Compliance のアクセス許可の設定 - AWS Systems Manager

• AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

 

• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「Amazon CloudWatch ダッシュボードのドキュメント」を参照してください。

Compliance のアクセス許可の設定

セキュリティのベストプラクティスとして、マネージドノードで使用される AWS Identity and Access Management (IAM) ロールを以下のアクセス許可で更新して、ノードが PutComplianceItems API アクションを使用する機能を制限することをお勧めします。この API アクションは、Amazon EC2 インスタンスやマネージドノードなど、指定されたリソースにコンプライアンスタイプやその他のコンプライアンスの詳細を登録します。

ノードが Amazon EC2 インスタンスの場合は、インスタンスで使用される IAM インスタンスプロファイルを次のアクセス許可で更新する必要があります。Systems Manager によって管理される EC2 インスタンスのインスタンスプロファイルの詳細については、「Systems Manager に必要なインスタンスのアクセス許可を設定する」を参照してください。他のタイプのマネージドノードでは、ノードで使用される IAM ロールを次のアクセス許可で更新します。詳細については、「IAM ユーザーガイド」の「ロールに対するアクセス許可を更新する」を参照してください。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
                }
            }
        }
    ]
}