Amazon Monitron は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、[ブログ記事](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Monitron で IAM を使用する方法
<a name="security_iam_service-with-iam"></a>

IAM を使用して Amazon Monitron へのアクセスを管理する前に、Amazon Monitron で使用できる IAM 機能について理解しておく必要があります。Amazon Monitron およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [Amazon Monitron アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Monitron リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Monitron タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon Monitron の IAM ロール](#security_iam_service-with-iam-roles)
+ [Amazon Monitron のアイデンティティベースポリシーの例](#security_iam_id-based-policy-examples)
+ [Amazon Monitron のアイデンティティとアクセスのトラブルシューティング](#security_iam_troubleshoot)

## Amazon Monitron アイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM のアイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Monitron は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

**Topics**
+ [アクション](#security_iam_service-with-iam-id-based-policies-actions)
+ [リソース](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [例](#security_iam_service-with-iam-id-based-policies-examples)

### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Monitron のポリシーアクションは、アクションの前にプレフィックス `monitron:` を使用します。例えば、Amazon Monitron `CreateProject` オペレーションを使用してプロジェクトを作成するアクセス許可を付与するには、ポリシーに `monitron:CreateProject` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon Monitron は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

**注記**  
`deleteProject` オペレーションでは、削除するための AWS IAM アイデンティティセンター (SSO) 権限が必要です。これらの権限がない場合でも、削除機能でプロジェクトは削除されます。ただし、SSO からリソースは削除されないため、SSO でリソースがぶら下がってしまうことになります。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": [
      "monitron:action1",
      "monitron:action2"
]
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "monitron:List*"
```

### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Amazon Monitron では、ポリシーでリソース ARN を指定することはできません。

### 条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

Amazon Monitron では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーのリストについては、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

Amazon Monitron の条件キーのリストを確認するには、「IAM ユーザーガイド」の「[Amazon Monitron で定義されるアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions)」を参照してください。条件キーを使用できるアクションとリソースについては、「[Amazon Monitron で定義されるアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys)」を参照してください。

### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Amazon Monitron のアイデンティティベースポリシーの例を確認するには、「[Amazon Monitron のアイデンティティベースポリシーの例](#security_iam_id-based-policy-examples)」を参照してください。

## Amazon Monitron リソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Amazon Monitron では、リソースベースのポリシーはサポートされていません。

## Amazon Monitron タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

承認のために、特定のタイプの Amazon Monitron リソースにタグを関連付けることができます。タグに基づいてアクセスを管理するには、`Amazon Monitron:TagResource/${TagKey}`、`aws:RequestTag/${TagKey}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

## Amazon Monitron の IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

### Amazon Monitron での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。

Amazon Monitron は、一時的な認証情報の使用をサポートします。

### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Monitron は、サービスにリンクされたロールをサポートしています。

### サービスロール
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Monitron は、サービスロールをサポートします。

## Amazon Monitron のアイデンティティベースポリシーの例
<a name="security_iam_id-based-policy-examples"></a>

デフォルトでは、IAM ユーザーとロールには Amazon Monitron リソースを作成または変更する権限がありません。また、 を使用してタスクを実行することはできません AWS マネジメントコンソール。管理者はアクセス許可が必要な IAM ユーザー、グループ、またはロールにその権限を付与する必要があります。その後、権限を付与されたユーザー、グループ、またはロールは、指定された必要なリソースで特定の操作を実行できます。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。

**Topics**
+ [ポリシーのベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon Monitron コンソールを使用する](#security_iam_id-based-policy-examples-console)
+ [例: すべての Amazon Monitron プロジェクトを一覧表示する](#security_iam_id-based-policy-examples-access-one-bucket)
+ [例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する](#security_iam_id-based-policy-examples-view-widget-tags)

### ポリシーのベストプラクティス
<a name="security_iam_service-with-iam-policy-best-practices"></a>

ID ベースのポリシーでは、ユーザーのアカウント内で誰かが Amazon Monitron リソースの作成、アクセス、または削除ができるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。

IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。

### Amazon Monitron コンソールを使用する
<a name="security_iam_id-based-policy-examples-console"></a>

コンソールを使用して Amazon Monitron をセットアップするには、権限の高いユーザー (`AdministratorAccess` マネージドポリシーがアタッチされているユーザーなど) を通して初期設定プロセスを完了してください。

初期設定後、Amazon Monitron コンソールにアクセスして日常的な操作を行うには、最小限のアクセス許可が必要です。これらのアクセス許可により、 AWS アカウント内の Amazon Monitron リソースの詳細を一覧表示および表示し、IAM Identity Center に関連する一連のアクセス許可を含めることができます。これらの最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。Amazon Monitron コンソールの基本機能については、`AmazonMonitronFullAccess` マネージドポリシーをアタッチする必要があります。状況によっては、Organizations と SSO サービスに追加の権限が必要になる場合もあります。詳細については、 AWS サポートにお問い合わせください。

### 例: すべての Amazon Monitron プロジェクトを一覧表示する
<a name="security_iam_id-based-policy-examples-access-one-bucket"></a>

このポリシーの例では、 AWS アカウントの IAM ユーザーに、アカウントのすべてのプロジェクトを一覧表示するアクセス許可を付与します。

### 例: Amazon Monitron プロジェクトをタグに基づいて一覧表示する
<a name="security_iam_id-based-policy-examples-view-widget-tags"></a>

アイデンティティベースのポリシーの条件を使用して、タグに基づいて Amazon Monitron リソースへのアクセスを制御できます。この例では、プロジェクトを一覧表示できるポリシーを作成する方法について示しています。ただし、プロジェクトタグ `location` に `Seattle` の値がある場合のみ、アクセス許可は付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}
```

------

詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。

## Amazon Monitron のアイデンティティとアクセスのトラブルシューティング
<a name="security_iam_troubleshoot"></a>

Amazon Monitron と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復には、次の情報を利用してください。

**Topics**
+ [Amazon Monitron でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [AWS アカウント以外のユーザーに Amazon Monitron リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)

### Amazon Monitron でアクションを実行する権限がない
<a name="security_iam_troubleshoot-no-permissions"></a>

アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。

次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `monitron:GetWidget` アクセス許可を持っていない場合に発生するものです。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```

この場合、`monitron:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。

### AWS アカウント以外のユーザーに Amazon Monitron リソースへのアクセスを許可したい
<a name="security_iam_troubleshoot-cross-account-access"></a>

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください:
+ Amazon Monitron がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Monitron で IAM を使用する方法](#security_iam_service-with-iam)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。