

• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# AWS Systems Manager におけるデータ境界
<a name="data-perimeters"></a>

データ境界は、想定されるネットワークおよびリソースから信頼できる ID だけがデータにアクセスできるようにするために使用する、AWS 環境内の予防的ガードレールのセットです。データ境界コントロールを実装する場合、Systems Manager がユーザーに代わってアクセスする AWS サービス所有リソースの例外を含める必要がある場合があります。

**シナリオ例: SSM ドキュメントカテゴリ S3 バケット**  
Systems Manager は AWS マネージド S3 バケットにアクセスして、[AWS Systems Manager ドキュメント](documents.md) のドキュメントカテゴリ情報を取得します。このバケットには、コンソールで SSM ドキュメントを整理および分類するのに役立つドキュメントカテゴリに関するメタデータが含まれています。

リソースの ARN パターン  
`arn:aws:s3:::ssm-document-categories-region`  
リージョンの例:  
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`

アクセスするタイミング  
このリソースは、Systems Manager コンソールで SSM ドキュメントを表示するとき、またはドキュメントのメタデータとカテゴリを取得する API を使用するときにアクセスされます。

保存されるデータ  
バケットには、ドキュメントのカテゴリ定義とメタデータを含む JSON ファイルが含まれています。このデータは読み取り専用で、顧客固有の情報は含まれません。

使用される ID  
Systems Manager は、ユーザーのリクエストに代わって AWS サービス認証情報を使用してこのリソースにアクセスします。

必要なアクセス許可  
バケットコンテンツの `s3:GetObject`。

**データ境界ポリシーに関する考慮事項**  
サービスコントロールポリシー (SCP) または VPC エンドポイントポリシーを使用して `aws:ResourceOrgID` などの条件付きでデータ境界コントロールを実装する場合は、Systems Manager が必要とする AWS サービス所有リソースの例外を作成する必要があります。

例えば、SCP で `aws:ResourceOrgID` を使用して組織外のリソースへのアクセスを制限する場合は、SSM ドキュメントカテゴリバケットに例外を追加する必要があります。

このポリシーは組織外のリソースへのアクセスを必要としますが、適切な S3 バケットに関する例外が含まれているので、Systems Manager は引き続き正常に機能します。

同様に、VPC エンドポイントポリシーを使用して S3 アクセスを制限する場合は、SSM ドキュメントカテゴリバケットが VPC エンドポイントを介してアクセス可能であることを確認する必要があります。

**詳細情報**  
AWS のデータ境界の詳細については、次のトピックを参照してください。
+ [Data perimeters on AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)
+ 「IAM ユーザーガイド」の「*データ境界を使用してアクセス許可ガードレールを確立する*」
+ GitHub の *AWS Samples* リポジトリの「[Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md)」および「[Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)」