翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Application Recovery Controller (ARC) の Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰が*認証* (サインイン) でき、誰が ARC リソースの使用を*許可される* (権限を持つ) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Application Recovery Controller (ARC) のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Application Recovery Controller (ARC) 機能と IAM の連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Application Recovery Controller (ARC) のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証は、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID ソースからの認証情報 AWS のサービス を使用して Directory Service にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*IAM ユーザーガイド*の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Application Recovery Controller (ARC) 機能と IAM の連携方法
各 Amazon Application Recovery Controller (ARC) 機能が IAM とどのように連携するかについては、以下のトピックを参照してください。
+ [ゾーンシフトの IAM](security-iam-zonalshift.md)
+ [ゾーンオートシフトの IAM](security-iam-zonalautoshift.md)
+ [ルーティングコントロールの IAM](security-iam-routing.md)
+ [準備状況チェックの IAM](security-iam-readiness.md)
+ [リージョン切り替えの IAM](security-iam-region-switch.md)
# Amazon Application Recovery Controller (ARC) のアイデンティティベースのポリシーの例
Amazon Application Recovery Controller (ARC) の各機能のアイデンティティベースのポリシーの例を確認するには、各機能の AWS Identity and Access Management 章の以下のトピックを参照してください。
+ [ARC でのゾーンオートシフトのアイデンティティベースのポリシー例](security-iam-zonalshift.md)
+ [ARC でのゾーンシフトのアイデンティティベースのポリシーの例](security-iam-zonalautoshift.md)
+ [ARC のルーティングコントロールに関するアイデンティティベースのポリシー例](security-iam-routing.md)
+ [ARC における準備状況チェックのアイデンティティベースのポリシーの例](security-iam-readiness.md)
# AWS Amazon Application Recovery Controller (ARC) の マネージドポリシー
サービスにリンクされたロールの AWS 管理ポリシーなど、 管理ポリシーを持つ ARC 機能の 管理ポリシーの詳細については、以下のトピックを参照してください。
+ [ゾーンオートシフトのマネージドポリシー](security-iam-awsmanpol-zonal-autoshift.md)
+ [ルーティングコントロールのマネージドポリシー](security-iam-awsmanpol-routing.md)
+ [準備状況チェックのためのマネージドポリシー](security-iam-awsmanpol-readiness.md)
## Amazon Application Recovery Controller (ARC) の AWS マネージドポリシーの更新
このサービスがこれらの変更の追跡を開始してからの ARC の機能の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、ARC の「[ドキュメント履歴ページ](doc-history.md)」で RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html) – 新しいポリシー | Amazon Application Recovery Controller (ARC) は、リージョン切り替えプランの実行と評価のためのアクセス許可を付与する新しいマネージドポリシーをリリースしました。 このポリシーは、リージョン切り替えプラン情報、実行ステータス、Amazon CloudWatch モニタリングデータへの読み取り専用アクセスを提供します。また、プラン評価のために IAM プリンシパルポリシーをシミュレートするアクセス許可も含まれています。 | 2025 年 11 月 3 日 |
| [AWSZonalAutoshiftPracticeRunSLRPolicy マネージドポリシー](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) – 更新されたポリシー | ポリシーステートメント `AutoshiftPracticeCheckPermissions` を追加し、`autoscaling:DescribeAutoScalingGroups`、`ec2:DescribeInstances`、`elasticloadbalancing:DescribeTargetHealth`、および `elasticloadbalancing:DescribeTargetHealth` の権限を付与し、バランスの取れた容量チェックをサポートします。 詳細については[ゾーンオートシフトと練習実行の仕組み](arc-zonal-autoshift.how-it-works.md)を参照してください。 | 2025 年 6 月 30 日 |
| [AWSServiceRoleForPercPracticePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) - 新しいポリシー | ARC に、オートシフトと練習実行用の新しいサービスリンクロールが追加されました。 ARC は、サービスにリンクされたロールによって有効化されたアクセス許可を使用して、お客様が用意した Amazon CloudWatch アラームとお客様 Health Dashboard イベントをモニタリングし、練習実行を開始します。 新しいサービスリンクロールの詳細については、「[AWSServiceRoleForZonalAutoshiftPracticeRun のサービスリンクロールアクセス許可](using-service-linked-roles-zonal-autoshift.md#slr-permissions-slr2)」を参照してください。 | 2023 年 11 月 30 日 |
| [AmazonRoute53RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) — ポリシーの更新 | 共有リソースの AWS Resource Access Manager リソースポリシーの詳細を返すことをサポートするために`GetResourcePolicy`、 のアクセス許可を追加します。 | 2023 年 10 月 18 日 |
| [Route53RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) – ポリシーの更新 | ARC に、Amazon EC2 インスタンスに関する情報をクエリするための新しいアクセス許可が追加されました。 ARC は、以下のアクセス許可を使用して Amazon EC2 インスタンスのポーリングをサポートし、準備状況チェックを実行して、インスタンスの準備状況のステータスを判定します。 `ec2:DescribeVpnGateways` `ec2:DescribeCustomerGateways` | 2023 年 2 月 17 日 |
| [Route53RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) – ポリシーの更新 | ARC に、Lambda 関数の情報をクエリするための新しいアクセス許可が追加されました。 ARC は、以下のアクセス許可を使用して Lambda 関数に関する情報をクエリし、準備状況チェックを実行して、関数の準備状況のステータスを判定します。 `lambda:ListProvisionedConcurrencyConfigs` | 2022 年 8 月 31 日 |
| [AmazonRoute53RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) – ポリシーの更新 | ポリシーから Amazon Route 53 のアクセス許可が削除され、オプションのアクセス許可を記した注記が、新たに追加されました。 | 2022 年 5 月 26 日 |
| [AmazonRoute53RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) – ポリシーの更新 | 不足していた、ポリシーへの Amazon Route 53 のアクセス許可が追加されました。 | 2022 年 4 月 15 日 |
| [AmazonRoute53RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) – ポリシーの更新 | ARC に新しいアクセス許可 `route53-recovery-cluster:ListRoutingControls` が追加され、可用性の高いルーティングコントロール ARN をリスト化できるようになりました。 | 2022 年 3 月 15 日 |
| [AmazonRoute53RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) — ポリシーの更新 | ARC に新しいアクセス許可 `route53-recovery-control-config:ListTagsForResources` が追加され、リソースのタグをリスト化できるようになりました。 | 2021 年 12 月 20 日 |
| [Route53RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) – ポリシーの更新 | ARC に、Amazon API Gateway に関する情報をクエリするための新たなアクセス許可が追加されました。 ARC は、アクセス許可 `apigateway:GET` を使用して API ゲートウェイに関する情報をクエリし、準備状況チェックを実行して、準備状況のステータスを判定します。 | 2021 年 10 月 28 日 |
| [AmazonRoute53RecoveryReadinessReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessReadOnlyAccess.html) - 新しいアクセス許可を追加 | ARC に、[AmazonRoute53RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) への 2 つのアクセス許可が新たに追加されました。 ARC は、`route53-recovery-readiness:GetArchitectureRecommendations` と `route53-recovery-readiness:GetCellReadinessSummary` を使って、リカバリの準備状況を操作するこれらのアクションへの、読み取り専用アクセスを許可します。 | 2021 年 10 月 15 日 |
| [Route53RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) – ポリシーの更新 | ARC に、Lambda 関数の情報をクエリするための新しいアクセス許可が追加されました。 ARC は、以下のアクセス許可を使用して Lambda 関数に関する情報をクエリし、準備状況チェックを実行して、関数の準備状況のステータスを判定します。 `lambda:GetFunctionConcurrency` `lambda:GetFunctionConfiguration` `lambda:GetProvisionedConcurrencyConfig` `lambda:ListAliases` `lambda:ListVersionsByFunction` `lambda:ListEventSourceMappings` `lambda:ListFunctions` | 2021 年 10 月 8 日 |
| [Route53RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) — 新しいマネージドポリシーを追加 | ARC に以下の新しいマネージドポリシーが追加されました。 [AmazonRoute53RecoveryReadinessFullAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessFullAccess) [AmazonRoute53RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) [AmazonRoute53RecoveryClusterFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterFullAccess) [AmazonRoute53RecoveryClusterReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterReadOnlyAccess) [AmazonRoute53RecoveryControlConfigFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigFullAccess) [AmazonRoute53RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) | 2021 年 8 月 18 日 |
| ARC は変更の追跡を開始しました | ARC は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 27 日 |
# Amazon Application Recovery Controller (ARC) のアイデンティティとアクセスのトラブルシューティング
次の情報は、Amazon Application Recovery Controller (ARC) および IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [ARC でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに ARC リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## ARC でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者は、認証情報を自分に提供した人物です。
以下のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して架空の `my-example-widget` リソースに関する詳細情報を表示しようとしているが、架空の `route53-recovery-readiness:GetWidget` 権限がないという場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: route53-recovery-readiness:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`route53-recovery-readiness:GetWidget` アクションを使用して `my-example-widget` リソースにアクセスできるように、ポリシーの更新を管理者に依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して ARC にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して ARC でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに ARC リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ ARC がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Application Recovery Controller (ARC) 機能と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon Application Recovery Controller (ARC) ゾーンシフトにアクセスする
を使用して AWS PrivateLink 、VPC と Amazon Application Recovery Controller (ARC) ゾーンシフトの間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように ARC ゾーンシフトにアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても ARC ゾーンシフトにアクセスできます。
このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、ARC ゾーンシフト宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。
詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。
## ARC ゾーンシフトに関する考慮事項
ARC ゾーンシフトのインターフェイスエンドポイントを設定する前に、「*AWS PrivateLink ガイド*」の「[考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を確認してください。
ARC ゾーンシフトは、インターフェイスエンドポイントを介してすべての API アクションの呼び出しをサポートしています。
## ARC ゾーンシフトのインターフェイスエンドポイントを作成する
Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、ARC ゾーンシフトのインターフェイスエンドポイントを作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
以下のサービス名を使用して、ARC ゾーンシフト用のインターフェイスエンドポイントを作成します。
```
com.amazonaws.region.arc-zonal-shift
```
インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して、ARC ゾーンシフトへの API リクエストを実行できます。例えば、`arc-zonal-shift.us-east-1.amazonaws.com`。
## インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介した ARC ゾーンシフトへのフルアクセスが許可されています。VPC から ARC ゾーンシフトに許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスのエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。
詳細については、*AWS PrivateLink ガイド*の[Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を参照してください。
**例: ARC ゾーンシフトアクション用の VPC エンドポイントポリシー**
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている ARC ゾーンシフトアクションへのアクセス権を付与します。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource":"*"
}
]
}
```
`Resource` は `arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/1111111ecd42dc05` としてリストすることもできます。