翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM アクセス許可の変更の詳細
<a name="inst-auto-config-details-iam"></a>

各マネージドインスタンスには、次の管理ポリシーを含む AWS Identity and Access Management ロールが必要です。
+ arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
+ arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
+ arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy

 最初の 2 つは AWS管理ポリシーです。AMS 管理ポリシーは次のとおりです。

**AMSInstanceProfileBasePolicy**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

 インスタンスに既に IAM ロールがアタッチされているが、これらのポリシーのいずれかが欠落している場合、AMS は欠落しているポリシーを IAM ロールに追加します。インスタンスに IAM ロールがない場合、AMS は **AMSOSConfigurationCustomerInstanceProfile** IAM ロールをアタッチします。**AMSOSConfigurationCustomerInstanceProfile** IAM ロールには、AMS Accelerate に必要なすべてのポリシーがあります。

**注記**  
デフォルトのインスタンスプロファイル制限である 10 に達すると、AMS は制限を 20 に引き上げて、必要なインスタンスプロファイルをアタッチできるようにします。