翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# が IAM と AWS Health 連携する方法
IAM を使用して へのアクセスを管理する前に AWS Health、使用できる IAM 機能を理解しておく必要があります AWS Health。 AWS Health およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [AWS Health ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [AWS Health リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [AWS Health タグに基づく認可](#security_iam_service-with-iam-tags)
+ [AWS Health IAM ロール](#security_iam_service-with-iam-roles)
## AWS Health ID ベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS Health は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前にプレフィックス AWS Health を使用します`health:`。たとえば、[DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションを使用して、指定したイベントに関する詳細情報を表示するアクセス許可をユーザーに付与するには、ポリシーに `heath:DescribeEventDetails` アクションを含めます。
ポリシーステートメントには、 `Action`または `NotAction`要素を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS Health を定義します。
単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"health:action1",
"health:action2"
```
ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "health:Describe*"
```
AWS Health アクションのリストを確認するには、*IAM ユーザーガイド*の[「 で定義されるアクション AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS Health イベントには、次の Amazon リソースネーム (ARN) 形式があります。
```
arn:${Partition}:health:*::event/service/event-type-code/event-ID
```
たとえば、ステートメントで `EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456` イベントを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456"
```
特定のアカウントに属する Amazon EC2 のすべての AWS Health イベントを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:health:*::event/EC2/*/*"
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
一部の AWS Health アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
AWS Health API オペレーションには、複数のリソースを含めることができます。たとえば、[DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html) オペレーションは、指定したフィルター条件を満たすイベントに関する情報を返します。これは、IAM ユーザーがこのイベントを表示するためのアクセス許可を持っている必要があることを意味します。
複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
AWS Health は、ヘルスイベントと [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションのリソースレベルのアクセス許可のみをサポートします。詳細については、「[リソースおよびアクションに基づく条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)」を参照してください。
AWS Health リソースタイプとその ARNs[「 で定義されるリソース AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、[AWS Healthで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Health は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションは `health:eventTypeCode` および `health:service` 条件キーをサポートしています。
AWS Health 条件キーのリストを確認するには、*IAM ユーザーガイド*の「 [の条件キー AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)」を参照してください。
### 例
AWS Health アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Health アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。
## AWS Health リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが AWS Health リソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。 は、ヘルスイベントのリソースベースのアクセス許可ポリシー AWS Health をサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、 AWS サービスが AWS Health イベントにアクセスすることを許可することもできます。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティを[リソースベースのポリシーのプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、プリンシパルエンティティにリソースへのアクセス許可も付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイドの「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
AWS Health は、[DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html) および [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html) API オペレーションのリソースベースのポリシーのみをサポートします。これらのアクションをポリシーで指定して、 AWS Health イベントに対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーティッドユーザー) を定義できます。
### 例
AWS Health リソースベースのポリシーの例を表示するには、「」を参照してください[リソースおよびアクションに基づく条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)。
## AWS Health タグに基づく認可
AWS Health は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。
## AWS Health IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### での一時的な認証情報の使用 AWS Health
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
AWS Health では、一時的な認証情報の使用がサポートされています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
AWS Health は、 と統合するサービスにリンクされたロールをサポートします AWS Organizations。サービスにリンクされたロールは、`AWSServiceRoleForHealth_Organizations` と呼ばれます。ロールにアタッチされるのは [Health\$1OrganizationsServiceRolePolicy](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy) AWS 管理ポリシーです。管理ポリシーにより AWS Health 、 AWS は組織内の他の AWS アカウントからヘルスイベントにアクセスできます。
[EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) オペレーションを使用して、アカウントにサービスリンクされたロールを作成できます。ただし、この機能を無効にする場合は、まず [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html) オペレーションを呼び出す必要があります。その後、IAM コンソール、IAM API、または AWS Command Line Interface () を使用してロールを削除できますAWS CLI。詳細については、「* IAM ユーザーガイド*」の「[サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
詳細については、「[アカウント間の AWS Health イベントの集約](aggregate-events.md)」を参照してください。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
AWS Health はサービスロールをサポートしていません。