# AWS Global Accelerator のセキュリティ セキュリティ AWS でのクラウドセキュリティは最優先事項です。AWS のユーザーは、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを利用できます。 セキュリティは、AWS とユーザーの間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウド*の*セキュリティおよびクラウド*内の*セキュリティとして説明しています。 + **クラウドのセキュリティ** - AWS は、AWS クラウド で AWS のサービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、ユーザーが安全に使用できるサービスも提供します。[AWSコンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Global Accelerator に適用されるコンプライアンス プログラムについては、「[AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/)」 を参照してください。 + **クラウド内のセキュリティ** - ユーザーの責任は、使用する AWS サービスに応じて異なります。また、お客様は、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。 このドキュメントは、Global Accelerator を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Global Accelerator を設定する方法を示します。Global Accelerator リソースのモニタリングやセキュリティ確保に役立つ他の AWS のサービスの使用方法についても学習します。 **Topics** + [ID とアクセス管理](security-iam.md) + [安全な VPC 接続](secure-vpc-connections.md) + [ログ記録とモニタリング](logging-and-monitoring.md) + [コンプライアンス検証](compliance-validation.md) + [レジリエンス](disaster-recovery-resiliency.md) + [インフラストラクチャセキュリティ](infrastructure-security.md) # AWS Global Accelerator 管理用の Identity and Access Management ID とアクセス管理 AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するために役立つ AWS のサービスです。IAM 管理者は、誰を*認証* (サインイン) し、誰に Global Accelerator リソースの使用を*許可する* (アクセス許可を持たせる) かをコントロールします。IAM は、追加費用なしで使用できる AWS のサービス です。 **Topics** + [ ## 対象者 ](#security_iam_audience) + [ ## アイデンティティによる認証 ](#security_iam_authentication) + [ ## ポリシーを使用したアクセス権の管理 ](#security_iam_access-manage) + [Global Accelerator が IAM と連携する方法](security_iam_service-with-iam.md) + [アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md) + [サービスリンクロール](using-service-linked-roles.md) + [AWS マネージドポリシー](security-iam-awsmanpol-aga.md) + [タグベースのポリシー](security_iam-tag-policies.md) + [トラブルシューティング](security_iam_troubleshoot.md) ## 対象者 AWS Identity and Access Management (IAM) の用途は、Global Accelerator で行う作業によって異なります。 **サービスユーザー** – Global Accelerator サービスを使用してジョブを実行する場合は、必要な認証情報とアクセス許可を管理者が提供します。さらに多くの Global Accelerator 機能を使用して作業を実行するとき、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切な権限をリクエストするのに役に立ちます。Global Accelerator の機能にアクセスできない場合は、[AWS Global Accelerator アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md) を参照してください。 **サービス管理者** – 社内の Global Accelerator リソースを担当している場合は、通常、Global Accelerator に完全にアクセスすることができます。サービスを利用するユーザーがどの Global Accelerator 機能やリソースにアクセスできるかを決めるのは、管理者の仕事です。その後、IAM 管理者にリクエストを送信して、サービスユーザーの権限を変更する必要があります。このページの情報を点検して、IAM の基本概念を理解してください。自社で Global Accelerator で IAM を使用する方法の詳細については、[AWS Global Accelerator が IAM と連携する方法](security_iam_service-with-iam.md) を参照ください。 **IAM 管理者** – IAM 管理者は、Global Accelerator へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Global Accelerator アイデンティティベースのポリシーの例を表示するには、[AWS Global Accelerator のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) を参照してください。 ## アイデンティティによる認証 認証とは、アイデンティティ認証情報を使用して AWSにサインインする方法です。ユーザーは、AWS アカウントのルートユーザー、IAM ユーザーとして、または IAM ロールを引き受けることによって、*認証される* (AWSにサインインする) 必要があります。 ID ソースから提供された認証情報を使用して、フェデレーティッドアイデンティティとして AWS にサインインできます。AWS IAM アイデンティティセンターフェデレーティッドアイデンティティの例としては、(IAM アイデンティティセンター) ユーザー、貴社のシングルサインオン認証、Google または Facebook の認証情報などがあります。フェデレーティッド ID としてサインインする場合、IAM ロールを使用して、前もって管理者により ID フェデレーションが設定されています。フェデレーションを使用して AWSにアクセスする場合、間接的にロールを引き受けることになります。 ユーザーのタイプに応じて、AWS マネジメントコンソールまたは AWS アクセスポータルにサインインできます。AWS へのサインインの詳細については、*AWS サインインユーザーガイド*の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。 プログラムを使用して AWS にアクセスする場合、AWSは Software Development Kit (SDK) とコマンドラインインターフェイス (CLI) を提供し、認証情報を使用してリクエストに暗号で署名します。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。リクエストに自分で署名する場合の推奨方法については、「*IAM ユーザーガイド*」の「[API リクエストに対する AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。 使用する認証方法を問わず、追加セキュリティ情報の提供をリクエストされる場合もあります。例えば、AWS は、アカウントのセキュリティを強化するために多要素認証 (MFA) を使用することをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[多要素認証](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html)」および「*IAM ユーザーガイド*」の「[IAM の AWS 多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。 ### AWS アカウントのルートユーザー AWS アカウントを作成する場合は、このアカウントのすべての AWS のサービスとリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。このアイデンティティは AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、*IAM ユーザーガイド*の[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)を参照してください。 ### フェデレーティッドアイデンティティ ベストプラクティスとして、管理者アクセスを必要とするユーザーを含む人間のユーザーに対し、ID プロバイダーとのフェデレーションを使用して、一時的な認証情報の使用により、AWS のサービスにアクセスすることを要求します。 フェデレーティッド ID は、エンタープライズユーザーディレクトリ、ウェブ ID プロバイダ、Directory Service、Identity Center ディレクトリのユーザーか、または ID ソースから提供された認証情報を使用して AWS のサービス にアクセスするユーザーです。フェデレーティッド ID が AWS アカウント にアクセスすると、ロールが継承され、ロールは一時的な認証情報を提供します。 アクセスを一元管理する場合は、AWS IAM アイデンティティセンターを使用することをお勧めします。IAM アイデンティティセンター でユーザーとグループを作成するか、すべての AWS アカウント とアプリケーションで使用するために、独自の ID ソースで一連のユーザーとグループに接続して同期することもできます。IAM Identity Center の詳細については、「*AWS IAM アイデンティティセンターユーザーガイド*」の「[What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」(IAM Identity Center とは) を参照してください。 ### IAM ユーザーとグループ [IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)は、1 人のユーザーまたは 1 つのアプリケーションに対して特定の許可を持つ AWS アカウント 内のアイデンティティです。可能であれば、パスワードやアクセスキーなどの長期的な認証情報を保有する IAM ユーザーを作成する代わりに、一時的な認証情報を使用することをお勧めします。ただし、IAM ユーザーでの長期的な認証情報が必要な特定のユースケースがある場合は、アクセスキーをローテーションすることをお勧めします。詳細については、*IAM ユーザーガイド*の[長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)を参照してください。 [IAM グループ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集団を指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、複数のユーザーに対して一度に権限を指定できます。多数のユーザーグループがある場合、グループを使用することで権限の管理が容易になります。例えば、*IAMAdmins*という名前のグループを設定して、そのグループにIAM リソースを管理する許可を与えることができます。 ユーザーは、ロールとは異なります。ユーザーは 1 人の人または 1 つのアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時認証情報が提供されます。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。 ### IAM ロール *[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定の許可を持つ、AWS アカウント内のアイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーには関連付けられていません。AWS マネジメントコンソールで IAM ロールを一時的に引き受けるには、[ユーザーから IAM ロールに切り替える (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ことができます。ロールを引き受けるには、AWS CLIまたは AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。 IAM ロールと一時的な認証情報は、次の状況で役立ちます: + **フェデレーションユーザーアクセス** – フェデレーティッド ID に許可を割り当てるには、ロールを作成してそのロールの許可を定義します。フェデレーティッド ID が認証されると、その ID はロールに関連付けられ、ロールで定義されている許可が付与されます。フェデレーションの詳細については、「IAM ユーザーガイド」の「[Creating a role for a third-party Identity Provider](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」(サードパーティーアイデンティティプロバイダー向けロールの作成) を参照してください。IAM Identity Center を使用する場合は、許可セットを設定します。アイデンティティが認証後にアクセスできるものを制御するため、IAM Identity Center は、権限セットを IAM のロールに関連付けます。アクセス許可セットの詳細については、「*AWS IAM アイデンティティセンターユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。 + **一時的な IAM ユーザー権限** - IAM ユーザーまたはロールは、特定のタスクに対して複数の異なる権限を一時的に IAM ロールで引き受けることができます。 + **クロスアカウントアクセス** - IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを、別のアカウントの人物 (信頼済みプリンシパル) に許可できます。クロスアカウントアクセス権を付与する主な方法は、ロールを使用することです。ただし、一部の AWS のサービスでは、(ロールをプロキシとして使用する代わりに) リソースにポリシーを直接アタッチできます。クロスアカウントアクセスにおけるロールとリソースベースのポリシーの違いについては、「IAM ユーザーガイド」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。 + **クロスサービスアクセス権** - 一部の AWS のサービスでは、他の AWS のサービスの機能を使用します。例えば、あるサービスで呼び出しを行うと、通常そのサービスによって Amazon EC2 でアプリケーションが実行されたり、Amazon S3 にオブジェクトが保存されたりします。サービスでは、呼び出し元プリンシパルの許可、サービスロール、またはサービスリンクロールを使用してこれを行う場合があります。 + **転送アクセスセッション (FAS)** – IAM ユーザーまたはロールを使用して AWS でアクションを実行するユーザーは、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、AWS のサービスを呼び出すプリンシパルの権限を、AWS のサービスのリクエストと合わせて使用し、ダウンストリームのサービスに対してリクエストを行います。FAS リクエストは、サービスが、完了するために他の AWS のサービス またはリソースとのやりとりを必要とするリクエストを受け取ったときにのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。 + **サービスロール** - サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「[AWS のサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。 + **サービスにリンクされたロール** - サービスにリンクされたロールは、AWS のサービスにリンクされたサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。 + **Amazon EC2 で実行されているアプリケーション** - EC2 インスタンスで実行され、AWS CLIまたは AWS API 要求を行っているアプリケーションの一時的な認証情報を管理するには、IAM ロールを使用できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスに添付されたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得できます。詳細については、*IAM ユーザーガイド*の[Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)を参照してください。 ## ポリシーを使用したアクセス権の管理 AWS でアクセスを制御するには、ポリシーを作成して AWS ID またはリソースにアタッチします。ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWSは、プリンシパル (ユーザー、ルートユーザー、またはロールセッション) がリクエストを行うと、これらのポリシーを評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWSに保存されます。JSON ポリシードキュメントの構造と内容の詳細については、*IAM ユーザーガイド*の[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)を参照してください。 管理者は AWSJSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。 デフォルトでは、ユーザーやロールに権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き継ぐことができます。 IAM ポリシーは、オペレーションの実行方法を問わず、アクションの許可を定義します。例えば、`iam:GetRole`アクションを許可するポリシーがあるとします。このポリシーがあるユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からロール情報を取得できます。 ### アイデンティティベースポリシー アイデンティティベースポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。 アイデンティティベースのポリシーは、さらにインラインポリシーまたはマネージドポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれます。マネージドポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンポリシーです。マネージドポリシーには、AWS マネージドポリシーとカスタマー管理ポリシーがあります。管理ポリシーまたはインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。 ### リソースベースのポリシー リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー* や Amazon S3 *バケットポリシー* があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーションユーザー、または AWS のサービス を含めることができます。 リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは IAM の AWSマネージドポリシーは使用できません。 ### アクセスコントロールリスト (ACL) アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。 Amazon S3、AWS WAF、および Amazon VPC は、ACL をサポートするサービスの例です。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド*の[アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)を参照してください。 ### その他のポリシータイプ AWS では、他の一般的ではないポリシータイプをサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大の権限を設定できます。 + **アクセス許可の境界** - アクセス許可の境界は、アイデンティティベースのポリシーによって IAM エンティティ (IAM ユーザーまたはロール) に付与できる権限の上限を設定する高度な機能です。エンティティにアクセス許可の境界を設定できます。結果として得られる権限は、エンティティのアイデンティティベースポリシーとそのアクセス許可の境界の共通部分になります。`Principal` フィールドでユーザーまたはロールを指定するリソースベースのポリシーでは、アクセス許可の境界は制限されません。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。アクセス許可の境界の詳細については、*IAM ユーザーガイド*の[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を参照してください。 + **サービスコントロールポリシー (SCP)** - SCP は、AWS Organizationsで組織や組織単位 (OU) の最大許可を指定する JSON ポリシーです。AWS Organizationsは、顧客のビジネスが所有する複数の AWS アカウント をグループ化し、一元的に管理するサービスです。組織内のすべての機能を有効にすると、サービスコントロールポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP はメンバーアカウントのエンティティに対する権限を制限します (各 AWS アカウントのルートユーザー など)。Organizations と SCP の詳細については、「AWS Organizations ユーザーガイド」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。 + **セッションポリシー** - セッションポリシーは、ロールまたはフェデレーションユーザーの一時的なセッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果としてセッションの権限は、ユーザーまたはロールのアイデンティティベースポリシーとセッションポリシーの共通部分になります。また、リソースベースのポリシーから権限が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。詳細については、*IAM ユーザーガイド*の[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)を参照してください。 ### 複数のポリシータイプ 1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成される権限を理解するのがさらに難しくなります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法の詳細については、IAM ユーザーガイドの[ポリシーの評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)を参照してください。 # AWS Global Accelerator が IAM と連携する方法 Global Accelerator が IAM と連携する方法 IAM を使用して Global Accelerator へのアクセスを管理する前に、Global Accelerator で利用できる IAM の機能について学びます。 AWS のサービスが大部分の IAM 機能と連動する方法に関する同様の概要のビューを表示するテーブルを確認するには、「IAM ユーザーガイド」の「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。 **AWS Global Accelerator で使用できる IAM の機能** | IAM の機能 | Global Accelerator へのサポート | | --- | --- | | [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり | | [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし | | [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり | | [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい | | [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい | | [ACL](#security_iam_service-with-iam-acls) | はい | | [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | 部分的 | | [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり | | [プリンシパル権限](#security_iam_service-with-iam-principal-permissions) | あり | | [サービスロール](#security_iam_service-with-iam-roles-service) | いいえ | | [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | 可能 | ## Global Accelerator のアイデンティティベースのポリシー アイデンティティベースのポリシー **アイデンティティベースのポリシーのサポート:** あり アイデンティティベースポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。ID ベースのポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。 IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。プリンシパルは、それが添付されているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素について学ぶには、*IAM ユーザーガイド*の[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)を参照してください。 Global Accelerator アイデンティティベースのポリシーの例は、[AWS Global Accelerator のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) を参照してください。 ## Global Accelerator でのリソースベースのポリシー リソースベースのポリシー **リソースベースのポリシーのサポート:** なし リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシー や Amazon S3 バケットポリシー があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。 ## Global Accelerator のポリシーアクション ポリシーアクション **ポリシーアクションのサポート:** あり 管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。 JSON ポリシーの`Action`要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。 このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。 Global Accelerator アクションのリストを確認するには、「*サービス認証リファレンス*」の「[Actions defined by AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions)」を参照してください。 Global Accelerator のポリシーアクションは、アクションの前に以下のプレフィックスを使用します: ``` aws-globalaccelerator ``` 単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。 ``` "Action": [ "aws-globalaccelerator:action1", "aws-globalaccelerator:action2" ] ``` ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。 ``` "Action": "aws-globalaccelerator:Describe*" ``` Global Accelerator アイデンティティベースのポリシーの例は、[AWS Global Accelerator のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) を参照してください。 ## Global Accelerator のポリシーリソース ポリシーリソース **ポリシーリソースのサポート:** あり 管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**にどのような**条件**で**アクション**を実行できるかということです。 `Resource` JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、`Resource` または `NotResource` 要素を含める必要があります。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。 オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。 ``` "Resource": "*" ``` 「*サービス認証リファレンス*」では、Internet Monitor に関連する次の情報を確認できます。 + Global Accelerator リソースタイプとその ARN のリストについて、「[AWS Global Accelerator で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-resources-for-iam-policies)」を参照してください。 + どのアクションで各リソースの ARN を指定できるかについては、「[AWS Global Accelerator で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions)」を参照してください。 Global Accelerator アイデンティティベースのポリシーの例は、[AWS Global Accelerator のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) を参照してください。 ## Global Accelerator のポリシー条件キー ポリシー条件キー **サービス固有のポリシー条件キーのサポート:** あり 管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。 `Condition` 要素 (または `Condition` ブロック) を使用すると、ステートメントが有効な条件を指定できます。`Condition` 要素はオプションです。イコールや未満などの [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。 1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、AWSでは `AND` 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。 条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、*IAM ユーザーガイド*の‭[‬IAM ポリシーの要素: 変数およびタグ‭](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)‬を参照してください。 AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 アカウント管理条件キーのリストを確認するには、「*サービス認可リファレンス*」の「[AWS Global Accelerator の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-policy-keys)」を参照してください。どのアクションおよびリソースと条件キー組み合わせてを使用できるかについては、「[AWS Global Accelerator で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions)」を参照してください。 Global Accelerator アイデンティティベースのポリシーの例は、[AWS Global Accelerator のアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md) を参照してください。 ## Global Accelerator における ACL ACL **ACL のサポート:** あり アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。 ## Global Accelerator を使用した ABAC ABAC **ABAC (ポリシー内のタグ) のサポート:** 一部 Global Accelerator は、ポリシーのタグを*部分的に*サポートしています。リソースの 1 つであるアクセラレーターのタグ付けをサポートしています。ポリシーステートメント条件でのタグの使用、およびリソースのタグに基づいてリソースへのアクセスを制限するためのポリシーの例を表示するには、[AWS Global Accelerator でのタグベースのポリシーの使用](security_iam-tag-policies.md) を参照してください。 Global Accelerator の詳細については、[AWS Global Accelerator でのタグ付け](tagging-in-global-accelerator.md) を参照してください。 ポリシーにおけるタグの使用の詳細については、次の情報を確認してください。 属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。AWS では、属性は タグ と呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール)、および多数の AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初の手順です。その後、プリンシパルのタグがアクセスしようとしているリソースのタグと一致した場合にオペレーションを許可するように ABAC ポリシーをします。 ABAC は、急成長する環境やポリシー管理が煩雑になる状況で役立ちます。 タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの [条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。 サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。 ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップするステップを説明するチュートリアルについては、*IAM ユーザーガイド*の[属性に基づくアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)を参照してください。 ## Global Accelerator での一時的認証情報の使用 一時的な認証情報 **一時的な認証情報のサポート:** あり AWS のサービス には、一時的な認証情報を使用してサインインしても機能しないものがあります。一時的な認証情報を利用できる AWS のサービス を含めた詳細情報については、「IAM ユーザーガイド」の「[IAM と連携する」AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照してください。 ユーザー名とパスワード以外の方法で AWS マネジメントコンソール にサインインする場合は、一時的な認証情報を使用していることになります。例えば、会社のシングルサインオン (SSO) リンクを使用して AWS にアクセスすると、そのプロセスは自動的に一時認証情報を作成します。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「*IAM ユーザーガイド*」の「[ユーザーから IAM ロールに切り替える (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)」を参照してください。 一時認証情報は、AWS CLIまたは AWS API を使用して手動で作成できます。作成後、一時認証情報を使用して AWS にアクセスできるようになります。AWSは、長期的なアクセスキーを使用する代わりに、一時認証情報を動的に生成することをお勧めします。詳細については、[IAM の一時的セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)を参照してください。 ## Global Accelerator のクロスサービスプリンシパル許可 プリンシパル権限 **転送アクセスセッション (FAS) のサポート:** あり IAM ユーザーまたはロールを使用して AWS でアクションを実行するユーザーは、プリンシパルとみなされます。一部のサービスを使用する際に、アクションを実行してから、別のサービスの別のアクションを開始することがあります。FAS は、AWS のサービスを呼び出すプリンシパルの権限を、AWS のサービスのリクエストと合わせて使用し、ダウンストリームのサービスに対してリクエストを行います。FAS リクエストは、サービスが、完了するために他の AWS のサービス またはリソースとのやりとりを必要とするリクエストを受け取ったときにのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。 ## Global Accelerator のサービスロール サービスロール **サービスロールのサポート:** なし サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「[AWS のサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。 ## Global Accelerator のサービスリンクロール サービスリンクロール **サービスリンクロールのサポート:** あり サービスにリンクされたロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。 Global Accelerator のサービスリンクロールの詳細については、[AWS Global Accelerator 用のサービスにリンクされたロール](using-service-linked-roles.md) を参照してください。 AWS のサービスリンクロール全般の作成または管理の詳細については、「[IAM と提携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の中から、**[Service-linked role]** (サービスにリンクされたロール) 列に `Yes` と記載されたサービスを見つけます。サービスリンクロールに関するドキュメントをサービスで表示するには、**はい** リンクを選択します。 # AWS Global Accelerator のアイデンティティベースのポリシー アイデンティティベースポリシーの例 デフォルトでは、ユーザーおよびロールには Global Accelerator リソースを作成または変更するアクセス許可がありません。また、AWS マネジメントコンソール、AWS Command Line Interface (AWS CLI)、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き受けることができます。 これらサンプルの JSON ポリシードキュメントを使用して IAM ID ベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。 Global Accelerator が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「サービス認可リファレンス**」の「[AWS Global Accelerator のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html)」を参照してください。 **Topics** + [ ## ポリシーのベストプラクティス ](#security_iam_service-with-iam-policy-best-practices) + [ ## Global Accelerator アクセラレーターの作成 ](#security_iam_id-based-policy-examples-create-accelerator) + [ ## Global Accelerator コンソールの使用 ](#security_iam_id-based-policy-examples-console) + [ ## Global Accelerator API アクションの使用 ](#security_iam_id-based-policy-examples-api) + [ ## 自分の権限の表示をユーザーに許可する ](#security_iam_id-based-policy-examples-view-own-permissions) ## ポリシーのベストプラクティス ID ベースのポリシーは、ユーザーのアカウントで誰が Global Accelerator リソースを作成し、これにアクセスし、これを削除できるかを決定します。これらのアクションを実行すると、AWS アカウント に料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください: + **AWS マネージドポリシーを使用して開始し、最小特権の許可に移行する** – ユーザーとワークロードへの許可の付与を開始するには、多くの一般的なユースケースのために許可を付与する AWS マネージドポリシーを使用します。これらは AWS アカウントで使用できます。ユースケースに応じた AWS カスタマー管理ポリシーを定義することで、許可をさらに減らすことをお勧めします。詳細については、「IAM ユーザーガイド」の「[AWSマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」または「[ジョブ機能の AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。 + **最小特権を適用する** – IAM ポリシーで許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド*の[IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)を参照してください。 + **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。また、CloudFormation などの特定の AWS のサービス を介して使用する場合、条件を使用してサービスアクションへのアクセスを許可することもできます。詳細については、「IAM ユーザーガイド」の [[IAM JSON policy elements: Condition]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM JSON ポリシー要素:条件) を参照してください。 + **IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「*IAM ユーザーガイド*」の「[IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」を参照してください。 + **多要素認証 (MFA) を要求する** – AWS アカウント で IAM ユーザーまたはルートユーザーを要求するシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「*IAM ユーザーガイド*」の「[MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)」を参照してください。 IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド*の[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)を参照してください。 ## Global Accelerator アクセラレーターの作成 アクセラレーターの作成 AWS Global Accelerator アクセラレーターを作成するには、ユーザーに Global Accelerator に関連付けられているサービスリンクロールを作成するアクセス許可が必要です。 ユーザーに Global Accelerator でアクセラレーターを作成するための正しいアクセス許可を付与するには、次のようなポリシーをユーザーにアタッチします。 **注記** 次のポリシーよりも制限の厳しいアイデンティティベースのアクセス許可ポリシーを作成すると、制限の厳しいポリシーを持つユーザーはアクセラレーターを作成できなくなります。 ``` { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "globalaccelerator.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*" } ``` ## Global Accelerator コンソールの使用 コンソールを使用する場合 AWS Global Accelerator コンソールにアクセスするには、最小限の許可が必要です。これらのアクセス許可により、AWS アカウント の Global Accelerator リソースの一覧と詳細を表示する必要があります。最小限必要なアクセス許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) ではコンソールが意図したとおりに機能しません。 AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソール権限を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスを許可します。 ユーザーとロールが引き続き Global Accelerator コンソールを使用できるようにするには、エンティティに `GlobalAcceleratorReadOnlyAccess` または `GlobalAcceleratorFullAccess` AWS 管理ポリシーもアタッチします。 ユーザーがコンソールで情報を表示するか、`List*` または `Describe*` オペレーションを使用する API を AWS Command Line Interface に呼び出すだけでよい場合は、最初のポリシー `GlobalAcceleratorReadOnlyAccess` をアタッチします。 アクセラレーターの作成や更新が必要なユーザーには、2 つ目のポリシーである `GlobalAcceleratorFullAccess` をアタッチします。フルアクセスポリシーには、Global Accelerator の*フル*アクセス許可と、Amazon EC2 および Elastic Load Balancing のアクセス許可の*説明*が含まれています。 **注記** Amazon EC2 および Elastic Load Balancing に必要なアクセス許可を含まないアイデンティティベースのアクセス許可ポリシーを作成すると、そのポリシーを持つユーザーは Amazon EC2 および Elastic Load Balancing リソースをアクセラレーターに追加できなくなります。 詳細については、「*IAM ユーザーガイド*」の Global Accelerator「[AWS マネージドポリシーのページ](security-iam-awsmanpol-aga.md)」または「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。 ## Global Accelerator API アクションの使用 API アクションの使用 AWS Global Accelerator は、ポリシーでのアクションの使用をサポートしています。これにより、管理者は、Global Accelerator でオペレーションを実行することをエンティティに許可するかどうかをコントロールできます。 例えば、次のポリシーは、ユーザーが `CreateAccelerator` アクションを実行して、AWS アカウントのアクセラレーターをプログラム的に作成できるようにします。 ``` { "Version": "2018-08-08", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:CreateAccelerator" ], "Resource":"*" } ] } ``` ## 自分の権限の表示をユーザーに許可する この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了する権限が含まれています。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` # AWS Global Accelerator 用のサービスにリンクされたロール サービスリンクロール AWS Global Accelerator は、AWS Identity and Access Management (IAM)「[サービスリンクロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)」を使用します。サービスリンクロールは、Global Accelerator に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは Global Accelerator によって事前に定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。 サービスリンクロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Global Accelerator の設定が簡単になります。Global Accelerator は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Global Accelerator のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。 サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、Global Accelerator リソースが保護されます。 サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連動する AWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、[**Service-linked roles**] (サービスにリンクされたロール) の列内で [**Yes**] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**はい**リンクを選択します。 ## Global Accelerator サービスリンクロールのアクセス許可 AWS Global Accelerator は、**AWSServiceRoleForGlobalAccelerator** という名前のサービスリンクロールを使用します。このロールにより、Global Accelerator はアカウント内のロードバランサーやその他のエンドポイントなどのリソースにアクセスして、Global Accelerator と連携するように設定されたリソースのみを追加できるようになります。AWSServiceRoleForGlobalAccelerator ロールを使用すると、Global Accelerator はクライアント IP アドレスの保存に必要なリソースを作成および管理することもできます。 Global Accelerator は、Global Accelerator API オペレーションをサポートするためにロールが最初に必要になると、AWSServiceRoleForGlobalAccelerator という名前のロールを自動的に作成します。Global Accelerator でアクセラレーターを使用するには、このロールが必要です。AWSServiceRoleForLambdaReplicator ロールの ARN は次のようになります: `arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator` ### サービスにリンクされたロールのアクセス許可 Global Accelerator は、**AWSServiceRoleForGlobalAccelerator** という名前のサービスリンクロールを使用して、リソースと設定にアクセスして準備状況を確認します。このサービスリンクロールは、マネージドポリシーである `AWSGlobalAcceleratorSLRPolicy` を使用します。 AWSServiceRoleForGlobalAccelerator サービスリンクロールは、次のサービスを信頼してロールを引き受けます: + `globalaccelerator.amazonaws.com` このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「[AWSGlobalAcceleratorSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSGlobalAcceleratorSLRPolicy.html)」を参照してください。** IAM エンティティ (ユーザー、グループ、ロールなど) で Global Accelerator のサービスリンクロールを削除できるように、アクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。 ## Global Accelerator のサービスリンクロールの作成 Global Accelerator のサービスリンクロールを手動で作成する必要はありません。サービスは、アクセラレーターを初めて作成するときに自動的にロールを作成します。Global Accelerator リソースを削除し、サービスリンクロールを削除する場合、新しいアクセラレータを作成する時、サービスによってロールが再度自動的に作成されます。 ## Global Accelerator のサービスリンクロールの編集 Global Accelerator では、サービスリンクロール AWSServiceRoleForGlobalAccelerator を編集できません。サービスによってサービスにリンクされたロールが作成された後は、多くのエンティティでそのロールが参照されるため、そのロール名は変更できません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。 ## Global Accelerator のサービスリンクロールの削除 Global Accelerator が不要になった場合は、サービスリンクロールを削除することをお勧めします。そうすることで、アクティブにモニタリングやメンテナンスがされていない不要なエンティティがなくなります。ただし、ロールを手動で削除する前に、アカウントの Global Accelerator リソースをクリーンアップする必要があります。 アクセラレーターを無効にして削除した後、サービスリンクロールを削除できます。アクセラレーターの削除の詳細については、[アクセラレーターを作成する](about-accelerators.creating-editing.md) を参照してください。 **注記** アクセラレーターを無効にして削除しても Global Accelerator の更新が完了していない場合、サービスにリンクされたロールの削除が失敗する可能性があります。その場合は、数分待ってからサービスリンクロールの削除手順をもう一度試してください。 **AWSServiceRoleForGlobalAccelerator サービスリンクロールを手動で削除するには** 1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。 1. IAM コンソールのナビゲーションペインで [**ロール**] を選択します。ロール名または行そのものではなく、削除するロール名の横にあるチェックボックスをオンにします。 1. ページ上部にある [**ロールのアクション**] で [**ロールの削除**] を選択します。 1. 確認ダイアログボックスで、サービスの最終アクセス時間データを確認します。これは、選択したそれぞれのロールの AWS サービスへの最終アクセス時間を示します。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。先に進む場合は、**Yes, Delete]** (はい、削除する) を選択し、削除するサービスにリンクされたロールを送信します。 1. IAM コンソール通知を見て、サービスにリンクされたロールの削除の進行状況をモニタリングします。IAM サービスにリンクされたロールの削除は非同期であるため、削除するロールを送信すると、削除タスクは成功または失敗する可能性があります。詳細については、 IAM ユーザーガイド の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。 ## Global Accelerator サービスリンクロールのポリシーの更新 サービスリンクロールポリシーの更新 `AWSGlobalAcceleratorSLRPolicy` の更新について、Global Accelerator サービスリンクロールの AWS マネージドポリシーの更新については、「[AWS マネージドポリシーの更新表](security-iam-awsmanpol-aga.md#security-iam-awsmanpol-globalaccelerator-updates)」を参照してください。AWS Global Accelerator [ドキュメント履歴](WhatsNew.md) ページで、自動 RSS アラートにサブスクライブすることもできます。 # AWS の AWS Global Accelerator マネージドポリシー AWS マネージドポリシー AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。 AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別に[カスタマーマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、マネージドポリシーを絞り込むことをお勧めします。 AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。 詳細については、「IAM ユーザーガイド」の「[AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。 ## AWS マネージドポリシー: AWSServiceRoleForGlobalAccelerator AWSServiceRoleForGlobalAccelerator IAM エンティティに `AWSServiceRoleForGlobalAccelerator` をアタッチすることはできません。このポリシーはサービスリンクロールにアタッチします。AWS Global Accelerator による AWS の (Global Accelerator が使用または管理する) サービスおよびリソースへのアクセスを許可します。詳細については、「[AWS Global Accelerator 用のサービスにリンクされたロール](using-service-linked-roles.md)」を参照してください。 ## AWS マネージドポリシー: GlobalAcceleratorReadOnlyAccess GlobalAcceleratorReadOnlyAccess IAM エンティティに `GlobalAcceleratorReadOnlyAccess` をアタッチできます。このポリシーは、Global Accelerator でアクセラレーターを操作するためのアクションへの読み取り専用アクセスを許可します。これは、コンソールで情報を表示したり、`List*` または `Describe*` オペレーションを使用して AWS Command Line Interface または API を呼び出すだけで済むユーザーに役立ちます。 このポリシーのアクセス許可を表示するには、「*AWS マネージドポリシーリファレンス*」の「[GlobalAcceleratorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorReadOnlyAccess.html)」を参照してください。 ## AWS マネージドポリシー: GlobalAcceleratorFullAccess GlobalAcceleratorFullAccess IAM エンティティに `GlobalAcceleratorFullAccess` をアタッチできます。このポリシーは、Global Accelerator でアクセラレーターを操作するためのアクションへのフルアクセスを許可します。これを、Global Accelerator アクションへの完全なアクセス権を必要とする IAM ユーザーとその他プリンシパルにアタッチします。 **注記** Amazon EC2 および Elastic Load Balancing に必要なアクセス許可を含まないアイデンティティベースのアクセス許可ポリシーを作成すると、そのポリシーを持つユーザーは Amazon EC2 および Elastic Load Balancing リソースをアクセラレーターに追加できなくなります。 このポリシーのアクセス許可を表示するには、「*AWS マネージドポリシーリファレンス*」の「[GlobalAcceleratorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorFullAccess.html)」を参照してください。 ## AWS マネージドポリシーに対する Global Accelerator の更新 ポリシーの更新 Global Accelerator の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更を自動通知するには、Global Accelerator の「[ドキュメントの履歴](WhatsNew.md)」ページで RSS フィードをサブスクライブします。 | 変更 | 説明 | 日付 | | --- | --- | --- | | [AWSGlobalAcceleratorSLRPolicy](using-service-linked-roles.md#GAXSLRRole) – ポリシーの更新 | Global Accelerator は、ロードバランサーのターゲットグループを記述する新しいアクセス許可を追加しました。 Global Accelerator は `elasticloadbalancing:DescribeTargetGroups` を使用して、ターゲットタイプ `ip` のロードバランサーを識別します。このターゲットタイプは、Global Accelerator のデュアルスタックロードバランサーエンドポイントでサポートされていません。 | 2023 年 10 月 20 日 | | [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – ポリシーの更新 | Global Accelerator は、ロードバランサーのリスナーを記述し、EC2 インスタンスのアドレスを記述する新しいアクセス許可を追加しました。 Global Accelerator は `elasticloadbalancing:DescribeListeners` を使用して、リスナー設定に基づいてロードバランサーのリスナー管理の決定をサポートします。 Global Accelerator は、`ec2:DescribeAddresses` を使用して Elastic IP アドレスエンドポイントをアクセラレーターに追加します。 | 2023 年 5 月 23 日 | | [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – ポリシーの更新 | Global Accelerator は、IPv6 アドレスをサポートする新しいアクセス許可を追加しました。 Global Accelerator は `ec2:AssignIpv6Addresses` を使用して、IPv6 トラフィックを送受信するための IPv6 アドレスを使用してカスタマーサブネット上の Global Accelerator ENI IPv6を更新し、不要になったときに `UnassignIpv6Addresses` を使用して IPv6 アドレスを削除します。 | 2021 年 11 月 15 日 | | [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – ポリシーの更新 | Global Accelerator は、Global Accelerator がエラーを診断するのに役立つ新しいアクセス許可を追加しました。 Global Accelerator は `ec2:DescribeRegions` を使用して、顧客がいる AWS リージョンを決定します。これにより、Global Accelerator はエラーのトラブルシューティングに役立ちます。 | 2021 年 5 月 18 日 | | Global Accelerator が変更の追跡を開始する | Global Accelerator が AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 5 月 18 日 | # AWS Global Accelerator でのタグベースのポリシーの使用 タグベースのポリシー IAM ポリシーの設計時に特定のリソースへのアクセスを許可することで、詳細なアクセス許可を設定できます。ただし、管理するリソースの数が増えるに従って、このタスクはより困難になります。リソースにタグ付けしてポリシーステートメント条件でタグを使用することにより、このタスクをより容易にすることができます。特定のタグを使用する任意のリソースへのアクセスを一括して付与できます。このタグは、リソースを作成するとき、または後でリソースを更新することで、関連するリソースに繰り返し適用できます。 条件内でタグを使用することは、リソースとリクエストへのアクセスをコントロールするひとつの方法です。タグは、リソースにアタッチするか、タグ付けをサポートするサービスへのリクエストに渡すことができます。Global Accelerator では、アクセラレーターのみがタグを含めることができます。Global Accelerator のタグ付けの詳細については、[AWS Global Accelerator でのタグ付け](tagging-in-global-accelerator.md) を参照してください。 IAM ポリシーを作成するときに、タグ条件キーを使用して以下をコントロールできます。 + 既にあるタグに基づいて、どのユーザーがアクセラレーターに対してアクションを実行できるか。 + アクションのリクエストで渡すことができるタグ。 + リクエストで特定のタグキーを使用できるかどうか。 たとえば、AWS `GlobalAcceleratorFullAccess` マネージドポリシーは、任意のリソースに対して Global Accelerator アクションを実行するための無制限のアクセス許可をユーザーに付与します。次のポリシーは、この権限を制限し、認証されていないユーザーに対して*実稼働環境*アクセラレーターで Global Accelerator アクションを実行するアクセス許可を拒否します。お客様の管理者は、権限のない IAM ユーザーには、マネージドユーザーポリシーに加えて、この IAM ポリシーをアタッチする必要があります。 ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] } ``` タグ条件キーの完全な構文とセマンティクスについては、「*IAM ユーザーガイド*」の「[IAM タグを使用したアクセスコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)」を参照してください。 # AWS Global Accelerator アイデンティティとアクセスのトラブルシューティング トラブルシューティング 次の情報は、Global Accelerator と IAM の使用に伴い発生する可能性のある、一般的な問題の診断や修復に役立ちます。 **Topics** + [ ## Global Accelerator でのアクションの実行を認可されていない ](#security_iam_troubleshoot-no-permissions) + [ ## iam:PassRole を実行する権限がありません ](#security_iam_troubleshoot-passrole) + [ ## 自分の AWS アカウント 以外のユーザーに Global Accelerator リソースへのアクセスを許可したい ](#security_iam_troubleshoot-cross-account-access) ## Global Accelerator でのアクションの実行を認可されていない 「I am not authorized to perform an action in Amazon Bedrock」というエラーが表示された場合、そのアクションを実行できるようにポリシーを更新する必要があります。 次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な`aws-globalaccelerator:GetWidget` アクセス許可を持っていない場合に発生するものです。 ``` User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws-globalaccelerator:GetWidget on resource: my-example-widget ``` この場合、`aws-globalaccelerator:GetWidget` アクションを使用して `my-example-widget`リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。 サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。 ## iam:PassRole を実行する権限がありません `iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Global Accelerator にロールを渡せるようにする必要があります。 一部の AWS のサービスでは、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。 以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Global Accelerator でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。メアリーには、ロールをサービスに渡す許可がありません。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。 サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。 ## 自分の AWS アカウント 以外のユーザーに Global Accelerator リソースへのアクセスを許可したい 他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。 詳細については、以下を参照してください。 + Global Accelerator でこれらの機能がサポートされるかどうかを確認するには、[AWS Global Accelerator が IAM と連携する方法](security_iam_service-with-iam.md) を参照してください。 + 所有している AWS アカウント 全体のリソースへのアクセス権を提供する方法については、*IAM ユーザーガイド*の[所有している別の AWS アカウント アカウントへのアクセス権を IAM ユーザーに提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)を参照してください。 + サードパーティーの AWS アカウント にリソースへのアクセス権を提供する方法については、「IAM ユーザーガイド」の「[サードパーティが所有する AWS アカウント へのアクセス権を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。 + ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)を参照してください。 + クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「IAM ユーザーガイド」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。 # AWS Global Accelerator での安全な VPC 接続 安全な VPC 接続 AWS Global Accelerator に Network Load Balancer、内部 Application Load Balancer、または Amazon EC2 インスタンスエンドポイントを追加すると、プライベートサブネットでターゲットにして、仮想プライベートクラウド (VPC) のエンドポイントとの間でインターネットトラフィックを直接送信できるようになります。ロードバランサーまたは EC2 インスタンスを含む VPC には、VPC がインターネットトラフィックを受け入れることを示す「[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)」がアタッチされている必要があります。ただし、ロードバランサーまたは EC2 インスタンスに公開 IP アドレスは必要ありません。また、サブネットに関連付けられたインターネットゲートウェイルートは必要ありません。 これは一般的なインターネットゲートウェイのユースケースとは異なり、VPC 内のインスタンスまたはロードバランサーにインターネットトラフィックを送信しるためには、パブリック IP アドレスとインターネットゲートウェイルートの両方が必要です。ターゲットの伸縮性のあるネットワークインターフェイスがパブリックサブネット (インターネットゲートウェイルートを持つサブネット) に存在する場合でも、インターネットトラフィックに Global Accelerator を使用すると、Global Accelerator は一般的なインターネットルートをオーバーライドし、Global Accelerator 経由で到着するすべての論理接続もインターネットゲートウェイではなく Global Accelerator 経由で返されます。 **注記** Amazon EC2 インスタンスにパブリック IP アドレスとパブリックサブネットを使用することは一般的ではありませんが、それらを使用して設定することは可能です。セキュリティグループは、Global Accelerator からのトラフィックや、インスタンス ENI に割り当てられたパブリック IP アドレスまたは Elastic IP アドレスなど、インスタンスに到着するすべてのトラフィックに適用されます。プライベートサブネットを使用して、トラフィックが Global Accelerator によってのみ配信されるようにします。 ENI、セキュリティグループや Global Acceleratorの動作の詳細について、「[クライアント IP アドレスが保存されているエンドポイントの要件](about-endpoints.sipp-caveats.md)」を参照してください。 ネットワーク境界の問題を検討し、インターネットアクセス管理に関連する IAM 権限を設定するときは、この情報に注意してください。VPC へのインターネットアクセスの制御の詳細については、この「[サービスコントロールポリシーの例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html)」を参照してください。 # AWS Global Accelerator でのログ記録とモニタリング ログ記録とモニタリング モニタリングは、Global Accelerator および AWS ソリューションの可用性とパフォーマンスを維持する上で重要な役割を果たします。マルチポイント障害が発生した場合は、その障害をより簡単にデバッグできるように、AWS ソリューションのすべての部分からのモニタリングデータを収集する必要があります。AWS は、Global Accelerator リソースとアクティビティをモニタリングし、潜在的なインシデントに対応するための複数のツールを提供します。 Global Accelerator は、ログ記録と追跡のための次の 3 つの主要な方法を提供します: **Amazon CloudWatch メトリクスおよびアラーム** CloudWatch を使用することで、AWS リソースと、AWS で実行しているアプリケーションをリアルタイムでモニタリングできます。アクセラレーターがデプロイされるとすぐに、CloudWatch は Global Accelerator のメトリクスの収集と追跡を開始します。メトリクスとは、トラフィックが流れていることを確認するために表示したり、時間の経過とともに測定できる変数のことです。 例えば、メトリクスを使用して、トラフィックが Global Accelerator を介してエンドポイントに流れていることを検証し、クライアントにバックアウトし、問題のトラブルシューティングに役立てることができます。また、メトリクスを監視し、それが、一定期間しきい値を超過したときに通知を送信する、またはモニタリングしているリソースを自動的に変更するアラームを作成できます。 詳細については、「[Amazon CloudWatch と AWS Global Accelerator の併用](cloudwatch-monitoring.md)」を参照してください。 **Global Accelerator フローのログ** サーバーフローログは、Global Accelerator で設定したログで、アクセラレーターを介してエンドポイントに通過するトラフィックに関する詳細なレコードを提供します。サーバーフローログは、セキュリティ監査やアクセス監査など、多くのアプリケーションに役立ちます。詳細については、「[AWS Global Accelerator フローログインの設定と使用](monitoring-global-accelerator.flow-logs.md)」を参照してください。 **AWS CloudTrail ログ** CloudTrail は、Global Accelerator のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。CloudTrail は、Global Accelerator コンソールからの呼び出しや Global Accelerator API へのコード呼び出しを含むすべての API コールをイベントとしてキャプチャします。詳細については、「[AWS CloudTrail を使用して AWS Global Accelerator API コールをログに記録する](logging-using-cloudtrail.md)」を参照してください。 # AWS Global Accelerator のコンプライアンス検証 コンプライアンス検証 AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、[コンプライアンスプログラムによる対象範囲内の AWS のサービス のサービス](https://aws.amazon.com/compliance/services-in-scope/)をご覧いただき、関心のあるコンプライアンスプログラムを選択してください。一般的な情報については、「[AWSコンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」「」「」を参照してください。 AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「[AWS Artifact でレポートをダウンロードする](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」「」を参照してください。 AWS のサービス を使用する際のユーザーのコンプライアンス責任は、ユーザーのデータの機密性や貴社のコンプライアンス目的、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ次のリソースを提供しています。 + [セキュリティとコンプライアンスのクイックスタートガイド](https://aws.amazon.com/quickstart/?awsf.filter-tech-category=tech-category%23security-identity-compliance) – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするためのステップを示します。 + [Amazon Web Services での HIPAA のセキュリティとコンプライアンスのためのアーキテクチャ](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – このホワイトペーパーは、企業が AWS を使用して HIPAA 対象アプリケーションを作成する方法を説明しています。 **注記** すべての AWS のサービスが HIPAA 適格であるわけではありません。詳細については、[HIPAA 対応サービスのリファレンス](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)を参照してください。 + [AWS コンプライアンスのリソース](https://aws.amazon.com/compliance/resources/) – このワークブックおよびガイドのコレクションは、顧客の業界と拠点に適用されるものである場合があります。 + [AWS Customer Compliance Guide](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) — コンプライアンスの観点から見た責任共有モデルを理解できます。このガイドは、AWS のサービスを保護するためのベストプラクティスを要約したものであり、複数のフレームワーク (米国標準技術研究所 (NIST)、ペイメントカード業界セキュリティ標準評議会 (PCI)、国際標準化機構 (ISO) など) にわたるセキュリティ統制へのガイダンスがまとめられています。 + 「*AWS Config デベロッパーガイド*」の「[ルールでのリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」 - AWS Config サービスは、自社のプラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。 + [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – この AWS のサービス は、AWS 内のセキュリティ状態の包括的なビューを提供します。Security Hub では、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに対するコンプライアンスをチェックします。サポートされているサービスとコントロールのリストについては、[Security Hub のコントロールリファレンス](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html)を参照してください。 + [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) – この AWS のサービスは、環境をモニタリングして、疑わしいアクティビティや悪意のあるアクティビティがないか調べることで、AWS アカウント、ワークロード、コンテナ、データに対する潜在的な脅威を検出します。GuardDuty を使用すると、特定のコンプライアンスフレームワークで義務付けられている侵入検知要件を満たすことで、PCI DSS などのさまざまなコンプライアンス要件に対応できます。 + [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) - この AWS のサービスは、AWS の使用状況を継続的に監査して、リスクの管理方法や、規制および業界標準へのコンプライアンスの管理方法を簡素化するために役立ちます。 # AWS Global Accelerator の耐障害性 レジリエンス AWS のグローバルインフラストラクチャは、AWS リージョンとアベイラビリティーゾーンを中心として構築されています。AWSリージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立し隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。 AWS リージョンとアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。 AWS グローバルインフラストラクチャのサポートに加えて、Global Accelerator には、データの耐障害性をサポートする以下の機能も用意されています。 + AWS のアベイラビリティーゾーンと同様に、ネットワークゾーンは、独自の物理インフラストラクチャセットを持つ分離されたユニットです。アクセラレーターを作成すると、Global Accelerator は一連の IPv4 静的 IP アドレスを提供します。1 つのアクセラレーターに IPv4 IP アドレスタイプが 2 つ、またはデュアルスタックアクセラレーターに静的 IP アドレスが 4 つ (2 つの IPv4 アドレスと 2 つの IPv6 アドレス) です。Global Accelerator は、各 IP アドレスファミリーの一意の IP サブネットから、ネットワークゾーンごとに 1 つの静的 IP アドレスを提供します。特定のクライアントネットワークによる IP アドレスのブロックまたはネットワークの中断により、ネットワークゾーンの 1 つのアドレスが使用できなくなった場合、クライアントアプリケーションは他の分離されたネットワークゾーンから正常な静的 IP アドレスを再試行できます。 + Global Accelerator は、すべてのエンドポイントの状態を継続的にモニタリングします。アクティブなエンドポイントが異常であると判断された場合、Global Accelerator はすぐにトラフィックを別の利用可能なエンドポイントに誘導し始めます。これにより、AWS 上のアプリケーションの高可用性アーキテクチャを作成できます。 # AWS Global Accelerator 内のインフラストラクチャセキュリティ インフラストラクチャセキュリティ マネージドサービスである AWS Global Accelerator は AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「[AWSクラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、*セキュリティの柱 - AWS Well-Architected Framework*の[インフラストラクチャ保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)を参照してください。 AWS 公開 API コールを使用して、ネットワーク経由で Global Accelerator にアクセスします。クライアントは以下をサポートする必要があります: + Transport Layer Security (TLS)。TLS 1.2 は必須で TLS 1.3 がお勧めです。 + DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。 また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)AWS STS を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。