翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS AWS App Studio の マネージドポリシー
<a name="security-iam-awsmanpol"></a>







ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。









## AWS マネージドポリシー: AppStudioServiceRolePolicy
<a name="security-iam-awsmanpol-appstudioservicerolepolicy"></a>

IAM エンティティに `AppStudioServiceRolePolicy` をアタッチすることはできません。このポリシーは、App Studio がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[App Studio のサービスにリンクされたロール](appstudio-service-linked-roles.md)」を参照してください。



このポリシーは、サービスにリンクされたロールが AWS リソースを管理できるようにするアクセス許可を付与します。

### 許可の詳細
<a name="security-iam-awsmanpol-appstudioservicerolepolicy-permissions-details"></a>

このポリシーには以下を実行するための許可が含まれています。
+ `logs` - CloudWatch ロググループとログストリームを作成します。また、これらのロググループとストリームにログイベントを作成するアクセス許可も付与します。
+ `secretsmanager` - App Studio によって管理されるマネージドシークレットを作成、読み取り、更新、削除します。
+ `sso` - アプリケーションインスタンスを取得します。
+ `sso-directory` - ユーザーに関する情報を取得し、グループ内のメンバーのリストを取得します。

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
 "Statement": [
     {
         "Sid": "AppStudioResourcePermissionsForCloudWatch",
         "Effect": "Allow",
         "Action": [
             "logs:CreateLogGroup",
             "logs:CreateLogStream",
             "logs:PutLogEvents"
         ],
         "Resource": [
             "arn:aws:logs:*:*:log-group:/aws/appstudio/*"
         ],
         "Condition": {
             "StringEquals": {
                 "aws:ResourceAccount": "${aws:PrincipalAccount}"
             }
         }
     },
     {
         "Sid": "AppStudioResourcePermissionsForSecretsManager",
         "Effect": "Allow",
         "Action": [
             "secretsmanager:CreateSecret",
             "secretsmanager:DeleteSecret",
             "secretsmanager:DescribeSecret",
             "secretsmanager:GetSecretValue",
             "secretsmanager:PutSecretValue",
             "secretsmanager:UpdateSecret",
             "secretsmanager:TagResource"
         ],
         "Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
         "Condition": {
             "ForAllValues:StringEquals": {
                 "aws:TagKeys": [
                     "IsAppStudioSecret"
                 ]
             },
             "StringEquals": {
                 "aws:ResourceAccount": "${aws:PrincipalAccount}",
                 "aws:ResourceTag/IsAppStudioSecret": "true"
             }
         }
     },
     {
         "Sid": "AppStudioResourcePermissionsForManagedSecrets",
         "Effect": "Allow",
         "Action": [
             "secretsmanager:DeleteSecret",
             "secretsmanager:DescribeSecret",
             "secretsmanager:GetSecretValue",
             "secretsmanager:PutSecretValue",
             "secretsmanager:UpdateSecret"
         ],
         "Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
         "Condition": {
             "StringEquals": {
                 "aws:ResourceAccount": "${aws:PrincipalAccount}",
                 "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
             }
         }
     },
     {
         "Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
         "Effect": "Allow",
         "Action": [
             "secretsmanager:CreateSecret"
         ],
         "Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
         "Condition": {
             "StringEquals": {
                 "aws:ResourceAccount": "${aws:PrincipalAccount}"
             }
         }
     },
     {
         "Sid": "AppStudioResourcePermissionsForSSO",
         "Effect": "Allow",
         "Action": [
             "sso:GetManagedApplicationInstance",
             "sso-directory:DescribeUsers",
             "sso-directory:ListMembersInGroup"
         ],
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                 "aws:ResourceAccount": "${aws:PrincipalAccount}"
             }
         }
     }
 ]
}
```

------

## AWS 管理ポリシーに対する App Studio の更新
<a name="security-iam-awsmanpol-updates"></a>

このサービスがこれらの変更の追跡を開始してからの App Studio の AWS マネージドポリシーの更新に関する詳細を表示します。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy) – 既存のポリシーの更新 | App Studio に、App Studio マネージドシークレットの管理を許可する新しいアクセス許可が追加されました AWS Secrets Manager。 | 2025 年 3 月 14 日 | 
| App Studio が変更の追跡を開始しました | App Studio は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2024 年 6 月 28 日 |