翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Amazon Managed Grafana の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator ポリシーは、組織全体のワークスペースを作成および管理するための Amazon Managed Grafana 内のアクセスを提供すします。
ご使用の IAM エンティティに、AWSGrafanaAccountAdministrator をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `iam` – 管理者がロールをワークスペースに関連付けるだけでなく、ロールを Amazon Managed Grafana サービスに渡すように、プリンシパルが IAM ロールを一覧表示して取得できるようにします。
+ `Amazon Managed Grafana` – プリンシパルがすべての Amazon Managed Grafana API に読み取りおよび書き込みアクセスできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS マネージドポリシー: AWSGrafanaWorkspacePermissionManagement (廃止)
このポリシーは廃止されました。このポリシーを他のユーザー、グループ、ロールに適用しないでください。
Amazon Managed Grafana は、このポリシーに代わる新しいポリシー [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供し、ワークスペースのセキュリティが向上されます。
## AWS マネージドポリシー: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 ポリシーは、Amazon Managed Grafana ワークスペースのユーザーのアクセス許可とグループのアクセス許可を更新する機能のみを提供します。
ご使用の IAM エンティティに、AWSGrafanaWorkspacePermissionManagementV2 をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon Managed Grafana` – プリンシパルが Amazon Managed Grafana ワークスペースのユーザーのアクセス許可およびグループのアクセス許可を読み取り更新できるようにします。
+ `IAM Identity Center` – プリンシパルに IAM Identity Center のエンティティの読み取りを許可します。これはプリンシパルを Amazon Managed Grafana アプリケーションに関連付けるために欠かせない要素ですが、以下のポリシーリストの後に説明されている追加のステップも必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**必要な追加ポリシー**
権限の割り当てをユーザーに完全に許可するには、`AWSGrafanaWorkspacePermissionManagementV2` ポリシーに加えて、IAM Identity Center のアプリケーション割り当てへのアクセスを提供するポリシーも割り当てる必要があります。
このポリシーの作成には、まずワークスペースの **Grafana アプリケーション ARN** を収集する必要があります。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左のメニューで、**[アプリケーション]** をクリックします。
1. **[AWS マネージド]** タブで、**[Amazon Grafana-*workspace-name*]** という名前のアプリケーションを見つけます。`workspace-name` はワークスペースの名前です。アプリケーションの名前を選択します。
1. ワークスペースの Amazon Managed Grafana が管理する IAM Identity Center アプリケーションが表示されます。このアプリケーションの ARN は詳細ページに表示されます。これは `arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id` 形式です。
作成するポリシーは、次のようになります。*grafana-application-arn* を前のステップで見つけた ARN で置き換えます。
ポリシーを作成して適用する方法の詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM アイデンティティの許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。
## AWS マネージドポリシー: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess ポリシーは、Amazon Managed Grafana の読み取り専用オペレーションへのアクセスを付与します。
ご使用の IAM エンティティに、AWSGrafanaConsoleReadOnlyAccess をアタッチすることはできません。
**アクセス許可の詳細**
このポリシーには、次の許可が含まれています。
+ `Amazon Managed Grafana` – プリンシパルが Amazon Managed Grafana API に読み取り専用アクセスできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonGrafanaRedshiftAccess
このポリシーは、Amazon Redshift と、Amazon Managed Grafana で Amazon Redshift プラグインを使用するために必要な依存関係へのスコープ付きアクセスを付与します。AmazonGrafanaRedshiftAccess ポリシーでは、ユーザーまたは IAM ロールが Grafana の Amazon Redshift データソースプラグインを使用できるようにします。Amazon Redshift データベースの一時認証情報はデータベースユーザー `redshift_data_api_user` を対象とし、シークレットにキー `RedshiftQueryOwner` がタグ付けされている場合、Secrets Manager の認証情報を取得できます。このポリシーは、`GrafanaDataSource` でタグ付けされた Amazon Redshift クラスターへのアクセスを許可します。カスタマー管理ポリシーを作成するときは、タグベースの認証はオプションです。
IAM エンティティに AmazonGrafanaRedshiftAccess をアタッチできます。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。
**アクセス許可の詳細**
このポリシーには、次の許可が含まれています。
+ `Amazon Redshift` – プリンシパルがクラスターを記述し、`redshift_data_api_user` という名前のデータベースユーザーの一時認証情報を取得できるようにします。
+ `Amazon Redshift–data` – プリンシパルが `GrafanaDataSource` としてタグ付けされたクラスターでクエリを実行できるようにします。
+ `Secrets Manager` – プリンシパルがシークレットを一覧表示し、`RedshiftQueryOwner` としてタグ付けされたシークレットのシークレット値を読み取ることを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS マネージドポリシー: AmazonGrafanaAthenaAccess
このポリシーは、Athena と、Amazon Managed Grafana の Athena プラグインからクエリを実行して Amazon S3 に結果を書き込むために必要な依存関係へのアクセス権を付与します。AmazonGrafanaAthenaAccess ポリシーでは、ユーザーまたは IAM ロールが Grafana の Athena データソースプラグインを使用できるようにします。Athena ワークグループにアクセスするには、`GrafanaDataSource` でタグ付けする必要があります。このポリシーには、`grafana-athena-query-results-` というプレフィックスが付いた名前の Amazon S3 バケットにクエリ結果を書き込むためのアクセス許可が含まれています。Athena クエリの基盤となるデータソースにアクセスするための Amazon S3 のアクセス許可は、このポリシーに含まれません。
ご使用の IAM エンティティに、AWSGrafanaAthenaAccess をアタッチすることはできません。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。
**アクセス許可の詳細**
このポリシーには、次の許可が含まれています。
+ `Athena` – プリンシパルが `GrafanaDataSource` とタグ付けされたワークグループ内の Athena リソースに対してクエリを実行できるようにします。
+ `Amazon S3` – プリンシパルが、`grafana-athena-query-results-` でプレフィックスが付けられたバケットにクエリ結果を読み取りおよび書き込みできるようにします。
+ `AWS Glue` – プリンシパルに AWS Glue データベース、テーブル、パーティションへのアクセスを許可します。これは、プリンシパルが Athena で AWS Glue Data Catalog を使用するのに必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonGrafanaCloudWatchAccess
このポリシーは、Amazon CloudWatch と、CloudWatch を Amazon Managed Grafana 内のデータソースとして使用するために必要な依存関係へのアクセス権を付与します。
ご使用の IAM エンティティに、AWSGrafanaCloudWatchAccess をアタッチすることはできません。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `CloudWatch` — プリンシパルが Amazon CloudWatch のメトリクスデータとログを一覧表示および取得できるようにします。また、CloudWatch クロスアカウントオブザーバビリティで、ソースアカウントから共有されたデータを表示することもできます。
+ `Amazon EC2` – モニタリング中のリソースに関する詳細をプリンシパルが取得できるようにします。
+ `Tags` – プリンシパルがリソースのタグにアクセスして、CloudWatch メトリクスクエリをフィルタリングできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシーに対する Amazon Managed Grafana の更新
このサービスがこれらの変更の追跡を開始した以降の Amazon Managed Grafana の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、[Amazon Managed Grafana ドキュメントの履歴](doc-history.md)ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 廃止 | このポリシーは **AWSGrafanaWorkspacePermissionManagementV2** に置き換えられました。 このポリシーは廃止と見なされ、更新されなくなります。新しいポリシーでは、より制限の厳しいアクセス許可セットが提供されるので、ワークスペースのセキュリティが向上されます。 | 2024 年 1 月 5 日 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) – 新しいポリシー | Amazon Managed Grafana は、古い **[AWSGrafanaWorkspacePermissionManagement]** ポリシーに代わる新しいポリシー **[AWSGrafanaWorkspacePermissionManagementV2]** を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供し、ワークスペースのセキュリティが向上されます。 | 2024 年 1 月 5 日 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) – 新しいポリシー | Amazon Managed Grafana が新しいポリシー **[AmazonGrafanaCloudWatchAccess]** を追加しました。 | 2023 年 3 月 24 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 既存のポリシーの更新 | Amazon Managed Grafana は、Active Directory の IAM Identity Center ユーザーとグループを Grafana ワークスペースに関連付けることができるようにするため、新しいアクセス許可 **[AWSGrafanaWorkspacePermissionManagement]** を追加しました。 アクセス許可 `sso-directory:DescribeUser`、`sso-directory:DescribeGroup` が追加されました。 | 2023 年 3 月 14 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 既存のポリシーの更新 | Amazon Managed Grafana は、IAM Identity Center ユーザーとグループを Grafana ワークスペースに関連付けることができるようにするため、新しいアクセス許可 **[AWSGrafanaWorkspacePermissionManagement]** を追加しました。 アクセス許可 `sso:DescribeRegisteredRegions`、`sso:GetSharedSsoConfiguration`、`sso:ListDirectoryAssociations`、`sso:GetManagedApplicationInstance`、`sso:ListProfiles`、`sso:AssociateProfile`、`sso:DisassociateProfile`、`sso:GetProfile`、`sso:ListProfileAssociations` が追加されました。 | 2022 年 12 月 20 日 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md) – 新しい SLR ポリシー | Amazon Managed Grafana は、Grafana サービスにリンクされたロール **[AmazonGrafanaServiceLinkedRolePolicy]** の新しいポリシーを追加しました。 | 2022 年 11 月 18 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)、[AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | すべての Amazon Managed Grafana リソースへのアクセスの許可 | 2022 年 2 月 17 日 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) – 新しいポリシー | Amazon Managed Grafana が新しいポリシー **[AmazonGrafanaRedshiftAccess]** を追加しました。 | 2021 年 11 月 26 日 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) – 新しいポリシー | Amazon Managed Grafana が新しいポリシー **[AmazonGrafanaAthenaAccess]** を追加しました。 | 2021 年 11 月 22 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) - 既存ポリシーへの更新。 | Amazon Managed Grafana は **[AWSGrafanaAccountAdministrator]** からアクセス許可を削除しました。 `sso.amazonaws.com` サービスにスコープされた `iam:CreateServiceLinkedRole` アクセス許可が削除されました。代わりに、**[AWSSSOMasterAccountAdministrator]** ポリシーをアタッチして、このアクセス許可をユーザーに付与することをお勧めします。 | 2021 年 10 月 13 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 既存ポリシーへの更新 | Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示できるように、**[AWSGrafanaWorkspacePermissionManagement]** に新しいアクセス許可を追加しました。 `grafana:DescribeWorkspaceAuthentication` アクセス許可が追加されました。 | 2021 年 9 月 21 日 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) – 既存ポリシーへの更新 | Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示できるように、**[AWSGrafanaConsoleReadOnlyAccess]** に新しいアクセス許可を追加しました。 `grafana:Describe*` および `grafana:List*` のアクセス許可がポリシーに追加され、以前の狭いアクセス許可 `grafana:DescribeWorkspace`、`grafana:ListPermissions`、`grafana:ListWorkspaces` が置き換えられます。 | 2021 年 9 月 21 日 |
| Amazon Managed Grafana が変更の追跡を開始 | Amazon Managed Grafana は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 9 月 9 日 |