• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# AWS Systems Manager と IAM の連携方法
<a name="security_iam_service-with-iam"></a>

AWS Identity and Access Management (IAM) を使用して、AWS Systems Manager へのアクセスを管理するには、Systems Manager で使用できる IAM の機能を理解しておく必要があります。Systems Manager およびその他の AWS のサービス のサービスが IAM と連携する方法の概要については、IAM ユーザーガイドの「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [Systems Manager アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Systems Manager タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM ロール](#security_iam_service-with-iam-roles)

## Systems Manager アイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。Systems Manager は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については「*IAM ユーザーガイド*」の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどのような**リソース**にどのような**条件**で**アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Systems Manager のポリシーアクションは、アクションの前に次のプレフィックスを使用します: `ssm:`。たとえば、Systems Manager `PutParameter` API オペレーションを使用して Systems Manager パラメータ (SSM パラメータ) を作成するアクセス許可を付与するには、ポリシーに `ssm:PutParameter` アクションを含めます。ポリシーステートメントには、`Action` 要素または `NotAction` 要素のいずれかを含める必要があります。 Systems Manager は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにカンマで区切ります。

```
"Action": [
      "ssm:action1",
      "ssm:action2"
]
```

**注記**  
AWS Systems Manager の以下のツールは、アクションの前に異なるプレフィックスを使用します。  
AWS AppConfig は、アクションの前にプレフィックス `appconfig:` を使用します。
インシデントマネージャーは、アクションの前にプレフィックス `ssm-incidents:` または `ssm-contacts:` を使用します。
Systems Manager GUI Connect は、アクションの前にプレフィックス `ssm-guiconnect:` を使用します。
Quick Setup は、アクションの前にプレフィックス `ssm-quicksetup:` を使用します。

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "ssm:Describe*"
```



Systems Manager アクションのリストを確認するには、*サービス認可リファレンス*の「[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)」を参照してください。

### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```



たとえば、Systems Manager メンテナンスウィンドウリソースには次の ARN 形式があります。

```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```

米国東部 (オハイオ) リージョンにおいて、ステートメントで mw-0c50858d01EXAMPLE メンテナンスウィンドウを指定するには、次のような ARN を使用します。

```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```

特定のアカウントに属するすべてのメンテナンスウィンドウを指定するには、ワイルドカード (\$1) を使用します。

```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```

`Parameter Store` API オペレーションで、階層の 1 レベルのすべてのパラメータに対するアクセスを許可または制限するには、次のように階層名と AWS Identity and Access Management (IAM) ポリシーを使用できます。

```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```

リソースの作成など、一部の Systems Manager アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (\$1) を使用する必要があります。

```
"Resource": "*"
```

一部の Systems Manager API オペレーションは、複数のリソースを受け入れます。1 つのステートメントで複数のリソースを指定するには、次のように ARN をカンマで区切ります。

```
"Resource": [
      "resource1",
      "resource2"
```

**注記**  
ほとんどの AWS のサービスでは、ARN 内のコロン (:) またはスラッシュ (/) は同じ文字として扱われます。ただし、Systems Manager では、リソースパターンおよびルールで完全一致が必要です。イベントパターンの作成時に、リソースの ARN と一致する正しい ARN 文字を使用します。

以下の表は、Systems Manager でサポートされているリソースタイプの ARN 形式を示しています。

**注記**  
ARN 形式には以下の例外があることに注意してください。  
AWS Systems Manager の以下のツールは、アクションの前に異なるプレフィックスを使用します。  
AWS AppConfig は、アクションの前にプレフィックス `appconfig:` を使用します。
インシデントマネージャーは、アクションの前にプレフィックス `ssm-incidents:` または `ssm-contacts:` を使用します。
Systems Manager GUI Connect は、アクションの前にプレフィックス `ssm-guiconnect` を使用します。
Amazon が所有するドキュメントやオートメーション定義リソース、および Amazon とサードパーティの両方のソースから提供されるパブリックパラメータには、ARN 形式のアカウント ID は含まれていません。例えば、次のようになります。  
SSM ドキュメント `AWS-RunPatchBaseline`:  
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline` 
オートメーションランブック `AWS-ConfigureMaintenanceWindows`:   
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
パブリックパラメータ `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:   
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
これらの 3 種類のリソースタイプの詳細については、次のトピックを参照してください。  
[ドキュメントでの作業](documents-using.md)
[Systems Manager Automation を使用した自動オペレーションを実行する](running-simple-automations.md)
[Parameter Store でのパブリックパラメータの使用](parameter-store-public-parameters.md)
Quick Setup は、アクションの前にプレフィックス `ssm-quicksetup:` を使用します。


| リソースタイプ | ARN 形式 | 
| --- | --- | 
| アプリケーション (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id | 
| 関連付け | arn:aws:ssm:region:account-id:association/association-id | 
| 自動化の実行 | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id | 
| 自動化定義 (およびバージョンサブリソース) |  arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1**  | 
| 設定プロファイル (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id | 
| 連絡先 (Incident Manager) |  arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias*  | 
| デプロイ戦略 (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id | 
| ドキュメント |  arn:aws:ssm:*region*:*account-id*:document/*document-name*  | 
| 環境 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id | 
| インシデント |  arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id*  | 
| メンテナンスウィンドウ |  arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id*  | 
| マネージドノード |  arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id*  | 
| マネージドノードインベントリ | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id | 
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id | 
| パラメータ |  1 レベルのパラメータ: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security_iam_service-with-iam.html) 階層構造を反映したパラメータ名: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/security_iam_service-with-iam.html)  | 
| パッチベースライン |  arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id*   | 
| 対応計画 |  arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name*  | 
| Session |  arn:aws:ssm:*region*:*account-id*:session/*session-id* **3**  | 
|  すべての Systems Manager リソース  |  arn:aws:ssm:\$1  | 
|  特定の AWS リージョン の特定の AWS アカウント が所有するすべての Systems Manager リソース  |  arn:aws:ssm:*region*:*account-id*:\$1  | 

**注記**  
自動化定義リソースは廃止されています。IAM ポリシーを更新して、`document` リソースと `automation-execution` リソース上の `ssm:StartAutomationExecution` または `ssm:StartChangeRequestExecution` の許可を含めてください。IAM アクセス許可を設定するためのベストプラクティスと例については、[「Setting up identity based policies example](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html)」を参照してください。

**1** オートメーションの定義について、Systems Manager は第 2 レベルのリソース、*バージョン ID* をサポートしています。AWS では、これらの第 2 レベルのリソースは*サブリソース*と呼ばれます。オートメーション定義リソースのバージョンサブリソースを指定することで、特定バージョンの自動化定義にアクセスできます。たとえば、ノード管理においてオートメーション定義の最新バージョンのみが使用される場合があります。

**2** パラメータを編成して管理するには、階層構造を反映したパラメータ名を作成できます。階層構造では、パラメータ名のパスの定義にスラッシュを使用できます。パラメータリソース名には、最大 15 レベルを反映できます。作成する階層には、環境の既存の階層構造を反映するようお勧めします。詳細については、「[Systems Manager での Parameter Store パラメータの作成](sysman-paramstore-su-create.md)」を参照してください。

**3** ほとんどの場合、セッション ID はアカウントの ID を使用して作成され、セッションを開始したユーザー、および英数字サフィックスを付けます。例えば、次のようになります。

```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```

ただし、ユーザー ID が使用できない場合、ARN は次の方法で構築されます。

```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```

ARN の形式の詳細については、「Amazon Web Services 全般のリファレンス」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。

Systems Manager リソースのタイプとその ARN のリストを確認するには、*サービス認可リファレンス*の「[AWS Systems Manager で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)」を参照してください。<a name="policy-conditions"></a>

### Systems Manager の条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)を参照してください。



Systems Manager の条件キーのリストを確認するには、*サービス認可リファレンス*の[AWS Systems Manager の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、[AWS Systems Manager で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)を参照してください。

`ssm:resourceTag/*` 条件キーの使用については、以下のトピックを参照してください。
+ [SSM Agent を介してルートレベルコマンドへのアクセスを制限する](ssm-agent-restrict-root-level-commands.md)
+ [タグによる Run Command アクセスを制限](run-command-setting-up.md#tag-based-access) 
+ [Restrict session access based on instance tags (インスタンスタグに基づくセッションのアクセスの制限)](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)

`ssm:Recursive`、`ssm:Policies`、および `ssm:Overwrite` 条件キーの使用については、「[Parameter Store API オペレーションへのアクセスの防止](parameter-store-policy-conditions.md)」を参照してください。

### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Systems Manager アイデンティティベースのポリシーの例を表示するには、[AWS Systems Manager アイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)を参照してください。

## Systems Manager リソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Amazon Simple Storage Service (Amazon S3) などの他の AWS のサービスでは、リソースベースのアクセス権限ポリシーがサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。

Systems Manager では、リソースベースのポリシーはサポートされていません。

## Systems Manager タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

タグを Systems Manager リソースにアタッチすることも、Systems Manager へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`ssm:resourceTag/key-name`、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` 条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。タグを作成または更新するときに、次のリソースタイプにタグを追加できます。
+ ドキュメント
+ マネージドノード
+ メンテナンスウィンドウ
+ Parameter
+ パッチベースライン
+ OpsItem

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく Systems Manager ドキュメントの表示](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)」を参照してください。

## Systems Manager IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定のアクセス許可を持つ、AWS アカウント 内のエンティティです。

### Systems Manager での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

テンポラリ認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。テンポラリセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS Security Token Service AWS STSAPI オペレーションを呼び出します。

Systems Manager では、一時認証情報の使用をサポートしています。

### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)は、AWS のサービスが他のサービスのリソースにアクセスして自動的にアクションを完了することを許可します。サービスリンクロールは、IAM アカウント内に表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Systems Manager はサービスにリンクされたロールをサポートします。Systems Manager サービスにリンクされたロールの作成または管理の詳細については、「[Systems Manager のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

### サービス役割
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了できます。サービスロールは、IAM アカウントに表示され、アカウントによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Systems Manager はサービスロールをサポートします。

### Systems Manager で IAM ロールを選択
<a name="security_iam_service-with-iam-roles-choose"></a>

Systems Manager がマネージドノードとやり取りするには、ユーザーに代わって Systems Manager がノードにアクセスできるようにロールを選択する必要があります。サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、Systems Manager は選択できるロールのリストを示します。マネージドノードの起動と停止を許可するロールを選択することが重要です。

EC2 インスタンスにアクセスするには、インスタンスのアクセス許可を設定する必要があります。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。

[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)の非 EC2 ノードにアクセスするには、AWS アカウント に IAM サービスロールが必要です。詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」を参照してください。

Automation ワークフローは、サービスロール (または継承ロール) のコンテキストで開始できます。これにより、サービスがユーザーに代わってアクションを実行できるようになります。継承ロールを指定しない場合、オートメーションは、実行を呼び出したユーザーのコンテキストを使用します。ただし、特定の条件では、Automation のサービスロールを指定する必要があります。詳細については、「[オートメーションのサービスロール（ロールを引き受ける）アクセスの設定](automation-setup.md#automation-setup-configure-role)」を参照してください。

### AWS Systems Manager マネージドポリシー
<a name="managed-policies"></a>

AWS は、 によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。AWSこれらの AWS *管理ポリシー*では、一般的ユースケースに必要なアクセス権限を付与されるため、どのアクセス権限が必要であるかを調べる必要がありません。(独自のカスタム IAM ポリシーを作成して、Systems Manager アクションとリソースのための権限を許可することもできます。) 

Systems Manager のマネージドポリシーの詳細については、「[AWS Systems Manager の AWS マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。

マネージドポリシー全般については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。