翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Health
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。
セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。が適用されるコンプライアンスプログラムの詳細については AWS Health、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Health。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成する AWS Health ように を設定する方法について説明します。また、 AWS Health リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [でのデータ保護 AWS Health](data-protection.md)
+ [の ID とアクセスの管理 AWS Health](security-iam.md)
+ [でのログ記録とモニタリング AWS Health](monitoring-overview.md)
+ [のコンプライアンス検証 AWS Health](compliance-validation.md)
+ [の耐障害性 AWS Health](disaster-recovery-resiliency.md)
+ [のインフラストラクチャセキュリティ AWS Health](infrastructure-security.md)
+ [の設定と脆弱性の分析 AWS Health](vulnerability-analysis-and-management.md)
+ [のセキュリティのベストプラクティス AWS Health](security-best-practices.md)
# でのデータ保護 AWS Health
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
# データ暗号化
がデータを AWS Health 暗号化する方法に関する以下の情報を参照してください。
データ暗号化とは、転送中 (サービスから AWS アカウントに移動するとき) および保管中 ( AWS サービスに保存されているとき) のデータを保護することです。転送中のデータは、Transport Layer Security (TLS) を使用して保護することも、クライアント側の暗号化を使用して保存することもできます。
AWS Health は、E メールアドレスや顧客名などの個人識別情報 (PII) をイベントに記録しません。
## 保管中の暗号化
によって保存されるすべてのデータは AWS Health 、保管時に暗号化されます。
## 転送中の暗号化
との間で送受信されるすべてのデータは AWS Health 、転送中に暗号化されます。
## キー管理
AWS Health は、 AWS クラウドで暗号化されたデータのカスタマーマネージド暗号化キーをサポートしていません。
# の ID とアクセスの管理 AWS Health
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS Health リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS Health 連携する方法](security_iam_service-with-iam.md)
+ [AWS Health アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Health ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
+ [のサービスにリンクされたロールの使用 AWS Health](using-service-linked-roles.md)
+ [AWS の 管理ポリシー AWS Health](security-iam-awsmanpol.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Health ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS Health 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[AWS Health アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証は、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウントのルートユーザー
を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求する AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
AWS Health はリソースベースの条件をサポートします。ユーザーが表示できる AWS Health イベントを指定できます。たとえば、 AWS Health ダッシュボード内の特定の Amazon EC2 イベントへの IAM ユーザーアクセスのみを許可するポリシーを作成できます。
詳細については、「[リソース](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)」を参照してください。
### アクセスコントロールリスト
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
AWS Health は ACLs をサポートしていません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS Health 連携する方法
IAM を使用して へのアクセスを管理する前に AWS Health、使用できる IAM 機能を理解しておく必要があります AWS Health。 AWS Health およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [AWS Health ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [AWS Health リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [AWS Health タグに基づく認可](#security_iam_service-with-iam-tags)
+ [AWS Health IAM ロール](#security_iam_service-with-iam-roles)
## AWS Health ID ベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS Health は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前にプレフィックス AWS Health を使用します`health:`。たとえば、[DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションを使用して、指定したイベントに関する詳細情報を表示するアクセス許可をユーザーに付与するには、ポリシーに `heath:DescribeEventDetails` アクションを含めます。
ポリシーステートメントには、 `Action`または `NotAction`要素を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS Health を定義します。
単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"health:action1",
"health:action2"
```
ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "health:Describe*"
```
AWS Health アクションのリストを確認するには、*IAM ユーザーガイド*の[「 で定義されるアクション AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS Health イベントには、次の Amazon リソースネーム (ARN) 形式があります。
```
arn:${Partition}:health:*::event/service/event-type-code/event-ID
```
たとえば、ステートメントで `EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456` イベントを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456"
```
特定のアカウントに属する Amazon EC2 のすべての AWS Health イベントを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:health:*::event/EC2/*/*"
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
一部の AWS Health アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
AWS Health API オペレーションには、複数のリソースを含めることができます。たとえば、[DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html) オペレーションは、指定したフィルター条件を満たすイベントに関する情報を返します。これは、IAM ユーザーがこのイベントを表示するためのアクセス許可を持っている必要があることを意味します。
複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
AWS Health は、ヘルスイベントと [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションのリソースレベルのアクセス許可のみをサポートします。詳細については、「[リソースおよびアクションに基づく条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)」を参照してください。
AWS Health リソースタイプとその ARNs[「 で定義されるリソース AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、[AWS Healthで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Health は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションは `health:eventTypeCode` および `health:service` 条件キーをサポートしています。
AWS Health 条件キーのリストを確認するには、*IAM ユーザーガイド*の「 [の条件キー AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)」を参照してください。
### 例
AWS Health アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Health アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。
## AWS Health リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが AWS Health リソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。 は、ヘルスイベントのリソースベースのアクセス許可ポリシー AWS Health をサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、 AWS サービスが AWS Health イベントにアクセスすることを許可することもできます。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティを[リソースベースのポリシーのプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、プリンシパルエンティティにリソースへのアクセス許可も付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイドの「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
AWS Health は、[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションのリソースベースのポリシーのみをサポートします。これらのアクションをポリシーで指定して、 AWS Health イベントに対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーティッドユーザー) を定義できます。
### 例
AWS Health リソースベースのポリシーの例を表示するには、「」を参照してください[リソースおよびアクションに基づく条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)。
## AWS Health タグに基づく認可
AWS Health は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。
## AWS Health IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### での一時的な認証情報の使用 AWS Health
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
AWS Health では、一時的な認証情報の使用がサポートされています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
AWS Health は、 と統合するサービスにリンクされたロールをサポートします AWS Organizations。サービスにリンクされたロールは、`AWSServiceRoleForHealth_Organizations` と呼ばれます。ロールにアタッチされるのは [Health\$1OrganizationsServiceRolePolicy](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy) AWS 管理ポリシーです。管理ポリシーにより AWS Health 、 AWS は組織内の他の AWS アカウントからヘルスイベントにアクセスできます。
[EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) オペレーションを使用して、アカウントにサービスリンクされたロールを作成できます。ただし、この機能を無効にする場合は、まず [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html) オペレーションを呼び出す必要があります。その後、IAM コンソール、IAM API、または AWS Command Line Interface () を使用してロールを削除できますAWS CLI。詳細については、「* IAM ユーザーガイド*」の「[サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
詳細については、「[アカウント間の AWS Health イベントの集約](aggregate-events.md)」を参照してください。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
AWS Health はサービスロールをサポートしていません。
# AWS Health アイデンティティベースのポリシーの例
デフォルトでは、IAM ユーザーおよびロールには、 AWS Health リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [AWS Health コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [AWS Health ダッシュボードと AWS Health API へのアクセス](#security_iam_id-based-policy-examples-access-dashboard)
+ [リソースおよびアクションに基づく条件](#resource-action-based-conditions)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、誰かがアカウント内の AWS Health リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## AWS Health コンソールの使用
AWS Health コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 AWS アカウントの AWS Health リソースの詳細を一覧表示および表示できます。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
これらのエンティティが引き続き AWS Health コンソールを使用できるようにするには、次の AWS 管理ポリシー をアタッチします[https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess)。
`AWSHealthFullAccess` ポリシーでは、エンティティは次のものへのフルアクセスが付与されます。
+ AWS Health 組織内のすべてのアカウントの AWS 組織ビュー機能を有効または無効にする
+ AWS Health コンソールの AWS Health ダッシュボード
+ AWS Health API オペレーションと通知
+ AWS 組織の一部であるアカウントに関する情報を表示する
+ 管理アカウントの組織単位 (OU) の表示
**Example : AWSHealthFullAccess**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
**注記**
`Health_OrganizationsServiceRolePolicy` AWS マネージドポリシーを使用して、 AWS Health が組織内の他のアカウントのイベントを表示できるようにすることもできます。詳細については、「[のサービスにリンクされたロールの使用 AWS Health](using-service-linked-roles.md)」を参照してください。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
詳細については、「IAM ユーザーガイド」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## AWS Health ダッシュボードと AWS Health API へのアクセス
AWS Health ダッシュボードはすべての AWS アカウントで使用できます。 AWS Health API は、 AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのアカウントでのみ使用できます。詳細については、「[サポート](https://aws.amazon.com/premiumsupport/)」を参照してください。
IAM を使用してエンティティ (ユーザー、グループ、またはロール) を作成し、それらのエンティティに AWS Health Dashboard と AWS Health API へのアクセス許可を付与できます。
デフォルトでは、IAM ユーザーは AWS Health Dashboard または AWS Health API にアクセスできません。IAM ポリシーを単一のユーザー、ユーザーのグループ、またはロールにアタッチすることで、ユーザーにアカウントの AWS Health 情報へのアクセスを許可します。詳細については、「[ID (ユーザー、グループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM ポリシーの概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html)」を参照してください。
IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。その後、アカウント固有のサインインページを使用して、アカウントにサインインし、 AWS Health 情報を表示できます。詳細については、「[ユーザーがアカウントにサインインする方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html)」を参照してください。
**注記**
AWS Health Dashboard を表示するアクセス許可を持つ IAM ユーザーは、アカウントのすべての AWS サービスでヘルス情報に読み取り専用でアクセスできます。これには、Amazon EC2 インスタンス IDs、EC2 インスタンス IP アドレス、一般的なセキュリティ通知などの AWS リソース IDsが含まれますが、これらに限定されません。
たとえば、IAM ポリシーが AWS Health Dashboard と AWS Health API へのアクセスのみを許可する場合、ポリシーが適用されるユーザーまたはロールは、他の IAM ポリシーがそのアクセスを許可していない場合でも、 AWS のサービスおよび関連リソースに関して投稿されたすべての情報にアクセスできます。
API の 2 つのグループを使用できます APIs AWS Health。
+ 個々のアカウント – [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html) や [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) などのオペレーションを使用して、アカウントの AWS Health イベントに関する情報を取得できます。
+ 組織アカウント – [DescribeEventsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventsForOrganization.html) および [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html) などのオペレーションを使用して、組織の一部であるアカウントの AWS Health イベントに関する情報を取得できます。
使用可能な API オペレーションの詳細については、[AWS Health API リファレンス](https://docs.aws.amazon.com/health/latest/APIReference/)を参照してください。
### 個々のアクション
IAM ポリシーの `Action` エレメントを `health:Describe*` に設定できます。これにより、 AWS Health ダッシュボードと へのアクセスが許可されます AWS Health。 は、 `eventTypeCode` および サービスに基づくイベントへのアクセスコントロール AWS Health をサポートします。
#### アクセスの説明
このポリシーステートメントは、 AWS Health Dashboard および任意の `Describe*` AWS Health API オペレーションへのアクセスを許可します。たとえば、このポリシーを持つ IAM ユーザーは、 の AWS Health Dashboard にアクセスして `DescribeEvents` API AWS マネジメントコンソール オペレーションを AWS Health 呼び出すことができます。
**Example : アクセスの説明**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
```
#### アクセスを拒否する
このポリシーステートメントは、 AWS Health Dashboard と AWS Health API へのアクセスを拒否します。このポリシーを持つ IAM ユーザーは、 で AWS Health ダッシュボードを表示できず AWS マネジメントコンソール 、 AWS Health API オペレーションを呼び出すこともできません。
**Example : アクセスを拒否する**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
```
### 組織ビュー
の組織ビューを有効にする場合は AWS Health、 AWS Health および AWS Organizations アクションへのアクセスを許可する必要があります。
IAM ポリシーの `Action` 要素には、次のアクセス許可を含める必要があります。
+ `iam:CreateServiceLinkedRole`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:DescribeAccount`
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAccounts`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListParents`
各 APIs、*IAM ユーザーガイド*の[AWS Health APIs で定義されるアクションと通知](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)」を参照してください。
**注記**
API にアクセスするには、組織の管理アカウントの認証情報を使用する必要があります AWS Health APIs AWS Organizations。詳細については、「[アカウント間の AWS Health イベントの集約](aggregate-events.md)」を参照してください。
#### AWS Health 組織ビューへのアクセスを許可する
このポリシーステートメントは、組織ビュー機能に必要なすべての AWS Health および AWS Organizations アクションへのアクセスを許可します。
**Example : AWS Health 組織ビューへのアクセスを許可する**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
#### AWS Health 組織ビューへのアクセスを拒否する
このポリシーステートメントは、 AWS Organizations アクションへのアクセスを拒否しますが、個々のアカウントの AWS Health アクションへのアクセスを許可します。
**Example : AWS Health 組織ビューへのアクセスを拒否する**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
**注記**
アクセス許可を付与するユーザーまたはグループに既に IAM ポリシーがある場合は、そのポリシーに AWS Health固有のポリシーステートメントを追加できます。
## リソースおよびアクションに基づく条件
AWS Health は、[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションの [IAM 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)をサポートします。リソースおよびアクションベースの条件を使用して、 AWS Health API がユーザー、グループ、またはロールに送信するイベントを制限できます。
これを行うには、IAM ポリシーの `Condition` ブロックを更新するか、`Resource` 要素を設定します。[文字列条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)を使用して、特定の AWS Health イベントフィールドに基づいてアクセスを制限できます。
ポリシーで AWS Health イベントを指定するときは、次のフィールドを使用できます。
+ `eventTypeCode`
+ `service`
**注意事項**
[ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションは、リソースレベルのアクセス許可をサポートしています。例えば、特定の AWS Health イベントを許可または拒否するポリシーを作成できます。
[ DescribeAffectedEntitiesForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html) および [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html) APIオペレーションは、リソースレベルのアクセス許可をサポートしていません。
詳細については、*「サービス認可リファレンス*」の[AWS Health APIs と通知のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthapisandnotifications.html)」を参照してください。
**Example : アクションベースの条件**
このポリシーステートメントは、 AWS Health Dashboard および AWS Health `Describe*` API オペレーションへのアクセスを許可しますが、Amazon EC2 に関連する AWS Health イベントへのアクセスを拒否します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
```
**Example : リソースベースの条件**
次のポリシーでも結果は同じですが、`Resource` 要素を代わりに使用しています。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
```
**Example : eventTypeCode の条件**
このポリシーステートメントは、 AWS Health Dashboard および AWS Health `Describe*` API オペレーションへのアクセスを許可しますが、 に一致する を持つ AWS Health イベントへのアクセスを拒否`eventTypeCode`します`AWS_EC2_*`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
```
**重要**
[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) オペレーションを呼び出して、 AWS Health イベントへのアクセス許可がない場合、`AccessDeniedException` エラーが表示されます。詳細については、「[AWS Health ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照してください。
# AWS Health ID とアクセスのトラブルシューティング
次の情報を使用して、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS Health と修正を行います。
**Topics**
+ [でアクションを実行する権限がありません AWS Health](#security_iam_troubleshoot-no-permissions)
+ [iam: PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [アクセスキーを表示したい](#security_iam_troubleshoot-access-keys)
+ [管理者として、他のユーザーにアクセスを許可したい AWS Health](#security_iam_troubleshoot-admin-delegate)
+ [自分の AWS アカウント以外のユーザーに自分の AWS Health リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## でアクションを実行する権限がありません AWS Health
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。
この`AccessDeniedException`エラーは、ユーザーが AWS Health Dashboard または AWS Health API オペレーションを使用するアクセス許可を持っていない場合に表示されます。
この場合、ユーザーの管理者はポリシーを更新して、ユーザーアクセスを許可する必要があります。
AWS Health API には、 からの AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランが必要です[AWS サポート](https://aws.amazon.com/premiumsupport/)。Business AWS Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランがないアカウントから AWS Health API を呼び出すと、 というエラーコードが返されます`SubscriptionRequiredException`。
## iam: PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して AWS Healthにロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して AWS Healthでアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## アクセスキーを表示したい
IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーを再表示することはできません。シークレットアクセスキーを紛失した場合は、新しいアクセスキーペアを作成する必要があります。
アクセスキーは、アクセスキー ID (例: `AKIAIOSFODNN7EXAMPLE`) とシークレットアクセスキー (例: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) の 2 つで構成されています。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーは安全に管理してください。
**重要**
[正規のユーザー ID を確認する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)ためであっても、アクセスキーを第三者に提供しないでください。これにより、 への永続的なアクセス権をユーザーに付与できます AWS アカウント。
アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、IAM ユーザーに新規アクセスキーを追加する必要があります。アクセスキーは最大 2 つまで持つことができます。既に 2 つある場合は、新規キーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイドの「[アクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。
## 管理者として、他のユーザーにアクセスを許可したい AWS Health
他のユーザーにアクセスを許可するには AWS Health、アクセスを必要とするユーザーまたはアプリケーションにアクセス許可を付与する必要があります。 AWS IAM アイデンティティセンター を使用してユーザーとアプリケーションを管理する場合は、アクセスレベルを定義するアクセス許可セットをユーザーまたはグループに割り当てます。アクセス許可セットは、ユーザーまたはアプリケーションに関連付けられている IAM ロールに自動的に IAM ポリシーを作成して割り当てます。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
IAM アイデンティティセンターを使用していない場合は、アクセスを必要としているユーザーまたはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。次に、 AWS Healthの適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。アクセス許可が付与されたら、ユーザーまたはアプリケーション開発者に認証情報を提供します。これらの認証情報を使用して AWSにアクセスします。IAM ユーザー、グループ、ポリシー、アクセス許可の作成の詳細については、「*IAM ユーザーガイド*」の「[IAM アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
## 自分の AWS アカウント以外のユーザーに自分の AWS Health リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ がこれらの機能 AWS Health をサポートしているかどうかを確認するには、「」を参照してください[が IAM と AWS Health 連携する方法](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# のサービスにリンクされたロールの使用 AWS Health
AWS Health は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Health。サービスリンクロールは、 AWS Health によって事前に定義されたロールであり、お客様から他の AWS のサービス を呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用して、必要なアクセス許可を手動で追加 AWS Health しないように を設定できます。 は、サービスにリンクされたロールのアクセス許可 AWS Health を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け AWS Health ることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
## のサービスにリンクされたロールのアクセス許可 AWS Health
AWS Health には 2 つのサービスにリンクされたロールがあります。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_Organizations](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_Organizations) – このロールは AWS Health (`health.amazonaws.com`) を信頼して、アクセスするロールを引き受け AWS のサービス ます。このロールにアタッチされているのは、 `Health_OrganizationsServiceRolePolicy` AWS 管理ポリシーです。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor) – このロールは、 AWS Health サービスプリンシパル (`event-processor.health.amazonaws.com`) を信頼してロールを引き受けます。このロールにアタッチされているのは `AWSHealth_EventProcessorServiceRolePolicy` AWS マネージドポリシーです。サービスプリンシパルは、 ロールを使用して、 AWS Incident Detection and Response の Amazon EventBridge マネージドルールを作成します。このルールは、 アカウントから にアラーム状態変更情報を配信 AWS アカウント するために必要な インフラストラクチャです AWS Health。
AWS 管理ポリシーの詳細については、「」を参照してください[AWS の 管理ポリシー AWS Health](security-iam-awsmanpol.md)。
## のサービスにリンクされたロールの作成 AWS Health
AWSServiceRoleForHealth\$1Organizations サービスリンクロールを手動で作成する必要はありません。[EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) オペレーションを呼び出すと、 はアカウントでこのサービスにリンクされたロール AWS Health を作成します。
AWSServiceRoleForHealth\$1EventProcessor サービスリンクロールはアカウントに手動で作成される必要があります。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
## のサービスにリンクされたロールの編集 AWS Health
AWS Health では、サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Health
AWSServiceRoleForHealth\$1Organizationsロールを削除する場合は、まず[DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html) オペレーションを呼び出す必要があります。その後、IAM コンソール、IAM API、または AWS Command Line Interface () を使用してロールを削除できますAWS CLI。
AWSServiceRoleForHealth\$1EventProcessor ロールを削除するには、 AWS サポート に連絡して、ワークロードを AWS Incident Detection and Response からオフボードするように依頼します。この処理の完了後、IAM コンソール、IAM API、または AWS CLIを使用してロールを削除できます。
### 関連情報
詳細については、IAM ユーザーガイドの「[サービスリンクロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
# AWS の 管理ポリシー AWS Health
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS Health には、次の 管理ポリシーがあります。
**Contents**
+ [AWS 管理ポリシー: AWSHealth\$1EventProcessorServiceRolePolicy](#security-iam-awsmanpol-Health_EventProcessorServiceRolePolicy)
+ [AWS 管理ポリシー: Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy)
+ [AWS 管理ポリシー: AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess)
+ [AWS Health AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)
## AWS 管理ポリシー: AWSHealth\$1EventProcessorServiceRolePolicy
AWS Health は [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor) AWS マネージドポリシーを使用します。このマネージドポリシーは、`AWSServiceRoleForHealth_EventProcessor` サービスリンクロールにアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[のサービスにリンクされたロールの使用 AWS Health](using-service-linked-roles.md)」を参照してください。
マネージドポリシーには、 AWS Health が AWS Incident Detection and Response の Amazon EventBridge ルールにアクセスすることを許可する次のアクセス許可があります。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `events` — EventBridge ルールを記述および削除し、それらのルールのターゲットを説明および更新します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Condition": {
"StringEquals": {"events:ManagedBy": "event-processor.health.amazonaws.com"}
},
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:PutTargets",
"events:PutRule"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"events:ListTargetsByRule",
"events:DescribeRule"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
ポリシーへの変更のリストについては、「[AWS Health AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)」を参照してください。
## AWS 管理ポリシー: Health\$1OrganizationsServiceRolePolicy
AWS Health は [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor) AWS マネージドポリシーを使用します。このマネージドポリシーは、`AWSServiceRoleForHealth_Organizations` サービスリンクロールにアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「[のサービスにリンクされたロールの使用 AWS Health](using-service-linked-roles.md)」を参照してください。
このポリシーは、 が Health Organizational ビューに必要な AWS Organizations 詳細 AWS Health にアクセスできるアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – Organizations AWS のサービス で使用できる AWS Organizations および のアカウントについて説明します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
ポリシーへの変更のリストについては、「[AWS Health AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)」を参照してください。
## AWS 管理ポリシー: AWSHealthFullAccess
AWS Health は [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor) AWS マネージドポリシーを使用します。このポリシーは、エンティティ (IAM ユーザーまたはロール) に AWS Health コンソールへのアクセスを許可します。詳細については、「[AWS Health コンソールの使用](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` – 組織内のすべてのアカウントの AWS 組織ビュー機能を有効または無効に AWS Health し、管理アカウントの組織単位 (OU) を表示します。
+ `health` – AWS Health API オペレーションと通知へのアクセス
+ `iam` – AWS Health サービスにリンクした IAM ロールを作成します
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OrganizationWriteAccess",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Sid": "HealthFullAccess",
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "ServiceLinkAccess",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
------
ポリシーへの変更のリストについては、「[AWS Health AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)」を参照してください。
## AWS Health AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS Health してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[のドキュメント履歴 AWS Health](doc-history.md) ページの RSS フィードを購読してください。
次の表に、2022 年 1 月 13 日以降の AWS Health 管理ポリシーの重要な更新を示します。
**AWS Health**
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWS 管理ポリシー: AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess) – 既存ポリシーへの更新 | AWS Health は、AWSHealthFullAccess ポリシーを AWS GovCloud (US) Regions および中国リージョンに拡張しました。 | 2023 年 10 月 16 日 |
| [AWS 管理ポリシー: Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy) – 既存ポリシーへの更新 | AWS Health は、サービスにリンクされたロールが で使用できるアカウントと AWS サービスを記述できるようにする新しい AWS Organizations アクションを追加しました AWS Organizations。 | 2023 年 7 月 19 日 |
| 変更ログが発行されました | AWS Health 管理ポリシーの変更ログ。 | 2023 年 1 月 13 日 |
# でのログ記録とモニタリング AWS Health
モニタリングは、 およびその他の AWS Health AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。 AWS には、監視 AWS Health、問題発生時の報告、および必要に応じてアクションを実行するための以下のモニタリングツールが用意されています。
+ *Amazon CloudWatch* は、 AWS リソースと で実行しているアプリケーションを AWS リアルタイムでモニタリングします。メトリクスを収集および追跡し、カスタマイズされたダッシュボードを作成し、指定されたメトリックが指定したしきい値に達したときに通知またはアクションを実行するアラームを設定できます。例えば、CloudWatch で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの CPU 使用率などのメトリクスを追跡し、必要に応じて新しいインスタンスを自動的に起動することができます。詳細については、[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)を参照してください。
+ *Amazon EventBridge* は、 AWS リソースの変更を記述するシステムイベントのnear-real-timeストリームを提供します。EventBridge は、自動化されたイベント駆動型のコンピューティングを可能にします。特定のイベントを監視し、これらのイベントが発生したときに他の AWS サービスで自動アクションをトリガーするルールを記述できます。詳細については、「[Amazon EventBridge AWS Health を使用した でのイベントのモニタリング](cloudwatch-events-health.md)」を参照してください。
+ *AWS CloudTrail* は、 AWS アカウントによって、またはアカウントに代わって行われた API コールおよび関連イベントをキャプチャし、指定した Amazon Simple Storage Service (Amazon S3) バケットにログファイルを配信します。呼び出し元のユーザーとアカウント AWS、呼び出し元の送信元 IP アドレス、呼び出しの発生日時を特定できます。詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
詳細については、「[モニタリング AWS Health](monitoring-logging-health-events.md)」を参照してください。
# のコンプライアンス検証 AWS Health
AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用可能な法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# の耐障害性 AWS Health
AWS グローバルインフラストラクチャは、 AWS リージョンとアベイラビリティーゾーンを中心に構築されています。 AWS リージョンは、低レイテンシー、高スループット、および高度に冗長なネットワークで接続された、物理的に分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。
AWS Health イベントは複数のアベイラビリティーゾーンにまたがって保存およびレプリケートされます。このアプローチにより、 Health Dashboard または AWS Health API オペレーションからそれらにアクセスできます。 AWS Health イベントは、発生してから最大 90 日間表示できます。
AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# のインフラストラクチャセキュリティ AWS Health
マネージドサービスである AWS Health は、ホワイトペーパー[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」に記載されている AWS グローバルネットワークセキュリティ手順で保護されています。
AWS が公開した API コールを使用して、ネットワーク AWS Health 経由で にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
# の設定と脆弱性の分析 AWS Health
設定と IT コントロールは、 AWS とお客様の間の責任共有です。詳細については、 AWS [「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」を参照してください。
# のセキュリティのベストプラクティス AWS Health
の使用に関する以下のベストプラクティスを参照してください AWS Health。
## ユーザーに AWS Health 最小限のアクセス許可を付与する
最小権限の原則に従って、 のユーザーおよびグループのアクセスポリシーのアクセス許可には最小限のものを使用します。たとえば、 AWS Identity and Access Management (IAM) ユーザーに へのアクセスを許可できます Health Dashboard。ただし、同じユーザーに AWS Organizationsへのアクセスを有効または無効にすることを許可しない場合があります。
詳細については、「[AWS Health アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## を表示する Health Dashboard
を Health Dashboard 頻繁にチェックして、アカウントまたはアプリケーションに影響を与える可能性のあるイベントを特定します。例えば、更新する必要がある Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなど、リソースに関するイベント通知を受け取ることがあります。
詳細については、「[AWS Health ダッシュボードの開始方法](getting-started-health-dashboard.md)」を参照してください。
## Amazon Chime または Slack AWS Health との統合
をチャットツール AWS Health と統合できます。この統合により、ユーザーとチームは AWS Health イベントについてリアルタイムで通知を受け取ることができます。詳細については、GitHub の「[AWS Health のツール](https://github.com/aws/aws-health-tools)」ページを参照してください。
## AWS Health イベントのモニタリング
Amazon CloudWatch Events AWS Health と統合して、特定のイベントのルールを作成できます。CloudWatch Events がルールに一致するイベントを検出すると、通知を受け取り、アクションを実行できます。CloudWatch Events イベントはリージョン固有であるため、アプリケーションまたはインフラストラクチャが存在するリージョンにこのサービスを設定する必要があります。
場合によっては、 AWS Health イベントのリージョンを決定できないことがあります。このような場合、デフォルトで米国東部 (バージニア北部)リージョンにイベントが表示されます。このリージョンに CloudWatch Events を設定して、これらのイベントを確実に監視できます。
詳細については、「[Amazon EventBridge AWS Health を使用した でのイベントのモニタリング](cloudwatch-events-health.md)」を参照してください。