# セキュリティ
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまで、AWS がコンポーネントを運用、管理、および制御するため、この[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)はお客様の運用上の負担を軽減するのに役立ちます。AWS のセキュリティの詳細については、[AWS セキュリティセンター](https://aws.amazon.com/security/)を参照してください。
## IAM ロール
このソリューションは、最小特権のベストプラクティスに従って、アクセス許可を制御および分離する IAM ロールを作成します。このソリューションは、次のアクセス許可をサービスに付与します。
## ハブテンプレート
`RegisterSpokeAccountsFunctionLambdaRole`
+ スポークアカウントが登録されている Amazon DynamoDB テーブルへの書き込みアクセス許可
`InvokeECSTaskRole`
+ Amazon ECS タスクを作成および実行するアクセス許可
`CostOptimizerAdminRole`
+ スポークアカウントが登録されている Amazon DynamoDB テーブルへの読み取りアクセス許可
+ スポークアカウントの `WorkspacesManagementRole` に対するロールのアクセス許可の引き受け
+ AWS Directory Service への読み取り専用アクセス許可
+ Amazon CloudWatch Logs への書き込みアクセス許可
+ Amazon S3 への書き込みアクセス許可
+ WorkSpaces の読み取りおよび書き込みアクセス許可
`SolutionHelperRole`
+ AWS Lambda 関数を呼び出してソリューションメトリクスの汎用一意識別子 (UUID) を生成するアクセス許可
## スポークテンプレート
`WorkSpacesManagementRole`
+ AWS Directory Service への読み取り専用アクセス許可
+ Amazon CloudWatch Logs への書き込みアクセス許可
+ Amazon S3 への書き込みアクセス許可
+ WorkSpaces の読み取り/書き込みアクセス許可
`AccountRegistrationProviderRole`
+ Lambda 関数を呼び出して、スポークアカウントをハブアカウントスタックに登録する