# AWS の マネージドポリシーAWS Well-Architected Tool
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: WellArchitectedConsoleFullAccess
`WellArchitectedConsoleFullAccess` ポリシーを IAM IDにアタッチできます。
このポリシーは、AWS Well-Architected Tool へのフルアクセスを許可します。
**アクセス許可の詳細**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: WellArchitectedConsoleReadOnlyAccess
`WellArchitectedConsoleReadOnlyAccess` ポリシーを IAM IDにアタッチできます。
このポリシーは、AWS Well-Architected Tool に読み取り専用アクセスを許可します。
**アクセス許可の詳細**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSWellArchitectedOrganizationsServiceRolePolicy
`AWSWellArchitectedOrganizationsServiceRolePolicy` ポリシーを IAM IDにアタッチできます。
このポリシーは、AWS Organizations の管理者アクセス許可を付与します。このアクセス許可は AWS Well-Architected Tool と組織の統合をサポートするために必要です。これらのアクセス許可により、組織管理アカウントは AWS WA Tool にリソースを共有できるようになります。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations:ListAWSServiceAccessForOrganization` — AWS サービスアクセスを AWS WA Tool に対して有効化できるかを確認をプリンシパルに許可します。
+ `organizations:DescribeAccount` - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。
+ `organizations:DescribeOrganization` - 組織設定に関する情報の取得を、プリンシパルに許可します。
+ `organizations:ListAccounts` - 組織に属するアカウントリストの取得を、プリンシパルに許可します。
+ `organizations:ListAccountsForParent` - 組織に属するアカウントのリストを組織の指定ルートノードから取得することをプリンシパルに許可します。
+ `organizations:ListChildren` - 組織に属するアカウントのリストの組織部門を組織の指定ルートノードから取得することをプリンシパルに許可します。
+ `organizations:ListParents` - 組織内の OU またはアカウントで指定された直属の親リストの取得をプリンシパルに許可します。
+ `organizations:ListRoots` - 組織内のすべてのルートノードの一覧の取得をプリンシパルに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSWellArchitectedDiscoveryServiceRolePolicy
`AWSWellArchitectedDiscoveryServiceRolePolicy` ポリシーを IAM IDにアタッチできます。
このポリシーにより、AWS Well-Architected Tool は、AWS サービスおよび AWS WA Tool リソースに関連するリソースにアクセスできるようになります。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `trustedadvisor:DescribeChecks` — 利用可能な Trusted Advisor チェックを一覧表示します。
+ `trustedadvisor:DescribeCheckItems` — Trusted Advisor がフラグを付けたステータスおよびリソースを含む Trusted Advisor チェックデータをフェッチします。
+ `servicecatalog:GetApplication` — AppRegistry アプリケーションの詳細をフェッチします。
+ `servicecatalog:ListAssociatedResources` — AppRegistry アプリケーションに関連するリソースを一覧表示します。
+ `cloudformation:DescribeStacks` — CloudFormation スタックの詳細を取得します。
+ `cloudformation:ListStackResources` — CloudFormation スタックに関連するリソースを一覧表示します。
+ `resource-groups:ListGroupResources` — ResourceGroup のリソースを一覧表示します。
+ `tag:GetResources` — ListGroupResources には必須。
+ `servicecatalog:CreateAttributeGroup` — 必要に応じてサービス管理属性グループを作成します。
+ `servicecatalog:AssociateAttributeGroup` — サービス管理属性グループを AppRegistry アプリケーションに関連付けます。
+ `servicecatalog:UpdateAttributeGroup` — サービス管理属性グループを更新します。
+ `servicecatalog:DisassociateAttributeGroup` — AppRegistry アプリケーションからサービス管理属性グループの関連性を解除します。
+ `servicecatalog:DeleteAttributeGroup` — 必要に応じてサービス管理属性グループを削除します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## AWS WA Tool による AWS マネージドポリシーの更新
このサービスがこれらの変更の追跡を開始してからの、AWS WA Tool の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[AWS WA Tool [ドキュメント履歴](document-revisions.md)] ページの RSS フィードをサブスクライブします。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWS WA Tool マネージドポリシーの変更 | `"wellarchitected:Export*"` が ` WellArchitectedConsoleReadOnlyAccess` に追加されました。 | 2023 年 6 月 22 日 |
| AWS WA Tool が追加したサービスロールポリシー | `AWSWellArchitectedDiscoveryServiceRolePolicy` を追加すると、AWS Well-Architected Tool が AWS サービスおよび AWS WA Tool リソースに関連するリソースにアクセスできるようになります。 | 2023 年 5 月 3 日 |
| AWS WA Tool が追加したアクセス許可 | AWS サービスアクセスが AWS WA Tool に対して有効になっているかどうかを AWS WA Tool が確認できるよう `ListAWSServiceAccessForOrganization` に許可する新しいアクションを追加しました。 | 2022 年 7 月 22 日 |
| AWS WA Tool は変更の追跡を開始しました | AWS WA Tool が AWS マネージドポリシーの変更の追跡を開始しました。 | 2022 年 7 月 22 日 |