翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS の 管理ポリシー AWS Amplify
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## AWS マネージドポリシー: AdministratorAccess-Amplify
<a name="security-iam-awsmanpol-AdministratorAccess-Amplify"></a>

`AdministratorAccess-Amplify` ポリシーを IAM アイデンティティにアタッチできます。Amplify はまた、ユーザーに代わって Amplify がアクションを実行するのを許可するサービスロールにも、このポリシーをアタッチします。

Amplify コンソールでバックエンドをデプロイする場合は、Amplify が AWS リソースの作成と管理に使用する `Amplify-Backend Deployment`サービスロールを作成する必要があります。IAM は `AdministratorAccess-Amplify` マネージドポリシーを `Amplify-Backend Deployment` サービスロールにアタッチします。

このポリシーは、アカウントに管理者権限を付与すると同時に、Amplify のアプリケーションがバックエンドの作成と管理に必要なリソースへの直接アクセスを明示的に許可します。

**アクセス許可の詳細**

このポリシーは、IAM アクションを含む複数の AWS サービスへのアクセスを提供します。これらのアクションにより、このポリシーを持つ ID は を使用して、任意のアクセス許可を持つ他の ID AWS Identity and Access Management を作成できます。これにより権限の昇格が可能になるため、このポリシーは `AdministratorAccess` ポリシーと同じくらい強力であると見なす必要があります。

このポリシーは、すべてのリソースに `iam:PassRole` アクション許可を付与します。これは Amazon Cognito のユーザープールの設定をサポートするために必要です。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AdministratorAccess-Amplify](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess-Amplify.html)」を参照してください。

## AWS マネージドポリシー: AmplifyBackendDeployFullAccess
<a name="security-iam-awsmanpol-AmplifyBackendDeployFullAccess"></a>

`AmplifyBackendDeployFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 を使用して Amplify バックエンドリソースをデプロイするためのフルアクセス許可を Amplify に付与します AWS Cloud Development Kit (AWS CDK)。アクセス許可は、必要な`AdministratorAccess`ポリシーアクセス許可を持つ AWS CDK ロールに委ねられます。

**アクセス許可の詳細**

このポリシーには以下を実行するためのアクセス許可が含まれています。
+ `Amplify`– デプロイされたアプリケーションに関するメタデータを取得します。
+ `CloudFormation`– Amplify マネージド型スタックを作成、更新、削除します。
+ `SSM`– Amplify マネージド SSM パラメーターストアの `String` と `SecureString` のパラメーターを作成、更新、および削除します。
+ `AWS AppSync`– AWS AppSync スキーマ、リゾルバー、関数のリソースを更新して取得します。この目的は、Gen 2 サンドボックスのホットスワップ機能をサポートすることです。
+ `Lambda`– Amplify マネージド関数の設定を更新して取得します。この目的は、Gen 2 サンドボックスのホットスワップ機能をサポートすることです。

  Lambda 関数のタグを取得します。この目的は、顧客が定義した Lambda 関数をサポートすることです。
+ `Amazon S3`– Amplify デプロイアセットを取得します。
+ `AWS Security Token Service`– CLI AWS Cloud Development Kit (AWS CDK) がデプロイロールを引き受けることを有効にします。
+ `Amazon RDS`– DB インスタンス、クラスター、プロキシのメタデータを読み取ります。
+ `Amazon EC2`– サブネットのアベイラビリティーゾーン情報を読み取ります。
+ `CloudWatch Logs`– 顧客の Lambda 関数のログを取得します。目的は、Amplify クラウド開発サンドボックス環境が Lambda 関数のログを顧客のターミナルにストリーミングできるようにすることです。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmplifyBackendDeployFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmplifyBackendDeployFullAccess.html)」を参照してください。

## AWS 管理ポリシーの Amplify 更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始してからの Amplify の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[のドキュメント履歴 AWS Amplify](document-history.md) ページの RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `logs:FilterLogEvents` リソースに読み取りアクセスを追加して、Amplify が、カスタムロググループが作成された関数からログをストリーミングできるようにします。これは、Lambda 関数のログをストリーミングする既存の機能の拡張機能です。 | 2024 年 11 月 14 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `lambda:ListTags` および `logs:FilterLogEvents` のリソースに読み取りアクセスを追加して、顧客が定義した Lambda 関数をサポートします。これらのアクセス許可により、Amplify クラウド開発サンドボックス環境は Lambda 関数のログを顧客のターミナルにストリーミングできます。 | 2024 年 7 月 18 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `arn:aws:ssm:*:*:parameter/cdk-bootstrap/*` リソースに読み取りアクセスを追加して、Amplify が顧客のアカウントで CDK ブートストラップバージョンを検出できるようにします。 | 2024 年 5 月 31 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | Amazon RDS および Amazon EC2 の読み取り専用アクセス許可が、リソースとアカウントの両方の条件によってスコープされる新しい `AmplifyDiscoverRDSVpcConfig` ポリシーステートメントを追加します。これらのアクセス許可は、顧客が既存の SQL データベースから Typescript データスキーマを生成できるようにする Amplify Gen 2 `npx amplify generate schema-from-database` コマンドをサポートしています。<br />`rds:DescribeDBProxies`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`、`rds:DescribeDBSubnetGroups`、`ec2:DescribeSubnets` のアクセス許可を追加します。`npx amplify generate schema-from-database` コマンドでは、指定された DB ホストが Amazon RDS でホストされているかどうかをチェックし、SQL データベースにバックアップされた AWS AppSync API をセットアップするために必要な他のリソースをプロビジョニングするために必要な Amazon VPC 設定を自動生成するために、これらのアクセス許可が必要です。 | 2024 年 4 月 17 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `DeleteBranch` API が呼び出されたときにスタックの削除をサポートする `cloudformation:DeleteStack` ポリシーアクションを追加します。<br />`lambda:GetFunction` ポリシーアクションを追加して、ホットスワップ機能をサポートします。<br />Lambda 関数の更新をサポートする `lambda:UpdateFunctionConfiguration` ポリシーアクションを追加します。 | 2024 年 4 月 5 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 |  CloudFormation APIs への呼び出しをサポートする `cloudformation:TagResource`および アクセス`cloudformation:UnTagResource`許可を追加します。 | 2024 年 4 月 4 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `lambda:InvokeFunction` ポリシーアクションを追加して、 AWS Cloud Development Kit (AWS CDK) ホットスワップをサポートします。 AWS CDK は Lambda 関数を直接呼び出して、Amazon S3 アセットのホットスワップを実行します。<br />`lambda:UpdateFunctionCode` ポリシーアクションを追加して、ホットスワップ機能をサポートします。 | 2024 年 1 月 2 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | `UpdateApiKey` オペレーションをサポートするポリシーアクションを追加します。これは、リソースを削除することなく、サンドボックスを終了して再起動した後、アプリケーションを正常にデプロイできるようにするために必要です。 | 2023 年 11 月 17 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 既存のポリシーに更新します | Amplify のアプリのデプロイをサポートする `amplify:GetBackendEnvironment` 権限を追加します。 | 2023 年 11 月 6 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 新しいポリシー | Amplify は、Amplify のバックエンドリソースのデプロイに必要な最小限の権限を持つ新しいポリシーを追加しました。 | 2023 年 10 月 8 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | Amplify コマンドラインインターフェイス (CLI)に必要な ecr:DescribeRepositories 権限を追加します。 | 2023 年 6 月 1 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 |  AWS AppSync リソースからのタグの削除をサポートするポリシーアクションを追加します。<br />Amazon Polly のリソースをサポートするポリシーアクションを追加します。<br />OpenSearch のドメイン設定の更新をサポートするポリシーアクションを追加します。<br /> AWS Identity and Access Management ロールからのタグの削除をサポートするポリシーアクションを追加します。<br />Amazon DynamoDB リソースからタグの削除をサポートするポリシーアクションを追加します。<br />Amplify の公開およびホスティングワークフローをサポートするには、`CLISDKCalls` ステートメントブロックに `cloudfront:GetCloudFrontOriginAccessIdentity` および `cloudfront:GetCloudFrontOriginAccessIdentityConfig` 権限を追加します。<br />`CLIManageviaCFNPolicy` ステートメントブロックに `s3:PutBucketPublicAccessBlock` 許可を追加して、 AWS CLI が内部バケットで Amazon S3 パブリックアクセスブロック機能を有効にするという Amazon S3 セキュリティのベストプラクティスをサポートできるようにします。<br />`CLISDKCalls` ステートメントブロックに アクセス`cloudformation:DescribeStacks`許可を追加して、Amplify バックエンドプロセッサでの再試行時の顧客の CloudFormation スタックの取得をサポートし、スタックの更新時に実行が重複しないようにします。<br />`cloudformation:ListStacks` 権限を `CLICloudformationPolicy` ステートメントブロックに追加します。この権限は、CloudFormation DescribeStacks のアクションを完全にサポートするために必要です。 | 2023 年 2 月 24 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | ポリシーアクションを追加して、Amplify のサーバー側レンダリング機能がアプリケーションメトリクスを顧客の AWS アカウントの CloudWatch にプッシュできるようにします。 | 2022 年 8 月 30 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | Amplify デプロイ Amazon S3 バケットへのパブリックアクセスをブロックするポリシーアクションを追加します。 | 2022 年 4 月 27 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | ユーザーがサーバーサイドレンダリング (SSR) されたアプリを削除できるようにするアクションを追加します。これにより、対応する CloudFront ディストリビューションを正常に削除することもできます。<br />顧客が Amplify CLI を使用して既存のイベントソースからのイベントを処理する別の Lambda 関数を指定できるようにするアクションを追加します。これらの変更 AWS Lambda により、 は [UpdateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/dg/API_UpdateEventSourceMapping.html) アクションを実行できるようになります。 | 2022 年 4 月 17 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | すべてのリソースでAmplify UI Builder のアクションを有効にするためのポリシーアクションを追加します。 | 2021 年 12 月 2 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | ソーシャル ID プロバイダーを使用する Amazon Cognito の認証機能をサポートするポリシーアクションを追加します。<br />Lambda レイヤーをサポートするポリシーアクションを追加します。<br />Amplify Storage カテゴリをサポートするポリシーアクションを追加します。 | 2021 年 11 月 8 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | Amplify Interaction のカテゴリをサポートする Amazon Lex のアクションを追加します。<br />Amplify Predictions カテゴリをサポートする Amazon Rekognition アクションを追加します。<br />Amazon Cognito のユーザープールでの MFA 設定をサポートする Amazon Cognito アクションを追加します。<br /> CloudFormation StackSetsをサポートする CloudFormation アクションを追加します。<br />Amplify Geo カテゴリをサポートする Amazon Location Service アクションを追加します。<br />Amplify の Lambda レイヤーをサポートする Lambda アクションを追加します。<br />CloudWatch Events をサポートする CloudWatch ログアクションを追加します。<br />Amplify Storage カテゴリをサポートする Amazon S3 アクションを追加します。<br />サーバー側レンダリング (SSR) アプリをサポートするポリシーアクションを追加します。 | 2021 年 9 月 27 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 既存ポリシーの更新 | すべての Amplify アクションを 1 つの `amplify:*` アクションに統合します。<br />顧客の Amazon S3 バケットの暗号化をサポートする Amazon S3 アクションを追加します。<br />権限境界が有効になっている Amplify のアプリをサポートする、IAM 権限境界アクションを追加します。<br />発信元の電話番号の表示、ならびに宛先の電話番号の表示、作成、検証、および削除をサポートする Amazon SNS アクションを追加します。<br />Amplify Studio: Amazon Cognito、 AWS Lambda、IAM、および CloudFormation ポリシーアクションを追加して、Amplify コンソールと Amplify Studio でバックエンドの管理を有効にします。<br />( AWS Systems Manager SSM) ポリシーステートメントを追加して、Amplify 環境シークレットを管理します。<br />Amplify アプリの Lambda レイヤーをサポートするアクションを追加します CloudFormation `ListResources`。 | 2021 年 7 月 28 日 | 
| Amplify が変更の追跡を開始しました | Amplify は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 28 日 |