# Network Flow Monitor の AWS マネージドポリシー
<a name="security-iam-awsmanpol-network-flow-monitor"></a>

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、*IAM ユーザーガイド*の [AWS管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorServiceRolePolicy"></a>

IAM エンティティに `CloudWatchNetworkFlowMonitorServiceRolePolicy` をアタッチすることはできません。このポリシーは、**AWSServiceRoleForNetworkFlowMonitor** という名前のサービスリンクロールにアタッチされます。このロールは、Network Flow Monitor エージェントによって収集されたネットワークテレメトリの集約結果を CloudWatch に発行します。また、これによりサービスで AWS Organizations を使用して、マルチアカウントシナリオの情報も取得できるようになります。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)」を参照してください。

詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy"></a>

IAM エンティティに ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` をアタッチすることはできません。このポリシーは、**AWSServiceRoleForNetworkFlowMonitor\$1Topology** という名前のサービスリンクロールにアタッチされます。これらのアクセス許可と内部メタデータ情報の収集 (パフォーマンス効率のため) を使用して、このサービスリンクロールは、このサービスがネットワークトラフィックを監視するリソースのルートテーブルやゲートウェイの記述など、リソースネットワーク設定に関するメタデータを収集します。このメタデータにより、Network Flow Monitor はリソースのトポロジスナップショットを生成できます。ネットワークのパフォーマンスが低下すると、Network Flow Monitor はトポロジーを使用して、ネットワーク内の問題の場所に関するインサイトを提供し、問題があるところを特定するのに役立ちます。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)」を参照してください。

詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorAgentPublishPolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy"></a>

このポリシーは、テレメトリレポート (メトリクス) を Network Flow Monitor エンドポイントに送信するために、Amazon EC2 および Amazon EKS インスタンスリソースにアタッチされた IAM ロールで使用できます。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)」を参照してください。

## Network Flow Monitor のサービスリンクロールを更新する
<a name="security-iam-awsmanpol-network-flow-monitor-updates"></a>

Network Flow Monitor サービスリンクロールの AWS マネージドポリシーの更新については、CloudWatch の [AWS マネージドポリシーの更新表](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)を参照してください。CloudWatch の[ドキュメント履歴のページ](DocumentHistory.md)で、自動 RSS アラートにサブスクライブすることもできます。