• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# AWS Systems Manager の AWS マネージドポリシー
<a name="security-iam-awsmanpol"></a>





AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。









**Topics**
+ [AWS 管理ポリシー: AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS マネージドポリシー: AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS マネージドポリシー: SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS マネージドポリシー: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS マネージドポリシー: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS マネージドポリシー: AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS マネージドポリシー: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS マネージドポリシー: AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS マネージドポリシー: AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS マネージドポリシー: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS マネージドポリシー: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS マネージドポリシーに対する Systems Manager の更新](#security-iam-awsmanpol-updates)
+ [Systems Manager 用の追加のマネージドポリシー](#policies-list)

## AWS 管理ポリシー: AmazonSSMServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSSMServiceRolePolicy"></a>

このポリシーを使用すると、AWS Systems Manager によって管理されているか、Systems Manager オペレーションで使用されている数多くの AWS リソースにアクセスできます。

AWS Identity and Access Management (IAM) エンティティに `AmazonSSMServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって AWS Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してインベントリの収集と OpsData の表示を行う](using-service-linked-roles-service-action-1.md)」を参照してください。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Run Command と Automation の両方を開始およびステップ実行すること、Run Command と Automation オペレーションに関する情報を取得すること、Parameter Store パラメータである Change Calendar カレンダーに関する情報を取得すること、OpsCenter リソースの Systems Manager サービス設定に関する情報を更新および取得すること、リソースに適用されたタグに関する情報を読み込むことを許可します。
+ `cloudformation` – プリンシパルがスタックセットオペレーションとスタックセットインスタンスに関する情報を取得すること、リソース `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 上のスタックセットを削除することを許可します。プリンシパルが次のリソースに関連付けられているスタックインスタンスを削除することを許可します。

  ```
  arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:type/resource/*
  ```
+ `cloudwatch` – プリンシパルが Amazon CloudWatch アラームに関する情報を取得することを許可します。
+ `compute-optimizer` – プリンシパルが AWS Compute Optimizer サービスに対するアカウントの登録 (オプトイン) ステータスを取得すること、特定の規定要件セットを満たす Amazon EC2 インスタンスの推奨事項を取得することを許可します。
+ `config` – プリンシパルが AWS Config で情報修正設定と設定レコーダーを取得すること、指定された AWS Config ルールと AWS リソースに準拠するかどうかを決定することを許可します。
+ `events` – プリンシパルが EventBridge ルールに関する情報を取得すること、Systems Manager サービス (`ssm.amazonaws.com`) 専用の EventBridge ルールとターゲットを作成すること、リソース `arn:aws:events:*:*:rule/SSMExplorerManagedRule` のルールとターゲットを削除することを許可します。
+ `ec2` – プリンシパルが Amazon EC2 インスタンスに関する情報を取得することを許可します。
+ `iam` – プリンシパルが Systems Manager サービス (`ssm.amazonaws.com`) のロールのアクセス許可を渡すことを許可します。
+ `lambda` – プリンシパルが特に Systems Manager で使用するために設定された Lambda 関数を呼び出すことを許可します。
+ `resource-explorer-2` – プリンシパルが EC2 インスタンスに関するデータを取得して、各インスタンスが現在 Systems Manager によって管理されているかどうかを確認することを許可します。

  アクション `resource-explorer-2:CreateManagedView` は、`arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` リソースに対して許可されます。
+ `resource-groups` – プリンシパルがリソースグループに属する AWS Resource Groups リソースからリソースグループとそのメンバーのリストを取得することを許可します。
+ `securityhub` – プリンシパルが現在のアカウントの AWS Security Hub CSPM ハブリソースに関する情報を取得することを許可します。
+ `states` – プリンシパルが特に Systems Manager で使用するために設定された AWS Step Functions を開始してその情報を取得することを許可します。
+ `support` – プリンシパルが AWS Trusted Advisor のチェックとケースに関する情報を取得することを許可します。
+ `tag` – プリンシパルがアカウントの指定された AWS リージョンにあるすべてのタグ付けされたリソースまたは以前にタグ付けされていたリソースに関する情報を取得することを許可します。

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AmazonSSMAutomationRole
<a name="security-iam-awsmanpol-AmazonSSMAutomationRole"></a>

`AmazonSSMAutomationRole` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、AWS Systems Manager オートメーションサービスに、自動化ランブックで定義されているアクティビティを実行するためのアクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `lambda` – プリンシパルに、Automation から始まる名前で Lambda 関数を呼び出すことを許可します。これは、自動化ランブックがワークフローの一部として Lambda 関数を実行するために必要です。
+ `ec2` – プリンシパルに、さまざまな Amazon EC2 オペレーション (イメージの作成、コピー、登録解除、スナップショットの管理、インスタンスの開始、実行、停止、終了、インスタンスステータスの管理、タグの作成、削除、記述など) の実行を許可します。これらのアクセス許可により、自動化ランブックは実行中に Amazon EC2 リソースを管理することができます。
+ `cloudformation` – プリンシパルに、CloudFormation スタックの作成、記述、更新、削除を許可します。これにより、自動化ランブックは CloudFormation を介してコードとしてのインフラストラクチャを管理することができます。
+ `ssm` – プリンシパルに、Systems Manager のすべてのアクションを使うことを許可します。この包括的アクセスは、自動化ランブックが Systems Manager のすべての機能とやり取りするために必要になります。
+ `sns` – プリンシパルに、Automation から始まる名前で Amazon SNS トピックにメッセージを発行することを許可します。これにより、自動化ランブックは実行中に通知を送信することができます。
+ `ssmmessages` – プリンシパルが Systems Manager セッションへのデータチャネルを開くことを許可します。これにより、オートメーションランブックはセッションベースのオペレーションの通信チャネルを確立できます。

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)」を参照してください。

## AWS マネージドポリシー: AmazonSSMReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonSSMReadOnlyAccess"></a>

`AmazonSSMReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、`Describe*`、`Get*`、`List*` など、AWS Systems Manager API オペレーションへの読み取り専用アクセスを許可します。

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy"></a>

IAM エンティティに `AWSSystemsManagerOpsDataSyncServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用して、Explorer の OpsData および OpsItems を作成](using-service-linked-roles-service-action-3.md)」を参照してください。

 `AWSSystemsManagerOpsDataSyncServiceRolePolicy` は、`AWSServiceRoleForSystemsManagerOpsDataSync` サービスリンクロールが AWS Security Hub CSPM 結果で OpsItems および OpsData を作成して更新できるようにします。

ポリシーでは、Systems Manager がすべての関連リソース (`"Resource": "*"`) に対して、以下のアクションを実行できます。ただし、後述しているような例外があります。
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]

[1] `ssm:GetOpsItem` および `ssm:UpdateOpsItem` のアクションは以下の条件でのみ Systems Manager のサービスに許可されます。

```
"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}
```

[2] `ssm:AddTagsToResource` アクションは以下のリソースにのみ許可されます。

```
arn:aws:ssm:*:*:opsitem/*
```

[3] `ssm:UpdateServiceSetting` および `ssm:GetServiceSetting` アクションは以下のリソースにのみ許可されます。

```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```

[4] `securityhub:BatchUpdateFindings` は以下の条件でのみ、Systems Manager のサービスへのアクセス許可が拒否されます。

```
{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}
```

JSON ポリシードキュメントの最新バージョンを確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy
<a name="security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy"></a>

Systems Manager 機能を使用するアクセス許可が必要な Amazon EC2 インスタンスの IAM ロールにのみ `AmazonSSMManagedEC2InstanceDefaultPolicy` をアタッチする必要があります。このロールは、IAM ユーザーや IAM グループなど、他の IAM エンティティや、他の目的を果たす IAM ロールにはアタッチしないでください。詳細については、「[Default Host Management Configuration を使用した EC2 インスタンスの自動管理](fleet-manager-default-host-management-configuration.md)」を参照してください。

このポリシーは、さまざまなタスクを実行するために、Amazon EC2 インスタンス上の SSM Agent がクラウド内の Systems Manager サービスと通信することを可能にする許可を付与します。また、認可トークンを提供する 2 つのサービスの許可を付与して、オペレーションが正しいインスタンスで実行されることも確実にします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – ドキュメントの取得、Run Command を使用したコマンドの実行、Session Manager を使用したセッションの確立、インスタンスのインベントリの収集、および Patch Manager を使用したパッチとパッチコンプライアンスのスキャンを実行することをプリンシパルに許可します。
+ `ssmmessages` – 各インスタンスで、*[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。
+ `ec2messages` – 各インスタンスで、*[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。

`ssmmessages` および `ec2messages` エンドポイントに関連する情報 (2 つのエンドポイント間の違いなど) については、「[エージェント関連の API オペレーション (`ssmmessages` および `ec2messages` エンドポイント）](systems-manager-setting-up-messageAPIs.md#message-services)」を参照してください。

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「**AWS マネージドポリシーリファレンスガイド」の「[AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html)」を参照してください。

## AWS マネージドポリシー: SSMQuickSetupRolePolicy
<a name="security-iam-awsmanpol-SSMQuickSetupRolePolicy"></a>

SSMQuickSetupRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する](using-service-linked-roles-service-action-5.md)」を参照してください。

このポリシーは、Systems Manager が設定の正常性をチェックし、パラメータとプロビジョニングされたリソースが確実に一貫して使用されるようにするとともに、ドリフトが検出された場合にリソースを修復することを許可する読み取り専用許可を付与します。また、サービスリンクロールを作成するための管理アクセス許可も付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが委任管理者アカウントなど Systems Manager でリソースデータ同期と SSM ドキュメントの情報を読み取ることを許可します。これは、設定されたリソースについて意図されている状態を Quick Setup が判別するために必要です。
+ `organizations` – プリンシパルが、AWS Organizations で設定されている組織に属するメンバーアカウントに関する情報を読み取るのを許可します。これは、Quick Setup がリソースのヘルスチェックを実行する組織内のすべてのアカウントを識別するために必要です。
+ `cloudformation` – プリンシパルが CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される CloudFormation スタックに関するデータを収集するために必要です。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy"></a>

マネージドポリシー `AWSQuickSetupDeploymentRolePolicy` は複数の Quick Setup 設定タイプをサポートします。これらの設定タイプは、推奨されるベストプラクティスを使用して、頻繁に使用される Amazon Web Services のサービスと機能を設定する IAM ロールとオートメーションを作成します。

IAM エンティティに `AWSQuickSetupDeploymentRolePolicy` をアタッチできます。

このポリシーは、次の Quick Setup 設定に関連付けられたリソースを作成するために必要な管理許可を付与します。
+ [Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md)
+ [Quick Setup を使用して AWS Config 設定レコーダーを作成する](quick-setup-config.md)
+ [Quick Setup を使用して AWS Config 適合パックをデプロイする](quick-setup-cpack.md)
+ [Quick Setup を使用して DevOps Guru をセットアップする](quick-setup-devops.md)
+ [Quick Setup を使用して Distributor パッケージをデプロイする](quick-setup-distributor.md)
+ [Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する](quick-setup-scheduler.md)

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが CloudFormation を介して呼び出されたときに名前が「AWSQuickSetup-」または「AWSOperationsPack-」で始まる SSM ドキュメントの読み取り、作成、更新、削除を行うこと、「AWSQuickSetupType-ManageInstanceProfile」、「AWSQuickSetupType-ConfigureDevOpsGuru」、「AWSQuickSetupType-DeployConformancePack」を始めとする特定の AWS 所有ドキュメントを読み取ること、CloudFormation を介して呼び出されたときに Quick Setup ドキュメントと AWS 所有ドキュメントの関連付けを作成、更新、削除すること、および `QuickSetupID` でタグ付けされたレガシーリソースをクリーンアップすることを許可します。これにより、Quick Setup は自動化ワークフローと関連付けをデプロイおよび管理できます。
+ `cloudformation` – プリンシパルが CloudFormation スタックとスタックセットに関する情報を読み取ること、および名前が「StackSet-AWS-QuickSetup-」で始まるリソースの CloudFormation スタックと変更セットを作成、更新、削除することを許可します。これにより、Quick Setup はアカウントとリージョン間のインフラストラクチャのデプロイを管理できます。
+ `config` – プリンシパルが AWS Config コンフォーマンスパックとそのステータスに関する情報を読み取ること、および CloudFormation を介して呼び出されたときに名前が「AWS-QuickSetup-」で始まるコンフォーマンスパックを作成および削除することを許可します。これにより、Quick Setup はコンプライアンスモニタリング設定をデプロイできます。
+ `events` – プリンシパルが名前に「QuickSetup-」を含むリソースの EventBridge ルールとターゲットを管理することを許可します。これにより、Quick Setup はスケジュールされた自動化ワークフローを作成できます。
+ `iam` – プリンシパルが AWS Config および Systems Manager のサービスリンクロールを作成すること、CloudFormation を介して呼び出されたときに名前が「AWS-QuickSetup-」または「AWSOperationsPack-」で始まる IAM ロールを作成、管理、削除すること、これらのロールを Systems Manager および EventBridge サービスに渡すこと、特定の AWS マネージドポリシーをこれらのロールにアタッチすること、および特定の Quick Setup マネージドポリシーを使用してアクセス許可の境界を設定することを許可します。これにより、Quick Setup はオペレーションに必要なサービスロールを作成できます。
+ `resource-groups` – プリンシパルがリソースグループクエリを取得することを許可します。これにより、Quick Setup は構成管理のために特定のリソースセットをターゲットにできます。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy"></a>

マネージドポリシー `AWSQuickSetupPatchPolicyDeploymentRolePolicy` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

`AWSQuickSetupPatchPolicyDeploymentRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Quick Setup がパッチポリシー設定に関連付けられたリソースを作成することを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。
+ `cloudformation` – プリンシパルが CloudFormation スタック情報を読み取り、CloudFormation スタックセットを使用して Quick Setup によって作成された CloudFormation スタックを制御するのを許可します。
+ `ssm` – プリンシパルが設定タスクに必要なオートメーションランブックを作成、更新、読み取り、削除し、State Manager 関連付けを作成、更新、削除するのを許可します。
+ `resource-groups` – プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。
+ `s3` – プリンシパルが Amazon S3 バケットを一覧表示し、パッチポリシーアクセスログを保存するためのバケットを管理するのを許可します。
+ `lambda` – プリンシパルが設定を正しい状態に維持する AWS Lambda 修復機能を管理するのを許可します。
+ `logs` – プリンシパルが Lambda 設定リソースのロググループを記述および管理するのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess"></a>

マネージドポリシー `AWSQuickSetupPatchPolicyBaselineAccess` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

`AWSQuickSetupPatchPolicyBaselineAccess` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、現在の AWS アカウント または組織内の管理者が Quick Setup を使用して設定したパッチベースラインにアクセスするための読み取り専用許可を付与します。パッチベースラインは Amazon S3 バケットに保存され、単一のアカウントまたは組織全体のインスタンスへのパッチ適用に使用できます。

**アクセス許可の詳細**

このポリシーには、次の許可が含まれています。
+ `s3` – プリンシパルが Amazon S3 バケットに保存されているパッチベースラインオーバーライドを読み取るのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)」を参照してください。

## AWS マネージドポリシー: `AWSSystemsManagerEnableExplorerExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy"></a>

マネージドポリシー `AWSSystemsManagerEnableExplorerExecutionPolicy` は AWS Systems Manager のツールである Explorer の有効化をサポートします。

`AWSSystemsManagerEnableExplorerExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Explorer を有効にするための管理許可を付与します。これには、関連する Systems Manager サービス設定を更新し、Systems Manager のためにサービスにリンクされたロールを作成する許可が含まれます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `iam` – プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy"></a>

マネージドポリシー `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` は [Quick Setup を使用して AWS Config 設定レコーダーを作成する](quick-setup-config.md) Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、AWS Config のために選択した AWS リソースタイプに対する変更を追跡および記録するよう Quick Setup を有効にできます。また、記録されたデータの配信および通知オプションを設定するよう Quick Setup を有効にすることもできます。

`AWSSystemsManagerEnableConfigRecordingExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Quick Setup が AWS Config 設定記録を有効にして設定することを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルが設定記録の配信用に Amazon S3 バケットを作成および設定するのを許可します。
+ `sns` – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。
+ `config` – プリンシパルが設定レコーダーを設定して起動し、Explorer の有効化をサポートするのを許可します。
+ `iam` – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡して、Systems Manager のためにサービスにリンクされたロールを作成し、Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupDevOpsGuruPermissionsBoundary` は [Quick Setup を使用して DevOps Guru をセットアップする](quick-setup-devops.md) タイプをサポートします。この設定タイプにより、機械学習を活用した Amazon DevOps Guru が有効になります。DevOps Guru サービスは、アプリケーションの運用パフォーマンスと可用性の向上に役立ちます。

Quick Setup を使用して `AWSQuickSetupDevOpsGuruPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が Amazon DevOps Guru を有効にして設定するのを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが DevOps Guru および Systems Manager のためにサービスにリンクされたロールを作成し、Explorer を有効にするのに役立つロールを一覧表示するのを許可します。
+ `cloudformation` — プリンシパルが CloudFormation スタックを一覧表示および記述することを許可します。
+ `sns` – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。
+ `devops-guru` – プリンシパルが DevOps Guru を設定し、通知チャネルを追加するのを許可します。
+ `config` – – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、および Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupDistributorPermissionsBoundary` は [Quick Setup を使用して Distributor パッケージをデプロイする](quick-setup-distributor.md) Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Systems Manager のツールである Distributor を使用して、エージェントなどのソフトウェアパッケージの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの配布の有効化をサポートします。

Quick Setup を使用して `AWSQuickSetupDistributorPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、ディストリビューターを使用した、エージェントなどのソフトウェアパッケージの Amazon EC2 インスタンスへの配布を Quick Setup が有効にすることを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがディストリビューターオートメーションロールを取得して渡すこと、デフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。
+ `ec2` – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付け、Explorer の有効化をサポートするのを許可します。
+ `ssm` – プリンシパルがインスタンスを設定してパッケージをインストールするオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローの開始をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupSSMHostMgmtPermissionsBoundary` は [Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md) Quick Setup 設定タイプをサポートします。この設定タイプは、IAM ロールを設定し、一般的に使用される Systems Manager のツールを有効にして、Amazon EC2 インスタンスを安全に管理します。

Quick Setup を使用して `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が EC2 インスタンスを安全に管理するために必要な Systems Manager のツールを有効にして設定することを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがサービスロールを取得してオートメーションに渡すのを許可します。プリンシパルがデフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。
+ `ec2` – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けたり、関連付けを解除したりするのを許可します
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、Explorer サービス設定を読み取ったり、更新したりすること、インスタンスを設定すること、インスタンスで Systems Manager のツールを有効にすることを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupPatchPolicyPermissionsBoundary` は [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md) Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

Quick Setup を使用して `AWSQuickSetupPatchPolicyPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが Patch Manager オートメーションロールを取得すること、オートメーションロールを Patch Manager パッチ適用オペレーションに渡すこと、デフォルトのインスタンスロール `AmazonSSMRoleForInstancesQuickSetup` を作成すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、選択した AWS マネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、インスタンスプロファイルとロールに関する情報を読み取ること、デフォルトのインスタンスプロファイルを作成すること、パッチベースラインオーバーライドを読み取るための許可を持つロールにタグ付けすることを許可します。
+ `ssm` – プリンシパルが Systems Manager によって管理されるインスタンスロールを更新すること、Quick Setup で作成された Patch Manager パッチポリシーによって作成された関連付けを管理すること、パッチポリシー設定の対象となるインスタンスにタグ付けすること、インスタンスとパッチ適用ステータスに関する情報を読み取ること、インスタンスパッチを設定、有効化、修復するオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローを開始すること、Explorer の有効化をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。
+ `ec2` – プリンシパルが、デフォルトのインスタンスプロファイルの EC2 インスタンスへの関連付けおよび関連付け解除、パッチポリシー設定の対象となるインスタンスへのタグ付け、Explorer の有効化のサポートを実行するのを許可します。
+ `s3` – プリンシパルがパッチベースラインオーバーライドを保存するために S3 バケットを作成および設定するのを許可します。
+ `lambda` – プリンシパルがパッチ適用を設定する AWS Lambda 関数を呼び出し、Quick Setup パッチポリシー設定が削除された後にクリーンアップオペレーションを実行するのを許可します。
+ `logs` – プリンシパルが Patch Manager Quick Setup AWS Lambda 関数についてのログ記録を設定するのを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupSchedulerPermissionsBoundary` は [Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する](quick-setup-scheduler.md) Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、指定した時刻に EC2 インスタンスや他のリソースを停止および起動できます。

Quick Setup を使用して `AWSQuickSetupSchedulerPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルがインスタンス管理オートメーションアクション用のロールを取得して渡すこと、EC2 インスタンス管理用のデフォルトのインスタンスロールを管理およびアタッチしたり、渡したりすること、デフォルトのインスタンスプロファイルを作成すること、インスタンスプロファイルにデフォルトのインスタンスロールを追加すること、Systems Manager のためにサービスにリンクされたロールを作成すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、デフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けること、ならびにオートメーションワークフローを開始してインスタンスを設定し、それらで Systems Manager ツールを有効にすることを許可します。
+ `ssm` – プリンシパルが Explorer を有効にするオートメーションワークフローを開始し、Explorer サービス設定を読み取ったり、更新したりするのを許可します。
+ ec2 – プリンシパルがターゲットインスタンスを見つけて、スケジュールに従ってそれらのインスタンスを起動および停止するのを許可します。
+ `config` – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `compute-optimizer` – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
+ `support` – プリンシパルがアカウントの AWS Trusted Advisor チェックへの読み取り専用アクセスを提供することで、Explorer の有効化をサポートするのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary"></a>

**注記**  
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

マネージドポリシー `AWSQuickSetupCFGCPacksPermissionsBoundary` は [Quick Setup を使用して AWS Config 適合パックをデプロイする](quick-setup-cpack.md) Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Config 適合パックをデプロイします。適合パックは、単一のエンティティとしてデプロイできる AWS Config ルールと修復アクションをまとめたものです。

Quick Setup を使用して `AWSQuickSetupCFGCPacksPermissionsBoundary` 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が AWS Config 適合パックをデプロイすることを許可する管理許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡すのを許可します。
+ `sns` – プリンシパルが Amazon SNS でプラットフォームアプリケーションを一覧表示するのを許可します。
+ `config` – プリンシパルが AWS Config 適合パックをデプロイすること、適合パックのステータスを取得すること、設定レコーダーに関する情報を取得することを許可します。
+ `ssm` – プリンシパルが SSM ドキュメントとオートメーションワークフローに関する情報を取得すること、リソースタグに関する情報を取得すること、サービス設定に関する情報を取得し、サービス設定を更新することを許可します。
+ `compute-optimizer` – プリンシパルがアカウントのオプトインステータスを取得するのを許可します。
+ `support` – プリンシパルが AWS Trusted Advisor チェックに関する情報を取得するのを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupStartStopInstancesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy"></a>

IAM エンティティに `AWSQuickSetupStartStopInstancesExecutionPolicy` をアタッチできます。このポリシーは、Quick Setup が Systems Manager オートメーションを使用して Amazon EC2 インスタンスの開始と停止を管理するためのアクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ec2` – プリンシパルが Amazon EC2 インスタンス、そのステータス、リージョン、タグを表示することを許可します。また、特定の Amazon EC2 インスタンスの起動と停止も許可します。
+ `ssm` – プリンシパルが Quick Setup 変更カレンダーからカレンダー状態を取得すること、関連付けを開始すること、およびインスタンススケジューリングのオートメーションドキュメントを実行することを許可します。
+ `iam` – ssm.amazonaws.com と特定のリソース ARN へのサービスアクセスを制限する条件付きで プリンシパルが Quick Setup IAM ロールを Systems Manager 渡すことを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupStartSSMAssociationsExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy"></a>

このポリシーは、Quick Setup が `AWSQuickSetupType-Scheduler-ChangeCalendarState` Automation ランブックを実行することを許可するアクセス許可を付与します。このランブックは、Quick Setup 設定でスケジュールされたオペレーションの変更カレンダーの状態を管理するために使用されます。

`AWSQuickSetupStartSSMAssociationsExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが `AWSQuickSetupType-Scheduler-ChangeCalendarState` ドキュメント専用の自動化実行を開始することを許可します。これは、スケジュールされたオペレーションの変更カレンダーの状態を Quick Setup で管理するために必要です。
+ `iam` – プリンシパルが名前が「AWS-QuickSetup-」で始まるロールを Systems Manager サービスに渡すことを許可します。このアクセス許可は、変更カレンダー管理に関連する特定の SSM ドキュメントでの使用に制限されています。これは、Quick Setup が自動化プロセスに適切な実行ロールを渡すために必要です。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy"></a>

ポリシー `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` では、ノードが管理されているアカウントとリージョンで Automation ワークフローを開始することで、Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。

`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わって診断アクションを実行することを許可するサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、ノードの問題を診断する自動化ランブックを実行し、ワークフローの実行ステータスにアクセスし、自動化実行の詳細を取得することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、診断関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `kms` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `sts` – プリンシパルが診断実行ロールを引き受けて同じアカウントで Automation ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisExecutionRole` 命名パターンを持つロールに制限され、リソースアカウントとプリンシパルアカウントを一致させるための条件が含まれています。
+ `iam` – プリンシパルに、診断管理ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisAdminRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
+ `s3` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内のオブジェクトのアクセス、読み取り、書き込み、削除を許可します。このアクセス許可は、`do-not-delete-ssm-diagnosis-` 命名パターンを持つバケットに制限され、同じアカウント内でオペレーションが実行されるようにするための条件が含まれています。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy"></a>

マネージドポリシー `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` では、ターゲットの AWS アカウントとリージョンで Automation ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードの問題を診断するための管理アクセス許可を付与できます。

`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ec2` – プリンシパルに、Amazon EC2 および Amazon VPC のリソースとその設定を記述して、Systems Manager サービスに関する問題を診断することを許可します。これには、VPC、VPC 属性、VPC エンドポイント、サブネット、セキュリティグループ、インスタンス、インスタンスステータス、ネットワーク ACL、インターネットゲートウェイを記述するアクセス許可が含まれます。
+ `ssm` – プリンシパルが診断固有の Automation ランブックを実行し、Automation ワークフローのステータスと実行メタデータにアクセスすることを許可します。これには、自動化ステップ実行の記述、インスタンス情報の記述、オートメーション実行の記述、アクティベーションの記述、オートメーション実行の詳細の取得、サービス設定の取得、特定の AWS アンマネージド EC2 診断ドキュメントのオートメーション実行の開始を目的としたアクセス許可が含まれます。
+ `kms` – プリンシパルに、診断オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、診断バケット用の、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `iam` – プリンシパルに、診断実行ロールを Systems Manager に渡して自動化ドキュメントを実行することを許可します。このアクセス許可は、`AWS-SSM-DiagnosisExecutionRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy"></a>

このポリシー `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` は、自動化ドキュメント内で定義されたアクティビティを実行することにより Systems Manager サービスの問題を修正するアクセス許可を提供し、主に自動化ドキュメントの実行に使用されます。このポリシーにより、接続と設定の問題に対処するためにノードが管理されているアカウントとリージョンで、自動化ワークフローを開始することができます。

`AWS-SSM-RemediationAutomation-AdministrationRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、このポリシーを、Systems Manager がユーザーに代わり修正アクションを実行することを許可するサービスロールにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、ノードの問題を修正する自動化ランブックを実行し、ワークフローの実行ステータスにアクセスし、自動化実行の詳細を取得することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、修正関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `kms` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `sts` – プリンシパルに、修正実行ロールを引き受けて同じアカウントで自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationExecutionRole` 命名パターンを持つロールに制限され、リソースアカウントとプリンシパルアカウントを一致させるための条件が含まれています。
+ `iam` – プリンシパルに、修正管理ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationAdminRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。
+ `s3` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内のオブジェクトのアクセス、読み取り、書き込み、削除を許可します。このアクセス許可は、`do-not-delete-ssm-diagnosis-` 命名パターンを持つバケットに制限され、同じアカウント内でオペレーションが実行されるようにするための条件が含まれています。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy"></a>

マネージドポリシー `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` では、特定のターゲットアカウントとリージョンで自動化ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードのネットワークと接続の問題を修復するためのアクセス許可を付与できます。このポリシーにより、自動化ドキュメント内で定義された修正アクティビティが有効になります。これは主に、接続と設定の問題への対処を目的として自動化ドキュメントを実行するために使用されます。

IAM エンティティに ポリシーをアタッチできます。また、Systems Manager はこのポリシーを、ユーザーに代わって修正アクションを実行することを Systems Manager に許可するサービスロールにもアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルに、自動化実行とその手順の実行に関する情報を取得し、`AWS-OrchestrateUnmanagedEC2Actions` および `AWS-RemediateSSMAgent` ドキュメントを含む特定の修正自動化ランブックを開始することを許可します。このポリシーは、自動化実行の記述、自動化ステップ実行の記述、自動化実行の詳細の取得、修正関連のドキュメントの自動化実行の開始を目的としたアクセス許可を付与します。
+ `ec2` – プリンシパルに、Amazon VPC ネットワークリソースを記述および変更して、接続の問題を修正することを許可します。これには、以下が含まれます。
  + Amazon VPC 属性、サブネット、Amazon VPC エンドポイント、セキュリティグループの記述。
  + 必要なタグを使用した Systems Manager サービス (`ssm`、`ssmmessages`、`ec2messages`) 用の Amazon VPC エンドポイントの作成。
  + DNS サポートとホスト名を有効にするための Amazon VPC 属性の変更。
  + Amazon VPC エンドポイントのアクセス用の、特定のタグを持つセキュリティグループの作成と管理。
  + 適切なタグを使用した HTTPS アクセス用の、セキュリティグループルールの承認および取り消し。
  + リソース作成時の Amazon VPC エンドポイント、セキュリティグループ、セキュリティグループルールへのタグの作成。
+ `kms` – プリンシパルに、修正オペレーションに使用される Amazon S3 バケット内の暗号化されたオブジェクトにアクセスするときに、復号とデータキーの生成のためにユーザーが指定した、AWS Key Management Service キーを使用することを許可します。これらのアクセス許可は `SystemsManagerManaged` でタグ付けされたキーに制限され、特定の暗号化コンテキスト要件を持つ Amazon S3 サービスを介して使用されます。
+ `iam` – プリンシパルに、修正実行ロールを Systems Manager に渡して自動化ランブックを実行することを許可します。このアクセス許可は、`AWS-SSM-RemediationExecutionRole` 命名パターンを持つロールに制限され、Systems Manager サービスにのみ渡すことができます。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSSMManageResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy"></a>

このポリシーは、Quick Setup が `AWSQuickSetupType-SSM-SetupResources` Automation ランブックを実行することを許可するアクセス許可を付与します。このランブックは Quick Setup 関連付けの IAM ロールを作成し、関連付けは `AWSQuickSetupType-SSM` のデプロイによって作成されます。また、Quick Setup 削除オペレーション時に関連する Amazon S3 バケットをクリーンアップするためのアクセス許可も付与します。

このポリシーを IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが Quick Setup Systems Manager Explorer オペレーションで使用する IAM ロールをリストおよび管理すること、Quick Setup および Systems Manager Explorer で使用する IAM ポリシーを表示、アタッチ、デタッチすることを許可します。これらのアクセス許可は、Quick Setup で一部の設定オペレーションに必要なロールを作成するために必要です。
+ `s3` – プリンシパルがプリンシパルアカウントの Amazon S3 バケットにあるオブジェクトのうち、特に Quick Setup 設定オペレーションに使用されるオブジェクトの情報を取得すること、そのオブジェクトを Amazon S3 バケットから削除することを許可します。これは、設定後に不要になった S3 オブジェクトを削除するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy"></a>

`AWSQuickSetupSSMLifecycleManagementExecutionPolicy` ポリシーは、Systems Manager に Quick Setup をデプロイする際にライフサイクルイベントに対して CloudFormation カスタムリソースを実行することを Quick Setup に許可する管理アクセス許可を付与します。

このポリシーを IAM エンティティにアタッチできます。Systems Manager は、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールにも、このポリシーをアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルがオートメーションの実行に関する情報を取得し、特定の Quick Setup オペレーションをセットアップするためのオートメーションの実行を開始することを許可します。
+ `iam` – プリンシパルが特定の Quick Setup リソースをセットアップするためのロールを IAM から渡すことを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSSMDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy"></a>

マネージドポリシー `AWSQuickSetupSSMDeploymentRolePolicy` は、Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与します。

このポリシーを IAM エンティティに手動でアタッチすることもできますがお勧めしません。Quick Setup は、ユーザーに代わってアクションを実行することを Systems Manager に許可するサービスロールにこのポリシーをアタッチするエンティティを作成します。

このポリシーは、[`SSMQuickSetupRolePolicy` ポリシー](using-service-linked-roles-service-action-5.md)とは関係ありません。これは、`AWSServiceRoleForSSMQuickSetup` サービスリンクロールにアクセス許可を付与するために使用するポリシーです。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが AWS CloudFormation テンプレートと特定の SSM ドキュメントセットを使用して作成された特定のリソースの関連付けを管理すること、CloudFormation テンプレートを使用してマネージドノードを診断して修復するためのロールとロールポリシーを管理すること、Quick Setup ライフサイクルイベントのポリシーをアタッチおよび削除することを許可します。
+ `iam` – プリンシパルが Systems Manager サービスと Lambda サービスのロールにタグ付けすることとロールのアクセス許可を渡すこと、診断オペレーションのロールのアクセス許可を渡すことを許可します。
+ `lambda` – プリンシパルが CloudFormation テンプレートを使用してプリンシパルアカウントの Quick Setup ライフサイクルの関数をタグ付けおよび管理することを許可します。
+ `cloudformation` – プリンシパルが CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される CloudFormation スタックに関するデータを収集するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy"></a>

`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` ポリシーは、アカウント内のすべての S3 バケットをリストするためのアクセス許可と、プリンシパルアカウントで CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得するためのアクセス許可を付与します。

`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルがアカウント内のすべての S3 バケットをリストすること、プリンシパルアカウントで CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得することを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupEnableDHMCExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy"></a>

このポリシーは、プリンシパルが `AWSQuickSetupType-EnableDHMC` Automation ランブックを実行してデフォルトのホスト管理設定を有効にすることを許可する管理アクセス許可を付与します。デフォルトのホスト管理設定では、Systems Manager が Amazon EC2 インスタンスを*マネージドインスタンス*として自動的に管理できます。マネージドインスタンスとは、Systems Manager で使用するために設定された EC2 インスタンスです。このポリシーは、Systems Manager サービス設定に SSM Agent のデフォルトのロールとして指定されている IAM ロールを作成するためのアクセス許可も付与します。

`AWSQuickSetupEnableDHMCExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Systems Manager サービス設定に関する情報を更新および取得することを許可します。
+ `iam` – プリンシパルが Quick Setup オペレーションの IAM ロールに関する情報を作成および取得することを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupEnableAREXExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy"></a>

このポリシーは、`AWSQuickSetupType-EnableAREX` Automation ランブックを実行して Systems Manager で AWS Resource Explorer を使用できるようにすることを Systems Manager に許可する管理アクセス許可を付与します。Resource Explorer を使用すると、インターネット検索エンジンと似た検索エクスペリエンスでアカウントのリソースを表示できます。このポリシーは、Resource Explorer のインデックスとビューを管理するためのアクセス許可も付与します。

`AWSQuickSetupEnableAREXExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – プリンシパルが AWS Identity and Access Management (IAM) サービスにサービスリンクロールを作成することを許可します。
+ `resource-explorer-2` – プリンシパルが Resource Explorer のビューとインデックスに関する情報を取得すること、Resource Explorer のビューとインデックスを作成すること、Quick Setup に表示されているインデックスのインデックスタイプを変更することを許可します。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「*AWS マネージドポリシーのリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupManagedInstanceProfileExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy"></a>

このポリシーは、Quick Setup ツールのデフォルトの IAM インスタンスプロファイルを作成して、まだインスタンスプロファイルがアタッチされていない Amazon EC2 インスタンスにアタッチすることを Systems Manager に許可する管理アクセス許可を付与します。このポリシーは、既存のインスタンスプロファイルにアクセス許可をアタッチする機能も Systems Manager に付与します。その目的は、Systems Manager が EC2 インスタンス上の SSM Agent と通信するために必要なアクセス許可を確実に付与することです。

`AWSQuickSetupManagedInstanceProfileExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが Quick Setup プロセスに関連付けられている Automation ワークフローを開始することを許可します。
+ `ec2` – プリンシパルが Quick Setup によって管理される EC2 インスタンスに IAM インスタンスプロファイルをアタッチすることを許可します。
+ `iam` – プリンシパルが Quick Setup プロセスに使用されるロールに関する情報を作成、更新、および IAM から取得すること、IAM インスタンスプロファイルを作成すること、IAM インスタンスプロファイルに `AmazonSSMManagedInstanceCore` マネージドポリシーをアタッチすることを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupManageJITNAResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy"></a>

マネージドポリシー `AWSQuickSetupManageJITNAResourcesExecutionPolicy` により、Systems Manager のツールである Quick Setup がジャストインタイムノードアクセスを設定できるようになります。

`AWSQuickSetupManageJITNAResourcesExecutionPolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Systems Manager がジャストインタイムノードアクセスに関連付けられたリソースを作成することを許可する管理アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルがジャストインタイムノードアクセスの ID プロバイダーを指定するサービス設定を取得および更新することを許可します。
+ `iam` – プリンシパルがロールを作成、タグ付け、および取得すること、ジャストインタイムノードアクセスマネージドポリシーのロールポリシーをアタッチすること、ジャストインタイムノードアクセスと通知のサービスにリンクされたロールを作成することを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSQuickSetupJITNADeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy"></a>

マネージドポリシー `AWSQuickSetupJITNADeploymentRolePolicy` は、Quick Setup がジャストインタイムノードアクセスの設定に必要な設定タイプをデプロイすることを許可します。

`AWSQuickSetupJITNADeploymentRolePolicy` を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Systems Manager がジャストインタイムノードアクセスに関連付けられたリソースを作成することを許可する管理アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `cloudformation` – プリンシパルが CloudFormation スタックの作成、更新、削除、および読み取りを行うことを許可します。
+ `ssm` – プリンシパルが CloudFormation によって呼び出される State Manager の関連付けの作成、削除、更新、および読み取りを行うことを許可します。
+ `iam` – プリンシパルが CloudFormation によって呼び出される IAM ロールの作成、削除、読み取り、およびタグ付けを行うことを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy"></a>

マネージドポリシー `AWSSystemsManagerJustInTimeAccessServicePolicy` は、AWS Systems Manager のジャストインタイムアクセスフレームワークによって管理または使用される AWS リソースへのアクセスを付与します。このポリシーの更新により、自動化実行のタグ付けアクセス許可が追加され、お客様は特定のタグにオペレーターアクセス許可の範囲を絞り込むことができます。

IAM エンティティに `AWSSystemsManagerJustInTimeAccessServicePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してジャストインタイムノードアクセスを有効にする](using-service-linked-roles-service-action-8.md)」を参照してください。

このポリシーは、ジャストインタイムノードアクセスに関連付けられたリソースへのアクセスを許可する管理アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが OpsItems を作成および管理すること、OpsItems と自動化実行にタグを追加すること、OpsItems を取得して更新すること、ドキュメントを取得して記述すること、OpsItems とセッションを記述すること、マネージドインスタンスのドキュメントとタグを一覧表示することを許可します。
+ `ssm-guiconnect` – プリンシパルが接続を一覧表示することを許可します。
+ `identitystore` – ユーザー ID とグループ ID を取得すること、ユーザーを記述すること、グループメンバーシップを一覧表示することを許可します。
+ `sso-directory` – プリンシパルがユーザーを記述すること、ユーザーがグループのメンバーであるかどうかを判断することを許可します。
+ `sso` – プリンシパルが登録されているリージョンを記述すること、インスタンスとディレクトリの関連付けを一覧表示することを許可します。
+ `cloudwatch` – プリンシパルが `AWS/SSM/JustInTimeAccess` 名前空間のメトリクスデータを配置することを許可します。
+ `ec2` – プリンシパルがタグを記述することを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy"></a>

マネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenPolicy` は、ジャストインタイムのノードアクセスワークフローの一部として Session Manager と Systems Manager GUI Connect RDP を介して Amazon EC2 インスタンスとマネージドインスタンスへの安全な接続を確立するアクセス許可を提供します。

IAM エンティティに `AWSSystemsManagerJustInTimeAccessTokenPolicy` をアタッチできます。

このポリシーは、ユーザーがジャストインタイムノードアクセスの安全なセッションの開始と管理、RDP 接続の確立、必要な暗号化オペレーションを行うことのできる寄稿者アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが SSM-SessionManagerRunShell ドキュメントを使用して Amazon EC2 インスタンスとマネージドインスタンスで Session Manager セッションを開始することを許可します。また、Systems Manager GUI Connect を介して呼び出された場合、セッションの終了と再開、コマンド呼び出しの詳細の取得、SSO ユーザー設定のインスタンスへのコマンドの送信も許可します。さらに、Systems Manager GUI Connect を介して呼び出されるた場合、RDP 接続のポート転送セッションを開始できます。
+ `ssmmessages` – Session Manager セッション中にプリンシパルが安全な通信のためにデータチャネルを開くことを許可します。
+ `ssm-guiconnect` – プリンシパルがインスタンスへの Systems Manager GUI Connect RDP 接続の開始、詳細の取得、キャンセルを行うことを許可します。
+ `kms` – プリンシパルが Session Manager 暗号化用のデータキーを生成し、RDP 接続の許可を作成することを許可します。これらのアクセス許可は、`SystemsManagerJustInTimeNodeAccessManaged=true` でタグ付けされた AWS KMS キーに制限されます。許可の作成は、Systems Manager GUI Connect サービスを介してのみ使用するようにさらに制限されています。
+ `sso` – Systems Manager GUI Connect を介して呼び出された場合、プリンシパルがディレクトリの関連付けを一覧表示することを許可します。これは RDP SSO ユーザーのセットアップに必要です。
+ `identitystore` – Systems Manager GUI Connect を介して呼び出された場合、プリンシパルが ID ストア内のユーザーを表示することを許可します。これは RDP SSO ユーザーのセットアップに必要です。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy"></a>

マネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` は、Systems Manager がスコープダウンされたアクセス許可をジャストインタイムノードアクセストークンに適用することを許可します。

IAM エンティティに `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` をアタッチできます。

このポリシーは、Systems Manager がジャストインタイムノードアクセストークンのアクセス許可をスコープダウンすることを許可する管理アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが `SSM-SessionManagerRunShell` ドキュメントを使用して Session Manager セッションを開始することを許可します。また、`ssm-guiconnect` によって最初に呼び出されたときに、`AWS-StartPortForwardingSession` ドキュメントを使用してセッションを開始し、コマンド呼び出しを一覧表示し、`AWSSSO-CreateSSOUser` ドキュメントを使用してコマンドを送信します。
+ `ssm-guiconnect` – プリンシパルがすべてのリソースで接続をキャンセル、取得、および開始することを許可します。
+ `kms` – AWS サービスを介して `ssm-guiconnect` によって呼び出されたときに `SystemsManagerJustInTimeNodeAccessManaged` でタグ付けされたキーについて、プリンシパルが権限を作成すること、データキーを生成することを許可します。
+ `sso` – `ssm-guiconnect` によって呼び出されたときに、プリンシパルがディレクトリの関連付けを一覧表示することを許可します。
+ `identitystore` – `ssm-guiconnect` によって呼び出されたときに、プリンシパルがユーザーを記述することを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy"></a>

マネージドポリシー `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` は、Systems Manager が委任管理者アカウントからメンバーアカウントにアクセス拒否ポリシーを共有すること、ポリシーを複数の AWS リージョンにレプリケートすることを許可します。

IAM エンティティに `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` をアタッチできます。

このポリシーは、Systems Manager がアクセス拒否ポリシーを共有および作成するために必要な管理アクセス許可を提供します。これにより、ジャストインタイムノードアクセス用に設定された AWS Organizations の組織とリージョン内のすべてのアカウントにアクセス拒否ポリシーが適用されます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `ssm` – プリンシパルが SSM ドキュメントとリソースポリシーを管理することを許可します。
+ `ssm-quicksetup` – プリンシパルが Quick Setup 設定マネージャーを読み取ることを許可します。
+ `organizations` – プリンシパルが AWS Organizations の組織と委任管理者に関する詳細を一覧表示することを許可します。
+ `ram` – プリンシパルがリソース共有を作成、タグ付け、および記述することを許可します。
+ `iam` – プリンシパルがサービスロールを記述することを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWSSystemsManagerNotificationsServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy"></a>

マネージドポリシー `AWSSystemsManagerNotificationsServicePolicy` は、Systems Manager がジャストインタイムノードアクセスリクエストの E メール通知を送信して、リクエスト承認者にアクセスすることを許可します。

IAM エンティティに `AWSSystemsManagerJustInTimeAccessServicePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[ロールを使用してジャストインタイムノードアクセスリクエスト通知を送信する](using-service-linked-roles-service-action-9.md)」を参照してください。

このポリシーは、Systems Manager がアクセスリクエスト承認者にジャストインタイムノードアクセスリクエストの E メール通知を送信することを許可する管理アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `identitystore` – プリンシパルがユーザーとグループのメンバーシップを一覧表示および記述することを許可します。
+ `sso` – プリンシパルがインスタンスとディレクトリを一覧表示すること、登録されたリージョンを記述することを許可します。
+ `sso-directory` – プリンシパルがユーザーを記述すること、グループのメンバーを一覧表示することを許可します。
+ `iam` – プリンシパルがロールに関する情報を取得することを許可します。

JSON ポリシードキュメントの最新バージョンを含む、ポリシーの詳細を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-Automation-DiagnosisBucketPolicy
<a name="security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy"></a>

マネージドポリシー `AWS-SSM-Automation-DiagnosisBucketPolicy` では、問題の診断と修復に使用される S3 バケットにアクセスして、AWS Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。

`AWS-SSM-Automation-DiagnosisBucketPolicy` ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `s3` – プリンシパルがオブジェクトにアクセスして Amazon S3 バケットに書き込むことを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy"></a>

マネージドポリシー `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。

`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` を IAM ID にアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。
+ `sts` – プリンシパルが修復実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)」を参照してください。

## AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy"></a>

マネージドポリシー `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。

`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。
+ `sts` – プリンシパルが診断実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)」を参照してください。





## AWS マネージドポリシーに対する Systems Manager の更新
<a name="security-iam-awsmanpol-updates"></a>



以下の表には、このサービスによりこれらの変更の追跡が開始された 2021 年 3 月 12 日以降に行われた Systems Manager 用 AWS マネージドポリシーに対する更新の詳しい説明が記載されています。Systems Manager サービスの他のマネージドポリシーについては、このトピックの後半の「[Systems Manager 用の追加のマネージドポリシー](#policies-list)」を参照してください。このページの変更に関する自動通知については、[Systems Manager [ドキュメント履歴](systems-manager-release-history.md)] ページの RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 既存のポリシーの更新  |  Systems Manager に `cloudformation:TagResource` および `cloudformation:UntagResource` のアクセス許可を追加しました。これらのアクセス許可により、CloudFormation スタックを作成する Automation ランブックがリソースにタグを追加および削除できるようになります。  | 2026 年 3 月 20 日 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – マネージドポリシーの更新  |  Systems Manager は、マネージドポリシーを更新して、診断機能を強化するために EC2 および SSM のアクセス許可を追加しました。このポリシーには、EC2 インスタンスのステータスとネットワーク ACL、SSM のアクティベーションとサービス設定を記述するアクセス許可が含まれ、マネージドノードの問題のトラブルシューティングを行うためのより包括的な診断情報が提供されるようになりました。  | 2025 年 12 月 19 日 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 管理ポリシーの更新  |  Systems Manager は、マネージドポリシー `AWSQuickSetupDeploymentRolePolicy` を更新して、2 つの SSM ドキュメント (`AWSQuickSetupType-ConfigureDevOpsGuru` と `AWSQuickSetupType-DeployConformancePack`) のサポートを追加しました。これらの追加により、Quick Setup はポリシーを介して DevOps Guru 設定とコンフォーマンスパックをデプロイできます。  | 2025 年 12 月 15 日 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 既存のポリシーの更新  |  Systems Manager でマネージドポリシー `AWSSystemsManagerJustInTimeAccessTokenPolicy` が更新されました。ステートメント (`SID`) `TerminateAndResumeSession` の名前が `TerminateAndResumeSessionAndOpenDataChannel` に変更され、セッション管理とデータチャネルのアクセス許可を 1 つのステートメントにまとめる `ssmmessages:OpenDataChannel` アクションが含まれるようになりました。  | 2025 年 9 月 25 日 | 
| マネージドポリシーの更新 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager で 3 つのマネージドポリシーが更新され、特定のオートメーションランブックと SSM コマンドドキュメントを始めとする追加の Systems Manager リソースでオートメーション実行を開始するためのサポートが追加されました。 | 2025 年 9 月 12 日 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 更新されたマネージドポリシー  |  Systems Manager でマネージドポリシーが更新され、Quick Setup スケジューラ設定のアクセス許可が調整されました。このポリシーでは、Amazon EC2 インスタンスの起動と停止、変更カレンダーへのアクセス、強化されたセキュリティ条件でのオートメーションドキュメントの実行に関するより具体的なアクセス許可が提供されるようになりました。  | 2025 年 9 月 12 日 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 更新されたマネージドポリシー  |  Systems Manager でマネージドポリシーが更新され、オートメーションドキュメントが `AWSQuickSetupType-StartSSMAssociations` から `AWSQuickSetupType-Scheduler-ChangeCalendarState` に変更されました。この更新により、ポリシーの目的がSSM 関連付けの開始から、スケジュールされたオペレーションの変更カレンダーの状態の管理に変更されます。  | 2025 年 9 月 12 日 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 既存のポリシーの更新  |  Systems Manager で新しいアクセス許可が追加され、オートメーションランブックがセッションベースのオペレーションの通信チャネルを確立することが可能になりました。 リソース `arn:*:ssm:*:*:session/*` に対する `ssmmessages:OpenDataChannel` アクセス許可が追加されました。  | 2025 年 9 月 11 日 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – マネージドポリシーの更新  |  Systems Manager は、自動化実行のタグ付けのアクセス許可を追加するようにマネージドポリシーを更新しました。サービスでは、自動化実行に `SystemsManagerJustInTimeNodeAccessManaged=true` タグを付けて、お客様がオペレーターのアクセス許可を特定のタグに絞り込むことができるようにする必要があります。  | 2025 年 8 月 25 日 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 新しいポリシー  |  Systems Manager は、Quick Setup が `AWSQuickSetupType-StartSSMAssociations` 自動化ランブックを実行することを許可する新しいポリシーを追加しました。このランブックは、Quick Setup 構成によって作成される State Manager 関連付けを開始するために使用されます。  | 2025 年 8 月 12 日 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 新しいポリシー  |  Systems Manager は、Quick Setup がスケジュールに従って Amazon EC2 インスタンスを起動および停止することを許可する新しいポリシーを追加しました。このポリシーは、定義されたスケジュールに基づいてインスタンスの状態を管理するために必要なアクセス許可を Quick Setup スケジューラ設定タイプに付与します。  | 2025 年 8 月 12 日 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – ドキュメントの更新  |  Systems Manager は、追加のリソースに対するアクセス許可を付与するために `AWSQuickSetupDeploymentRolePolicy` マネージドポリシーを更新しました。さらに、`AWSQuickSetupDeploymentRolePolicy` のドキュメントが更新され、Quick Setup 設定管理オペレーションのためにこのポリシーによって付与されるアクセス許可の詳細な説明が追加されました。  | 2025 年 8 月 12 日 | 
|  [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – 既存のポリシーの更新  |  Systems Manager でマネージドポリシーが更新され、document と automation-execution の両方のリソースタイプにアクセス許可を要求することで、ssm:StartAutomationExecution API のセキュリティ体制が強化されました。更新されたポリシーでは、ネットワーク修復機能のより詳細な説明、より具体的な Amazon VPC エンドポイントの作成のためのアクセス許可、詳細なセキュリティグループ管理のためのアクセス許可、修正オペレーションのリソースタグ付けコントロールの改善など、修正自動化の実行に関するより包括的で詳細なアクセス許可が提供されています。  | 2025 年 7 月 16 日 | 
|  [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – 既存のポリシーの更新  |  Systems Manager で、修正自動化オペレーションの、API 認証の改善をサポートするようにマネージドポリシーが更新されました。このポリシー更新により、自動化ドキュメント内で定義されたアクティビティを実行するためのアクセス許可が強化され、修復ワークフローのセキュリティコントロールとリソースアクセスパターンが改善されました。  | 2025 年 7 月 16 日 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 既存のポリシーの更新  |  Systems Manager で、診断自動化実行のためのより詳細で正確なアクセス許可を提供するようにマネージドポリシーが更新されました。このポリシー更新により、Amazon EC2 および Amazon VPC のリソースアクセスの説明が改善され、SSM オートメーションのアクセス許可がより具体的になり、AWS KMS および IAM アクセス許可の説明が適切なリソース制限とともに改善されました。  | 2025 年 7 月 16 日 | 
|  [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – 既存のポリシーの更新  |  Systems Manager で、診断自動化オペレーションに、より具体的なアクセス許可とセキュリティ条件を含めるようにマネージドポリシーが更新されました。このポリシー更新により、AWS KMS キーの使用、Amazon S3 バケットアクセス、ロールの前提条件に対するセキュリティコントロールが強化され、リソースベースの条件とアカウントレベルの制限がこれまでよりも厳格になりました。  | 2025 年 7 月 16 日 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – ポリシーへの更新  |  Systems Manager は、Amazon 所有のランブック [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content) にアクセスするためのアクセス許可をマネージドポリシー `AWSQuickSetupDeploymentRolePolicy` に追加しました。このアクセス許可により、Quick Setup はインラインポリシーではなく管理ポリシーを使用して関連付けを作成できます。  | 2025 年 7 月 14 日 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – ドキュメントの更新  |  Systems Manager に既存の `AmazonSSMAutomationRole` ポリシーの包括的なドキュメントが追加されました。このポリシーは、Systems Manager の自動化サービスが、自動化ランブック内で定義されたアクティビティを実行するためのアクセス許可を提供するものです。  | 2025 年 7 月 15 日 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – ポリシーの更新  |  ジャストインタイムノードアクセスのために AWS Resource Access Manager により共有されているリソースに、Systems Manager がタグを付けることを許可するアクセス許可が Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – ポリシーへの更新  |  ジャストインタイムノードアクセスのために作成された IAM ロールにタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセストークンにスコープダウンされたアクセス許可を適用することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスリクエストの E メール通知をアクセスリクエスト承認者に送信することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新しいポリシー  |  承認ポリシーを異なるリージョンにレプリケートすることを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスのために使用されるアクセストークンを生成することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新しいポリシー  |  Systems Manager のジャストインタイムノードアクセス機能によって管理または使用される AWS リソースへのアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスのために必要な IAM ロールを作成することを、Systems Manager のツールである Quick Setup に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスを設定するために必要な設定タイプをデプロイすることを Quick Setup に許可するアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – ポリシーの更新  |  ジャストインタイムノードアクセスのために AWS Resource Access Manager により共有されているリソースに、Systems Manager がタグを付けることを許可するアクセス許可が Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – ポリシーの更新  |  ジャストインタイムノードアクセスのために作成された IAM ロールにタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセストークンにスコープダウンされたアクセス許可を適用することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスリクエストの E メール通知をアクセスリクエスト承認者に送信することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新しいポリシー  |  承認ポリシーを異なるリージョンにレプリケートすることを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスのために使用されるアクセストークンを生成することを Systems Manager に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新しいポリシー  |  Systems Manager のジャストインタイムノードアクセス機能によって管理または使用される AWS リソースへのアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスのために必要な IAM ロールを作成することを、Systems Manager のツールである Quick Setup に許可する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新しいポリシー  |  ジャストインタイムノードアクセスを設定するために必要な設定タイプをデプロイすることを Quick Setup に許可するアクセス許可を提供する新しいポリシーが Systems Manager に追加されました。  | 2025 年 4 月 30 日 | 
|  [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) - 新しいポリシー  |  組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。  | 2024 年 11 月 21 日 | 
|  [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) - 新しいポリシー  |  組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。  | 2024 年 11 月 21 日 | 
|  [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) - 新しいポリシー  |  ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。  | 2024 年 11 月 21 日 | 
|  [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 既存ポリシーへの更新  |  AWS Resource Explorer に Amazon EC2 インスタンスに関する詳細を収集し、結果を新しい Systems Manager ダッシュボードのウィジェットに表示することを許可する新しいアクセス許可が Systems Manager に追加されました。  | 2024 年 11 月 21 日 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 既存ポリシーへの更新 | Systems Manager のマネージドポリシー SSMQuickSetupRolePolicy が更新されました。この更新により、関連付けられたサービスリンクロール AWSServiceRoleForSSMQuickSetup でリソースデータの同期を管理できるようになります。 | 2024 年 11 月 21 日 | 
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
|  [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – ポリシーの更新  |  統合コンソール用に作成された IAM ロールと Lambda にタグを付けることを Systems Manager に許可するアクセス許可が Systems Manager に追加されました。  | 2025 年 5 月 7 日 | 
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) - 新しいポリシー | Quick Setup で Quick Setup 関連付けの IAM ロールを作成するオペレーションを実行できるように、新しいポリシーが Systems Manager に追加されました。関連付けは AWSQuickSetupType-SSM のデプロイによって作成されます。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) - 新しいポリシー | Quick Setup のデプロイ時に Quick Setup がライフサイクルイベントで CloudFormation カスタムリソースを実行できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) - 新しいポリシー | Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) - 新しいポリシー | CloudFormation テンプレートを使用して管理されるプリンシパルアカウントの特定のバケットに関する情報を管理および取得できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) - 新しいポリシー | 自ら既存の [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) を使用する IAM ロールを作成することを Quick Setup に許可する新しいポリシーが Systems Manager に導入されます。このポリシーには、SSM Agent が Systems Manager サービスと通信するために必要なアクセス許可がすべて含まれています。この新しいポリシーでは、Systems Manager サービス設定に変更を加えることもできます。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) - 新しいポリシー | Quick Setup が AWS Resource Explorer のサービスリンクロールを作成して Resource Explorer のビューとアグリゲーターインデックスにアクセスできるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 | 
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) - 新しいポリシー |  Quick Setup がデフォルトの Quick Setup インスタンスプロファイルを作成して、関連付けられたインスタンスプロファイルがない任意の Amazon EC2 インスタンスにアタッチできるように、新しいポリシーが Systems Manager に追加されました。この新しいポリシーにより、Quick Setup は既存のプロファイルにアクセス許可をアタッチして、必要なすべての Systems Manager アクセス許可を確実に付与できるようになります。  | 2024 年 11 月 21 日 | 
|  [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 既存ポリシーへの更新  |  Quick Setup で作成した追加の AWS CloudFormation スタックセットの健全性をチェックできるよう、Systems Manager で新しいアクセス許可を追加しました。  | 2024 年 8 月 13 日 | 
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – 既存ポリシーへの更新 | Systems Manager が、AmazonSSMManagedEC2InstanceDefaultPolicy の JSON ポリシーにステートメント ID (Sid) を追加しました。これらの Sid は、各ポリシーステートメントの目的のインライン記述を提供します。 | 2024 年 7 月 18 日 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 新しいポリシー | Systems Manager は、デプロイされたリソースの正常性をチェックし、元の設定からドリフトしたインスタンスを修復することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 | 
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) - 新しいポリシー | Systems Manager は、IAM ロールとオートメーションを作成する (これは、推奨されるベストプラクティスを使用して頻繁に使用される Amazon Web Services サービスと機能を設定します) 複数の Quick Setup 設定タイプをサポートする新しいポリシーを追加しました。 | 2024 年 7 月 3 日 | 
|  [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)  – 新しいポリシー  |  Systems Manager は、Patch Manager パッチポリシー Quick Setup 設定に関連付けられたリソースを作成することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – 新しいポリシー  |  Systems Manager は、読み取り専用許可で Patch Manager のパッチベースラインにアクセスすることを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – 新しいポリシー | Systems Manager は、Explorer を有効にするための管理許可を付与することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 | 
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – 新しいポリシー | Systems Manager は、AWS Config 設定記録を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、Amazon DevOps Guru を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、AWS Systems Manager のツールである Distributor を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、Amazon EC2 インスタンスを安全に管理するための Systems Manager のツールを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、Amazon EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) – 新しいポリシー  |  Systems Manager は、AWS Config 適合パックをデプロイすることを Quick Setup に許可する新しいポリシーを追加しました。  | 2024 年 7 月 3 日 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – 既存ポリシーへの更新  | OpsCenter は、OpsData 関連のオペレーションを管理するための Explorer のサービスにリンクされたロール内のサービスコードのセキュリティを強化することを目的として、ポリシーを更新しました。 | 2023 年 7 月 3 日 | 
|  [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) - 新しいポリシー  |  Systems Manager は、IAM インスタンスプロファイルを使用せずに、Amazon EC2 インスタンスで Systems Manager 機能を許可する新しいポリシーを追加しました。  | 2022 年 8 月 18 日 | 
|  [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 既存のポリシーを更新します  |  Systems Manager では、Explorer または OpsCenter から Security Hub CSPM を有効にしたときに、Explorer が管理ルールを作成できるようにする新しいアクセス許可が追加されました。OpsData を許可する前に、その設定と Compute Optimizer コンピュートオプティマイザが、必要な要件を満たしていることを確認するための新しいアクセス許可が追加されました。  | 2021 年 4 月 27 日 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) - 新しいポリシー  |  Systems Manager は、Explorer と OpsCenter の Security Hub CSPM の検出結果から OpsItems と OpsData を作成および更新する新しいポリシーを追加しました。  | 2021 年 4 月 27 日 | 
|  `AmazonSSMServiceRolePolicy` – 既存ポリシーへの更新  |  Systems Manager では、Explorer の複数のアカウントと AWS リージョン からの集計 OpsData と OpsItems の詳細を表示できるようにする新しいアクセス許可が追加されました。  | 2021 年 3 月 24 日 | 
|  Systems Manager は変更の追跡を開始しました  |  Systems Manager が AWS マネージドポリシーの変更の追跡を開始しました。  | 2021 年 3 月 12 日 | 

## Systems Manager 用の追加のマネージドポリシー
<a name="policies-list"></a>

Systems Manager では、このトピックで前述したマネージドポリシーに加えて、次のポリシーもサポートされています。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – オートメーションの実行を表示するアクセスと、承認待ちのオートメーションへの承認決定を送信するアクセスを許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html) – マネージドノードによるドメインの参加リクエストに対して、SSM Agent による Directory Service へのアクセスをユーザーに代わって許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) – Systems Manager API およびドキュメントに対するフルアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – Systems Manager API へのアクセス許可をメンテナンスウィンドウに付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – ノードに Systems Manager サービスコア機能の使用を許可する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – パッチ関連付け操作用の子インスタンスへのアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – Systems Manager の読み取り専用 API オペレーション (`Get*` や `List*` など) へのアクセス権を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) – Systems Manager でオペレーションインサイトの *OpsItems* を作成して更新するアクセス許可を付与する AWS マネージドポリシー。サービスにリンクされたロール [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) を通じてアクセス許可を付与するために使用されます。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html) – Systems Manager に AWS アカウント 情報を検出するアクセス許可を付与する AWS マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – このポリシーはサポートされなくなったため、使用しないでください。代わりに、`AmazonSSMManagedInstanceCore` ポリシーを使用して、EC2 インスタンスで Systems Manager サービスコア機能を有効にします。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。