翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Supply Chain
でのクラウドセキュリティが最優先事項 AWS です。 AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように AWS 構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWSとお客様の間で共有される責任です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 AWS のサービス で実行されるインフラストラクチャを保護する責任があります AWS クラウド。 AWS また、 は、お客様が安全に使用できるサービスも提供します。サードパーティーの監査人は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/) の一環として、セキュリティの有効性を定期的にテストおよび検証します。が適用されるコンプライアンスプログラムの詳細については AWS Supply Chain、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – 使用する によって、お客様の責任 AWS のサービス が決まります。またお客様は、お客様のデータの機密性、組織の要件、適用される法令や規制などのその他の要素についても責任を負います。
このドキュメントは、 AWS Supply Chainの使用時における責任共有モデルの適用方法を理解するために役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成する AWS Supply Chain ように を設定する方法について説明します。また、 AWS Supply Chain リソースのモニタリングや保護 AWS のサービス に役立つ他の の使用方法についても説明します。
**Topics**
+ [
# でのデータ保護 AWS Supply Chain
](data-protection.md)
+ [
# インターフェイスエンドポイント (AWS PrivateLink) AWS Supply Chain を使用した へのアクセス
](vpc-interface-endpoints.md)
+ [
# の IAM AWS Supply Chain
](security-iam.md)
+ [
# AWS の 管理ポリシー AWS Supply Chain
](security-iam-awsmanpol.md)
+ [
# のコンプライアンス検証 AWS Supply Chain
](compliance-validation.md)
+ [
# の耐障害性 AWS Supply Chain
](disaster-recovery-resiliency.md)
+ [
# ログ記録とモニタリング AWS Supply Chain
](monitoring-overview.md)
+ [
# を使用した AWS Supply Chain イベントの管理 Amazon EventBridge
](eventbridge-integration.md)
# でのデータ保護 AWS Supply Chain
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Supply Chain。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS CLI AWS Supply Chain または他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## によって処理されるデータ AWS Supply Chain
特定の AWS Supply Chain インスタンスの承認されたユーザーがアクセスできるデータを制限するため、 AWS Supply Chain 内に保持されているデータは、 AWS アカウント ID と AWS Supply Chain インスタンス ID によって分離されます。
AWS Supply Chain は、ユーザー情報、データコネクタから抽出された情報、インベントリの詳細など、さまざまなサプライチェーンデータを処理します。
## オプトアウト設定
当社は、[AWS サービス条件](https://aws.amazon.com/service-terms/)に記載されているように AWS Supply Chain、 によって処理されたお客様のコンテンツを使用および保存することがあります。からオプトアウト AWS Supply Chain してコンテンツを使用または保存する場合は、AWS Organizations でオプトアウトポリシーを作成できます。オプトアウトポリシーの作成の詳細については、[「AI サービスのオプトアウトポリシー構文」と「例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html)」を参照してください。
## 保管中の暗号化
PII として分類された問い合わせデータ、または によって保存 AWS Supply Chain されている 内の Amazon Q で使用されるコンテンツを含む顧客コンテンツを表すデータは AWS Supply Chain、保管時 (つまり、ディスクに格納、保存、または保存される前) に、時間制限があり、 AWS Supply Chain インスタンスに固有のキーで暗号化されます。
お客様のアカウントごとに固有の AWS Key Management Service データキーを使用した Amazon S3 サーバー側の暗号化は、すべてのコンソールとウェブアプリケーションのデータを暗号化するために使用されます。の詳細については AWS KMS keys、 AWS Key Management Service デベロッパーガイドの[「 とは AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。
**注記**
AWS Supply Chain 機能 Supply Planning と N-Tier Visibility は、提供された KMS-CMK data-at-rest暗号化をサポートしていません。
## 転送中の暗号化
AWS Supply Chain と AWS Supply Chain 引き換えに Amazon Q で使用されるコンテンツを含むデータは、業界標準の TLS 暗号化を使用して、ユーザーのウェブブラウザと AWS Supply Chain 間の転送中に保護されます。
## キー管理
AWS Supply Chain は KMS-CMK を部分的にサポートしています。
での AWS KMS キーの更新については AWS Supply Chain、「」を参照してください[ステップ 2: インスタンスを作成する](creating-instance.md)。
## ネットワーク間トラフィックのプライバシー
**注記**
AWS Supply Chain は PrivateLink をサポートしていません。
の仮想プライベートクラウド (VPC) エンドポイント AWS Supply Chain は、接続のみを許可する VPC 内の論理エンティティです AWS Supply Chain。VPC はリクエストを にルーティング AWS Supply Chain し、レスポンスを VPC にルーティングします。詳細については、VPC ユーザーガイドの [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)を参照してください。
## で が許可 AWS Supply Chain を使用する方法 AWS KMS
AWS Supply Chain には、カスタマーマネージドキーを使用するための[許可](/kms/latest/developerguide/grants.html)が必要です。
AWS Supply Chain は、**CreateInstance** オペレーション中に渡される AWS KMS キーを使用して複数の許可を作成します。 は、[/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)リクエストを送信することで、ユーザーに代わって許可 AWS Supply Chain を作成します AWS KMS。の権限 AWS KMS は、カスタマーアカウントの AWS KMS キー AWS Supply Chain へのアクセスを許可するために使用されます。
**注記**
AWS Supply Chain は、独自の認可メカニズムを使用します。ユーザーが に追加されると AWS Supply Chain、 AWS KMS ポリシーを使用して同じユーザーのリストを拒否することはできません。
AWS Supply Chain は、以下の権限を使用します。
+ **GenerateDataKey** リスエストを AWS KMS に送信して、インスタンスに保管されたデータを [/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants) する。
+ インスタンスに関連付けられた暗号化されたデータを読み取る AWS KMS ために **Decrypt** リクエストを に送信するには。
+ *DescribeKey*、*CreateGrant*、*RetireGrant* のアクセス許可を追加して、Amazon Forecast などの他の AWS サービスに送信する際にデータを保護するには。
グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。その場合、カスタマーマネージドキーによって暗号化されたデータにはアクセス AWS Supply Chain できず、そのデータに依存するオペレーションに影響します。
### の暗号化のモニタリング AWS Supply Chain
次の例は`Encrypt`、カスタマーマネージドキーによって暗号化されたデータにアクセス`Decrypt`するために によって呼び出される KMS オペレーションをモニタリング AWS Supply Chain するための 、`GenerateDataKey`、および の AWS CloudTrail イベントです。
------
#### [ Encrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
# インターフェイスエンドポイント (AWS PrivateLink) AWS Supply Chain を使用した へのアクセス
を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS Supply Chain。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にある AWS Supply Chain かのように にアクセスできます。VPC内のインスタンスは AWS Supply ChainにアクセスするためにパブリックIPアドレスを必要としません。
このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、 AWS Supply Chain宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。
詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 」を参照してください。
## に関する考慮事項 AWS Supply Chain
のインターフェイスエンドポイントを設定する前に AWS Supply Chain、「 *AWS PrivateLink ガイド*」の[「考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を参照してください。
AWS Supply Chain は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。
## のインターフェイスエンドポイントを作成する AWS Supply Chain
Amazon VPC コンソールまたは AWS Command Line Interface () AWS Supply Chain を使用して、 のインターフェイスエンドポイントを作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
次のサービス名 AWS Supply Chain を使用して、 のインターフェイスエンドポイントを作成します。
```
com.amazonaws.region.scn
```
インターフェース・エンドポイントのプライベートDNSを有効にすると、デフォルトの地域DNS名を使用して AWS Supply Chain へのAPI要求を行うことができます。例えば、`scn.region.amazonaws.com` と指定します。
## インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント AWS Supply Chain を介した へのフルアクセスが許可されます。VPC AWS Supply Chain から に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)
+ 実行可能なアクション
+ このアクションを実行できるリソース
詳細については[AWS PrivateLink Guide] (ガイド) の[[Control access to services using endpoint policies]](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) (エンドポイントポリシーを使用してサービスへのアクセスをコントロール) を参照してください。
**例: AWS Supply Chain アクションの VPC エンドポイントポリシー**
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている AWS Supply Chain アクションへのアクセス権を付与します。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"scn:action-1",
"scn:action-2",
"scn:action-3"
],
"Resource":"*"
}
]
}
```
# の IAM AWS Supply Chain
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS Supply Chain リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [
## オーディエンス
](#security_iam_audience)
+ [
## アイデンティティを使用した認証
](#security_iam_authentication)
+ [
## ポリシーを使用したアクセスの管理
](#security_iam_access-manage)
+ [
# が IAM と AWS Supply Chain 連携する方法
](security_iam_service-with-iam.md)
+ [
# のアイデンティティベースのポリシーの例 AWS Supply Chain
](security_iam_id-based-policy-examples.md)
+ [
# AWS Supply Chain ID とアクセスのトラブルシューティング
](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Supply Chain ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS Supply Chain 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS Supply Chain](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースからの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求する AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS Supply Chain 連携する方法
IAM を使用して へのアクセスを管理する前に AWS Supply Chain、 で使用できる IAM 機能について説明します AWS Supply Chain。
**で使用できる IAM 機能 AWS Supply Chain**
| IAM 機能 | AWS Supply Chain サポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | いいえ |
AWS Supply Chain および他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## のアイデンティティベースのポリシー AWS Supply Chain
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### のアイデンティティベースのポリシーの例 AWS Supply Chain
AWS Supply Chain アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Supply Chain](security_iam_id-based-policy-examples.md)。
## 内のリソースベースのポリシー AWS Supply Chain
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## のポリシーアクション AWS Supply Chain
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前に次のプレフィックス AWS Supply Chain を使用します。
```
scn
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"scn:action1",
"scn:action2"
]
```
AWS Supply Chain アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Supply Chain](security_iam_id-based-policy-examples.md)。
## のポリシーリソース AWS Supply Chain
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS Supply Chain アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Supply Chain](security_iam_id-based-policy-examples.md)。
## のポリシー条件キー AWS Supply Chain
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Supply Chain アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Supply Chain](security_iam_id-based-policy-examples.md)。
## での一時的な認証情報の使用 AWS Supply Chain
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## の転送アクセスセッション AWS Supply Chain
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## のサービスロール AWS Supply Chain
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、 AWS Supply Chain 機能が破損する可能性があります。 AWS Supply Chain が指示する場合にのみ、サービスロールを編集します。
## のサービスにリンクされたロール AWS Supply Chain
**サービスにリンクされたロールのサポート:** なし
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールの権限を表示できますが、編集することはできません。
サービスリンクロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の中から、[**Service-linked role (サービスリンクロール)**] 列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# のアイデンティティベースのポリシーの例 AWS Supply Chain
デフォルトでは、ユーザーとロールには AWS Supply Chain リソースを作成または変更するアクセス許可はありません。また、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (AWS CLI)、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き受けることができます。
このような JSON ポリシードキュメントの例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
**Topics**
+ [
## ポリシーに関するベストプラクティス
](#security_iam_service-with-iam-policy-best-practices)
## ポリシーに関するベストプラクティス
アイデンティティベースのポリシーは、アカウント内の AWS Supply Chain リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
# AWS Supply Chain ID とアクセスのトラブルシューティング
次の情報は、 と IAM の使用時に発生する可能性がある一般的な問題の診断 AWS Supply Chain と修正に役立ちます。
**Topics**
+ [
## でアクションを実行する権限がありません AWS Supply Chain
](#security_iam_troubleshoot-no-permissions)
+ [
## iam:PassRole を実行する権限がない
](#security_iam_troubleshoot-passrole)
+ [
## 自分の 以外のユーザーに自分の AWS Supply Chain リソース AWS アカウント へのアクセスを許可したい
](#security_iam_troubleshoot-cross-account-access)
## でアクションを実行する権限がありません AWS Supply Chain
アクションを実行する権限がないと AWS マネジメントコンソール が通知した場合、管理者に問い合わせてサポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `scn:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: scn:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`my-example-widget` アクションを使用して `scn:GetWidget` リソースにアクセスできるように、ポリシーの更新を管理者に依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して AWS Supply Chainにロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して AWS Supply Chainでアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに自分の AWS Supply Chain リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ がこれらの機能 AWS Supply Chain をサポートしているかどうかを確認するには、「」を参照してください[が IAM と AWS Supply Chain 連携する方法](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# AWS の 管理ポリシー AWS Supply Chain
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSSupplyChainFederationAdminAccess
AWSSupplyChainFederationAdminAccess は、 AWS Supply Chain フェデレーティッドユーザーに AWS Supply Chain アプリケーションへのアクセスを提供します。これには、 AWS Supply Chain アプリケーション内でアクションを実行するために必要なアクセス許可が含まれます。このポリシーは、IAM Identity Center ユーザーとグループに対する管理アクセス許可を提供し、 によって作成されたロールに AWS Supply Chain アタッチされます。その他の IAM エンティティには AWSSupplyChainFederationAdminAccess ポリシーをアタッチすべきではありません。
このポリシーは scn:\$1 アクセス許可 AWS Supply Chain を通じて へのすべてのアクセスを提供しますが、 AWS Supply Chain ロールによってアクセス許可が決まります。 AWS Supply Chain ロールには必要なアクセス許可のみが含まれており、管理者 APIs に対するアクセス許可はありません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Chime` – Amazon Chime AppInstance でユーザーを作成したり削除したりするためのアクセス許可を提供します。チャネル、チャネルのメンバー、モデレーターを管理するためのアクセス許可を提供します。チャネルにメッセージを送信するためのアクセス許可を提供します。Chime オペレーションの範囲は「SCNInstanceId」のタグが付いたアプリケーションインスタンスに限定されます。
+ `AWS IAM Identity Center (AWS SSO)` – ユーザープロファイルの関連付けと関連付け解除、プロファイルの関連付けの一覧表示、アプリケーション割り当ての一覧表示、アプリケーションの記述、インスタンスの記述、IAM アイデンティティセンターでのアプリケーション割り当て設定の取得に必要なアクセス許可を提供します。
+ `AppFlow` – 接続プロファイルを作成、更新、削除するためのアクセス許可を提供します。フローを作成、更新、削除、開始、停止するためのアクセス許可を提供します。フローのタグ付けとタグ解除、フローレコードの説明へのアクセス許可を提供します。
+ `Amazon S3` – すべてのバケットを一覧表示するためのアクセス許可を提供します。リソース arn arn:aws:s3:::aws-supply-chain-data-\$1 を含むバケットへの GetBucketLocation、GetBucketPolicy、PutObject、GetObject、ListBucket のアクセス許可を提供します。
+ `SecretsManager` – シークレットの作成とシークレットポリシーの更新のアクセス許可を提供します。
+ `KMS` – Amazon AppFlow サービスにキーとキーのエイリアスへのアクセス許可を提供します。key-value aws-suply-chain-access : true でタグ付けされた KMS キーに DescribeKey、CreateGrant、ListGrants のアクセス許可を提供します。シークレットの作成とシークレットポリシーの更新のためのアクセス許可を提供します。
アクセス許可 (*kms:ListKeys*、*kms:ListAliases*、*kms:GenerateDataKey*、および *kms:Decrypt)* は Amazon AppFlow に制限されず、これらのアクセス許可はアカウントの任意の AWS KMS キーに付与できます。
このポリシーの許可を確認するには、 AWS マネジメントコンソールの「[AWSSupplyChainFederationAdminAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupplyChainFederationAdminAccess)」を参照してください。
## AWS Supply Chain AWS 管理ポリシーの更新
次の表に、このサービスがこれらの変更の追跡を開始してからの の AWS AWS Supply Chain 管理ポリシーの更新の詳細を示します。このページの変更に関する自動アラートについては、 AWS Supply Chain ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – ポリシーの更新 | AWS Supply Chain は、 マネージドポリシーを更新して、フェデレーティッドユーザーがカスタマーマネージド KMS キー (CMKs。 | 2025 年 10 月 30 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – ポリシーの更新 | AWS Supply Chain は マネージドポリシーを更新し、フェデレーティッドユーザーが IAM アイデンティティセンターの `ListApplicationAssignments`、`DescribeInstance`、、および `DescribeApplication``GetApplicationAssignmentConfiguration`オペレーションにアクセスできるようにしました。 | 2024 年 12 月 10 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – ポリシーの更新 | AWS Supply Chain は、IAM Identity Center の ListProfileAssociations オペレーションへのアクセスをフェデレーティッドユーザーに許可するように マネージドポリシーを更新しました。 | 2023 年 11 月 1 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – ポリシーの更新 | AWS Supply Chain は、リソース arn arn:aws:s3::aws- Supply-chain-data-\$1 を持つ専用 S3 バケットの PutObject および GetObject オペレーションへのアクセスをフェデレーティッドユーザーに許可するように マネージドポリシーを更新しました。 | 2023 年 9 月 21 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – 新しいポリシー | AWS Supply Chain は、フェデレーティッドユーザーが AWS Supply Chain アプリケーションにアクセスすることを許可する新しいポリシーを追加しました。これには、 AWS Supply Chain アプリケーション内でアクションを実行するのに必要なアクセス許可が含まれます。 | 2023 年 3 月 1 日 |
| AWS Supply Chain が変更の追跡を開始しました | AWS Supply Chain は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2023 年 3 月 1 日 |
# のコンプライアンス検証 AWS Supply Chain
サードパーティーの監査者は、複数の コンプライアンスプログラム AWS Supply Chain の一環として のセキュリティと AWS コンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
特定のコンプライアンスプログラムの範囲内 AWS のサービス にある のリストについては、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、[AWS 「 Compliance ProgramsAssurance](https://aws.amazon.com/compliance/programs/)」を参照してください。
サードパーティーの監査レポートは でダウンロードできます AWS Artifact。詳細については、[「Downloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) Reports 」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS Supply Chain は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。 では、コンプライアンスに役立つ以下のリソース AWS を提供しています。
+ 「[セキュリティとコンプライアンスのクイックスタートガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance)」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、セキュリティとコンプライアンスに重点を置いたベースラインの AWS 環境をデプロイするためのステップが記載されています。
+ [「HIPAA セキュリティとコンプライアンスのためのアーキテクチャ設計」ホワイトペーパー ](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
+ [AWS コンプライアンスリソース](https://aws.amazon.com/compliance/resources/) – このワークブックとガイドのコレクションは、お客様の業界と場所に適用される場合があります。
+ **「AWS Config デベロッパーガイド」の [ルールを使用したリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – このガイドでは、リソース設定が社内慣行、業界ガイドライン、規制にどの程度準拠しているかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – これにより AWS のサービス 、 内のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスへの準拠を確認できます。
# の耐障害性 AWS Supply Chain
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 AWS リージョン は、物理的に分離および分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンは、低レイテンシー、高スループット、高度の冗長ネットワークで接続されています。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性が高く、フォールトトレラントで、スケーラブルです。
AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
グローバル AWS インフラストラクチャに加えて、 AWS Supply Chain には、データの耐障害性とバックアップのニーズをサポートするのに役立ついくつかの機能が用意されています。
# ログ記録とモニタリング AWS Supply Chain
ログ記録とモニタリングは、 AWS サプライチェーンやその他の AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。 は、 AWS サプライチェーンを監視し、問題が発生したときに報告し、必要に応じて自動アクションを実行するための AWS CloudTrail モニタリングツール AWS を提供します。
**注記**
AWS Supply Chain コンソールからのみ呼び出される APIsがキャプチャされます AWS CloudTrail。
*AWS CloudTrail* は、 AWS アカウント により、またはそのアカウントに代わって行われた API コールや関連イベントを取得し、指定した Amazon S3 バケットにログファイルを配信します。 AWSを呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。 AWS Supply Chain イベントは、*scn.amazonaws.com* で確認できます。詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
**注記**
次の点に注意してください AWS Supply Chain。
アクセス権限のないユーザーを招待すると AWS Supply Chain、これらのユーザーはウェブアプリケーションから受信した通知で情報を受信しません。招待されたユーザーは、ウェブアプリケーションへのリンクが記載されたメール通知を受け取ります。必要なユーザーアクセス許可を持っている場合にのみ、ログインして通知の内容を表示できます。
特定の Insight に対するユーザーアクセス許可の有無を問わず、すべてのユーザーが Insights のチャットメッセージを表示できます。
アプリケーション管理者は、 AWS Supply Chain インスタンスにユーザーを追加すると、 にアクセスできます AWS KMS key。ユーザーのアクセス許可を管理して、ユーザーを追加したり削除したりできます。ユーザーのアクセス許可の詳細については、「[ユーザーアクセス許可ロールの管理](adding-users-groups.md)」を参照してください。
## AWS Supply Chain CloudTrail のデータイベント
**注記**
にリストされているウェブアプリケーション APIs [AWS Supply Chain ウェブアプリケーション APIs](webappi.md)は、CloudTrail のデータイベントにリストされています。
[データイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)では、リソース上またはリソース内で実行されるリソースオペレーション (Amazon S3 オブジェクトの読み取りまたは書き込みなど) についての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。デフォルトでは、CloudTrail はデータイベントをログ記録しません。CloudTrail **[イベント履歴]** にはデータイベントは記録されません。
追加の変更がイベントデータに適用されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
CloudTrail コンソール、または CloudTrail CloudTrail API オペレーションを使用して AWS CLI、 AWS Supply Chain リソースタイプのデータイベントを記録できます。
+ CloudTrail コンソールを使用してデータイベントを記録するには、データイベントをログに記録する[証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console)または[イベントデータストア](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html)を作成するか、[既存の証跡またはイベントデータストアを更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)してデータイベントをログに記録します。
1. データイベントをログに記録するには、**[データイベント]** を選択します。
1. **[データイベントタイプ]** リストから、データイベントをログ記録するリソースのタイプを選択します。
1. 使用するログセレクタテンプレートを選択します。リソースタイプのすべてのデータイベントをログに記録したり、すべての `readOnly` イベントをログに記録したり、すべての `writeOnly` イベントをログに記録したり、カスタムログセレクタテンプレートを作成して `readOnly`、`eventName`、`resources.ARN` フィールドでフィルタリングしたりできます。
+ を使用してデータイベントをログに記録するには AWS CLI、 `--advanced-event-selectors` パラメータを設定して `eventCategory`フィールドを に`Data`、 `resources.type`フィールドをリソースタイプ値 に設定します。条件を追加して、`readOnly`、`eventName` および `resources.ARN` フィールドの値でフィルタリングできます。
+ データイベントをログに記録するように証跡を設定するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html) コマンドを実行します。詳細については、「[AWS CLIを使用した証跡へのデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-trail-examples)」を参照してください。
+ データイベントをログ記録するようにイベントデータストアを設定するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行してデータイベントをログ記録する新しいイベントデータストアを作成するか、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) コマンドを実行して既存のイベントデータストアを更新します。詳細については、「[AWS CLIを使用したイベントデータストアへのデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-eds-examples)」を参照してください。
\$1`eventName`、`readOnly`、および `resources.ARN` フィールドでフィルタリングして、自分にとって重要なイベントのみをログに記録するように高度なイベントセレクタを設定できます。フィールドの詳細については、「[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)」を参照してください。
## AWS Supply Chain CloudTrail の管理イベント
[管理イベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)は、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベントをログ記録します。
AWS Supply Chain は、すべてのコントロールプレーンオペレーションを管理イベントとして CloudTrail に記録します。
# AWS Supply Chain ウェブアプリケーション APIs
このセクションに記載されている APIs は、フェデレーティッドユーザーに代わって AWS Supply Chain アプリケーションによって呼び出されます。これらの APIs「」を参照してください[AWS Supply Chain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupplychain.html)。 CloudTrail ** これらの APIsは、フェデレーティッドユーザーロールのアクセス許可に基づいて AWS Supply Chain アプリケーションによって制御されます。 AWS Supply Chain アプリケーションの障害を防ぐために、これらの APIs へのアクセスを制御しようとしないでください。
# ユーザーロール
以下の APIsは、 でのユーザー、ユーザーロール、ユーザー通知、チャットメッセージの管理に使用されます AWS Supply Chain。
```
scn:AddMembersToResourceBasedChat
scn:AssignGalaxyRoleToUser
scn:AssociateUser
scn:BatchGetUsers
scn:BatchMarkNotificationAsDelivered
scn:CreateRole
scn:DeleteRole
scn:DescribeChatForUser
scn:GetAccessDetailConfig
scn:GetChatPreferencesForUser
scn:GetMessagingSessionConnectionDetails
scn:GetNotificationsPreference
scn:GetOrCreateChimeUser
scn:GetOrCreateResourceBasedChat
scn:GetOrCreateUserBasedChat
scn:GetOrganizationInfo
scn:GetResourceBasedChatArn
scn:GetUserDetails
scn:ListChatMembers
scn:ListChatMessages
scn:ListChatModerators
scn:ListChats
scn:ListRoles
scn:ListUserNotifications
scn:ListUsersWithRole
scn:MarkNotificationAsDelivered
scn:MarkNotificationAsRead
scn:RemoveMemberFromResourceBasedChat
scn:RemoveUser
scn:SearchChimeUsers
scn:SearchUsers
scn:SendChatMessage
scn:SetNotificationsPreference
scn:UpdateChatPreferencesForUser
scn:UpdateChatReadMarker
scn:UpdateOrganizationInfo
scn:UpdateRole
scn:UpdateUser
```
# データレイク
次の API は、データレイク内のデータフローと接続の作成と管理に使用されます。
```
scn:CreateConnection
scn:CreateDataflow
scn:CreateDeleteDataByPartitionJob
scn:CreateExtractFlows
scn:CreatePresignedUrl
scn:CreateSampleParsingJob
scn:CreateSapODataConnection
scn:CreateUpdateDatasetSchemaJob
scn:DeleteConnection
scn:DeleteDataflow
scn:DeleteExtractFlows
scn:DeleteSapODataConnection
scn:describeDatasetGroup
scn:DescribeDataset
scn:DescribeJob
scn:GetConnection
scn:GetCreateExtractFlowsStatus
scn:GetDataflow
scn:ListConnections
scn:ListCustomerFiles
scn:ListDataflows
scn:ListDataflowStats
scn:ListDatasets
scn:UpdateConnection
scn:UpdateDataflow
scn:UpdateExtractFlow
```
# Insights
Insights アプリケーションでは、フィルター、ウォッチリストの管理、インベントリの変更の表示に次の API を使用します。
```
scn:AddModeratorToResourceBasedChat
scn:ComputePostRebalancedQuantities
scn:ComputePostRebalancedQuantitiesV1
scn:CreateInsightFilter
scn:CreateInsightSubscription
scn:DeleteInsightFilter
scn:DeleteInsightSubscription
scn:GetInsightLineItem
scn:GetInsightSubscription
scn:GetInstanceAttribute
scn:GetInstanceRequiredDatasetAvailabilityStatus
scn:GetKpiData
scn:GetModelEndpointStatus
scn:GetPIVForProduct
scn:GetPIVForSite
scn:GetPIVForSiteAndProduct
scn:GetPIVForSitesAndProducts
scn:GetProducts
scn:GetProductSummaryAggregates
scn:GetSites
scn:GetSiteSummaryAggregates
scn:IsUserAuthorizedForInsightLineItem
scn:ListCustomAttributeValues
scn:ListGeographiesAsGalaxyAdmin
scn:ListInsightFilters
scn:ListInsightLineItems
scn:ListInsightSubscriptions
scn:ListInventoryQuantityAggregates
scn:ListInventoryRisksBySiteAndProduct
scn:ListInventorySummariesBySite
scn:ListPIVProductsBySite
scn:ListProductHierarchiesAsGalaxyAdmin
scn:ListProducts
scn:ListProductsAsGalaxyAdmin
scn:ListSites
scn:ListUsers
scn:PotentiallyComputeThenListRebalancingOptionsForInsightLineItem
scn:RegisterInstanceAttribute
scn:UpdateInsightFilter
scn:UpdateInsightLineItemStatus
scn:UpdateInsightSubscription
scn:UpdateRebalancingOptionStatus
scn:UpdateRebalancingOptionStatusV1
```
# Demand Planning
次の APIsは、 で予測、需要計画、またはワークブックを作成および管理 AWS Supply Chain するために使用します。
```
scn:AssociateDatasetWithWorkbook
scn:CreateBaselineForecast
scn:CreateDemandPlan
scn:CreateDemandPlanningCycle
scn:CreateDemandPlanningDatasetExportJob
scn:CreateDerivedForecast
scn:CreateWorkbook
scn:DeleteDemandForecastConfig
scn:DeleteDemandPlanningCycle
scn:DeleteDerivedForecast
scn:DeleteWorkbook
scn:DescribeBaselineForecast
scn:DescribeDemandPlanningCycleAccuracyJob
scn:DescribeDerivedForecast
scn:DescribePlanningCycle
scn:DescribeWorkbook
scn:DisassociatePlanningCycle
scn:GetDemandForecastConfig
scn:GetDemandPlan
scn:GetDemandPlanningCycle
scn:GetDemandPlanningCycleAccuracy
scn:GetDemandPlanningDatasetJob
scn:ListDemandPlans
scn:ListDerivedForecasts
scn:ListForecastingJobs
scn:ListPlanningCycles
scn:ListWorkbooks
scn:PublishDemandPlan
scn:PutDemandForecastConfig
scn:StartDemandPlanningCycleAccuracyJob
scn:StartForecastingJob
scn:UpdateDemandPlan
scn:UpdateDemandPlanningCycleMetadata
scn:UpdateWorkbook
```
# 供給計画
以下の APIsは、 で供給計画を作成および管理 AWS Supply Chain するために使用します。
```
scn:CreateReplenishmentPipeline
scn:GetReplenishmentPipeline
scn:UpdateReplenishmentPipeline
scn:ListReplenishmentPipelinesByInstance
scn:GetInstanceReplenishmentConfig
scn:CreateBacktest
scn:CreateReplenishmentReviewInstanceConfig
scn:GetReplenishmentReviewInstanceConfig
scn:ListReplenishmentVendors
scn:GetExceptionsSupplyInsightsStatistics
scn:GetPorSupplyInsightsStatistics
scn:GetPlanToPOConversionAnalytics
scn:GetPurchasePlanStatistics
scn:ListPlanExceptions
scn:ListPurchaseOrderRequestLines
scn:UpdatePurchaseOrderRequestLines
scn:ListBomPurchasePlans
scn:ListBomProductionPlans
scn:ListBomTransferPlans
scn:ListBomInsights
scn:ListBomProcesses
scn:ExportBomPlans
scn:GetBomPlanSummary
scn:GetDashboardAnalytics
scn:GetPurchaseOrderRequestExplanation
scn:ListBomSupplyPlan
scn:GetBomPlanRecordDetails
scn:GetBomPlanSummaryAnalytics
scn:ListBomPurchaseOrders
scn:ListBomTransferOrders
scn:ListBomProductionOrders
scn:ExportAllExplodedBoms
scn:ExportBillOfMaterials
scn:ExportInventoryPolicy
scn:ExportProductionProcess
scn:ExportSourcingRule
scn:ExportTransportationLane
scn:ExportVendorLeadTime
scn:ImportBillOfMaterials
scn:ImportInventoryPolicy
scn:ImportProductionProcess
scn:ImportSourcingRule
scn:ImportTransportationLane
scn:ImportVendorLeadTime
```
# の Amazon Q AWS Supply Chain
の Amazon Q ではAPIs が使用されます AWS Supply Chain。
```
scn:GetQMessage
scn:ListQMessages
scn:PutQMessageFeedback
scn:SendQMessage
scn:GetQEnablementStatus
scn:UpdateQEnablementStatus
```
# を使用した AWS Supply Chain イベントの管理 Amazon EventBridge
を使用すると EventBridge、他の サービスを自動化して、 Step Functions 標準ワークフローの実行ステータスの変更に対応できます。
Amazon EventBridge は、イベントを使用してアプリケーションコンポーネントを接続するサーバーレスサービスであり、スケーラブルなイベント駆動型アプリケーションを簡単に構築できます。イベント駆動型アーキテクチャとは、イベントの発信と応答によって連携する、疎結合のソフトウェアシステムを構築するスタイルです。イベントとは、リソースまたは環境で発生した変更を指します。
処理の流れ
多くの AWS サービスと同様に、 はイベント AWS Supply Chain を生成し、 EventBridge デフォルトのイベントバスに送信します。(デフォルトのイベントバスはすべての AWS アカウントで自動的にプロビジョニングされます)。イベントバスは、イベントを受信して、ゼロ個以上の送信先 (*ターゲット*) に配信するルーターです。イベントが受信されると、ユーザーがイベントバスに対して指定したルールによって評価されます。各ルールは、イベントがルールの*イベントパターン*に一致するかどうかをチェックします。一致する場合、イベントバスはそのイベントを指定されたターゲットに送信します。
![\[AWS サービスは EventBridge 、デフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンと一致する場合、 はそのルールに指定されたターゲットにイベント EventBridge を送信します。\]](http://docs.aws.amazon.com/ja_jp/aws-supply-chain/latest/adminguide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [
## AWS Supply Chain イベント
](#supported-events)
+ [
## EventBridge ルールを使用した AWS Supply Chain イベントの配信
](#eventbridge-using-events-rules)
+ [
# AWS Supply Chain イベント詳細リファレンス
](events-detail-reference.md)
## AWS Supply Chain イベント
AWS Supply Chain は、次のイベントをデフォルトの EventBridge イベントバスに自動的に送信します。ルールのイベントパターンに一致するイベントは、指定されたターゲットに[配信](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level)されます。イベントは順不同で配信される可能性があります。
詳細については、「*Amazon EventBridge ユーザーガイド*」の「[EventBridge イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)」を参照してください。
| イベントの詳細のタイプ | 説明 |
| --- | --- |
| [AWS Supply Chain データ統合ステータスの変更](events-detail-reference.md#event-detail-event-name-1-no-caps-or-spaces) | 取り込まれた各ファイルのステータスを表示します AWS Supply Chain。 |
## EventBridge ルールを使用した AWS Supply Chain イベントの配信
EventBridge デフォルトのイベントバスがターゲットに AWS Supply Chain イベントを送信するには、ルールを作成する必要があります。各ルールには、イベントバスで受信した各イベント EventBridge と一致するイベントパターンが含まれています。イベントデータが指定されたイベントパターンと一致する場合、 はそのイベントをルールのターゲット (複数可) に EventBridge 配信します。
イベントバスルールの詳細な作成方法については、「*EventBridge ユーザーガイド*」の「[イベントに反応するルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。
### イベントに一致する AWS Supply Chain イベントパターンの作成
各イベントパターンは JSON 形式のオブジェクトで、以下が含まれています。
+ イベントを送信するサービスを識別する `source` 属性。 AWS Supply Chain イベントの場合、ソースは です`aws.supplychain`。
+ (オプション): 照合するイベントタイプの配列を含む `detail-type` 属性。
+ (オプション): 照合対象となるその他のイベントデータを含む `detail` 属性。
たとえば、次のイベントパターンは、 からのすべての`AWS Supply Chain Data Integration Status Change`イベントと一致します AWS Supply Chain。
```
{
"source": ["aws.supplychain"],
"detail-type": ["AWS Supply Chain Data Integration Status Change"]
}
```
詳細については、「*EventBridge ユーザーガイド*」の「[イベントパターン](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)」を参照してください。
# AWS Supply Chain イベント詳細リファレンス
AWS サービスからのすべてのイベントには、イベントのソースである AWS サービス、イベントが生成された時刻、イベントが発生したアカウントとリージョンなど、イベントに関するメタデータを含む共通のフィールドセットがあります。これらの一般的なフィールドの定義については、「*Amazon EventBridge ユーザーガイド*」の「[イベント構造リファレンス](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html)」を参照してください。
さらに、各イベントには、その特定のイベントに固有のデータを含む `detail` フィールドがあります。以下のリファレンスでは、さまざまな AWS Supply Chain イベントの詳細フィールドを定義しています。
EventBridge を使用して AWS Supply Chain イベントを選択および管理する場合は、次の点に注意してください。
+ からのすべてのイベントの `source`フィールド AWS Supply Chain は に設定されます`aws.supplychain`。
+ `detail-type` フィールドはイベントタイプを指定します。
例えば、`AWS Supply Chain Data Integration Status Change`。
+ `detail` フィールドには、その特定のイベントに固有のデータが含まれます。
AWS Supply Chain イベントに一致するようにルールを有効化するイベントパターンの作成方法については、「Amazon EventBridge ユーザーガイド」の「[Amazon EventBridge のイベントパターン](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)」を参照してください。
イベントとその EventBridge 処理方法の詳細については、「 *Amazon EventBridge ユーザーガイド*」の[Amazon EventBridge 「 イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)」を参照してください。
## AWS Supply Chain データ統合ステータスの変更
以下は、 `AWS Supply Chain Data Integration Status Change event`イベントの例です。
```
{
"version": "0",
"id": "instanceID",
"detail-type": "AWS Supply Chain Data Integration Status Change",
"source": "aws.supplychain",
"account": "acccountID",
"time": "2024-03-30T12:26:13Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "1.0",
"instanceId": "instanceID",
"flowArn": "arn:aws:scn:region:acccountID:instance/instanceID/data-integration-flows/flowname",
"flowExecutionId": "flowExecutionId",
"status": "IN_PROGRESS",
"startTime": "2024-03-30T12:26:13Z",
"endTime": "",
"message": "",
"sourceType": "S3",
"sourceInfo": {
"s3Source": {
"bucketName": "aws-supply-chain-data-instanceID",
"key": "flowname"
}
}
}
}
```
`endTime` は、*ステータス*が失敗または成功の場合にのみ使用できます。