# Network Synthetic Monitor 用の ID およびアクセス管理
<a name="networkmonitoring-iam"></a>

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを管理者が安全に制御するために役立つ AWS のサービスです。IAM の管理者は、誰を認証 (サインインを許可) し、誰に Network Synthetic Monitor リソースの使用を承認する (アクセス許可を持たせる) かを制御します。IAM は、AWSのサービスで追加料金は発生しません。IAM の機能を使用して、他のユーザー、サービス、およびアプリケーションが完全にまたは制限付きでお客様のAWSリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。

デフォルトでは、IAM ユーザーには、AWS リソースを作成、表示、変更するためのアクセス許可はありません。IAM ユーザーがグローバルネットワークなどのリソースにアクセスし、タスクを実行できるようにするには、次の操作を行う必要があります。
+ 必要な特定のリソースと API アクションを使用するアクセス許可をユーザーに付与する IAM ポリシーを作成します。
+ IAM ユーザーまたは IAM ユーザーが属するグループに、そのポリシーをアタッチします。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

## 条件キー
<a name="nw-monitor-condition-keys"></a>

`Condition` 要素 (または条件ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや以下などの条件演算子を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[IAM JSON ポリシー要素: 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)」を参照してください。

1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、AWS では `AND` 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。

タグを Network Synthetic Monitor リソースにアタッチすることも、Cloud WAN へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[IAM JSON ポリシー要素: 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。

すべての AWS グローバル条件キーを確認するには、「AWS Identity and Access Management ユーザーガイド」の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

## コアネットワークリソースのタグ付け
<a name="nw-security-tag-resources"></a>

タグは、ユーザーまたは AWS が AWS リソースに割り当てるメタデータラベルです。各タグは、キーと値から構成されます。ユーザーが割り当てるタグは、ユーザーがキーと値を定義します。たとえば、1 つのリソースのキーを `purpose` と定義し、値を `test` と定義します。タグは、以下のことに役立ちます。
+ AWS リソースの特定と整理。多くの AWS のサービスではタグ付けがサポートされるため、さまざまなサービスからリソースに同じタグを割り当てて、リソースの関連を示すことができます。
+ AWS リソースへのアクセスを制御します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

## サービスにリンクされたロールを削除する
<a name="delete-service-linked-role"></a>

Network Synthetic Monitor を使用する必要がなくなった場合は、`AWSServiceRoleForNetworkMonitor` ロールを削除することをお勧めします。

これらのサービスにリンクされたロールは、モニターを削除した場合にのみ削除できます。詳細については、「[モニターの削除](https://docs.aws.amazon.com/ )」を参照してください。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

`AWSServiceRoleForNetworkMonitor ` を削除すると、新規モニター作成時に、Network Synthetic Monitor によって再度このロールが作成されます。