• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# Change Manager のロールとアクセス許可の設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
デフォルトでは、Change Manager にはリソースでアクションを実行するアクセス許可がありません。AWS Identity and Access Management (IAM) サービスロールまたは*ロールの継承*を使用してアクセスを許可する必要があります。このロールでは、ユーザーに代わって Change Manager が承認済み変更リクエストで指定された Runbook ワークフローを安全に実行できます。このロールは、Change Manager に対して AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信頼を付与します。
これらのアクセス許可を組織内の複数のユーザーの代理として行動するために 1 つのロールに提供すれば、該当するユーザーは、そのアクセス許可の配列を自分で取得する必要がなくなります アクセス許可で許可されるアクションは、承認済みの操作のみに制限されます。
アカウントまたは組織のユーザーは、変更リクエストを作成するときに、このロールの継承を選択して変更オペレーションを実行できます。
Change Manager の新しいロールの継承を作成するか、必要なアクセス許可で既存のロールを更新できます。
Change Manager のサービスロールを作成する必要がある場合、次のタスクを完了します。
**Topics**
+ [タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy)
+ [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)
+ [タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする](#change-manager-passpolicy)
+ [タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する](#change-manager-role-add-inline-policy)
+ [タスク 5: Change Manager へのユーザーアクセスを設定する](#change-manager-passrole)
## タスク 1: Change Manager のロールの継承ポリシーを作成する
以下の手順を使用して、Change Manager ロールの継承にアタッチするポリシーを作成します。
**Change Manager のロールの継承ポリシーを作成するには**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソール を開きます。
1. ナビゲーションペインで、**Policies** を選択し、**Create Policy** を選択します。
1. [**ポリシーの作成**] ページで [**JSON**] タブをクリックし、デフォルトのコンテンツを次のように置き換えます。これは次のステップで実際の Change Manager オペレーションで変更します。
**注記**
複数のアカウントとAWS リージョンを持つ組織ではなく、1 つの AWS アカウントで使用するポリシーを作成する場合、最初のステートメントブロックを省略できます。Change Manager を使用する単一のアカウントの場合、`iam:PassRole` アクセス許可は必要ありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/AWS-SystemsManager-{{job-function}}AdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:{{us-east-1}}::document/{{template-name}}",
"arn:aws:ssm:{{us-east-1}}:{{111122223333}}:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. `iam:PassRole` アクションに対して、`Resource` 値を更新して Runbook ワークフローを開始するアクセス許可を付与する組織に対して定義されているすべてのジョブ関数の ARN を含めます。
1. {{region}}、{{account-id}}、{{template-name}}、{{delegated-admin-account-id}}、{{job-function}} プレスホルダーを Change Manager オペレーションの値で置き換えます。
1. 2 番目の `Resource` ステートメントでリストを更新して、アクセス許可を付与するすべての変更テンプレートを含めます。`"Resource": "*"` を指定して組織のすべての変更テンプレートにアクセス許可を付与することもできます。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy**] (ポリシーの確認) ページの [**Name**] (名前) ボックスに **MyChangeManagerAssumeRole** などの名前を入力し、説明を入力します。
1. [**ポリシーの作成**] を選択し、「[タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)」に進みます。
## タスク 2: Change Manager のロールの継承を作成する
以下の手順を使用して、Change Manager の Change Manager のロールの継承 (サービスロールの一種) を作成します
**Change Manager のロールの継承ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[Select trusted entity]** (信頼できるエンティティを選択) で、次のように選択します。
1. **[Trusted entity type]** (信頼できるエンティティタイプ) で、**[AWS service]** ( のサービス) を選択します。
1. **[その他の AWS のサービス のユースケース]** で、**[Systems Manager]** を選択します
1. 以下のイメージに示されている、**[Systems Manager]** を選択します。
1. [**次へ**] を選択します。
1. [**アタッチされたアクセス許可ポリシー**] ページで、[タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy) で作成したロールの継承 (**MyChangeManagerAssumeRole** など) を検索します。
1. ロールの継承ポリシー名の横にあるチェックボックスを選択し、[**次へ: タグ**] を選択します。
1. **[Role name]** (ロール名) に、新しいインスタンスプロファイルの名前 (**MyChangeManagerAssumeRole** など) を入力します。
1. (オプション) **[Description]** (説明) で、このインスタンスロールの説明を更新します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. (オプション) **[Tags]** (タグ) で、1 つ以上のタグキーと値のペアを追加し、このロールのアクセスを整理、追跡、制御して、**[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **ロール** ページで作成したロールを選択して、**概要** ページを開きます。
## タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする
`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたは IAM サービスロールにアタッチするには、次の手順を使用します。(Systems Manager サービスは IAM インスタンスプロファイルを使用して EC2 インスタンスと通信します。[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 マネージドノードでは、代わりに IAM サービスロールが使用されます。)
`iam:PassRole` ポリシーをアタッチすることにより、Change Manager サービスは、ランブックワークフローを実行するときに他のサービスまたは Systems Manager ツールにロールの継承アクセス許可を渡すことができます。
**`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたはサービスロールにアタッチするには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 前のステップで作成した Change Manager のロールの継承 (**MyChangeManagerAssumeRole** など) を検索し、その名前を選択します。
1. ロールの継承の [**Summary**] (サマリー) ページで [**Permissions**] (アクセス許可) タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. [**ポリシーの作成**] ページの [**Visual editor**] (ビジュアルエディタ) タブを選択します。
1. [**サービス**]、[**IAM**] の順に選択します。
1. [**Filter actions (フィルタアクション)**] テキストボックスに「**PassRole**」と入力し、[**PassRole**] オプションを選択します。
1. [**リソース**] を展開します。[**Specific**] (固有) が選択されていることを確認し、[**Add ARN**] (ARN の追加) を選択します。
1. [**ロールの ARN を指定する**] フィールドに、ロールの継承アクセス許可を渡す IAM インスタンスプロファイルロールまたは IAM サービスロールの ARN を入力します。システムによって、[**アカウント**] と [**Role name with path (ロール名とパス)**] フィールドが入力されます。
1. [**Add**] (追加) をクリックします。
1. [**Review policy** (ポリシーの確認)] を選択します。
1. **[Name]** (名前) に、このポリシーを識別する名前を入力し、**[Create policy]** (ポリシーの作成) を選択します。
**詳細情報**
+ [Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)
+ [ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)
## タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する
Change Manager のロールの継承を使用して変更リクエストが他の AWS のサービスを呼び出すとき、ロールの継承は、該当するサービスを呼び出すアクセス許可で設定されている必要があります。この要件は、変更リクエストで使用される `AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup`、`AWS-RestartEC2Instance` ランブックなど、すべての AWS オートメーションランブック (AWS-\* runbooks) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムランブックにも適用されます。たとえば、`aws:executeAwsApi`、`aws:CreateStack`、または `aws:copyImage` などのアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定する必要があります。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。
**インラインポリシーをロールの継承に追加して、他の AWS のサービス (IAM コンソール) を呼び出すには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **Roles (ロール)** を選択します。
1. リストで、更新するロールの継承の名前 (`MyChangeManagerAssumeRole` など) を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. **JSON** タブを選択します。
1. 呼び出す AWS のサービスの JSON ポリシードキュメントを入力します。JSON ポリシードキュメントの 2 つの例を以下に示します。
**Amazon S3 `PutObject` および `GetObject` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` および `DescribeSnapShots` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
IAM ポリシー言語の詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
1. 完了したら、[**ポリシーの確認**] を選択します。構文エラーがある場合は、[Policy Validator (ポリシー検証)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) によってレポートされます。
1. **[Name]** (名前) に、作成するポリシーを識別する名前を入力します。ポリシーの **[Summary]** (概要) を参照して、ポリシーによって付与された許可を確認します。次に [**ポリシーの作成**] を選択して作業を保存します。
1. インラインポリシーを作成した後は、自動的にロールに埋め込まれます。
## タスク 5: Change Manager へのユーザーアクセスを設定する
ユーザー、グループ、ロールに管理者権限が割り当てられている場合は、Change Manager にアクセスできます。管理者権限がない場合は、管理者が `AmazonSSMFullAccess` マネージドポリシー (または同等のアクセス許可を付与するポリシー) を ユーザー、グループ、ロールに割り当てる必要があります。
Change Manager を使用するようにユーザーを設定するには、次の手順を使用します。選択したユーザーには、Change Manager を設定して実行するアクセス許可が付与されます。
組織で使用している アイデンティティアプリケーションに応じて、ユーザーアクセスを設定するために使用できる 3 つのオプションのいずれかを選択できます。ユーザーアクセスを設定するときに、以下を割り当て、または追加します。
1. Systems Manager へのアクセスを許可する `AmazonSSMFullAccess` ポリシーまたは同等のポリシーを割り当てます。
1. `iam:PassRole` ポリシーを割り当てます。
1. [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role) の最後にコピーしたロールを継承する Change Manager の ARN を追加します。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
これで Change Manager に必要なロールの設定が完了しました。これで Change Manager オペレーションで Change Manager のロールの継承 ARN を使用できるようになりました。