって異なります。
**サービスユーザー** – Resource Explorer サービスを使用してジョブを実行する場合は、必要なアクセス許可と認証情報を管理者が用意します。作業を実行するためにさらに多くの Resource Explorer 機能の使用を必要とする場合は、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解しておくと、管理者に適切な許可をリクエストするうえで役立ちます。Resource Explorer のいずれかの機能にアクセスできない場合は、[アクセス AWS Resource Explorer 許可のトラブルシューティング](security_iam_troubleshoot.md)を参照してください。
**サービス管理者** – 社内の Resource Explorer リソースの管理を担当している管理者は、通常、Resource Explorer へのフルアクセスを持っています。各サービスユーザーがどの Resource Explorer 機能やリソースにアクセスできるかを決めるのは管理者の仕事です。その後、サービスユーザーのアクセス許可を変更するリクエストをIAM管理者に送信する必要があります。このページの情報を確認して、 の基本概念を理解しますIAM。Resource Explorer IAMで を使用する方法の詳細については、「」を参照してください[Resource Explorer と の連携方法 IAM](security_iam_service-with-iam.md)。
**IAM 管理者** – IAM管理者の場合は、Resource Explorer へのアクセスを管理するポリシーの作成方法の詳細を知りたい場合があります。で使用できる Resource Explorer アイデンティティベースのポリシーの例を表示するにはIAM、「」を参照してください[AWS Resource Explorer アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)。
## アイデンティティを使用した認証
認証は、アイデンティティ認証情報 AWS を使用して にサインインする方法です。として、IAMユーザーとして AWS アカウントのルートユーザー、またはIAMロールを引き受けて*認証* ( にサインイン AWS) される必要があります。
ID ソースを介して提供された認証情報を使用して、フェデレーティッド ID AWS として にサインインできます。 AWS IAM アイデンティティセンター (IAM Identity Center) ユーザー、会社のシングルサインオン認証、Google または Facebook の認証情報は、フェデレーティッド ID の例です。フェデレーティッド ID としてサインインすると、管理者は以前にIAMロールを使用して ID フェデレーションをセットアップしていました。フェデレーション AWS を使用して にアクセスすると、間接的にロールを引き受けることになります。
ユーザーのタイプに応じて、 AWS マネジメントコンソール または AWS アクセスポータルにサインインできます。へのサインインの詳細については AWS、 *AWS サインイン ユーザーガイド*の[「 へのサインイン方法 AWS アカウント](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
AWS プログラムで にアクセスする場合、 はソフトウェア開発キット (SDK) とコマンドラインインターフェイス (CLI) AWS を提供し、認証情報を使用してリクエストに暗号化して署名します。 AWS ツールを使用しない場合は、自分でリクエストに署名する必要があります。推奨される方法を使用してリクエストを自分で署名する方法の詳細については、*IAM「 ユーザーガイド*」の[「リクエストの署名 AWS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)」を参照してください。
使用する認証方法を問わず、追加セキュリティ情報の提供をリクエストされる場合もあります。例えば、 では、アカウントのセキュリティを高めるために多要素認証 (MFA) を使用する AWS ことをお勧めします。詳細については、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「多要素認証](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html)の使用」および[「 ユーザーガイド」の「多要素認証の使用 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。 *IAM *
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、アカウント内のすべての および リソースへの AWS のサービス 完全なアクセス権を持つ 1 つのサインイン ID から始めます。この ID は AWS アカウント *ルートユーザー*と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインしてアクセスします。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、*IAM「 ユーザーガイド*」の[「ルートユーザーの認証情報を必要とするタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*とは、1 人のユーザーまたはアプリケーションに対して特定のアクセス許可 AWS アカウント を持つ 内の ID です。可能であれば、パスワードやアクセスキーなどの長期的な認証情報を持つIAMユーザーを作成する代わりに、一時的な認証情報に依存することをお勧めします。ただし、IAMユーザーとの長期的な認証情報を必要とする特定のユースケースがある場合は、アクセスキーをローテーションすることをお勧めします。詳細については、*IAM「 ユーザーガイド*」の[「長期的な認証情報を必要とするユースケースのアクセスキーを定期的にローテーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)する」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)、IAMユーザーのコレクションを指定する ID です。グループとしてサインインすることはできません。グループを使用して、複数のユーザーに対して一度に権限を指定できます。多数のユーザーグループがある場合、グループを使用することで権限の管理が容易になります。例えば、 という名前のグループがあり*IAMAdmins*、そのグループにIAMリソースを管理するアクセス許可を付与できます。
ユーザーは、ロールとは異なります。ユーザーは 1 人の人または 1 つのアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時認証情報が提供されます。詳細については、 *IAM ユーザーガイド*の [(ロールではなく) IAM ユーザーを作成するタイミング](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)を参照してください。
### ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可 AWS アカウント を持つ 内の ID です。ユーザーと似ていますがIAM、特定の人物には関連付けられていません。IAM ロール を切り替える AWS マネジメントコンソール ことで[、 でロールを](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)一時的に引き受けることができます。または AWS API オペレーションを AWS CLI 呼び出すか、カスタム を使用してロールを引き受けることができますURL。ロールを使用する方法の詳細については、 *IAM ユーザーガイド*の[「ロールを引き受ける方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM 一時的な認証情報を持つ ロールは、以下の状況で役立ちます。
+ **フェデレーションユーザーアクセス** – フェデレーティッド ID に許可を割り当てるには、ロールを作成してそのロールの許可を定義します。フェデレーティッド ID が認証されると、その ID はロールに関連付けられ、ロールで定義されている許可が付与されます。フェデレーションのロールの詳細については、 *IAM ユーザーガイド*の[「サードパーティー ID プロバイダーのロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。IAM Identity Center を使用する場合は、アクセス許可セットを設定します。ID が認証された後にアクセスできる内容を制御するために、IAMIdentity Center はアクセス許可セットを のロールに関連付けますIAM。アクセス許可セットの詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
+ **一時的なIAMユーザーアクセス許可** – IAM ユーザーまたはロールは、特定のタスクに対して異なるアクセス許可を一時的に引き受けるIAMロールを引き受けることができます。
+ **クロスアカウントアクセス** — IAMロールを使用して、別のアカウントの誰か (信頼できるプリンシパル) が自分のアカウントのリソースにアクセスすることを許可できます。クロスアカウントアクセスを許可する主な方法は、ロールを使用することです。ただし、一部の では AWS のサービス、 (プロキシとしてロールを使用する代わりに) リソースに直接ポリシーをアタッチできます。クロスアカウントアクセスのロールとリソースベースのポリシーの違いについては、*IAM「 ユーザーガイド*[」の「 のクロスアカウントリソースアクセスIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
+ **クロスサービスアクセス** — 他の の機能 AWS のサービス を使用するものもあります AWS のサービス。例えば、 サービスで呼び出しを行う場合、そのサービスが Amazon でアプリケーションを実行EC2したりAmazon S3にオブジェクトを保存したりするのが一般的です。サービスでは、呼び出し元プリンシパルの許可、サービスロール、またはサービスリンクロールを使用してこれを行う場合があります。
+ **転送アクセスセッション (FAS)** – IAM ユーザーまたはロールを使用して でアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストのリクエストを使用します。FAS リクエストは、サービスが他の AWS のサービス または リソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するための権限が必要です。FAS リクエストを行う際のポリシーの詳細については、[「アクセスセッションの転送](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
+ **サービスロール** – サービスロールは、ユーザーに代わってアクションを実行するためにサービスが引き受ける[IAMロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、 内からサービスロールを作成、変更、削除できますIAM。詳細については、*IAM「 ユーザーガイド*」の[「 にアクセス許可を委任するロールの作成 AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
+ **サービスにリンクされたロール** – サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、 サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示することはできますが、編集することはできません。
+ **Amazon で実行されているアプリケーション EC2** – IAMロールを使用して、EC2インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2インスタンス内にアクセスキーを保存するよりも望ましいです。 AWS ロールをEC2インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルには ロールが含まれており、EC2インスタンスで実行されているプログラムが一時的な認証情報を取得できるようにします。詳細については、*IAM「 ユーザーガイド*[」のIAM「ロールを使用して Amazon EC2インスタンスで実行されているアプリケーションにアクセス許可を付与](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)する」を参照してください。
IAM ロールとIAMユーザーのどちらを使用するかについては、*IAM「 ユーザーガイド*[」の「 (ユーザーではなく) IAMロールを作成するタイミング](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role)」を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御するには、ポリシー AWS を作成し、 AWS アイデンティティまたはリソースにアタッチします。ポリシーは AWS 、アイデンティティまたはリソースに関連付けられているときにアクセス許可を定義するオブジェクトです。 は、プリンシパル (ユーザー、ルートユーザー、またはロールセッション) がリクエストを行うときに、これらのポリシー AWS を評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーはJSONドキュメント AWS として に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、「 ユーザーガイド[」のJSON「ポリシーの概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。 *IAM *
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
デフォルトでは、ユーザーやロールに権限はありません。必要なリソースに対してアクションを実行するアクセス許可をユーザーに付与するには、IAM管理者はIAMポリシーを作成できます。その後、管理者はIAMポリシーをロールに追加し、ユーザーはロールを引き受けることができます。
IAM ポリシーは、オペレーションの実行に使用する方法に関係なく、アクションのアクセス許可を定義します。例えば、`iam:GetRole`アクションを許可するポリシーがあるとします。そのポリシーを持つユーザーは、 AWS マネジメントコンソール、、 AWS CLIまたは AWS からロール情報を取得できますAPI。
### アイデンティティベースのポリシー
ID ベースのポリシーは、IAMユーザー、ユーザーのグループ、ロールなどの ID にアタッチできるJSONアクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。ID ベースのポリシーを作成する方法については、*IAM「 ユーザーガイド*」の[IAM「ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
アイデンティティベースのポリシーは、さらにインラインポリシーまたはマネージドポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。マネージドポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンポリシーです AWS アカウント。管理ポリシーには AWS 、管理ポリシーとカスタマー管理ポリシーが含まれます。マネージドポリシーまたはインラインポリシーを選択する方法については、 *IAM ユーザーガイド*の[「マネージドポリシーとインラインポリシーの選択](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースにアタッチするJSONポリシードキュメントです。リソースベースのポリシーの例としては、IAM*ロール信頼ポリシー* と Amazon S3 *バケットポリシー があります*。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーIAMでは、 から AWS 管理ポリシーを使用することはできません。
AWS Resource Explorer はリソースベースのポリシーをサポートしていません。
### アクセスコントロールリスト (ACLs)
アクセスコントロールリスト (ACLs) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするアクセス許可を持っているかを制御します。ACLs はリソースベースのポリシーに似ていますが、JSONポリシードキュメント形式は使用されません。
Amazon S3、および Amazon VPCは AWS WAF、 をサポートするサービスの例ですACLs。の詳細についてはACLs、*「Amazon Simple Storage Service デベロッパーガイド*」の[「アクセスコントロールリスト (ACL) 概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)」を参照してください。
AWS Resource Explorer は をサポートしていませんACLs。
### その他のポリシータイプ
AWS は、追加の低頻度のポリシータイプをサポートします。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大の権限を設定できます。
+ アクセス**許可の境界** – アクセス許可の境界は、アイデンティティベースのポリシーがIAMエンティティ (IAMユーザーまたはロール) に付与できる最大アクセス許可を設定する高度な機能です。エンティティにアクセス許可の境界を設定できます。結果として得られる権限は、エンティティのアイデンティティベースポリシーとそのアクセス許可の境界の共通部分になります。`Principal` フィールドでユーザーまたはロールを指定するリソースベースのポリシーでは、アクセス許可の境界は制限されません。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。アクセス許可の境界の詳細については、*IAM「 ユーザーガイド*[」のIAM「エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCPs)** – SCPs は、 の組織または組織単位 (OU) の最大アクセス許可を指定するJSONポリシーです AWS Organizations。 AWS Organizations は、ビジネスが所有する複数の をグループ化して一元管理するためのサービス AWS アカウント です。組織内のすべての機能を有効にすると、サービスコントロールポリシー (SCPs) をアカウントのいずれかまたはすべてに適用できます。は、各 を含むメンバーアカウントのエンティティのアクセス許可SCPを制限します AWS アカウントのルートユーザー。Organizations と の詳細についてはSCPs、*AWS Organizations 「 ユーザーガイド*」の[「サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **セッションポリシー** - セッションポリシーは、ロールまたはフェデレーションユーザーの一時的なセッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果としてセッションの権限は、ユーザーまたはロールのアイデンティティベースポリシーとセッションポリシーの共通部分になります。また、リソースベースのポリシーから権限が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。詳細については、「 ユーザーガイド」の[「セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。 *IAM *
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成される権限を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、「 ユーザーガイド」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。 *IAM *
# Resource Explorer と の連携方法 IAM
IAM を使用して へのアクセスを管理する前に AWS Resource Explorer、Resource Explorer で使用できるIAM機能を理解しておく必要があります。Resource Explorer およびその他の が と AWS のサービス 連携する方法の概要を把握するにはIAM、「 *IAMユーザーガイド*」の「 [AWS のサービス と連携する IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 」を参照してください。
**Topics**
+ [Resource Explorer アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Resource Explorer タグに基づいた承認](#security_iam_service-with-iam-tags)
+ [Resource Explorer IAMロール](#security_iam_service-with-iam-roles)
他の と同様に AWS のサービス、Resource Explorer には、そのオペレーションを使用してリソースとやり取りするためのアクセス許可が必要です。検索するには、ユーザーはビューの詳細を取得する権限と、そのビューを使用して検索する権限を持っている必要があります。さらに、インデックスやビューを作成したり、それらおよびその他の Resource Explorer 設定を変更するには、追加の権限が必要です。
適切なIAMプリンシパルにこれらのアクセス許可を付与するIAMアイデンティティベースのポリシーを割り当てます。Resource Explorer には、共通のアクセス許可セットを事前定義した[いくつかのマネージドポリシー](security_iam_awsmanpol.md)が用意されています。これらをIAMプリンシパルに割り当てることができます。
## Resource Explorer アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、特定のリソースに対する許可または拒否されたアクションと、それらのアクションが許可または拒否される条件を指定できます。Resource Explorer は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「 ユーザーガイド」の「 [IAMJSONポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)*IAM*」を参照してください。
### アクション
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action`要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションがない*アクセス許可のみのアクション*など、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
Resource Explorer のポリシーアクションは、アクションの前に `resource-explorer-2` サービスプレフィックスを使用します。例えば、Resource Explorer `Search`APIオペレーションを使用してビューを使用して検索するアクセス許可を付与するには、そのプリンシパルに割り当てられたポリシーに `resource-explorer-2:Search`アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` 要素を含める必要があります。Resource Explorer は、このサービスで実行できるタスクを記述する独自のアクションセットを定義します。これらは Resource Explorer APIオペレーションと一致します。
1 つのステートメントで複数のアクションを指定するには、次の例のようにカンマで区切ります。
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
ワイルドカード文字 (`*`) を使用すると、複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "resource-explorer-2:Describe*"
```
Resource Explorer アクションのリストを確認するには、「AWS サービス認証リファレンス」の「[AWS Resource Explorerで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)」を参照してください。
### リソース
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
Policy `Resource`JSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、`Resource` または `NotResource` 要素を含める必要があります。ベストプラクティスとして、[Amazon リソースネーム (ARN) を使用してリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)を指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
#### ビュー
Resource Explorer の主要なリソースタイプはビューです。
Resource Explorer ビューリソースのARN形式は次のとおりです。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
Resource Explorer ARNの形式を次の例に示します。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**注記**
ビューARNの には、すべてのビューが一意であることを確認するために、末尾に一意の識別子が含まれています。これにより、削除された古いビューへのアクセス権を付与した IAMポリシーを使用して、古いビューと同じ名前の新しいビューへのアクセス権を誤って付与することがなくなります。すべての新しいビューは、 が再利用されないように、最後に新しい一意の ID ARNs を受け取ります。
の形式の詳細についてはARNs、[「Amazon リソースネーム (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
IAM プリンシパルに割り当てられたIAMアイデンティティベースのポリシーを使用し、ビューを として指定します`Resource`。これにより、あるビューからは 1 つのプリンシパルセットへの検索アクセスを許可し、同時にまったく異なるビューから別のプリンシパルセットへの検索アクセスを許可できます。
例えば、IAMポリシーステートメント`ProductionResourcesView`で という名前の単一のビューにアクセス許可を付与するには、まずビューの [Amazon リソース名 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を取得します。コンソール**[のビュー](https://console.aws.amazon.com/resource-explorer/home#/views)**ページを使用してビューの詳細を表示したり、 `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`オペレーションを呼び出して必要なビューARN全体を取得したりできます。次に、1 つのビューの定義のみを変更する権限を付与する次の例のように、それをポリシーステートメントに含めます。
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
特定のアカウントに属する***すべての***ビューでアクションを許可するには、 の関連部分でワイルドカード文字 (`*`) を使用しますARN。次の例では、指定した AWS リージョン およびアカウントのすべてのビューに検索権限を付与しています。
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
`CreateView` などの一部の Resource Explorer アクションは、次の例のようにリソースがまだ存在しない場合には特定のリソースに対しては実行されません。このような場合は、リソース 全体にワイルドカード文字 (`*`) を使用する必要がありますARN。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
ワイルドカード文字で終わるパスを指定すると、承認されたパスのみを使用してビューを作成するように `CreateView` 操作を制限できます。以下のポリシー例は、プリンシパルがパス `view/ProductionViews/` 内のみでビューを作成できるようにする方法を示しています。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### [Index] (インデックス)
Resource Explorer 機能へのアクセスをコントロールするために使用できるもう 1 つのリソースタイプは、インデックスです。
インデックスを操作する主な方法は、そのリージョンにインデックスを作成することにより AWS リージョン で Resource Explorer をオンにすることです。その後は、ビューを操作して他のほとんどすべてを行います。
インデックスでできることの 1 つは、各リージョンでどのユーザーがビューを**作成**できるかを制御することです。
**注記**
ビューを作成すると、 は、インデックスではなく、ビューARNの のみに対して他のすべてのビューアクションIAMを承認します。
インデックスには、アクセス許可ポリシーで参照[ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)できる があります。Resource Explorer インデックスARNの形式は次のとおりです。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
Resource Explorer インデックス の次の例を参照してくださいARN。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
Resource Explorer アクションの中には、複数のリソースタイプに対して認証をチェックするものがあります。例えば、 [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)オペレーションは、Resource Explorer がインデックスを作成した後と同様に、インデックスARNの とビューARNの の両方に対して を許可します。Resource Explorer サービスを管理する権限を管理者に付与するには、`"Resource": "*"` を使用して任意のリソース、インデックス、またはビューに対するアクションを承認します。
あるいは、プリンシパルが特定の Resource Explorer リソースのみを操作できるように制限することもできます。例えば、アクションを指定されたリージョンの Resource Explorer リソースのみに制限するには、インデックスとビューの両方に一致するARNテンプレートを含めることができますが、呼び出すリージョンは 1 つだけです。次の例では、 は、指定されたアカウントの`us-west-2`リージョンのみのインデックスまたはビューの両方ARNに一致します。の 3 番目のフィールドにリージョンを指定しますがARN、最後のフィールドにワイルドカード文字 (\$1) を使用して、任意のリソースタイプを照合します。
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
詳細については、「AWS サービス認証リファレンス」の「[AWS Resource Explorerで定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies)」を参照してください。各リソースARNの を指定できるアクションについては、[「 で定義されるアクション AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)」を参照してください。
### 条件キー
Resource Explorer にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」の[AWS 「 グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)*IAM*」を参照してください。
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**が、どの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Condition` 要素 (または `Condition` ブロック) を使用すると、ステートメントが有効な条件を指定できます。`Condition` 要素はオプションです。イコールや未満などの [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」の[IAM「ポリシー要素: 変数とタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)*IAM*」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」の[AWS 「 グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)*IAM*」を参照してください。
Resource Explorer で使用できる条件キーのリストについては、「AWS サービス認証リファレンス」の「[AWS Resource Explorerの条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys)」を参照してください。どのアクションおよびリソースで条件キーを使用できるかについては、「[AWS Resource Explorerで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)」を参照してください。
### 例
Resource Explorer のアイデンティティベースポリシーの例を確認するには、「[AWS Resource Explorer アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Resource Explorer タグに基づいた承認
タグを Resource Explorer ビューにアタッチすることも、Resource Explorer へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを管理するには、`resource-explorer-2:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの [条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Resource Explorer リソースへのタグ付けの詳細については、「[ビューへのタグの追加](manage-views-tag.md)」を参照してください。Resource Explorer でタグベースの認証を使用する方法については、「[タグベースの認証を使用してビューへのアクセスを制御します。](manage-views-grant-access.md#manage-views-grant-access-abac)」を参照してください。
## Resource Explorer IAMロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可 AWS アカウント を持つ 内のプリンシパルです。
### Resource Explorer を使用した一時認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインしたり、 IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。一時的なセキュリティ認証情報を取得するには、 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)や などの AWS Security Token Service (AWS STS) APIオペレーションを呼び出します[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
Resource Explorer では、一時認証情報の使用をサポートしています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると AWS のサービス 、 は他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
Resource Explorer は、サービスリンクロールを使用して作業を実行します。サービスリンクロールの詳細については、「[Resource Explorer でのサービスリンクロールの使用](security_iam_service-linked-roles.md)」を参照してください。
# AWS Resource Explorer アイデンティティベースポリシーの例
デフォルトでは、ロール、グループ、ユーザーなどのAWS Identity and Access Management (IAM) プリンシパルには、Resource Explorer リソースを作成または変更するアクセス許可はありません。また、AWS マネジメントコンソール や AWS Command Line Interface (AWS CLI)、AWS API を使用してタスクを実行することもできません。IAM 管理者は、各プリンシパルが指定されたリソースで特定の API オペレーションを実行するのに必要とするアクセス許可をプリンシパルに付与する IAM ポリシーを作成する必要があります。そのうえで、管理者はアクセス許可を必要とする各 IAM プリンシパルにそれらのポリシーをアタッチします。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「AWS IAM アイデンティティセンター ユーザーガイド」の「[シークレットの作成と管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ ID プロバイダーを通じて IAM で管理されているユーザー:
ID フェデレーションのロールを作成する。詳細については、「IAM ユーザーガイド」の「[サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。
+ IAM ユーザー:
+ ユーザーが実行できるロールを作成します。手順については、「IAM ユーザーガイド」の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
+ (非推奨) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「[ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」の指示に従います。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーのベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Resource Explorer コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [タグに基づいてビューへのアクセスを許可する](#security_iam_id-based-policy-examples-abac-views)
+ [タグベースのビュー作成のためのアクセス許可を付与する](#security_iam_id-based-policy-examples-abac-createview)
+ [ユーザーが自分の権限を確認できるようにする](#security_iam_id-based-policy-examples-view-own-permissions)
## ポリシーのベストプラクティス
ID ベースのポリシーは、お使いのアカウントでそのユーザーが Resource Explorer リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウント に追加料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください。
+ **AWS マネージドポリシーを使用して開始し、最小特権の許可に移行する** – ユーザーとワークロードへの許可の付与を開始するには、多くの一般的なユースケースのために許可を付与する *AWS マネージドポリシー*を使用します。これらは AWS アカウント で使用できます。ユースケースに応じた AWS カスタマーマネージドポリシーを定義することで、許可をさらに減らすことをお勧めします。詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」または「[AWS ジョブ機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
+ **最小特権を適用する** – IAM ポリシーで許可を設定するときは、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、*最小特権アクセス許可*とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、「*IAM ユーザーガイド*」の「[IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** – ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定することができます。また、AWS のサービス などの特定の CloudFormation を介して使用する場合、条件を使用してサービスアクションへのアクセスを許可することもできます。詳細については、「IAM ユーザーガイド」の [[IAM JSON policy elements: Condition]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM JSON ポリシー要素:条件) を参照してください。
+ **IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な許可を確保する** - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM Access Analyzer は 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーを作成できるようサポートします。詳細については、「IAM ユーザーガイド」の「[IAM Access Analyzer ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」を参照してください。
+ **多要素認証 (MFA) を要求する** – AWS アカウント で IAM ユーザーまたはルートユーザーを要求するシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「IAM ユーザーガイド」の「[MFA 保護 API アクセスの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)」を参照してください。
IAM でのベストプラクティスの詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
## Resource Explorer コンソールの使用
プリンシパルが AWS Resource Explorer コンソール内で検索を行うには、一連の最小限のアクセス許可が必要です。必要最小限のアクセス許可を持つ ID ベースのポリシーを作成しないと、Resource Explorer コンソールはアカウント内のプリンシパルに対して意図したとおりに機能しません。
`AWSResourceExplorerReadOnlyAccess` という名前の AWS マネージドポリシーを使用して、アカウント内の任意のビューを使用した Resource Explorer コンソールでの検索を可能にすることができます。1 つのビューのみで検索する権限を付与するには、[検索用の Resource Explorer ビューへのアクセス許可の付与](manage-views-grant-access.md) および次の 2 つのセクションの例を参照してください。
AWS CLI または AWS API のみを呼び出すプリンシパルには、最小限のコンソール許可を付与する必要はありません。その場合、そのプリンシパルが実行する必要のある API 操作に一致するアクションのみへのアクセス許可を付与することができます。
## タグに基づいてビューへのアクセスを許可する
この例では、お使いの AWS アカウント 内の Resource Explorer ビューへのアクセス許可をアカウント内のプリンシパルに付与します。そのためには、Resource Explorer で検索できるようにするプリンシパルに IAM ID ベースのポリシーを割り当てます。次の IAM ポリシーの例では、呼び出し元のプリンシパルに添付されている `Search-Group` タグが、リクエストで使用されているビューに添付されている同じタグの値と完全に一致する場合にそのリクエストへのアクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
このポリシーをアカウント内の IAM プリンシパルに割り当てることができます。タグ `Search-Group=A` を持つプリンシパルが Resource Explorer ビューを使用して検索を行うには、ビュー側にも `Search-Group=A` タグが付されている必要があります。そうでない場合、そのプリンシパルはアクセスを拒否されます。条件キー名では大文字と小文字が区別されないため、条件タグキー `Search-Group` は `Search-group` と `search-group` の両方に一致します。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
**重要**
AWS マネジメントコンソール の統合検索結果にリソースを表示するには、そのプリンシパルがアグリゲーターインデックスを含む AWS リージョン のデフォルトビューに対する `GetView` 権限と `Search` 権限の両方を持っている必要があります。これらの権限を付与する最も簡単な方法は、高速セットアップまたは詳細設定を使用して Resource Explorer をオンにする時にビューに添付されるデフォルトのリソースベースの権限をそのまま使用することです。
このシナリオでは、まず機密性の高いリソースを除外するようにデフォルトビューを設定してから前の例で説明したようにタグベースのアクセスを許可する追加ビューの設定を検討してください。
## タグベースのビュー作成のためのアクセス許可を付与する
この例では、インデックスと同じタグが付けられたプリンシパルのみが、インデックスを含む AWS リージョン のビューを作成できるようにします。そのためには、ID ベースの権限を作成して、プリンシパルがビューを検索できるようにします。
これで、ビュー作成のためのアクセス許可を付与する準備ができました。この例のステートメントは、適切なプリンシパルに `Search` アクセス許可を付与するのに用いるのと同じアクセス許可ポリシーに追加できます。アクションは、ビューが関連付けられるオペレーションとインデックスを呼び出すプリンシパルに付けられたタグに基づいて許可または拒否されます。次の IAM ポリシーの例では、呼び出し元のプリンシパルにアタッチされた `Allow-Create-View` タグの値が、ビューが作成されたリージョンのインデックスにアタッチされた同じタグの値と完全に一致しない場合、ビュー作成リクエストを拒否します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## ユーザーが自分の権限を確認できるようにする
この例では、ユーザーアイデンティティに添付されたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Organizations および Resource Explorer のサービスコントロールポリシーの例
AWS Resource Explorer は、サービスコントロールポリシー (SCPsをサポートします。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、[SCP をアタッチする 要素の下にある](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)組織 AWS アカウント 内のすべての に適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、組織のアクセスコントロールガイドラインを確実に AWS アカウント 満たすのに役立ちます。詳細については、*AWS Organizations ユーザーガイド*の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)」を参照してください。
## 前提条件
SCP を使用するには、まず以下のことをする必要があります。
+ 組織内のすべての機能の有効化。詳細については、「**AWS Organizations ユーザーガイド」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
+ SCP を有効にして組織内で使用できるようにするには 詳細については、「AWS Organizations ユーザーガイド」の「[ポリシータイプの有効化と無効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)」を参照してください。
+ 必要な SCP を作成します。SCP の作成の詳細については、*AWS Organizations ユーザーガイド*の「[SCP の作成および更新](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)」を参照してください。
## サービスコントロールポリシーの例
次の例は、[属性ベースのアクセスコントロール (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) を使用して、Resource Explorer 管理操作へのアクセスを制御する方法を示します。このサンプルポリシーでは、リクエストを行う IAM プリンシパルに `ResourceExplorerAdmin=TRUE` のタグが付されていない限り、検索に必要な 2 つの権限である `resource-explorer-2:Search` および `resource-explorer-2:GetView` を除くすべての Resource Explorer 操作へのアクセスを拒否します。Resource Explorer で ABAC を使用する方法の詳細については、[タグベースの認証を使用してビューへのアクセスを制御します。](manage-views-grant-access.md#manage-views-grant-access-abac) を参照してください。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS の マネージドポリシー AWS Resource Explorer
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースに対するアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別に[カスタマーマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Resource Explorer のアクセス許可を含む一般的な AWS マネージドポリシー**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess) – AWS のサービス および リソースへのフルアクセスを許可します。
+ [ReadOnlyアクセス](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — AWS のサービス および リソースへの読み取り専用アクセスを許可します。
+ [ViewOnlyアクセス](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — のリソースと基本メタデータを表示するアクセス許可を付与します AWS のサービス。
**注記**
`ViewOnlyAccess` ポリシーに含まれる Resource Explorer `Get*` 権限は、`List` 権限のように動作しますが返される値は 1 つだけです。これは、一つのリージョンには 1 つのインデックスと 1 つのデフォルトビューしか含めることができないためです。
**AWS Resource Explorer の マネージドポリシー**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS マネージドポリシー: AWSResourceExplorerFullAccess
`AWSResourceExplorerFullAccess` ポリシーは IAM ID に割り当てることができます。
このポリシーは、Resource Explorer サービスの完全な管理制御を可能にする許可を付与します。Resource Explorer の有効化と管理に関連するすべてのタスクを、お使いのアカウントの AWS リージョン で実行できます。
許可の詳細****
このポリシーには、 で Resource Explorer を有効または無効にする、アカウントのアグリゲータインデックスを作成または削除する AWS リージョン、ビューを作成、更新、削除する、検索するなど、Resource Explorer のすべてのアクションを許可するアクセス許可が含まれます。またこのポリシーには、Resource Explorer の一部ではない権限も含まれています。
+ `ec2:DescribeRegions` — Resource Explorer が、アカウントのリージョンに関する詳細にアクセスできるようにします。
+ `ram:ListResources` — Resource Explorer で、そのリソースが属するリソース共有を一覧表示できるようにします。
+ `ram:GetResourceShares` — Resource Explorer 上で、自分が所有している、または共有しているリソース共有に関する詳細を特定できるようにします。
+ `iam:CreateServiceLinkedRole` — [最初のインデックス作成により Resource Explorer を有効化する](manage-service-turn-on-region.md#manage-service-turn-on-region-region)時に、Resource Explorer 側で必要なサービスリンクロールを作成できるようにします。
+ `organizations:DescribeOrganization` — Resource Explorer が、組織に関する情報にアクセスできるようにします。
この管理ポリシーの最新バージョンを確認するには、 AWS 「 管理ポリシーリファレンスガイド`[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)`」の「」を参照してください。 *AWS *
## AWS 管理ポリシー: AWSResourceExplorerReadOnlyAccess
`AWSResourceExplorerReadOnlyAccess` ポリシーは IAM ID に割り当てることができます。
このポリシーは、リソースを発見するためのベーシックな検索を行う読み取り専用アクセス許可をユーザーに付与します。
許可の詳細****
このポリシーには、Resource Explorer コンポーネント情報や設定情報を閲覧するための Resource Explorer `Get*`、`List*`、`Search` の各オペレーションを実行する権限をユーザーに付与しますが、ユーザーがそれらの情報を変更することは許可されていません。ユーザーは検索も実行できます。このポリシーには、Resource Explorer にはない 2 つの権限も含まれています。
+ `ec2:DescribeRegions` — Resource Explorer が、アカウントのリージョンに関する詳細にアクセスできるようにします。
+ `ram:ListResources` — Resource Explorer で、そのリソースが属するリソース共有を一覧表示できるようにします。
+ `ram:GetResourceShares` — Resource Explorer 上で、自分が所有している、または共有しているリソース共有に関する詳細を特定できるようにします。
+ `organizations:DescribeOrganization` — Resource Explorer が、組織に関する情報にアクセスできるようにします。
この管理ポリシーの最新バージョンを確認するには、 AWS 「 管理ポリシーリファレンスガイド`[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)`」の「」を参照してください。 *AWS *
## AWS 管理ポリシー: AWSResourceExplorerServiceRolePolicy
IAM エンティティに自分で `AWSResourceExplorerServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Resource Explorer がアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「[Resource Explorer でのサービスリンクロールの使用](security_iam_service-linked-roles.md)」を参照してください。
このポリシーは、Resource Explorer がお持ちのリソースに関する情報の取得に必要とすアクセス許可を付与します。Resource Explorer は、登録する各 に保持 AWS リージョン するインデックスを入力します。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`の「」を参照してください。
## AWS マネージドポリシー: AWSResourceExplorerOrganizationsAccess
IAM ID に `AWSResourceExplorerOrganizationsAccess` を割り当てすることができます。
このポリシーは、Resource Explorer に管理アクセス許可を付与し、このアクセスをサポートする読み取り専用アクセス許可 AWS のサービス を他の に付与します。 AWS Organizations 管理者は、コンソールでマルチアカウント検索を設定および管理するために、これらのアクセス許可が必要です。
許可の詳細****
このポリシーには、管理者が組織のマルチアカウント検索を設定できる権限が含まれています。
+ `ec2:DescribeRegions` — Resource Explorer が、アカウントのリージョンに関する詳細にアクセスできるようにします。
+ `ram:ListResources` — Resource Explorer で、そのリソースが属するリソース共有を一覧表示できるようにします。
+ `ram:GetResourceShares` — Resource Explorer 上で、自分が所有している、または共有しているリソース共有に関する詳細を特定できるようにします。
+ `organizations:ListAccounts` — Resource Explorer が、組織内のアカウントを識別できるようにします。
+ `organizations:ListRoots` — Resource Explorer が、組織内のルートアカウントを識別できるようにします。
+ `organizations:ListOrganizationalUnitsForParent` — Resource Explorer が、親組織単位またはルート内の組織単位 (OU) を識別できるようにします。
+ `organizations:ListAccountsForParent` — Resource Explorer が、指定したターゲットルートまたは OU に含まれる組織内のアカウントを識別できるようにします。
+ `organizations:ListDelegatedAdministrators` — Resource Explorer が、この組織の委任管理者として指定されている AWS アカウントを識別できるようにします。
+ `organizations:ListAWSServiceAccessForOrganization` — Resource Explorer が組織との統合が有効になってい AWS のサービス る のリストを識別できるようにします。
+ `organizations:DescribeOrganization` — Resource Explorer が、ユーザーのアカウントが属する組織に関する情報を取得できるようにします。
+ `organizations:EnableAWSServiceAccess` — Resource Explorer が AWS のサービス ( で指定されたサービス`ServicePrincipal`) と の統合を有効にすることを許可します AWS Organizations。
+ `organizations:DisableAWSServiceAccess` — Resource Explorer が ( で指定された AWS のサービス サービス ServicePrincipal) と の統合を無効にすることを許可します AWS Organizations。
+ `organizations:RegisterDelegatedAdministrator` — Resource Explorer が、指定されたメンバーアカウントを有効にして、指定された AWS サービスの組織の機能を管理できるようにします。
+ `organizations:DeregisterDelegatedAdministrator` — Resource Explorer が、指定された の委任管理者 AWS アカウント として指定されたメンバーを削除できるようにします AWS のサービス。
+ `iam:GetRole` - 指定されたロールに関して、ロールのパス、GUID、ARN、およびそのロールを引き受けるための許可を付与するロールの信頼ポリシーなどの情報を Resource Explorer で取得できるようにします。
+ `iam:CreateServiceLinkedRole` — [最初のインデックス作成により Resource Explorer を有効化する](manage-service-turn-on-region.md#manage-service-turn-on-region-region)時に、Resource Explorer 側で必要なサービスリンクロールを作成できるようにします。
この AWS 管理ポリシーの最新バージョンを確認するには、IAM コンソール`[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)`の「」を参照してください。
## Resource Explorer の AWS マネージドポリシーの更新
Resource Explorer の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を受信するには、「[Resource Explorer ドキュメント履歴](doc-history.md)」ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy) - ポリシーのアクセス許可を更新して、追加のリソースタイプを表示 | Resource Explorer は、Resource Explorer [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)が追加のリソースタイプを表示できるようにするアクセス許可をサービスにリンクされたロールポリシーに追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 12 月 12 日 |
| 新しい マネージドポリシー | Resource Explorer に次の AWS マネージドポリシーが追加されました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| 更新されたマネージドポリシー | Resource Explorer は、マルチアカウント検索をサポートするように以下の AWS マネージドポリシーを更新しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy) – Organizations でのマルチアカウント検索をサポートするようにポリシーを更新 | Resource Explorer では、Resource Explorer で Organizations でのマルチアカウント検索をサポートするためのアクセス許可をサービスリンクロールポリシー `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy) – 追加のリソースタイプをサポートするようにポリシーを更新しました | Resource Explorer では、サービスで以下のリソースタイプをインデックス化するためのアクセス許可をサービスリンクロールポリシー `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 10 月 17 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy) – 追加のリソースタイプをサポートするようにポリシーを更新しました | Resource Explorer では、サービスで以下のリソースタイプをインデックス化するためのアクセス許可をサービスリンクロールポリシー `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 8 月 1 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy) – 追加のリソースタイプをサポートするようにポリシーを更新しました | Resource Explorer では、サービスで以下のリソースタイプをインデックス化するためのアクセス許可をサービスリンクロールポリシー `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 3 月 7 日 |
| 新しいマネージドポリシー | Resource Explorer に次の AWS マネージドポリシーが追加されました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2022 年 11 月 7 日 |
| Resource Explorer で変更の追跡を開始 | Resource Explorer が AWS マネージドポリシーの変更の追跡を開始しました。 | 2022 年 11 月 7 日 |
# Resource Explorer でのサービスリンクロールの使用
AWS Resource Explorer は AWS Identity and Access Management 、 (IAM)[ サービスにリンクされたロール ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Resource Explorer に直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは、Resource Explorer によって事前定義されており、 AWS のサービス ユーザーに代わってサービスが他の を呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Resource Explorer の設定が簡単になります。サービスリンクロールの権限は Resource Explorer により定義されており、別段定義されない限り、Resource Explorer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーの両方が含まれており、そのアクセス許可ポリシーを他のIAMエンティティに割り当てることはできません。
サービスにリンクされたロールをサポートする他のサービスの詳細については、 ユーザーガイドの[AWS 「 と連携する のサービスIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)*IAM*」を参照してください。**[サービスリンクロール]** 列が **はい** になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[Yes]** (はい) リンクを選択します。
## Resource Explorer のサービスリンクロールにおけるアクセス許可
Resource Explorer は、`AWSServiceRoleForResourceExplorer` という名前のサービスリンクロールを使用します。このロールは、Resource Explorer サービスに、 AWS アカウント ユーザーに代わって のリソースと AWS CloudTrail イベントを表示し、検索をサポートするようにそれらのリソースのインデックスを作成するアクセス許可を付与します。
`AWSServiceRoleForResourceExplorer` サービスリンクロールは、次のサービスプリンシパルがロールを引き受けるサービスのみを信頼します。
+ `resource-explorer-2.amazonaws.com`
という名前のロール許可ポリシーAWSResourceExplorerServiceRolePolicyは、サポートされているリソースのリソース名とプロパティを取得するための読み取り専用アクセスを Resource Explorer に許可します AWS 。Resource Explorer がサポートするサービスとリソースを確認するには、「[Resource Explorer で検索可能なリソースタイプ](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html)」を参照してください。このロールが実行できるすべてのアクションの完全なリストについては、 IAMコンソールで`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`ポリシーを表示できます。
プリンシパルは、ユーザー、グループ、ロールなどのIAMエンティティです。アカウントの最初のリージョンでインデックスを作成するときに Resource Explorer 側でサービスリンクロールを自動作成させる場合、タスクを実行するプリンシパルが必要とするのは Resource Explorer インデックスの作成に必要な権限のみです。を使用してサービスにリンクされたロールを手動で作成するにはIAM、タスクを実行するプリンシパルに、サービスにリンクされたロールを作成するアクセス許可が必要です。詳細については、「 ユーザーガイド[」の「サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)*IAM*」を参照してください。
## Resource Explorer のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。で Resource Explorer を有効にするか AWS マネジメントコンソール、 AWS CLI または を使用してアカウント AWS リージョン の最初の [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)で を実行すると AWS API、Resource Explorer によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。アカウントの最初のリージョン[RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)にいる場合、Resource Explorer によってサービスにリンクされたロールが再度作成されます。
## Resource Explorer のサービスリンクロールの編集
Resource Explorer では、`AWSServiceRoleForResourceExplorer` サービスリンクロールの編集を許可していません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 *IAMユーザーガイド*[」の「サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Resource Explorer のサービスリンクロールの削除
IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを手動で削除できます。これを行うには、まず AWS リージョン アカウントのすべての から Resource Explorer インデックスを削除してから、サービスにリンクされたロールを手動で削除する必要があります。
**注記**
リソース削除時に Resource Explorer サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、すべてのリージョンのすべてのインデックスが削除されていることを確認し、数分待ってからもう一度オペレーションを実行してみてください。
**を使用してサービスにリンクされたロールを手動で削除するには IAM**
IAM コンソール、、または AWS API を使用して AWS CLI、`AWSServiceRoleForResourceExplorer`サービスにリンクされたロールを削除します。詳細については、「 ユーザーガイド[」の「サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)*IAM*」を参照してください。
## Resource Explorer サービスリンクロールでサポートされるリージョン
Resource Explorer は、サービスが利用可能なすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、「Amazon Web Services 全般のリファレンス」の「[AWS のサービス エンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# アクセス AWS Resource Explorer 許可のトラブルシューティング
以下の情報は、Resource Explorer と AWS Identity and Access Management (IAM) の使用時に発生する可能性がある一般的な問題の診断と修正に役立ちます。
**Topics**
+ [Resource Explorer でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [自分の 以外のユーザーに Resource Explorer リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Resource Explorer でアクションを実行する権限がない
がアクションを実行する権限がないと AWS マネジメントコンソール 通知した場合は、管理者に連絡してサポートを依頼する必要があります。この操作に使用する認証情報を提供した担当者が管理者です。
以下の例のエラーは、IAM ロール `MyExampleRole` を引き受けたユーザーがコンソールを使用してビューの詳細を確認しようとしているが、`resource-explorer-2:GetView` の許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
この場合、そのロールを使用するユーザーは、`resource-explorer-2:GetView` アクションを使用したビューへのアクセスを許可するようにロール権限ポリシーの更新を管理者に依頼する必要があります。
## 自分の 以外のユーザーに Resource Explorer リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Resource Explorer がこれらの機能をサポートしているかどうかを確認するには、「[Resource Explorer と の連携方法 IAM](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[IAM ユーザーガイドの「所有 AWS アカウント している別の の IAM ユーザーへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)を提供する」を参照してください。 **
+ リソースへのアクセスをサードパーティー に提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)を提供する」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「IAM ユーザーガイド」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# でのデータ保護 AWS Resource Explorer
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) 、 のデータ保護に適用されます AWS Resource Explorer。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービス のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[「データプライバシーFAQ](https://aws.amazon.com/compliance/data-privacy-faq/)」を参照してください。欧州でのデータ保護の詳細については、[AWS 「 責任共有モデル」とGDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)*AWS 「セキュリティブログ*」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management () を使用して個々のユーザーを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。1.2 が必要でTLS、1.3 TLS をお勧めします。
+ で APIとユーザーアクティビティのログ記録を設定します AWS CloudTrail。証 CloudTrail 跡を使用して AWS アクティビティをキャプチャする方法については、*AWS CloudTrail 「 ユーザーガイド*」の[ CloudTrail 「証跡の操作](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合はAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、[「連邦情報処理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前****フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、、または API AWS CLIを使用して Resource Explorer または他の AWS のサービス を操作する場合も含まれます AWS SDKs。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。URL を外部サーバーに提供する場合は、そのサーバーへのリクエストを検証URLするために認証情報を に含めないことを強くお勧めします。
## 保管中の暗号化
Resource Explorer によって保存されるデータには、リソースのインデックス付きリストと、カスタマーARNsが使用するそれに関連するリスト、およびそれらにアクセスするためのビューが含まれます。
このデータは、256 [AWS Key Management Service ビットキー (-256-AWS KMS) で Galois カウンターモード () で Advanced Encryption Standard () を実装する () 対称暗号化](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default)キーを使用して保管時に暗号化されますGCM。 [AES](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) [GCM](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf) AES
## 転送中の暗号化
顧客のリクエストとすべての関連データは、[Transport Later Security (TLS) 1.2](https://datatracker.ietf.org/doc/html/rfc5246) 以降を使用して転送中に暗号化されます。すべての Resource Explorer エンドポイントHTTPSは、転送中のデータの暗号化をサポートしています。Resource Explorer サービスエンドポイントのリストについては、「AWS 全般のリファレンス」の「[AWS Resource Explorer エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html)」を参照してください。
# AWS Resource Explorer のコンプライアンス検証
任意の AWS のサービス が特定のコンプライアンスプログラムの対象範囲内に含まれるかについては、「[コンプライアンスプログラムの対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact ユーザーガイド」の「」「[AWS Artifact でレポートをダウンロードする](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
Resource Explorer を使用する際のユーザーのコンプライアンス責任は、ユーザーのデータの機密性や会社のコンプライアンス目標、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ以下のリソースを提供しています。
+ 「[セキュリティ&コンプライアンスクイックリファレンスガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance)」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、AWS でセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするための手順が記載されています。
+ 「[Amazon Web Services での HIPAA のセキュリティとコンプライアンスのためのアーキテクチャ](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)」 – このホワイトペーパーは、企業が AWS を使用して HIPAA 対応アプリケーションを作成する方法を説明しています。
**注記**
すべての AWS のサービス が HIPAA 適格なわけではありません。詳細については、「[HIPAA 対応サービスのリファレンス](https://aws.amazon.com/compliance/hipaa-eligible-services-reference)」を参照してください。
+ [AWS コンプライアンスのリソース](https://aws.amazon.com/compliance/resources/) - このワークブックおよびガイドのコレクションは、顧客の業界と拠点に適用されるものである場合があります。
+ *AWS Config デベロッパーガイド*の「[ルールでのリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」– AWS Config は、リソース設定が、社内のプラクティス、業界のガイドラインそして規制にどの程度適合しているのかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – この AWS のサービスは、AWS 内でのユーザーのセキュリティ状態に関する包括的な見解を提供し、業界のセキュリティ標準、およびベストプラクティスに対するコンプライアンスを確認するために役立ちます。
# AWS Resource Explorer での耐障害性
AWS のグローバルインフラストラクチャは AWS リージョン とアベイラビリティーゾーンを中心として構築されます。リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立および隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性が高く、フォールトトレラントで、スケーラブルです。
AWS リージョン とアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# のインフラストラクチャセキュリティ AWS Resource Explorer
マネージドサービスである AWS Resource Explorer は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、*「 Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
が AWS 公開したAPI呼び出しを使用して、ネットワーク経由で Resource Explorer にアクセスします。クライアントは以下をサポートする必要があります:
+ Transport Layer Security (TLS)。1TLS.2 が必要で、1.3 TLS をお勧めします。
+ (Ephemeral Diffie-HellmanPFS) や DHE (Elliptic Curve Ephemeral Diffie-Hellman) などの完全前方秘匿性 ECDHE () を備えた暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。
さらに、リクエストは、 IAMプリンシパルに関連付けられたアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。
AWS グローバルネットワークセキュリティ手順の詳細については、ホワイトペーパー[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」を参照してください。