AWS サポートユーザーガイド

API バージョン 2013-04-15

AWS サポート ユーザーガイド

AWS サポート: ユーザーガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS サポート ユーザーガイド

Table of ContentsAWS サポート の開始方法 ................................................................................................................... 1

AWS サポート プランの特徴 ........................................................................................................ 1ケース管理 ................................................................................................................................ 2

サポートケースの作成 ......................................................................................................... 2例: Amazon EC2 インスタンスのケースの作成 ........................................................................ 3緊急度の選択 ..................................................................................................................... 6問題の説明 ........................................................................................................................ 7

ケースのモニタリングと保守 ........................................................................................................ 7ケース履歴 ................................................................................................................................ 7AWS サポート へのアクセス ........................................................................................................ 7

AWS アカウント ................................................................................................................ 8IAM .................................................................................................................................. 8AWS Trusted Advisor へのアクセス ...................................................................................... 9

AWS Trusted Advisor .................................................................................................................. 9AWS サポート API について .............................................................................................................. 10

サポートケース管理 .................................................................................................................. 10Trusted Advisor ........................................................................................................................ 10エンドポイント ......................................................................................................................... 11AWS SDK のサポート ............................................................................................................... 11

AWS サポート ケースのプログラミング ............................................................................................... 12概要 ........................................................................................................................................ 12

AWS サポート API での IAM の使用 .................................................................................... 12AWS サポート クライアントの作成 ............................................................................................. 12AWS のサービスの紹介と重大度レベルの問題 ............................................................................... 13添付セットの作成 ...................................................................................................................... 13サポートケースの作成 ............................................................................................................... 14サポートケースコミュニケーションの取得と更新 ........................................................................... 17すべてのサポートケース情報の取得 ............................................................................................. 18サポートケースの解決 ............................................................................................................... 19

ウェブサービスとしての Trusted Advisor の使用 ................................................................................... 21提供されている Trusted Advisor チェックのリストを取得する ......................................................... 21提供されている Trusted Advisor チェックのリストを更新する ......................................................... 21Trusted Advisor をポーリングして、ステータス変更をチェックする ................................................. 22Trusted Advisor チェック結果のリクエスト .................................................................................. 23Trusted Advisor のチェック詳細を印刷する .................................................................................. 24

セキュリティ .................................................................................................................................... 25データ保護 ............................................................................................................................... 25Identity and access management ................................................................................................ 26

対象者 ............................................................................................................................. 26アイデンティティを使用した認証 ........................................................................................ 27ポリシーを使用したアクセスの管理 ..................................................................................... 29AWS サポート と IAM の連携 ............................................................................................. 30アイデンティティベースのポリシーの例 .............................................................................. 31サービスにリンクされたロールの使用 .................................................................................. 33AWS Trusted Advisor のアクセスの管理 ............................................................................... 38トラブルシューティング .................................................................................................... 41

インシデントへの対応 ............................................................................................................... 43AWS サポート のモニタリング ................................................................................................... 43

AWS CloudTrail による AWS サポート API コールのログ記録 ................................................. 44Trusted Advisor チェックのモニタリング .............................................................................. 47

コンプライアンス検証 ............................................................................................................... 49耐障害性 .................................................................................................................................. 49インフラストラクチャセキュリティ ............................................................................................. 50設定と脆弱性の分析 .................................................................................................................. 50

API バージョン 2013-04-15iii

AWS サポート ユーザーガイド

トラブルシューティングリソース ........................................................................................................ 51サービス固有のトラブルシューティング ....................................................................................... 51

ドキュメント履歴 .............................................................................................................................. 53AWS の用語集 .................................................................................................................................. 55

API バージョン 2013-04-15iv

AWS サポート ユーザーガイドAWS サポート プランの特徴

AWS サポート の開始方法AWS サポート は、AWS ソリューションの成功とオペレーションの正常性をサポートするツールと専門知識にアクセスできる一連のプランを用意しています。すべてのサポートプランでは年中無休のカスタマーサービス、AWS ドキュメント、ホワイトペーパー、およびサポートフォーラムをご利用いただけます。AWS 環境の計画、デプロイ、最適化のために技術サポートや追加のリソースが必要な場合は、お客様の AWS ユースケースに合ったサポートプランを選択することができます。

AWS マネジメントコンソール でケースを作成するには、「サポートケースの作成 (p. 2)」を参照してください。

トピック• AWS サポート プランの特徴 (p. 1)• ケース管理 (p. 2)• ケースのモニタリングと保守 (p. 7)• ケース履歴 (p. 7)• AWS サポート へのアクセス (p. 7)• AWS Trusted Advisor (p. 9)

AWS サポート プランの特徴AWS サポートには、ベーシック、開発者、ビジネス、エンタープライズという 4 つのサポートプランが用意されています。

ベーシックプランは無料です。アカウントと請求に関するご質問、サービスクォータの緩和に関するサポートが提供されます。その他のプランでは、技術サポートケースの数は無制限となっており、サポート料金のお支払いは月単位で、長期契約は不要です。

すべての AWS のお客様には、ベーシックサポートプランのこれらの機能に 24 時間 365 日アクセスする権利が自動的に付与されます。

• アカウントと請求に関するご質問に 1 対 1 で回答• サポートフォーラム• サービス状態チェック• ドキュメント、ホワイトペーパー、およびベストプラクティスガイド

開発者サポートプランのお客様は、これらの追加機能にアクセスできます。

• ベストプラクティスのガイダンス• 基本的な構成要素アーキテクチャのサポート: AWS の製品、機能、サービスの使用方法をまとめたガイ

ダンスです• AWS サポート へのユーザーアクセスをコントロールする AWS Identity and Access

Management (p. 8) (IAM)

ビジネスまたはエンタープライズサポートプランのお客様は、さらにこれらの機能にアクセスできます。

• ユースケースガイダンス – 特定のニーズに最適な AWS の製品、機能、サービスを説明するガイダンスです。

• AWS Trusted Advisor (p. 9) – お客様の環境を調査し、コスト削減、セキュリティギャップの解消、システムの信頼性とパフォーマンスの向上を実現する機会を特定する AWS サポート の機能です。

API バージョン 2013-04-151

AWS サポート ユーザーガイドケース管理

• AWS サポート および Support Center とやり取りを行う Trusted Advisor API 。AWS サポート API を使用して、サポートケースの管理と Trusted Advisor オペレーションを自動化できます。

• サードパーティーのソフトウェアサポート – Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのオペレーティングシステムおよび設定に関するヘルプ。また、AWS で最も一般的なサードパーティーのソフトウェアコンポーネントのパフォーマンスを支援します。サードパーティー製ソフトウェアのサポートは、ベーシックまたは開発者サポートプランのお客様にはご利用いただけません。

エンタープライズサポートプランのお客様は、さらにこれらの機能にアクセスできます。

• アプリケーションアーキテクチャガイダンス – 特定のユースケース、ワークロード、またはアプリケーションに適合するサービスの組み合わせに関するコンテキストガイダンス。

• インフラストラクチャのイベント管理 – AWS サポート との短期の取り組みで、お客様のユースケースの理解を深めます。分析後、イベントに関するアーキテクチャとスケーリングのガイダンスを提供します。

• テクニカルアカウントマネージャー – テクニカルアカウントマネージャー (TAM) と連携して、特定のユースケースやアプリケーションに対応します。

• ホワイトグローブケースルーティング• 管理ビジネス評価。

各サポートプランの機能と料金の詳細については、「AWS サポート」と「AWS サポート の特徴」を参照してください。24 時間 365 日の電話とチャットによるサポートなど、すべての言語で使用できない機能もあります。

ケース管理AWS マネジメントコンソールでは、AWS サポート で次の 3 種類のカスタマーケースを作成できます。

• Account and billing support (アカウントおよび請求のサポート) ケースは、すべての AWS お客様が利用できます。請求およびアカウント関連の質問に対するサポートを受けることができます。

• Service limit increase (サービスの上限緩和) リクエストは、AWS のすべてのお客様にご利用いただけます。既定のサービスクォータ (以前は制限と呼ばれていました) については、「AWS サービスの制限」を参照してください。

• Technical support (技術サポート) ケースを選択すると、サービスに関連する技術的な問題、状況によってはサードパーティー製アプリケーションについて技術サポートに問い合わせることができます。開発者サポートプランをご利用の場合は、ウェブを使用して問い合わせることができます。ビジネスまたはエンタープライズサポートプランをご利用の場合は、電話またはライブチャットで問い合わせることもできます。

Note

• ベーシックサポートプランをご利用の場合は、技術サポートケースを作成できません。• アカウントを解約するには、AWS Billing and Cost Management ユーザーガイドの「アカウ

ントの解約」を参照してください。

サポートケースの作成サポートケースの作成

1. AWS アカウントにリンクしている E メールアドレスとパスワードを使用して、AWS マネジメントコンソールにサインインします。他の認証情報を使用してサインインするには、「AWS サポート へのアクセス (p. 7)」を参照してください。

API バージョン 2013-04-152

AWS サポート ユーザーガイド例: Amazon EC2 インスタンスのケースの作成

2. 右上隅にある [サポート] を選択し、[Support Center] を選択します。3. [Create case (ケースの作成)] を選択します。4. 次のいずれかのオプションを選択します。

• Account and billing support (アカウントおよび請求サポート)• Service limit increase (サービスの上限緩和)• Technical support (技術サポート)

5. プロンプトに従って、ケースを説明します。6. [Submit] を選択します。ケース ID 番号と概要が表示されます。

例: Amazon EC2 インスタンスのケースの作成次のスクリーンショットに示すように、この例は Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの技術サポートケースです。

A. Create case (ケースの作成) – ページの上部にある 3 つのボックスから、作成するケースのタイプを選択します。この例では、ケースのタイプは 「Technical support (技術サポート)] です。

Note

ベーシックサポートプランをご利用の場合は、技術サポートケースを作成できません。B. Service (サービス) – 複数のサービスに影響する質問の場合は、最も該当するサービスを選択します。こ

の例では、サービスは [Elastic Compute Cloud (EC2 - Linux)] です。C. Category (カテゴリー) – ユースケースに最も適したカテゴリを選択します。この例では、インスタンス

への接続に問題があるため、[Instance Issue (インスタンスの問題)] を選択します。カテゴリを選択すると、問題の解決に役立つ可能性がある情報のリンクが [Case classification (ケース分類)] 項目の下に表示されます。

D. Severity (緊急度) – 有料サポートプランをご利用のお客様は、[General guidance (通常の問い合わせ/機能要望)] (1 日以内の応答時間) または [System impaired (障害/開発中の急ぎの問い合わせ)] (12 時間以内の応答時間) の緊急度を選択できます。ビジネスサポートプランをご利用のお客様は、発生中の障害 (4

API バージョン 2013-04-153

AWS サポート ユーザーガイド例: Amazon EC2 インスタンスのケースの作成

時間以内の応答時間) または発生中の障害(ビジネスへの影響大) (1 時間以内の応答時間) を選択することもできます。エンタープライズプランをご利用のお客様は、[Business-critical system down (非常事態)](15 分以内の応答時間) を選択することもできます。

応答時間は、AWS サポート からの最初の応答です。これらの応答時間は、その後の応答には適用されません。サードパーティの問題については、対応可能なスキルを持つ担当者の空き状況によって応答時間が長くなる可能性があります。詳細については、「緊急度の選択 (p. 6)」を参照してください。

Note

カテゴリの選択に基づいて、追加情報の入力を求められることがあります。この例では、[Instance ID (インスタンス ID)] を入力するように求められています。ベストプラクティスとして、プロンプトが表示されなくても、リソース ID を入力します。

ケースのタイプと分類を指定したら、説明と連絡方法を指定できます。

API バージョン 2013-04-154

AWS サポート ユーザーガイド例: Amazon EC2 インスタンスのケースの作成

A. Subject (件名) – 問題を簡単に説明するタイトルを入力します。この例では、件名は Failed statuschecks です。

B. Description (説明) – これが、AWS サポートに提供する最も重要な情報です。ほとんどのサービスとカテゴリの組み合わせでは、最も迅速に解決するために役立つ情報が提案されます。詳細については、「問題の説明 (p. 7)」を参照してください。

C. Attachments (添付ファイル) – 多くの場合、スクリーンショットなどの添付ファイル (1 ファイル 5MB未満) があると役立ちます。この例では、ステータスチェックに失敗している画像が添付されています。

D. Preferred contact language (優先する連絡用言語) – 現在、英語または日本語を選択できます。

API バージョン 2013-04-155

AWS サポート ユーザーガイド緊急度の選択

E. Contact methods (連絡方法) – 連絡方法を選択します。オプションは、ケースのタイプとサポートプランによって異なります。[ウェブ] を選択した場合、Support Centerでケースの進行状況を確認し、返信することができます。ビジネスまたはエンタープライズサポートプランをご利用の場合は、[Chat(チャット)] または [Phone (電話)] を選択することもできます。[Phone (電話)] を選択した場合、折り返し電話番号の入力が求められます。

F. Additional contacts (その他の連絡先) – ケースのステータスが変わったときに他のユーザーに通知する場合は、そのユーザーの E メールアドレスを入力します。IAM ユーザーとしてサインインしている場合は、自分の E メールアドレスも入力します。自分の E メールアドレスとパスワードを使用してサインインしている場合は、自分の E メールアドレスを指定する必要はありません。

Note

ベーシックサポートプランをご利用の場合は、[追加の連絡先] ボックスを使用できません。ただし、[自分のアカウント] ページの [代替の連絡先] セクションで[作業用] 連絡先を指定した場合、ケースの種類が アカウント、請求、または技術の場合に限り、ケースのやり取りのコピーがその連絡先に送信されます。

G. [Submit (送信)] します。入力が完了し、ケースを作成する準備ができたら、[Submit (送信)] ボタンをクリックします。

緊急度の選択サポートケースを作成する際、常にサポートプランで許容される最大の重大度で作成しがちです。しかし、最も高い重大度は、回避できない場合や運用アプリケーションに直接影響する場合に選択することをお勧めします。1 つのリソースが失われてもアプリケーションに影響が及ばないようにサービスを構築する方法については、ホワイトペーパー「Building Fault-Tolerant Applications on AWS」を参照してください。

次の表に、重大度、応答時間、問題例を示します。Note

サポートケースを作成した後は、重大度コードを変更することはできません。状況が変わった場合は、サポートケースの AWS サポート担当者と協力してください。

緊急度初回の応答時間 説明とサポートプラン

通常の問い合わせ/機能要望 24 時間 開発に関する一般的な質問がある場合、または機能をリクエストしたい場合(開発者*、ビジネス、エンタープライズサポートプラン)。

障害/開発中の急ぎの問い合わせ

12 時間 アプリケーションの重要ではない機能が正常に動作していない場合、または開発に関して短期間で回答が必要な質問がある場合(開発者*、ビジネス、エンタープライズサポートプラン)。

発生中の障害 4 時間 アプリケーションの重要な機能が障害がまたはデグレードが発生している場合(ビジネス、エンタープライズサポートプラン)。

発生中の障害(ビジネスへの影響大)

1 時間 ビジネスに重大な影響が出ている場合。アプリケーションの重要な機能を使用できない場合(ビジネス、エンタープライズサポートプラン)。

非常事態 15 分 ビジネスが危険な状態になっている場合。アプリケーションの必須の機能を使用できない場合(エンタープライズサポート)。

API バージョン 2013-04-156

AWS サポート ユーザーガイド問題の説明

* 開発者プランの場合、応答時間目標は営業時間で計算されます。営業時間はお客様の国で午前 8:00 から午後 6:00 までです。祝日および週末は除きます。この情報は、AWS マネジメントコンソールの [アカウント] ページの [お問い合わせ情報] セクションに表示されます 。タイムゾーンが複数ある国/地域では、営業時間は変わる可能性があります。日本語のサポートは午前 9 時～午後 6 時までご利用いただけます。

Note

お客様の初回のリクエストには、所定の時間内に応答するよう取り組んでいます。各 AWS サポートプランのサポート範囲については、「AWS サポートの特徴」を参照してください。

問題の説明できるだけ詳しく説明します。関連するリソース情報と、問題を理解するのに役立つその他の情報を含めてください。たとえば、パフォーマンスのトラブルシューティングの場合は、タイムスタンプとログの情報を含めます。機能のリクエストや一般的なガイダンスの質問の場合は、お使いの環境と目的の説明を含めます。いずれの場合も、ケースの送信フォームに表示される説明の指示に従って入力してください。

できるだけ詳しく説明していただくことで、ケースを迅速に解決できる可能性が高まります。

ケースのモニタリングと保守Support Centerでケースのステータスをモニタリングできます。新しいケースは、Unassigned 状態で開始されます。エンジニアが作業を開始すると、ステータスが Work in Progress. に変わります。エンジニアはケースに応答し、お客様に追加情報を求めるか (「Pending Customer Action」)、ケースが調査中であることをお客様にお知らせします (「Pending Amazon Action」)。

ケースが更新されると、通知と Support Center のケースのリンクが記載されたメールがお客様に送信されます。ただし、ケースの通知にメールで返信することはできません。メール内のリンクを使用して、サポートケースに移動します。

Note

サポートケースを送信した AWS アカウントにサインインする必要があります。IAM ユーザーとしてサインインする場合、サポートケースを表示するために必須のアクセス許可が必要です。詳細については、「AWS サポート へのアクセス (p. 7)」を参照してください。

回答に満足した場合、または問題が解決した場合は、Support Center で [Close Case (ケースのクローズ)]を選択します。10 日間以内に応答しない場合、ケースは自動的に閉じられます。解決したケースまたは閉じたケースは、いつでも再び開くことができます。

新しい問題や質問の場合は、新しいケースを作成してください。ケースのやり取りが元の質問や問題の範囲から外れた場合は、サポートエンジニアから新しいケースを開くように依頼されることがあります。古い問い合わせに関するケースを開く場合は、前のやり取りを参照できるように、関連するケース番号を記載してください (可能な場合)。

ケース履歴ケース履歴情報は、作成から 12 か月間利用できます。

AWS サポート へのアクセス次のオプションを使用して Support Center にアクセスできます。

API バージョン 2013-04-157

AWS サポート ユーザーガイドAWS アカウント

• AWS アカウントに関連付けられた E メールアドレスとパスワードを使用します。• (推奨) AWS Identity and Access Management (IAM) を使用します。

ビジネスまたはエンタープライズサポートプランをお持ちの場合は、AWS サポート API (p. 10) を使用することもできます。API を使用すると、プログラムで AWS サポート および Trusted Advisor オペレーションにアクセスすることができます。詳細については、AWS サポート API Referenceを参照してください。

AWS アカウントAWS マネジメントコンソール にサインインし、AWS アカウントのメールアドレスとパスワードを使用して Support Center にアクセスできます。この ID は、AWS アカウント ルートユーザー と呼ばれます。ただし、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことを強くお勧めします。代わりに、IAM を使用してアカウント内で特定のタスクを実行できるユーザーを制御することをお勧めします。

IAMデフォルトでは、IAM ユーザーは Support Center にアクセスできません。IAM を使用して、個々のユーザーまたはグループを作成できます。次に、これらのエンティティに IAM ポリシーをアタッチし、アクションを実行してリソースにアクセスするアクセス許可 (Support Center ケースを開いて AWS サポートAPI を使用するなど) をエンティティに付与します。

IAM ユーザーを作成したら、それらのユーザーに個別のパスワードとアカウント固有のサインインページを提供することができます。それにより、ユーザーは AWS アカウントにサインインして、Support Centerで操作を実行できます。AWS サポート アクセス許可を持っている IAM ユーザーは、そのアカウントに対して作成されたすべてのケースを表示できます。

詳細については、「IAM ユーザーが AWS アカウントにサインインする方法」を参照してください。

アクセス許可を付与する最も簡単な方法は、AWS 管理ポリシー AWSSupportAccess をユーザー、グループ、またはロールにアタッチすることです。AWS サポート は、特定の AWS サポート オペレーションへのアクセスを制御するアクションレベルのアクセス許可を付与します。AWS サポート はリソースレベルのアクセスを提供しないため、Resource 要素は常に * に設定されます。

たとえば、次のポリシーステートメントは、AWS サポート へのアクセスを IAM ユーザーに許可しています。このポリシーを持つ IAM ユーザーは、すべての AWS サポート オペレーションとリソースにアクセスできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "support:*", "Resource": "*" }]}

このポリシーステートメントでは、ケースを解決する以外のすべての AWS サポート アクションが IAMユーザーに許可されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

API バージョン 2013-04-158

AWS サポート ユーザーガイドAWS Trusted Advisor へのアクセス

"Action": "support:", "Resource": "*" }, { "Effect": "Deny", "Action": "support:ResolveCase", "Resource": "*" }]}

ユーザーまたはグループにすでにポリシーがある場合は、そのポリシーに AWS サポート 固有のポリシーステートメントを追加できます。

Important

• Support Center でケースを表示できない場合は、必要なアクセス許可があることを確認します。必要に応じて、IAM 管理者に連絡してください。詳細については、「AWS サポート のIdentity and Access Management (p. 26)」を参照してください。

AWS Trusted Advisor へのアクセスAWS マネジメントコンソール では、個別の trustedadvisor IAM 名前空間によって Trusted Advisor へのアクセスが制御されます。AWS サポート API では、support IAM 名前空間が Trusted Advisor へのアクセスを制御します。詳細については、「Trusted Advisor コンソールへのアクセスの制御」を参照してください。

AWS Trusted AdvisorAWS Trusted Advisor は、AWS の数十万のお客様にサービスを提供することにより得られた、運用実績から学んだベストプラクティスを活用しています。Trusted Advisor はお客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させたりセキュリティギャップを埋める機会がある場合には、推奨事項を作成します。すべての AWS のお客様は、Trusted Advisor の 5 つのチェックにアクセスできます。ビジネスまたはエンタープライズサポートプランをご利用のお客様は、すべての Trusted Advisor チェックを表示できます。詳細については、AWS Trusted Advisor を参照してください。

Amazon CloudWatch Events を使用して Trusted Advisor チェックのステータスをモニタリングする方法については、Trusted Advisor チェック結果を Amazon CloudWatch Events でモニタリングする (p. 47) を参照してください。

お客様は AWS マネジメントコンソール の Trusted Advisor にアクセスできます。AWS サポートAPI (p. 10) を使用すると、プログラムで Trusted Advisor にアクセスできます。

API バージョン 2013-04-159

AWS サポート ユーザーガイドサポートケース管理

AWS サポート API についてAWS サポート API を使用すると、AWS Service Catalog の一部の機能にアクセスできます。AWS は、ビジネスまたはエンタープライズのサポートプランにご加入の AWS サポート のお客様にこのアクセスを提供します。

現在提供されているサービスでは、次の 2 つの操作グループが用意されています。

• サポートケース管理 (p. 10)AWS サポートケースの作成から解決までライフサイクル全体を管理する操作。

• AWS Trusted Advisor が提供するチェックにアクセスするための Trusted Advisor (p. 10) 操作。

AWS サポート が提供する操作やデータ型の詳細については、「AWS サポート API Reference」をご覧ください。

トピック• サポートケース管理 (p. 10)• Trusted Advisor (p. 10)• エンドポイント (p. 11)• AWS SDK のサポート (p. 11)

サポートケース管理サポートケース管理の操作を使用すると、次のようなタスクを実行できます。

• サポートケースを開く• 最近のサポートケースに関する詳細情報と一覧を取得します。• 解決したケースを含め、日付やケース ID を条件に絞り込んでサポートケースを検索できます。• ケースに通信文やファイル添付を追加したり、ケースの通信にメール受信者を追加できます。• ケースを解決します。

サポートケース管理の操作として、AWS サポート API では、CloudTrail ロギングがサポートされています。詳細については、「AWS CloudTrail による AWS サポート API コールのログ記録 (p. 44)」を参照してください。

たとえば、AWS サポート ケースのライフサイクル全体を管理する方法を示す Java コードを「AWS サポート ケースのプログラミング (p. 12)」でご覧になれます。

Trusted AdvisorTrusted Advisor 操作を使用すると、次のようなタスクが実行できます。

• Trusted Advisor が提供するチェックの名前と ID を取得する。• Trusted Advisor チェックを自分のアカウントとリソースに対し実行することを要求する。• Trusted Advisor チェックの詳細情報とサマリーを取得する。• Trusted Advisor チェックの更新を要求する。

API バージョン 2013-04-1510

AWS サポート ユーザーガイドエンドポイント

• 要求した各 Trusted Advisor チェックのステータスを取得する。

AWS サポート API は、Trusted Advisor 操作のための CloudWatch イベント をサポートします。詳細については、「Trusted Advisor チェック結果を Amazon CloudWatch Events でモニタリングする (p. 47)」を参照してください。

Trusted Advisor 操作の使用例については、「ウェブサービスとしての Trusted Advisor の使用 (p. 21)」を参照してください。

エンドポイントこのエンドポイントを使用して AWS サポートにアクセスしてください。

• https://support.us-east-1.amazonaws.com

Warning

AWS サポートエンドポイントは、運用環境のデータベースにケースを作成します。「テストケース--無視してください」などの文を件名に入れて、CreateCase を呼び出してテストし、ResolveCase を呼び出して作成したテストケースを閉じます。

AWS エンドポイントのその他の情報については、『アマゾン ウェブ サービス全般のリファレンス』の「リージョンとエンドポイント」を参照してください。

AWS SDK のサポートAWS Command Line Interface、AWS Tools for Windows PowerShell、AWS Software Development Kits(SDK) には、AWS サポート API のサポートが含まれています。

• AWS CLI• AWS Tools for Windows PowerShell• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for .NET• AWS SDK for PHP• AWS SDK for Python (Boto)• AWS SDK for Ruby

API バージョン 2013-04-1511

AWS サポート ユーザーガイド概要

AWS サポート ケースのプログラミング

AWS サポート API を使用すると、サポートケースを作成して、問題の調査中や AWS サポート スタッフとの会話中のやり取りを追加できます。このトピックでは、AWS サポート サービスでのアクションの使用方法について説明します。このサービスは、主に AWS サポートセンターの対応に基づいています。

AWS サポート に使用できるアクションとパラメータのリストについては、AWS サポート API Referenceを参照してください。

トピック• 概要 (p. 12)• AWS サポート クライアントの作成 (p. 12)• AWS のサービスの紹介と重大度レベルの問題 (p. 13)• 添付セットの作成 (p. 13)• サポートケースの作成 (p. 14)• サポートケースコミュニケーションの取得と更新 (p. 17)• すべてのサポートケース情報の取得 (p. 18)• サポートケースの解決 (p. 19)

概要このトピックでは、AWS サポートの使用方法を説明するために、Java コード例を使用しています。SDKサポートの詳細については、サンプルコードとライブラリを参照してください。

Note

AWS サポート への呼び出しがサービスの制限に達した場合は、「AWS でのエラーの再試行とエクスポネンシャルバックオフ」に記載されている推奨事項を参照してください。

AWS サポート API での IAM の使用AWS Identity and Access Management (IAM) は AWS サポート API でサポートされています。詳細については、「AWS サポート へのアクセス (p. 7)」を参照してください。

AWS サポート クライアントの作成次の Java コードスニペットは、AWSSupportClient を作成し、AWSSupportService の呼び出しに使用する方法を示しています。createClient メソッドは、AWSSupportClient() コンストラクタをパラメータなしで呼び出して AWS 認証情報を取得します。呼び出されたコンストラクタは、認証情報プロバイダチェーンから認証情報を取得します。このプロセスの詳細については、『AWS SDK for Java』の「チュートリアル: IAM ロールと AWS SDK for Java を使用したアクセスの許可」を参照してください。

AWS 認証情報の詳細については、『AWS General Reference』の「AWS セキュリティ認証情報」を参照してください。

private static AWSSupportClient createClient(){ AWSSupportClient client = new AWSSupportClient(); client.setEndpoint("https://support.us-east-1.amazonaws.com");

API バージョン 2013-04-1512

AWS サポート ユーザーガイドAWS のサービスの紹介と重大度レベルの問題

return client;}

AWS のサービスの紹介と重大度レベルの問題AWS サポート Java クライアントは、AWS サポートにプログラミングを使用してケースを送信するための CreateCaseRequest タイプを提供します。CreateCaseRequest 構造には、リクエストパラメータが入力され、AWSSupportClient インスタンスの createClient メソッドに渡されます。これらのパラメータには AWS サービスを指定するコードが含まれ、大文字と小文字が区別されます。

以下の Java コードスニペットは、AWS サポート DescribeServices アクションと DescribeSeverityLevelアクションの呼び出しを示しています。

// DescribeServices example

public static void getServiceCodes(AWSSupportClient client) { DescribeServicesResult result = client.describeServices(); for (Service service : result.getServices()) { System.out.println("Service code (name): " + service.getCode() + "(" + service.getName() + ")"); for (Category category : service.getCategories()) { System.out.println(" Category code (name): " + category.getCode() + "(" + category.getName() + ")"); } }}

// DescribeSeverityLevels example

public static void getSeverityLevels(AWSSupportClient client) { DescribeSeverityLevelsResult result = client.describeSeverityLevels(); for (SeverityLevel level : result.getSeverityLevelsList()) { System.out.println("Severity level (name): " + level.getCode() + level.getName() + ")"); }}

呼び出すごとに JSON 形式のオブジェクトが返されます。DescribeServices はサービスコードと、それに対応する名前を返し、DescribeSeverityLevels は重大度とそれに対応する名前を返します。また、DescribeServices も、各 AWS サービスに適用される AWS サポートカテゴリのリストを返します。これらのカテゴリは、CreateCase アクションを使用してサポートケースを開くためにも使用されます。AWS サポートサイト自体からも取得できますが、AWS サポートサービスは常にこの情報の最新版を返します。

添付セットの作成ケースにファイルを添付するには、ケースを作成する前に添付セットに添付を追加する必要があります。1つの添付ファイルセットに最大 3 ファイルを添付でき、セット内の添付ファイルあたりの最大サイズは5 MB です。詳細については、「AddAttachmentsToSet」を参照してください。

次の Java コードスニペットは、テキストファイル添付を作成し、それを添付セットに追加して、ケースに追加するための添付セットの ID を取得します。

API バージョン 2013-04-1513

AWS サポート ユーザーガイドサポートケースの作成

public static string createAttachmentSet() throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); // Get content and file name for an attachment. System.out.println("Enter text content for an attachment to the case: "); String attachmentcontent = null; try { attachmentcontent = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the file name for the attachment: "); String attachmentfilename = null; try { attachmentfilename = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } // Create the attachment. Attachment attachment1 = new Attachment(); attachment1.setData(ByteBuffer.wrap(attachmentcontent.getBytes())); attachment1.setFileName("attachmentfilename"); // Add the attachment to an array list. List<Attachment> attachments = new ArrayList<Attachment>(); attachments.add(attachment1); // Create an attachment set and add the attachment array list to it. AddAttachmentsToSetRequest addAttachmentsToSetRequest = new AddAttachmentsToSetRequest(); addAttachmentsToSetRequest.setAttachments(attachments); AddAttachmentsToSetResult addAttachmentsToSetResult = client.addAttachmentsToSet(addAttachmentsToSetRequest); // Get the ID of the attachment set. String attachmentsetid = addAttachmentsToSetResult.getAttachmentSetId(); System.out.println("Attachment ID: " + attachmentsetid); return attachmentsetid;}

サポートケースの作成AWS サポートサービスを使用して AWS サポートケースを作成するには、以下の情報をCreateCaseRequest インスタンスに設定します。

• ServiceCode – 前のセクションで説明したように、DescribeServices アクションを呼び出して取得した AWS サポート サービスコード。

• CategoryCode – サポートケースの問題のタイプを説明するカテゴリコード。

API バージョン 2013-04-1514

AWS サポート ユーザーガイドサポートケースの作成

• Language – AWS サポート がサポートを提供する言語のコード。現在、AWS では英語 (en) と日本語(ja) がサポートされています。

• CcEmailAddresses – その後のコミュニケーションのコピーを受け取るメールアドレスのリスト。• CommunicationBody – 最初のケース送信の本文のテキスト。• Subject – サポートケースの表題。• SeverityCode – DescribeSeverityLevels の呼び出しによって返された値の 1 つ。• AttachmentSetId – (オプション) ケースに含まれる添付ファイルのセットの

ID。AddAttachmentsToSet アクションは ID を返します。

次の Java コードスニペットは、コマンドラインから各ケース作成パラメータの値を収集します。次に、CreateCaseRequest インスタンスが入力され、AWSSupportClient インスタンスの createCaseメソッドを呼び出して AWS サポートに渡します。呼び出しが完了すると、AWS サポート CaseId 値が以下の形式で返されます。

case-123456789012-muen-2012-74a757cd8cf7558a

Note

AWS サポート CaseId と DisplayId のフィールドがあります。DisplayId フィールドは AWS サポートサイトに表示されるケース番号に対応します。CaseId フィールドは、プログラミングによる AWS サポートサービスとの交信に使用されます。2 つのフィールドは、CaseDetails データ型で公開されます。

public static void createCase(AWSSupportClient client) throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); System.out.println("Enter an AWS Service code: "); String servicecode = null; try { servicecode = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter a category code: "); String categorycode = null; try { categorycode = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

System.out.println("Enter a language code, 'en' for English: "); String language = null; try { language = reader.readLine().trim(); } catch (IOException e)

API バージョン 2013-04-1515

AWS サポート ユーザーガイドサポートケースの作成

{ e.printStackTrace(); System.exit(1); }

System.out.println("Enter an email address to copy on correspondence: "); String ccemailaddress = null; try { ccemailaddress = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter body text for the case: "); String communicationbody = null; try { communicationbody = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter a subject for the case: "); String casesubject = null; try { casesubject = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the severity code for the case: "); String severitycode = null; try { severitycode = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the attachment set ID for the case: "); String attachmentsetid = null; try { attachmentsetid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } CreateCaseRequest request = new CreateCaseRequest()

API バージョン 2013-04-1516

AWS サポート ユーザーガイドサポートケースコミュニケーションの取得と更新

.withServiceCode(servicecode) .withCategoryCode(categorycode) .withLanguage(language) .withCcEmailAddresses(ccemailaddress) .withCommunicationBody(communicationbody) .withSubject(casesubject) .withSeverityCode(severitycode) .withAttachmentSetId(attachmentsetid); CreateCaseResult result = client.createCase(request); System.out.println("CreateCase() Example: Case created with ID " + result.getCaseId());}

サポートケースコミュニケーションの取得と更新AWS サポート ケースは通常、お客様と AWS サポート プロフェッショナルとのコミュニケーションになります。AWS サポート には、このコミュニケーションを取得するための DescribeCommunicationsおよび DescribeAttachment アクション、ケースを更新するための AddAttachmentsToSet およびAddCommunicationToCase アクションが用意されています。これらのアクションでは、Communicationデータ型を使用して、更新をサービスに渡したり、コードに返したりします。

次の Java コードスニペットは、AWS サポートケースにコミュニケーションを追加します。たとえば、便宜性のためにプライベート PrintCommunications メソッドが用意されています。

public static void addCommunication(AWSSupportClient client) { System.out.println("Enter the CaseID for the case you want to update."); BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); String caseid = null; try { caseid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

System.out.println("Enter text you want to add to this case."); String addcomm = null; try { addcomm = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

AddCommunicationToCaseRequest request = new AddCommunicationToCaseRequest().withCaseId(caseid) .withCommunicationBody(addcomm); client.addCommunicationToCase(request);

System.out.println( "AddCommunication() Example: Call GetCommunications() " + "if you want to see if the communication was added.");

API バージョン 2013-04-1517

AWS サポート ユーザーガイドすべてのサポートケース情報の取得

}

// DescribeCommunications example

public static void getCommunications(AWSSupportClient client) throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); String caseNumber = null;

System.out.println("Enter an AWS CaseID"); caseNumber = reader.readLine().trim();

{ DescribeCommunicationsRequest request = new DescribeCommunicationsRequest() .withCaseId(caseNumber.toString());

DescribeCommunicationsResult result = client.describeCommunications(request); printCommunications(result.getCommunications());

// Get more pages. while (result.getNextToken() != null) { request.setNextToken(result.getNextToken()); result = client.describeCommunications(request); printCommunications(result.getCommunications()); System.out.println( "GetCommunications() Example: Case communications retrieved" + " for case number " + request.getCaseId().toString()); } }}

private static void printCommunications(List<Communication> communications) { for (Communication communication : communications) { System.out.println("SubmittedBy: " + communication.getSubmittedBy()); System.out.println(" Body: " + communication.getBody()); }

}

Note

DescribeCommunications は、サポートケースから、直近の 5 つのコミュニケーションを返します。また、DescribeCommunications は CaseId 値のリストを取得し、1 回の呼び出しで複数のケースのコミュニケーションを取得できます。

すべてのサポートケース情報の取得DescribeCases アクションを呼び出すことで、AWS サポート ケースに関連するすべての情報を取得できます。DescribeCasesRequest データ型に、createCase 要求が正常に返されたときに、各ケースによって返される ClientId 値のリストを入力します。

次の Java コードスニペットは、コンソールから CaseId 値を受け取り、DescribeCases アクションで使用するために DescribeCasesRequest インスタンスを入力します。便宜性のためにプライベートprintCases メソッドが用意されています。

API バージョン 2013-04-1518

AWS サポート ユーザーガイドサポートケースの解決

public static void getCases(AWSSupportClient client) { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in));

System.out.println("Enter an AWS Support Case ID"); String caseid = null; try { caseid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

DescribeCasesRequest request = new DescribeCasesRequest(); request.withCaseIdList(caseid);

DescribeCasesResult result = client.describeCases(request); printCases(result.getCases());

// Get more pages. while (result.getNextToken() != null) { request.setNextToken(result.getNextToken()); result = client.describeCases(request); printCases(result.getCases()); }}

private static void printCases(List<CaseDetails> caseDetailsList) { for (CaseDetails caseDetails : caseDetailsList) { System.out.println( "Case ID: " + caseDetails.getCaseId()); // This ID is for API use. System.out.println( " Display ID: " + caseDetails.getDisplayId()); // This ID is displayed on the AWS Support website. System.out.println(" Language: " + caseDetails.getLanguage()); System.out.println(" Status: " + caseDetails.getStatus()); System.out.println(" Subject: " + caseDetails.getSubject()); System.out.println("Recent Communications: " + caseDetails.getRecentCommunications()); }}

Note

DescribeCases アクションは、取得するケースの数、ケースのタイプ、詳細情報の量を制御できるパラメータを受け取ります。詳細については、「DescribeCases アクション」を参照してください。

サポートケースの解決AWS サポート には、サポートケースを各自で解決するための ResolveCase アクションが用意されています。次の Java コードの例は使用方法を示します。

public static void resolveSupportCase(AWSSupportClient client)

API バージョン 2013-04-1519

AWS サポート ユーザーガイドサポートケースの解決

{ System.out.println( "Enter the AWS Support case ID for the case you want to resolve."); BufferedReader BR = new BufferedReader(new InputStreamReader(System.in));

String caseid = null; try { caseid = BR.readLine().trim(); } catch (IOException e) { // TODO Auto-generated catch block e.printStackTrace(); }

ResolveCaseResult rcr = client.resolveCase(new ResolveCaseRequest().withCaseId(caseid)); System.out.println("Initial case status: " + rcr.getInitialCaseStatus()); System.out.println("Final case status: " + rcr.getFinalCaseStatus());}

API バージョン 2013-04-1520

AWS サポート ユーザーガイド提供されている Trusted Advisor

チェックのリストを取得する

ウェブサービスとしての TrustedAdvisor の使用

AWS サポート サービスを使用すると、AWS Trusted Advisor と交信するアプリケーションを作成できます。このトピックでは、Trusted Advisor チェックのリストを取得し、その 1 つを更新してから、チェックの結果詳細を取得する方法を説明します。これには、Java を使用します。他の言語のサポートに関する情報については、「Amazon Web Services のツール」を参照してください。

トピック• 提供されている Trusted Advisor チェックのリストを取得する (p. 21)• 提供されている Trusted Advisor チェックのリストを更新する (p. 21)• Trusted Advisor をポーリングして、ステータス変更をチェックする (p. 22)• Trusted Advisor チェック結果のリクエスト (p. 23)• Trusted Advisor のチェック詳細を印刷する (p. 24)

提供されている Trusted Advisor チェックのリストを取得する

次の Java コードスニペットでは、すべての Trusted Advisor アクションを呼び出すために使用できるAWS サポート クライアントのインスタンスを作成します。次に、DescribeTrustedAdvisorChecksアクションを呼び出すことによって、Trusted Advisor チェックのリストと、対応する CheckId 値を取得します。この情報を使って、チェックを実行するか更新するかをユーザーが選択できるユーザーインターフェイスを構築できます。

private static AWSSupport createClient(){ return AWSSupportClientBuilder.defaultClient();}// Get the List of Available Trusted Advisor Checkspublic static void getTAChecks() { // Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese) DescribeTrustedAdvisorChecksRequest request = new DescribeTrustedAdvisorChecksRequest().withLanguage("en"); DescribeTrustedAdvisorChecksResult result = createClient().describeTrustedAdvisorChecks(request); for (TrustedAdvisorCheckDescription description : result.getChecks()) { // Do something with check description. System.out.println(description.getId()); System.out.println(description.getName()); }}

提供されている Trusted Advisor チェックのリストを更新する

次の Java コードスニペットでは、すべての Trusted Advisor データを更新するために使用できる AWS サポート クライアントのインスタンスを作成します。

API バージョン 2013-04-1521

AWS サポート ユーザーガイドTrusted Advisor をポーリングし

て、ステータス変更をチェックする

// Refresh a Trusted Advisor Check// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation.// Specifying the check ID of a check that is automatically refreshed causes an InvalidParameterValue error.public static void refreshTACheck(final String checkId) { RefreshTrustedAdvisorCheckRequest request = new RefreshTrustedAdvisorCheckRequest().withCheckId(checkId); RefreshTrustedAdvisorCheckResult result = createClient().refreshTrustedAdvisorCheck(request); System.out.println("CheckId: " + result.getStatus().getCheckId()); System.out.println("Milliseconds until refreshable: " + result.getStatus().getMillisUntilNextRefreshable()); System.out.println("Refresh Status: " + result.getStatus().getStatus());}

Trusted Advisor をポーリングして、ステータス変更をチェックする

Trusted Advisor チェックを実行して最新の状態データを生成する要求を送信したら、DescribeTrustedAdvisorCheckRefreshStatuses アクションを使用してチェック実行の進行状況と、いつ新しいデータでチェックの準備ができるかをリクエストします。

次の Java コードスニペットは、CheckId 変数内の対応する値を使用して、次のセクションで要求したチェックのステータスを取得します。また、コードは、Trusted Advisor サービスの他の使用方法を示します。

1. getMillisUntilNextRefreshable の呼び出しは、DescribeTrustedAdvisorCheckRefreshStatusesResult インスタンス内に含まれるオブジェクトをトラバースすることによって実行できます。返された値を使用して、チェックの更新を続けるのにコードが必要かどうかをテストできます。

2. timeUntilRefreshable が 0 の場合、チェックの更新を要求できます。3. 返されたステータスを使って、ステータスの変更のポーリングを続けることができます。このコード

スニペットは、ポーリング間隔を推奨値の 10 秒に設定しています。ステータスが enqueued またはin_progress のいずれかの場合、ループは回帰し、他のステータスを要求します。呼び出しによってsuccessful が返ってきた場合は、ループは終了します。

4. 最後に、コードは、チェックによって生成された情報をトラバースするために使用できる、DescribeTrustedAdvisorCheckResultResult データ型のインスタンスを返します。

注: リクエストのステータスをポーリングする前に、単一の更新リクエストを使用します。

// Retrieves TA refresh statuses. Multiple checkId's can be submitted.public static List<TrustedAdvisorCheckRefreshStatus> getTARefreshStatus(final String... checkIds) { DescribeTrustedAdvisorCheckRefreshStatusesRequest request = new DescribeTrustedAdvisorCheckRefreshStatusesRequest().withCheckIds(checkIds); DescribeTrustedAdvisorCheckRefreshStatusesResult result = createClient().describeTrustedAdvisorCheckRefreshStatuses(request); return result.getStatuses();}// Retrieves a TA check status, and checks to see if it has finished processing.public static boolean isTACheckStatusInTerminalState(final String checkId) { // Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list. TrustedAdvisorCheckRefreshStatus status = getTARefreshStatus(checkId).get(0);

API バージョン 2013-04-1522

AWS サポート ユーザーガイドTrusted Advisor チェック結果のリクエスト

// Valid statuses are: // 1. "none", the check has never been refreshed before. // 2. "enqueued", the check is waiting to be processed. // 3. "processing", the check is in the midst of being processed. // 4. "success", the check has succeeded and finished processing - refresh data is available. // 5. "abandoned", the check has failed to process. return status.getStatus().equals("abandoned") || status.getStatus().equals("success");}// Enqueues a Trusted Advisor check refresh. Periodically polls the check refresh status for completion.public static TrustedAdvisorCheckResult getFreshTACheckResult(final String checkId) throws InterruptedException { refreshTACheck(checkId); while(!isTACheckStatusInTerminalState(checkId)) { Thread.sleep(10000); } return getTACheckResult(checkId);}// Retrieves fresh TA check data whenever possible.// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation. This method// is only functional for checks that can be refreshed using the RefreshTrustedAdvisorCheck operation.public static void pollForTACheckResultChanges(final String checkId) throws InterruptedException { String checkResultStatus = null; do { TrustedAdvisorCheckResult result = getFreshTACheckResult(checkId); if (checkResultStatus != null && !checkResultStatus.equals(result.getStatus())) { break; } checkResultStatus = result.getStatus(); // The rule refresh has completed, but due to throttling rules the checks may not be refreshed again // for a short period of time. // Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list. TrustedAdvisorCheckRefreshStatus refreshStatus = getTARefreshStatus(checkId).get(0); Thread.sleep(refreshStatus.getMillisUntilNextRefreshable()); } while(true); // Signal that a TA check has changed check result status here.}

Trusted Advisor チェック結果のリクエスト目的の詳細な結果についてチェックを選択したら、DescribeTrustedAdvisorCheckResult アクションを使って要求を送信します。

次の Java コードスニペットでは、前のコードスニペットで取得された result 変数によって参照される、DescribeTrustedAdvisorChecksResult インスタンスを使用します。ユーザーインターフェイスを通じてインタラクティブにチェックを定義する代わりに、このスニペットを実行する要求を送信した後で、result.getChecks().get(0) 呼び出しごとに 0 のインデックス値を指定することによってリスト内の最初のチェックを実行する要求を送信します。次に、コードでは、checkResult と呼ばれる DescribeTrustedAdvisorCheckResultResult のインスタンスに渡す DescribeTrustedAdvisorCheckResultRequest のインスタンスを定義します。チェックの結果を見るには、このデータ型のメンバー構造体を使用します。

// Request a Trusted Advisor Check Resultpublic static TrustedAdvisorCheckResult getTACheckResult(final String checkId) {

API バージョン 2013-04-1523

AWS サポート ユーザーガイドTrusted Advisor のチェック詳細を印刷する

DescribeTrustedAdvisorCheckResultRequest request = new DescribeTrustedAdvisorCheckResultRequest() // Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese) .withLanguage("en") .withCheckId(checkId); DescribeTrustedAdvisorCheckResultResult requestResult = createClient().describeTrustedAdvisorCheckResult(request); return requestResult.getResult();}

注: チェック結果を要求しても、更新された Trusted Advisor 結果データは生成されません。

Trusted Advisor のチェック詳細を印刷する次の Java コードスニペットは、Trusted Advisor チェックによってフラグが付けられたリソースのリストを取得するために前のセクションで返された DescribeTrustedAdvisorCheckResultResult インスタンス上を反復します。

// Print ResourceIds for flagged resources. for (TrustedAdvisorResourceDetail flaggedResource : result1.getResult().getFlaggedResources()){ System.out.println( "The resource for this ResourceID has been flagged: " + flaggedResource.getResourceId());}

API バージョン 2013-04-1524

AWS サポート ユーザーガイドデータ保護

AWS サポート でのセキュリティAWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。

• クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS サポート に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。

• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、AWS サポート を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように AWS サポート を設定する方法について説明します。また、AWS サポート リソースのモニタリングや保護に役立つ AWS の他のサービスの使用方法についても説明します。

トピック• AWS サポート でのデータ保護 (p. 25)• AWS サポート の Identity and Access Management (p. 26)• インシデントへの対応 (p. 43)• AWS サポート でのログ記録とモニタリング (p. 43)• AWS サポート のコンプライアンス検証 (p. 49)• AWS サポート でのレジリエンス (p. 49)• AWS サポート でのインフラストラクチャセキュリティ (p. 50)• AWS サポート での設定と脆弱性の分析 (p. 50)

AWS サポート でのデータ保護AWS サポート は、データ保護の規制やガイドラインを含む AWS 責任共有モデルに準拠しています。AWS は、AWS のすべてのサービスを実行するグローバルなインフラストラクチャを保護する責任を負います。また、AWS は、カスタマーコンテンツや個人データを取り扱うためのセキュリティ設定の管理など、このインフラストラクチャ上でホスティングされるデータの管理を担当します。AWS のお客様とAPN パートナーは、データ管理者やデータ処理者として、AWS クラウド内に保存した個人データに対する責任を負います。

データ保護目的の場合、AWS アカウント認証情報を保護して IAM (AWS Identity and AccessManagement) で個々のユーザーアカウントをセットアップし、そのユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されるようにすることをお勧めします。また、以下の方法でデータを保護することをお勧めします。

• 各アカウントで多要素認証 (MFA) を使用します。

API バージョン 2013-04-1525

AWS サポート ユーザーガイドIdentity and access management

• SSL/TLS を使用して AWS リソースと通信します。

• AWS CloudTrail で API とユーザーアクティビティログをセットアップします。• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使

用します。• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3

に保存される個人データの検出と保護が支援されます。

顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK によって AWSサポート や他の AWS のサービスを使用する場合も同様です。AWS サポート や他のサービスに入力したすべてのデータは、診断ログに取り込まれる可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、AWS セキュリティブログのブログ投稿「AWS の責任共有モデルとGDPR」を参照してください。

AWS サポート は、TLS で保護されたチャネルを介して排他的にデータを収集し、アクセスします。

AWS サポート の Identity and Access ManagementAWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、AWS サポート リソースを使用するために認証 (サインイン) および承認 (アクセス許可を持つ) される者を制御します。IAM は、追加料金なしで使用できる AWS のサービスです。

トピック• 対象者 (p. 26)• アイデンティティを使用した認証 (p. 27)• ポリシーを使用したアクセスの管理 (p. 29)• AWS サポート と IAM の連携 (p. 30)• AWS サポート アイデンティティベースのポリシーの例 (p. 31)• サービスにリンクされたロールの使用 (p. 33)• AWS Trusted Advisor のアクセスの管理 (p. 38)• AWS サポート Identity and Access のトラブルシューティング (p. 41)

対象者AWS Identity and Access Management (IAM) の用途は、AWS サポート で行う作業によって異なります。

サービスユーザー – ジョブを実行するために AWS サポート サービスを使用する場合は、管理者が必要なアクセス許可と認証情報を用意します。作業を実行するためにさらに多くの AWS サポート 機能を使用するとき、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切なアクセス許可をリクエストするのに役に立ちます。AWS サポート の機能にアクセスできない場合は、「AWS サポート Identity and Access のトラブルシューティング (p. 41)」を参照してください。

サービス管理者 – 社内の AWS サポート リソースを担当している場合は、おそらく AWS サポート へのフルアクセスがあります。従業員がどの AWS サポート 機能とリソースアクセスする必要があるかを決定するのは管理者の仕事です。その後で、サービスユーザーのアクセス許可を変更するために、IAM 管理者

API バージョン 2013-04-1526

AWS サポート ユーザーガイドアイデンティティを使用した認証

にリクエストを送信する必要があります。IAM の基本概念については、このページの情報を確認します。お客様の会社で AWS サポート の IAM を利用する方法の詳細については、「AWS サポート と IAM の連携 (p. 30)」を参照して ください。

IAM 管理者 – IAM 管理者は、AWS サポート へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS サポート アイデンティティベースのポリシーの例を表示するには、「AWS サポート アイデンティティベースのポリシーの例 (p. 31)」を参照して ください。

アイデンティティを使用した認証認証は、アイデンティティ認証情報を使用して AWS にサインインする方法です。AWS マネジメントコンソール を使用するサインインの詳細については、IAM ユーザーガイド の「IAM コンソールとサインインページ」を参照してください。

AWS アカウントのルートユーザー、IAM ユーザーとして、または IAM ロールを引き受けて、認証されている (AWS にサインインしている) 必要があります。会社のシングルサインオン認証を使用することも、Google や Facebook を使用してサインインすることもできます。このような場合、管理者は以前にIAM ロールを使用して ID フェデレーションを設定しました。他の会社の認証情報を使用して AWS にアクセスした場合、ロールを間接的に割り当てられています。

AWS マネジメントコンソール へ直接サインインするには、ルートユーザー E メールまたは IAM ユーザー名とパスワードを使用します。ルートユーザー または IAM を使用して AWS にプログラム的にアクセスできます。AWS では、SDK とコマンドラインツールを提供して、お客様の認証情報を使用して、リクエストに暗号で署名できます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。これには、インバウンド API リクエストを認証するためのプロトコル、署名バージョン 4 を使用します。リクエストの認証の詳細については、AWS General Referenceの「署名バージョン 4 の署名プロセス」を参照してください。

使用する認証方法を問わず、追加のセキュリティ情報の提供を要求される場合もあります。たとえば、AWS では多要素認証 (MFA) を使用してアカウントのセキュリティを高めることを推奨しています。詳細については、IAM ユーザーガイドの「AWS のデバイスに多要素認証 (MFA) を使用」を参照してください。

AWS アカウントのルートユーザーAWS アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティはAWS アカウント ルートユーザー と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

IAM ユーザーとグループIAM ユーザーは、単一のユーザーまたはアプリケーションに特定のアクセス許可がある AWS アカウント内のアイデンティティです。IAM ユーザーは、ユーザー名とパスワード、アクセスキーのセットなど、長期的な認証情報を持つことができます。アクセスキーを生成する方法の詳細については、IAM ユーザーガイド の「IAM ユーザーのアクセスキーの管理」を参照してください。IAM ユーザーにアクセスキーを生成するとき、必ずキーペアを表示して安全に保存してください。後になって、シークレットアクセスキーを回復することはできません。新しいアクセスキーペアを生成する必要があります。

IAM グループは、IAM ユーザーのコレクションを指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、一度に複数のユーザーに対してアクセス許可を指定で

API バージョン 2013-04-1527

AWS サポート ユーザーガイドアイデンティティを使用した認証

きます。多数の組のユーザーがある場合、グループを使用すると管理が容易になります。たとえば、IAMAdmin という名前のグループを設定して、そのグループに IAM リソースを管理するアクセス許可を与えることができます。

ユーザーは、ロールとは異なります。ユーザーは 1 人の特定の人またはアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時的な認証情報が利用できます。詳細については、IAMユーザーガイド の「IAM ユーザーの作成が適している場合 (ロールではなく)」を参照してください。

IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のアイデンティティです。これは IAMユーザーに似ていますが、特定のユーザーに関連付けられていません。ロールを切り替えて、AWS マネジメントコンソール で IAM ロールを一時的に引き受けることができます。ロールを引き受けるには、AWSCLI または AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、IAM ユーザーガイド の「IAM ロールの使用」を参照してください。

IAM ロールと一時的な認証情報は、次の状況で役立ちます。

• 一時的な IAM ユーザーアクセス許可 – IAM ユーザーは、特定のタスクに対して複数の異なるアクセス許可を一時的に IAM ロールで引き受けることができます。

• フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーに既存のアイデンティティを使用できます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、IAM ユーザーガイドの「フェデレーティッドユーザーとロール」を参照してください。

• クロスアカウントアクセス – IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを別のアカウントの信頼済みプリンシパルに許可できます。ロールは、クロスアカウントアクセスを許可する主な方法です。ただし、一部の AWS のサービスでは、(ロールをプロキシとして使用する代わりに) リソースにポリシーを直接アタッチできます。クロスアカウントアクセスでのロールとリソースベースのポリシーの違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

• AWS サービスアクセス – サービスロールは、サービスがお客様に代わってお客様のアカウントでアクションを実行するために引き受ける IAM ロールです。一部の AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からロールを作成、修正、削除できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドのAWS サービスにアクセス権限を委任するロールの作成を参照してください。

• Amazon EC2で実行されているアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイドの「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する」を参照してください。

IAM ロールを使用するべきかどうかについては、IAM ユーザーガイド の「IAM ロール (ユーザーではない)の作成が適している場合」を参照してください。

API バージョン 2013-04-1528

AWS サポート ユーザーガイドポリシーを使用したアクセスの管理

ポリシーを使用したアクセスの管理AWS でアクセスをコントロールするには、ポリシーを作成して IAM アイデンティティや AWS リソースにアタッチします。ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、エンティティ (ルートユーザー、IAM ユーザーまたはIAM ロール) によってリクエストが行われると、それらのポリシーを評価します。ポリシーでのアクセス許可により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWS に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、IAM ユーザーガイド の「JSON ポリシー概要」を参照してください。

IAM 管理者は、ポリシーを使用して、AWS リソースへのアクセスを許可するユーザーと、これらのリソースで実行できるアクションを指定できます。すべての IAM エンティティ (ユーザーまたはロール) は、アクセス許可のない状態からスタートします。言い換えると、デフォルト設定では、ユーザーは何もできず、自分のパスワードを変更することすらできません。何かを実行するアクセス許可をユーザーに付与するには、管理者がユーザーにアクセス許可ポリシーをアタッチする必要があります。また、管理者は、必要なアクセス許可があるグループにユーザーを追加できます。管理者がグループにアクセス許可を付与すると、そのグループ内のすべてのユーザーにこれらのアクセス許可が付与されます。

IAM ポリシーは、オペレーションの実行方法を問わず、アクションのアクセス許可を定義します。たとえば、iam:GetRole アクションを許可するポリシーがあるとします。このポリシーがあるユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からロールの情報を取得できます。

アイデンティティベースのポリシーアイデンティティベースのポリシーは、IAM ユーザー、ロール、グループなどのアイデンティティにJSON ドキュメントとしてアタッチできるアクセス許可ポリシーです。これらのポリシーは、アイデンティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「IAM ポリシー の 作成」を参照してください 。

アイデンティティベースのポリシーは、さらにインラインポリシーまたは管理ポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンポリシーです。管理ポリシーには、AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。管理ポリシーまたはインラインポリシーのいずれかを選択する方法については、IAM ユーザーガイド の「管理ポリシーとインラインポリシーの比較」を参照してください。

その他のポリシータイプAWS では、別のあまり一般的ではないポリシータイプもサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大のアクセス許可を設定できます。

• アクセス許可の境界 – アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティ(IAM ユーザーまたはロール) に付与できるアクセス許可の上限を設定する高度な機能です。エンティティのアクセス許可の境界を設定できます。結果として得られるアクセス許可は、エンティティの IDベースのポリシーとそのアクセス許可の境界の共通部分です。Principal フィールドでユーザーまたはロールを指定するリソースベースのポリシーは、アクセス許可の境界では制限されません。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。アクセス許可の境界の詳細については、IAM ユーザーガイド の「IAM エンティティのアクセス許可の境界」を参照してください。

• サービスコントロールポリシー (SCP) – SCP は、AWS Organizations で 組織や組織単位 (OU) に最大権限を指定する JSON ポリシーです。AWS Organizations は、お客様のビジネスが所有する複数の AWSアカウントをグループ化し、一元的に管理するサービスです。組織内のすべての機能を有効にすると、サービス制御ポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP はメンバーアカウントのエンティティに対するアクセス許可を制限します (各 AWS アカウントのルートユーザー など)。Organizations および SCP の詳細については、AWS Organizations ユーザーガイド の「SCP の動作」を参照してください。

• セッションポリシー – セッションポリシーは、ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果として得られる

API バージョン 2013-04-1529

AWS サポート ユーザーガイドAWS サポート と IAM の連携

セッションのアクセス許可は、ユーザーまたはロールの ID ベースのポリシーとセッションポリシーの共通部分です。また、リソースベースのポリシーからアクセス許可が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。詳細については、IAM ユーザーガイド の「セッションポリシー」を参照してください。

複数のポリシータイプ1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに複雑になります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法の詳細については、IAM ユーザーガイド の「ポリシーの評価ロジック」を参照してください。

AWS サポート と IAM の連携AWS サポート へのアクセスを管理するために IAM 使用する前に、AWS サポート で使用できる IAM 機能を理解しておく必要があります。IAM と連携する AWS サポート や他の AWS のサービスの動作の概要については、『IAM ユーザーガイド』の「IAM と連携する AWS のサービス」を参照してください。

トピック• AWS サポート アイデンティティベースのポリシー (p. 30)• AWS サポート IAM ロール (p. 31)

AWS サポート アイデンティティベースのポリシーIAM アイデンティティベースのポリシーでは、許可または拒否されたアクションやリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。AWS サポート は、特定のアクションをサポートします。JSON ポリシーで使用する要素については、『IAM ユーザーガイド』の「IAM JSON ポリシーエレメントのリファレンス」を参照してください 。

アクションIAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

AWS サポート のポリシーアクションは、アクションの前にプレフィックス support: を使用します。たとえば、Amazon EC2 RunInstances API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可を付与するには、ポリシーに ec2:RunInstances アクションを含めます。ポリシーステートメントには、Action 要素あるいは NotAction 要素を含める必要があります。AWS サポートは、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "ec2:action1", "ec2:action2"

ワイルドカード (*) を使用して複数のアクションを指定することができます。たとえば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "ec2:Describe*"

AWS サポート のアクションの一覧を表示するには、IAM ユーザーガイド の「AWS サポート で定義されるアクション」を参照してください。

API バージョン 2013-04-1530

AWS サポート ユーザーガイドアイデンティティベースのポリシーの例

例

AWS サポート アイデンティティベースのポリシーの例を表示するには、「AWS サポート アイデンティティベースのポリシーの例 (p. 31)」を参照してください。

AWS サポート IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。

AWS サポート を使用した一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

AWS サポートでは、一時認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

AWS サポート はサービスにリンクされたロールをサポートします。AWS サポート サービスにリンクされたロールの作成または管理の詳細については、「AWS サポート のサービスにリンクされたロールの使用 (p. 33)」を参照してください。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。

AWS サポート ではサービスロールがサポートされています。

AWS サポート アイデンティティベースのポリシーの例デフォルトでは、IAM ユーザーおよびロールには、AWS サポート リソースを作成または変更するアクセス許可がありません。また、AWS マネジメントコンソール、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「[JSON] タブでのポリシーの 作成」を参照してください。

トピック• ポリシーのベストプラクティス (p. 32)• AWS サポート コンソールを使用する (p. 32)• 自分のアクセス許可の表示をユーザーに許可する (p. 32)

API バージョン 2013-04-1531

AWS サポート ユーザーガイドアイデンティティベースのポリシーの例

ポリシーのベストプラクティスアイデンティティベースのポリシーは非常に強力です。アカウント内で、AWS サポート リソースを作成、アクセス、または削除できるかどうかを決定します。 アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います。

• AWS 管理ポリシーの使用を開始する – AWS サポート の使用をすばやく開始するには、AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントですでに有効になっており、AWS によって管理および更新されています。詳細については、『IAM ユーザーガイド』の「AWS 管理ポリシーを使用したアクセス許可の使用開始」を参照してください。

• 最小権限を付与する – カスタムポリシーを作成するときは、タスクを実行するために必要なアクセス許可のみを付与します。最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します。この方法は、寛容なアクセス権限で始め、後でそれらを強化しようとするよりも安全です。詳細については、「最小権限を付与する」 (IAM ユーザーガイド) を参照してください。

• 機密性の高いオペレーションに MFA を有効にする – 追加セキュリティとして、機密性の高リソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、『IAM ユーザーガイド』の「AWS のデバイスに多要素認証 (MFA) を使用」を参照してください。

• 追加セキュリティに対するポリシー条件を使用する – 実行可能な範囲内で、アイデンティティベースのポリシーがリソースにアクセスできる条件を定義します。たとえば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。ポリシー要素の詳細については、『IAM ユーザーガイド』の「IAM JSON ポリシー要素: 条件」を参照してください。

AWS サポート コンソールを使用するAWS サポート コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウントの AWS サポート リソースの詳細をリストおよび表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。

これらのエンティティが AWS サポート コンソールを使用できるように、エンティティに次の AWS 管理ポリシーもアタッチします。詳細については、『IAM ユーザーガイド』の「ユーザーへのアクセス許可の追加」を参照してください。

AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

自分のアクセス許可の表示をユーザーに許可するこの例は

この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWSAPI を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy",

API バージョン 2013-04-1532

AWS サポート ユーザーガイドサービスにリンクされたロールの使用

"iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

サービスにリンクされたロールの使用AWS サポート および AWS Trusted Advisor は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、AWS サポート および TrustedAdvisor に直接リンクされた一意の IAM ロールです。いずれの場合も、サービスに関連付けられたロールは事前定義されたロールです。このロールには、AWS サポート または Trusted Advisor がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。次のトピックでは、サービスにリンクされたロールの役割および AWS サポート と Trusted Advisor での操作方法について解説します。

トピック• AWS サポート のサービスにリンクされたロールの使用 (p. 33)• Trusted Advisor のサービスにリンクされたロールの使用 (p. 35)

AWS サポート のサービスにリンクされたロールの使用AWS サポート ツールは API コールを使用してご使用の AWS リソースに関する情報を収集し、世界規模のカスタマーサービスやテクニカルサポートを提供します。サポートアクティビティの透明性と監査可能性を高めるため、AWS サポート では AWS Identity and Access Management (IAM) サービスにリンクされたロールが使用されます。サービスにリンクされたロールは、IAM および AWS サポート に直接リンクされた一意の AWSServiceRoleForSupport ロールです。このサービスにリンクされたロールは、AWS サポート がお客様に代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれた事前定義済みロールです。AWS サポート ではこのサービスにリンクされたロールをさまざまな方法で使用します。

• 請求、管理、サポート、およびその他のカスタマーサービス。 AWS のお客様には自動的に AWS カスタマーサービスへの常時アクセスが付与されます。AWS のカスタマーサービスでは、サービスにリンクされたロールにより付与されたアクセス許可を使用して、サポートプランの一部である多くのサービスを実行しています。アカウントと請求に関するご質問に対する調査および回答、アカウントの管理サポートの提供、サービス制限の緩和、その他のカスタマーサポートの提供などがあります。

• AWS アカウントのサービス属性と使用状況データの処理。 請求、管理、およびサポートの各サービスを提供するために、AWS サポート はサービスにリンクされたロールによって付与されたアクセス許可を使用して、AWS アカウントのサービス属性および使用状況データにアクセスすることがあります。

API バージョン 2013-04-1533

AWS サポート ユーザーガイドサービスにリンクされたロールの使用

サービス属性には、お客様のアカウントのリソース識別子、メタデータタグ、ロール、アクセス権限が含まれます。使用状況データには、試用ポリシー、使用統計、および分析が含まれます。

• アカウントとそのリソースのオペレーション状態を維持します。AWS サポート は自動化されたツールを使用して、オペレーションサポートおよびテクニカルサポートに関連するアクションを実行します。

これらのサービスを提供するために、ロールの事前定義済みアクセス権限によって、AWS サポート に対し、リソースメタデータ (お客様のデータではなく) にアクセスする権限が付与されます。このロールを引き受けることができるのは、AWS アカウント内に存在する AWS サポート ツールのみです。

お客様データを含む可能性のあるフィールドを修正します。たとえば、AWS Step Functions API コールのGetExecutionHistory の入力フィールドと出力フィールドは、AWS サポートには表示されません。

AWSServiceRoleForSupport ロールまたはそのユーザーの詳細については、AWS サポート にお問い合わせください。

Note

AWS Trusted Advisor では、個別の IAM サービスにリンクされたロールを使用して、アカウントの AWS リソースにアクセスし、ベストプラクティスの推奨やチェックを提供します。詳細については、「Trusted Advisor のサービスにリンクされたロールの使用 (p. 35)」を参照してください。

AWSServiceRoleForSupport サービスにリンクされたロールを使用すると、すべてのサポート APIコールが AWS CloudTrail を介してお客様に表示されます。これにより、AWS サポート がお客様に代わって実行するアクションを理解する透明性の高い方法が提供されることで、要件のモニタリングおよび監査に役立ちます。CloudTrail の詳細については、AWS CloudTrail User Guide を参照してください。

AWS サポート のサービスにリンクされたロールのアクセス許可AWSServiceRoleForSupport サービスにリンクされたロールは、ロールを引き受ける上でsupport.amazonaws.com サービスを信頼します。サービスにリンクされたロールのアクセス権限ポリシーには、お客様の代わりに AWS サポート がアクションを実行する上で必要なアクセス権限がすべて含まれています。

AWSServiceRoleForSupport ロールまたはそのユーザーの詳細については、AWS サポート にお問い合わせください。

AWS サポート のサービスにリンクされたロールの作成AWSServiceRoleForSupport ロールを手動で作成する必要はありません。新しい AWS アカウントを作成するときに、このロールが自動的に作成され、設定されます。

Important

サービスにリンクされたロールのサポートが開始されるより以前に AWS サポート を使用していた場合は、AWS によって AWSServiceRoleForSupport ロールがアカウントに作成されています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

AWS サポート のサービスにリンクされたロールの編集と削除AWSServiceRoleForSupport サービスにリンクされたロールの説明は、IAM を使用して編集できます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

AWSServiceRoleForSupport ロールは、AWS サポート がお客様のアカウントの管理、オペレーション、技術的なサポートを提供するために必要です。従って、このロールは IAM コンソール、API、またはCLI を使用して削除することはできません。これにより、サポートの各サービスを管理するのに必要なアクセス権限を誤って削除することがなくなり、AWS アカウントが保護されます。

AWSServiceRoleForSupport ロールまたはそのユーザーの詳細については、AWS サポート にお問い合わせください。

API バージョン 2013-04-1534

AWS サポート ユーザーガイドサービスにリンクされたロールの使用

Trusted Advisor のサービスにリンクされたロールの使用AWS Trusted Advisor は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Trusted Advisor に直接リンクされた一意の IAM ロールです。サービスにリンクされたロールは Trusted Advisor によって事前に定義され、代理で他の AWS サービスを呼び出すすべてのアクセス許可を含みます。Trusted Advisor はこのロールを使用して AWS 全体にわたる使用状況を確認し、AWS 環境を向上するための推奨事項を提供します。たとえば、Trusted Advisorはコストの節約、パフォーマンスの増強、障害耐性、セキュリティの向上ができるかどうか、AmazonEC2 インスタンスの使用状況を分析します。

この AWSServiceRoleForTrustedAdvisor ロールを使用すると、必要なアクセス権限を TrustedAdvisor に追加する必要がなくなるため、AWS アカウントの使用開始が簡素化されます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。そのアクセス許可ポリシーを他のIAM エンティティにアタッチすることはできません。

Trusted Advisor の機能またはサービスが不要な場合は、AWSServiceRoleForTrustedAdvisorロールを削除することをお勧めします。ロールを削除できるのは、先に Trusted Advisor を無効にした後のみです。この保護により、Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。Trusted Advisor を無効にすると、オフライン処理や通知などを含むサービスの機能がすべて無効になります。また、連結アカウントに対して Trusted Advisor を無効にすると、別の支払いアカウントも影響を受けます。つまり、コストを削減する方法を特定する Trusted Advisorチェックは実行されません。Trusted Advisor を再び有効にするには、先に IAM を通じてアカウントにAWSServiceRoleForTrustedAdvisor サービスロールをインストールする必要があります。

Note

AWS サポート は個別の IAM サービスにリンクされたロールを使用してアカウントのリソースにアクセスし、請求サービス、管理サービス、サポートサービスを提供します。詳細については、「AWS サポート のサービスにリンクされたロールの使用 (p. 33)」を参照してください。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、「IAM と連携する AWS のサービス」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Trusted Advisor のサービスにリンクされたロールのアクセス許可Trusted Advisor では、AWSServiceRoleForTrustedAdvisor— という名前のサービスにリンクされたロールを使用します。これは、Trusted Advisor がお客様に代わって AWS のサービスにアクセスすることを許可するロールです。

AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールは、ロールtrustedadvisor.amazonaws.com を継承するためにサービスを信頼します。

ロールのアクセス権限ポリシーは、指定したリソースに対して以下のアクションを完了することをTrusted Advisor に許可します。

• アクション: all AWS resources で Read-only access

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。

IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを作成することを許可するには

AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを手動で作成する必要はありません。AWS アカウントを開くと、Trusted Advisor が作成されます。

この手順は、Trusted Advisor アカウントが無効化されサービスにリンクされたロールが削除されており、ユーザーが Trusted Advisor を再度有効にするためにロールを再作成する必要がある場合にのみ必要です。

API バージョン 2013-04-1535

AWS サポート ユーザーガイドサービスにリンクされたロールの使用

サービスにリンクされたロールを作成する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加します。

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールの説明を編集することを許可するには

このロールの性質上、編集できるのは説明のみです。

サービスにリンクされたロールの説明を編集する IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを削除することを許可するには

サービスにリンクされたロールを削除する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加します。

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

また、AdministratorAccess などの AWS 管理ポリシーを使用して、Trusted Advisor へのフルアクセスを付与することもできます。

Trusted Advisor のサービスにリンクされたロールの作成AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを手動で作成する必要はありません。サービスにリンクされたロールは、open an AWS account すると Trusted Advisor で自動的に作成されます。

Important

サービスにリンクされたロールのサポートが開始される前に Trusted Advisor サービスを使用していた場合は、Trusted Advisor によって、AWSServiceRoleForTrustedAdvisor ロールが既に

API バージョン 2013-04-1536

AWS サポート ユーザーガイドサービスにリンクされたロールの使用

アカウントに作成されています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

お客様のアカウントに AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールが設定されていない場合、Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーがTrusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生します。この場合は、IAM を使用して「AWSServiceRoleForTrustedAdvisor」サービスにリンクされたロールを作成してから、Trusted Advisor を有効にします。

Trusted Advisor を有効にするには (コンソール)

1. IAM コンソール、IAM CLI、または IAM API で、Trusted Advisor ユースケースを使用して新しいサービスにリンクされたロールを作成します。詳細については、「サービスにリンクされたロールの作成」を参照してください。

2. AWS マネジメントコンソール にサインインして Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

Trusted Advisor コンソールのエクスペリエンスは [Disabled Trusted Advisor (無効な Trusted Advisor)]ステータスバナーによってブロックされます。

3. [Disabled (無効)] ステータスバナーから [Enable Trusted Advisor Role (ロールを有効にする)] を選択します。成功すると、Trusted Advisor コンソールエクスペリエンスが有効化されます。必要な「AWSServiceRoleForTrustedAdvisor」が検出されない場合は、[Disabled (無効)] ステータスバナーが残ります。

Trusted Advisor のサービスにリンクされたロールの編集

Trusted Advisor サービスにリンクされたロールがアカウントに設定されていない場合、Trusted Advisor でAWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM コンソール、IAM CLI、または IAM APIを使用してロールの説明を編集することはできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Trusted Advisor のサービスにリンクされたロールの削除

Trusted Advisor の機能またはサービスが不要な場合は、AWSServiceRoleForTrustedAdvisor ロールを削除することをお勧めします。Trusted Advisor を無効にして、その後サービスにリンクされたロールを削除すると、すべての Trusted Advisor の機能がアカウント全体でブロックされます。Trusted Advisor コンソールはブロックされ、[Disabled] ステータスが表示されます。Trusted Advisor への API コールは、アクセス拒否エラーを返します。

IAM を使用して「AWSServiceRoleForTrustedAdvisor」ロールを削除する前に、コンソールでTrusted Advisor を無効にしておく必要があります。

Note

Trusted Advisor を無効にして、サービスにリンクされたロールを削除する場合、リンクされた個別の支払いアカウント内の一部のコスト削減機能に悪影響があります。

IAM を使用してサービスにリンクされたロールを削除する前に、コンソールを使用して Trusted Advisor を無効にしておく必要があります。

Trusted Advisor を無効にするには (コンソール)

1. AWS マネジメントコンソール にサインインして Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

2. Trusted Advisor コンソールのナビゲーションペインで、[Preferences (設定)] を選択します。

API バージョン 2013-04-1537

AWS サポート ユーザーガイドAWS Trusted Advisor のアクセスの管理

3. [Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)] セクションで、[Disable Trusted Advisor (無効にする)] を選択します。

4. 確認ダイアログボックスで、[OK] を選択して、Trusted Advisor を無効にすることを確認します。

成功すると、すべての Trusted Advisor 機能が無効になり、Trusted Advisor コンソールには [Disabled (無効)] ステータスバナーのみが表示されます。

その後、IAM コンソール、IAM CLI、または IAM API を使用して、「AWSServiceRoleForTrustedAdvisor」という名前の Trusted Advisor サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

AWS Trusted Advisor のアクセスの管理AWS Trusted Advisor は AWS マネジメントコンソール からアクセスできます。すべての AWS アカウントは、一部のコア Trusted Advisor チェックへのアクセス許可を持っています。ビジネスまたはエンタープライズサポートプランをお持ちの場合は、すべての Trusted Advisor チェックにアクセスできます。

AWS Identity and Access Management (IAM) を使用して、Trusted Advisor へのアクセスを制御できます。

トピック• Trusted Advisor コンソールのアクセス許可 (p. 38)• Trusted Advisor アクション (p. 38)• IAM ポリシーの例 (p. 39)• 以下の資料も参照してください。 (p. 41)

Trusted Advisor コンソールのアクセス許可Trusted Advisor コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウントの Trusted Advisor リソースの一覧と詳細を表示できます。

次のオプションを使用して、Trusted Advisor へのアクセスを制御できます。

• Trusted Advisor コンソールのタグフィルター機能を使用します。ユーザーまたはロールには、タグに関連付けられたアクセス許可が必要です。

AWS 管理ポリシーまたはカスタムポリシーを使用して、タグでアクセス許可を割り当てることができます。詳細については、「タグ付け許可の取得」を参照してください。

• アクションとリソースに対するアクセス許可を指定できるように、trustedadvisor 名前空間を使用して IAM ポリシーを作成します。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。Trusted Advisor の名前空間は trustedadvisor. です。

Important

trustedadvisor 名前空間を使用して、AWS サポート API での Trusted Advisor API オペレーションを許可または拒否することはできません。AWS サポート の名前空間は support です。

Trusted Advisor アクションコンソールでは、次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションを IAM ポリシーで指定して、特定のアクションを許可または拒否することもできます。

API バージョン 2013-04-1538

AWS サポート ユーザーガイドAWS Trusted Advisor のアクセスの管理

アクション 説明

DescribeAccount Trusted Advisor のサポート計画と設定を表示します。

DescribeAccountAccess アカウントが Trusted Advisor を有効化したか無効化したかを表示します。

DescribeCheckItems コンソールで Trusted Advisor チェックの詳細を表示します。

DescribeCheckRefreshStatuses Trusted Advisor チェックの更新ステータスを表示します。

DescribeCheckSummaries Trusted Advisor チェックの概要を表示します。

DescribeChecks Trusted Advisor チェックの詳細を表示します。

DescribeNotificationPreferences アカウントの Trusted Advisor の通知設定を表示します。

ExcludeCheckItems Trusted Advisor チェックからの推奨事項を除外します。

IncludeCheckItems Trusted Advisor チェックからの推奨事項を含めます。

RefreshCheck 指定したチェックのステータスを更新します。

SetAccountAccess アカウントに対して Trusted Advisor を有効または無効にします。

UpdateNotificationPreferences Trusted Advisor の通知設定を更新します。

IAM ポリシーの例次のポリシーは、Trusted Advisor へのアクセスを許可および拒否する方法を示しています。

例• Trusted Advisor へのフルアクセス。 (p. 39)• Trusted Advisor への読み取り専用アクセス (p. 40)• Trusted Advisor へのアクセスを拒否する (p. 40)• 特定のアクションを許可および拒否する (p. 40)• Trusted Advisor の AWS サポート API オペレーションへのアクセスを制御する (p. 40)

Trusted Advisor へのフルアクセス。次のポリシーでは、ユーザーはすべての Trusted Advisor チェックに対してすべてのアクションを表示および実行できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*"

API バージョン 2013-04-1539

AWS サポート ユーザーガイドAWS Trusted Advisor のアクセスの管理

} ]}

Trusted Advisor への読み取り専用アクセス以下のポリシーでは、ユーザーに Trusted Advisor への読み取り専用アクセスを許可します。ユーザーは、変更 (更新チェックや通知設定の変更など) を行うことはできません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:Describe*", "Resource": "*" } ]}

Trusted Advisor へのアクセスを拒否する次のポリシーでは、Trusted Advisor チェックの表示やアクションの実行はユーザーに許可されません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ]}

特定のアクションを許可および拒否する次のポリシーでは、すべての Trusted Advisor チェックの表示はユーザーに許可されますが、チェックの更新は許可されません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ]}

Trusted Advisor の AWS サポート API オペレーションへのアクセスを制御するAWS マネジメントコンソール では、個別の trustedadvisor IAM 名前空間によって Trusted Advisorへのアクセスが制御されます。trustedadvisor 名前空間を使用して、AWS サポート API での Trusted

API バージョン 2013-04-1540

AWS サポート ユーザーガイドトラブルシューティング

Advisor API オペレーションを許可または拒否することはできません。代わりに、 support IAM 名前空間を使用します。Trusted Advisor をプログラムで呼び出すには、AWS サポート API に対するアクセス許可が必要です。

たとえば、RefreshTrustedAdvisorCheck オペレーションを呼び出す場合は、ポリシーでこのアクションに対するアクセス許可が必要です。

次のポリシーでは、Trusted Advisor の AWS サポート API オペレーションへのアクセスのみをユーザーに許可しますが、残りの AWS サポート API オペレーションへのアクセスは許可しません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ]}

IAM と AWS サポート および Trusted Advisor の連携の詳細については、「アクション (p. 30)」を参照してください。

以下の資料も参照してください。Trusted Advisor アクセス許可の詳細については、次のリソースを参照してください。

• IAM ユーザーガイドで、AWS Trusted Advisor によって定義されているアクション。• Trusted Advisor コンソールへのアクセスの制御

AWS サポート Identity and Access のトラブルシューティング次の情報は、AWS サポート と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

トピック

API バージョン 2013-04-1541

AWS サポート ユーザーガイドトラブルシューティング

• iam:PassRole を実行する権限がない (p. 42)• アクセスキーを表示する場合 (p. 42)• 管理者として AWS サポート へのアクセスを他のユーザーに許可する (p. 42)• 自分の AWS アカウント以外のユーザーに AWS サポート リソースへのアクセスを許可する場

合 (p. 43)

iam:PassRole を実行する権限がないiam:PassRole アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。AWS サポート にロールを渡すことができるようにポリシーを更新するよう、管理者に依頼します。

一部の AWS サービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して AWS サポート でアクションを実行しようする場合に発生します。ただし、アクションでは、サービスロールによって付与されたアクセス許可がサービスにある必要があります。メアリーには、ロールをサービスに渡すアクセス許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。

アクセスキーを表示する場合IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーをもう一度表示することはできません。シークレットアクセスキーを紛失した場合は、新しいキーペアを作成する必要があります。

アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されます。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーをしっかり管理してください。

Important

正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへの永続的アクセスを取得する場合があります。

アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、新しいアクセスキーを IAM ユーザーに追加する必要があります。最大 2 つのアクセスキーを持つことができます。すでに 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイド の「アクセスキーの管理 」を参照してください。

管理者として AWS サポート へのアクセスを他のユーザーに許可するAWS サポート へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーは、このエン

API バージョン 2013-04-1542

AWS サポート ユーザーガイドインシデントへの対応

ティティの認証情報を使用して AWS にアクセスします。次に、AWS サポート の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。

すぐに開始するには、IAM ユーザーガイド の「IAM が委任した最初のユーザーおよびグループの作成」を参照してください 。

自分の AWS アカウント以外のユーザーに AWS サポート リソースへのアクセスを許可する場合他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。

• AWS サポート でこれらの機能がサポートされるかどうかを確認するには、「AWS サポート と IAM の連携 (p. 30)」を参照してください。

• 所有している AWS アカウント間でリソースへのアクセスを付与する方法については、IAM ユーザーガイド の「所有している別の AWS アカウントへのアクセスを IAM ユーザーに許可」を参照してください。

• サードパーティーの AWS アカウントにリソースへのアクセスを提供する方法については、IAM ユーザーガイド の「第三者が所有する AWS アカウントへのアクセス権を付与する」を参照してください 。

• ID フェデレーションを介してアクセスを提供する方法については、IAM ユーザーガイド の「外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可」を参照して ください 。

• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

インシデントへの対応AWS サポート のインシデントへの対応は、AWS の責任事項です。AWS には、インシデントへの対応を管理する正式な文書化されたポリシーとプログラムがあります。詳細については、「AWS セキュリティインシデント対応に関するホワイトペーパー」を参照してください。

以下のオプションを使用すると、運用上の問題について通知を受けることができます。

• 広範な影響を与える AWS の運用上の問題を AWS サービスヘルスダッシュボードで確認します。たとえば、アカウントに固有ではないサービスやリージョンに影響するイベントなどです。

• Personal Health Dashboardで、個々のアカウントの運用上の問題を表示します。たとえば、アカウントのサービスやリソースに影響するイベントなどです。詳細については、AWS Health ユーザーガイドの「AWS Personal Health Dashboard の開始方法」を参照してください。

AWS サポート でのログ記録とモニタリングモニタリングは、AWS サポート およびその他の AWS ソリューションの信頼性、可用性、およびパフォーマンスを維持する上で重要な部分です。AWS には、AWS サポート をモニタリングしたり、問題が発生したときに報告したり、必要に応じて自動アクションを実行したりするために以下のモニタリングツールが用意されています。

• Amazon CloudWatch は、AWS リソースと、AWS でリアルタイムに実行されるアプリケーションを監視します。メトリクスの収集と追跡、カスタマイズしたダッシュボードの作成、および指定したメト

API バージョン 2013-04-1543

AWS サポート ユーザーガイドAWS CloudTrail による AWS サ

ポート API コールのログ記録

リクスが指定したしきい値に達したときに通知またはアクションを実行するアラームの設定を行うことができます。たとえば、CloudWatch で Amazon EC2 インスタンスの CPU 使用率などのメトリクスを追跡し、必要に応じて新しいインスタンスを自動的に起動することができます。詳細については、「Amazon CloudWatch ユーザーガイド」を参照してください。

• Amazon CloudWatch Events は、AWS リソースの変更を示すシステムイベントをほぼリアルタイムのストリームとして提供します。CloudWatch イベント で自動イベント駆動型コンピューティングを有効にすると、特定のイベントを監視するルールを記述し、これらのイベントが発生したときに AWS の他のサービスで自動アクションをトリガーできます。詳細については、『Amazon CloudWatch Events ユーザーガイド』を参照してください。

• AWS CloudTrail は、AWS アカウントにより、またはそのアカウントに代わって行われた、API 呼び出しおよび関連イベントを取得し、指定した Amazon S3 バケットにログファイルを配信します。AWS を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。詳細については、「AWS CloudTrail User Guide」を参照してください。

トピック• AWS CloudTrail による AWS サポート API コールのログ記録 (p. 44)• Trusted Advisor チェックのモニタリング (p. 47)

AWS CloudTrail による AWS サポート API コールのログ記録AWS サポート は AWS CloudTrail と統合されています。このサービスは、AWS サポート のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスです。CloudTrailは、AWS サポート の API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、AWS サポート コンソールの呼び出しと、AWS サポート API オペレーションへのコード呼び出しが含まれます。

証跡を作成する場合は、AWS サポート のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Eventhistory (イベント履歴)] で最新のイベントを表示できます。

CloudTrail によって収集された情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、AWS サポート に対してどのようなリクエストが行われたかを判断できます。

CloudTrail の詳細（設定して有効にする方法など）については、『AWS CloudTrail User Guide』を参照してください。

CloudTrail 内の AWS サポート 情報CloudTrail は、アカウント作成時に AWS アカウントで有効になります。AWS サポート でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントとともに [Event history (イベント履歴)] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS サポート のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、以下を参照してください。

• 証跡を作成するための概要

API バージョン 2013-04-1544

AWS サポート ユーザーガイドAWS CloudTrail による AWS サ

ポート API コールのログ記録

• CloudTrail でサポートされるサービスと統合• CloudTrail の Amazon SNS 通知の設定• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから

CloudTrail ログファイルを受け取る」

CloudTrail ログ記録における AWS サポート 情報AWS アカウントで CloudTrail ログ記録を有効にすると、特定の AWS サポート オペレーションに対するAPI コールは CloudTrail ログファイルに記録されます。AWS サポート オペレーションは他の AWS サービスのレコードと一緒にログファイルに書き込まれます。CloudTrail は、期間とファイルサイズに基づいて新規ファイルの作成と書き込みのタイミングを決定します。

以下のオペレーションがサポートされています。

• AddAttachmentsToSet• AddCommunicationToCase• CreateCase• DescribeAttachment• DescribeCases• DescribeCommunications• DescribeServices• DescribeSeverityLevels• ResolveCase

CloudTrail は、DescribeTrustedAdvisorChecks などの AWS Trusted Advisor 用の AWS サポートAPI オペレーションのログ記録をサポートしていません。AWS サポート API オペレーションの詳細については、「AWS サポート API Reference」を参照してください。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

• リクエストが、ルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたかどうか。

• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

• リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

Amazon S3 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。デフォルトでは Amazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。

ログファイルの配信時に通知を受け取る場合、新しいログファイルの配信時に Amazon Simple NotificationService 通知が発行されるように CloudTrail を設定できます。詳細については、「Configuring AmazonSNS Notifications for CloudTrail」を参照してください。

複数の AWS リージョンと複数の AWS アカウントの AWS サポート ログファイルを 1 つの Amazon S3 バケットにまとめることもできます。

詳細は、「CloudTrail ログファイルを複数のリージョンから受け取る」と「複数のアカウントからCloudTrail ログファイルを受け取る」を参照してください。

API バージョン 2013-04-1545

AWS サポート ユーザーガイドAWS CloudTrail による AWS サ

ポート API コールのログ記録

CloudTrail ログ記録における Trusted Advisor 情報AWS Trusted Advisor は、コストを削減し、セキュリティを強化し、AWS アカウントを最適化する方法について AWS アカウントを確認することができる AWS サポート の機能です。

CloudTrail は Trusted Advisor のオペレーションをログに記録しません。

サポートされている Trusted Advisor オペレーションのリストについては、「Trusted Advisor アクション (p. 38)」を参照してください。

AWS サポート ログファイルエントリの概要証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrailログファイルには、1 つ以上のログエントリが含まれます。イベントは、任意の送信元からの単一のリクエストを表します。各イベントには、リクエストされたオペレーション、オペレーションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、CreateCase オペレーションを示す CloudTrail ログエントリを示しています。

{ "Records": [ { "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-13T17:51:37Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2016-04-13T18:05:53Z", "eventSource": "support.amazonaws.com", "eventName": "CreateCase", "awsRegion": "us-east-1", "sourceIPAddress": "198.51.100.15", "userAgent": "signin.amazonaws.com", "requestParameters": { "severityCode": "low", "categoryCode": "other", "language": "en", "serviceCode": "support-api", "issueType": "technical" }, "responseElements": { "caseId": "case-111122223333-muen-2016-c3f2077e504940f2" }, "requestID": "58c257ef-01a2-11e6-be2a-01c031063738", "eventID": "5aa34bfc-ad5b-4fb1-8a55-2277c86e746a", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ], ...}

API バージョン 2013-04-1546

AWS サポート ユーザーガイドTrusted Advisor チェックのモニタリング

Trusted Advisor チェックのモニタリングAWS Trusted Advisor チェックでは、AWS アカウントのコストを削減して、パフォーマンスを向上させ、セキュリティを向上させる方法を特定します。Amazon CloudWatch Events を使用すると、TrustedAdvisor チェックのステータスをモニタリングできます。その後、Amazon CloudWatch を使用して、Trusted Advisor メトリクスのアラームを作成できます。これらのアラームは、更新されたリソースや到達したサービスクォータなど、Trusted Advisor チェックのステータスが変化したことを通知します。

たとえば、Trusted Advisor には、 Amazon S3バケットのアクセス許可チェックが用意されています。このチェックは、オープンアクセスのアクセス許可を持つバケットがあるか、認証された AWS ユーザーへのアクセスを許可しているかを識別します。バケットのアクセス許可が変更されると、Trusted Advisorチェックのステータスが変更されます。CloudWatch イベント はこのイベントを検出し、アクションを実行できるように通知を送信します。

トピック• Trusted Advisor チェック結果を Amazon CloudWatch Events でモニタリングする (p. 47)• CloudWatch を使用して Trusted Advisor アラームを作成する (p. 48)

Trusted Advisor チェック結果を Amazon CloudWatch Events でモニタリングするAmazon CloudWatch Events を使用して、Trusted Advisor チェックのステータス変更を検出して対応できます。次に、ルールに指定した値のチェックステータスが変更されたときに、CloudWatch イベント は、1つ以上のターゲットアクションを呼び出します。ステータス変更のタイプに従って、通知を送信したり、ステータス情報を取得したり、是正措置を取ったり、イベントを開始したり、その他の措置を取ることができます。CloudWatch イベント を使用する際には、Trusted Advisor ワークフローの一部として次のターゲットタイプを選択できます。

• AWS Lambda 関数• Amazon Kinesis ストリーム• Amazon Simple Queue Service キュー• 組み込みターゲット (CloudWatch アラームアクション)• Amazon Simple Notification Service のトピック

次にユースケースをいくつか示します。

• Lambda 関数を使用して、チェックステータスが変更されたときに Slack チャネルに通知を渡します。• チェックに関するデータを Kinesis ストリームにプッシュして、包括的でリアルタイムのステータスモ

ニタリングを支援します。

CloudWatch イベント および Lambda 関数を使用して Trusted Advisor チェック結果に対する応答を自動化する例については、「Trusted Advisor のツール」を参照してください。

このトピックの残りの部分では、Trusted Advisor の CloudWatch イベント ルールを作成するための基本的な手順について説明します。ただし、Trusted Advisor のイベントルールを作成する前に、次のことを行う必要があります。

• CloudWatch イベント のイベント、ルール、ターゲットに精通しておいてください。詳細については、「Amazon CloudWatch Events とは何ですか?」および「新しい CloudWatch イベント – AWS リソースの変化の追跡と対応」を参照してください。

• イベントのルールで使用するターゲットを作成します。

API バージョン 2013-04-1547

AWS サポート ユーザーガイドTrusted Advisor チェックのモニタリング

Trusted Advisor 用の CloudWatch イベント ルールを作成するには

1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. ナビゲーションバーで、米国東部（バージニア北部） リージョンを選択します。3. ナビゲーションペインの [Events] を選択します。4. [Create rule] を選択し、次に [Event Source] の下の [Service Name] で [Trusted Advisor] を選択しま

す。5. ステータス値を指定します。

• すべてのステータス値に適用するルールを作成するには、[Check Item Refresh Status] を選択し、次に [Any status] (デフォルト) を選択します。

• 特定のステータス値のみに適用するルールを作成するには、[Specific status(es)] を選択し、次にリストから 1 つ以上のステータス値を選択します。

6. Trusted Advisor チェックを指定します。

• すべての Trusted Advisor チェックに適用するルールを作成するには、[任意のチェック] を選択します。

• 特定のチェックのみに適用するルールを作成するには、[Specific check(s)] を選択し、次にリストから 1 つ以上のチェック名を選択します。

7. AWS リソースを指定します。

• すべてのリソースに適用するルールを作成するには、[Any resource ID] を選択します。• 1 つまたは複数のリソースにのみ適用されるルールを作成するには、[特定のリソース (ARN 別)] を

選択します。次に、リソースの ARN を入力します。8. ルール設定を確認して、イベントモニタリング要件を満たしていることを確認します。9. [Targets] エリアで、[Add target*] を選択します。10. [ターゲットタイプの選択] リストで、このルールとともに使用する準備を整えたターゲットのタイプ

を選択します。次に、そのタイプに必要な追加オプションを設定します。11. [Configure details] を選択します。12. [ルールの詳細を設定する] ページで、ルールの名前と説明を入力します。ルールを作成してすぐに有

効にするには、[状態] ボックスをオンにします。13. ルールが適切であることを確認したら、[Create rule] を選択します。

CloudWatch を使用して Trusted Advisor アラームを作成するAmazon CloudWatch を使用して、チェックステータスの変更、リソースステータスの変更、サービスの制限の使用に関する Trusted Advisor のメトリクスのアラームを作成できます。要件によっては、複数のアラームを作成することができます。

ここで説明する手順に従って、Trusted Advisor の CloudWatch アラームを作成します。Trusted Advisor メトリクスのアラームを作成する前に、次の操作を行います。

• CloudWatch のメトリクスとアラームについて理解します。詳細については、「Amazon CloudWatch とは」を参照してください。

• Trusted Advisor コンソールまたは AWS サポート API を介してチェックを更新します。

Trusted Advisor の CloudWatch アラームを作成するには

1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. ナビゲーションバーで、リージョンセレクターの [米国東部 (バージニア北部) リージョン] を選択しま

す。3. ナビゲーションペインで、[Alarms] を選択します。

API バージョン 2013-04-1548

AWS サポート ユーザーガイドコンプライアンス検証

4. [Create Alarm] を選択します。5. [Select Metric (メトリクスの選択)] で、Trusted Advisor のメトリクスを選択します。6. メトリクスを選択するには、次のいずれかを実行します。

a. 検索ボックスに、メトリクスリストをフィルタする 1 つ以上のディメンション値を入力します。b. 結果の表で、目的のメトリクスが含まれる行のチェックボックスをオンにします。

7. [次へ] を選択します。8. アラームの設定:

a. [Alarm Threshold] で、名前と説明を指定します。b. [ServiceLimitUsage] メトリクスで、0.00 から 1.00 までしきい値を指定します。c. [RedResources]、[YellowResources]、[GreenChecks]、[RedChecks]、および [YellowChecks] の

各メトリクスで、0 以上の任意の整数であるしきい値を指定できます。d. 欠落データの目的の動作を設定します。デフォルトでは、これは [missing] に設定されます。e. [Actions] で、通知リストを追加します。

9. [Create Alarm] を選択します。

AWS サポート のコンプライアンス検証サードパーティーの監査では、複数の AWS コンプライアンスプログラムの一環として、AWSサポート のセキュリティとコンプライアンスの評価が行われます。このプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。

特定のコンプライアンスプログラムの対象となる AWS サービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。一般的な情報については、「AWS コンプライアンスプログラム」を参照してください。

サードパーティーの監査レポートをダウンロードするには、AWS Artifact を使用します。詳細については、「AWS Artifact でレポートをダウンロードする 」を参照してください。

AWS サポート を使用する際のお客様のコンプライアンス責任は、データの機密性、企業のコンプライアンス目的、適用法規や規制によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。

• セキュリティおよびコンプライアンスのクイックスタートガイド – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS でデプロイするための手順を説明します。

• HIPAA のセキュリティとコンプライアンスに関するホワイトペーパーを作成する – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。

• AWS コンプライアンスのリソース – このワークブックおよびガイドのコレクションは、お客様の業界や場所に適用される場合があります。

• AWS Config 開発者ガイドの「ルールでのリソースの評価」 – AWS Config サービスでは、リソース設定が社内のプラクティス、業界のガイドライン、規制にどの程度適合しているかを評価します。

• AWS Security Hub – この AWS サービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。

AWS サポート でのレジリエンスAWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心として構築されます。AWS リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワーク

API バージョン 2013-04-1549

AWS サポート ユーザーガイドインフラストラクチャセキュリティ

で接続されている複数の物理的に独立・隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。

AWSのリージョンやアベイラビリティーゾーンの詳細については、AWSグローバルインフラストラクチャを参照してください。

AWS サポート でのインフラストラクチャセキュリティ

マネージド型サービスとして、AWS サポート は、ホワイトペーパー「Amazon Web Services: セキュリティプロセスの概要」に記載されている AWS グローバルネットワークセキュリティの手順で保護されています。

AWS が公開している API コールを使用して、ネットワーク経由で AWS サポート にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman(ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

AWS サポート での設定と脆弱性の分析AWS Trusted Advisor の場合、AWS はゲストオペレーティングシステム (OS) やデータベースへのパッチ適用、ファイアウォール設定、災害対策などの基本的なセキュリティタスクを処理します。

設定および IT 管理は、AWS とお客様の間で共有される責任です。詳細については、AWS 責任共有モデルを参照してください。

API バージョン 2013-04-1550

AWS サポート ユーザーガイドサービス固有のトラブルシューティング

トラブルシューティングリソース一般的なトラブルシューティングの質問に対する回答については、AWS サポート ナリッジセンターを参照してください。

Amazon EC2 は Windows 向けに EC2Rescue を提供しています。EC2Rescue を使用すると、Windowsインスタンスを調査し、一般的な問題の特定、ログファイルの収集、AWS サポートでの問題のトラブルシューティングを行うことができます。EC2Rescue を使用して、動作していないインスタンスのブートボリュームを分析することもできます。詳細については、How can I use EC2Rescue to troubleshoot andfix common issues on my EC2 Windows instance? を参照してください。

サービス固有のトラブルシューティングほとんどの AWS サービスのドキュメントにはトラブルシューティングのトピックが含まれており、AWSサポート に問い合わせる前に参照することができます。次の表は、サービスごとに並べたトラブルシューティングトピックのリンク一覧です。

サービス リンク

Amazon Web Services AWS 署名バージョン 4 のエラーのトラブルシューティング

Amazon AppStream Amazon AppStream のトラブルシューティング

Amazon EC2 Auto Scaling Auto Scaling のトラブルシューティング

AWS Certificate Manager (ACM) トラブルシューティング

AWS CloudFormation AWS CloudFormation のトラブルシューティング

Amazon CloudFront トラブルシューティング | RTMP ディストリビューションをトラブルシューティングする

AWS CloudHSM トラブルシューティング

Amazon CloudSearch Amazon CloudSearch のトラブルシューティング

AWS CodeDeploy AWS CodeDeploy のトラブルシューティング

AWS Data Pipeline トラブルシューティング

AWS Direct Connect AWS Direct Connect のトラブルシューティング

AWS Directory Service AWS Directory Service の管理の問題のトラブルシューティング

Amazon DynamoDB トラブルシューティング

AWS Elastic Beanstalk トラブルシューティング

Amazon Elastic Compute Cloud(Amazon EC2)

インスタンスのトラブルシューティング | Windows インスタンスのトラブルシューティング | VM Import/Export のトラブルシューティング | Troubleshooting API Request Errors | AWS Management Packのトラブルシューティング | AWS Systems Manager for MicrosoftSCVMM をトラブルシューティングする | AWS Diagnostics forMicrosoft Windows Server

Amazon Elastic ContainerService (Amazon ECS)

Amazon ECS のトラブルシューティング

API バージョン 2013-04-1551

AWS サポート ユーザーガイドサービス固有のトラブルシューティング

サービス リンク

Elastic Load Balancing Application Load Balancer のトラブルシューティング | Classic LoadBalancer のトラブルシューティングを行う

Amazon EMR (Amazon EMR) クラスターをトラブルシューティングする

Amazon ElastiCache forMemcached

アプリケーションのトラブルシューティング

Redis 用 Amazon ElastiCache アプリケーションのトラブルシューティング

AWS Flow Framework Troubleshooting and Debugging Tips

AWS GovCloud (US) トラブルシューティング

AWS Identity and AccessManagement (IAM)

IAM のトラブルシューティング

Kinesis Kinesis Producers のトラブルシューティング | Kinesis StreamsConsumers のトラブルシューティング

AWS Lambda CloudWatch を使用した AWS Lambda 関数のトラブルシューティングとモニタリング

AWS OpsWorks デバッグとトラブルシューティングのガイド

Amazon Redshift クエリのトラブルシューティング | データロードのトラブルシューティング | Amazon Redshift での接続の問題のトラブルシューティング | Amazon Redshift 監査ログ作成のトラブルシューティング

Amazon Relational DatabaseService (Amazon RDS)

トラブルシューティング | アプリケーションのトラブルシューティング

Amazon Route 53 トラブルシューティングAmazon Route 53

Amazon Silk トラブルシューティング

Amazon Simple Email Service(Amazon SES)

Amazon SES のトラブルシューティング

Amazon Simple Storage Service(Amazon S3)

CORS の問題のトラブルシューティング | REST エラーと SOAP エラーの処理

Amazon Simple WorkflowService (Amazon SWF)

AWS Flow Framework for Java: Troubleshooting and Debugging Tips| AWS Flow Framework for Ruby: Troubleshooting and DebuggingWorkflows

AWS Storage Gateway ゲートウェイのトラブルシューティング

Amazon Virtual Private Cloud(Amazon VPC)

トラブルシューティング

Amazon WorkMail Amazon WorkMail ウェブアプリケーションのトラブルシューティング

Amazon WorkSpaces Amazon WorkSpaces の管理の問題のトラブルシューティング |Troubleshooting Amazon WorkSpaces Client Issues

Amazon WorkSpaces ApplicationManager (Amazon WAM)

Amazon WAM アプリケーションの問題のトラブルシューティング

API バージョン 2013-04-1552

AWS サポート ユーザーガイド

ドキュメント履歴次の表は、AWS サポートサービスの前回のリリースからの重要な変更を示しています。

• API バージョン: 2013-04-15• ドキュメントの最終更新日: 2020 年 5 月 5 日

変更 説明 変更日

セキュリティと AWS サポート

AWS サポート と Trusted Advisor を使用する際のセキュリティ上の考慮事項に関する情報を更新しました。「AWS サポート でのセキュリティ (p. 25)」を参照してください。

2020 年 5 月 5 日

セキュリティと AWS サポート

AWS サポート を使用する際のセキュリティ上の考慮事項に関する情報を追加しました。

2020 年 1 月 10 日  

Trusted Advisor をウェブサービスとして使用する

Trusted Advisor チェックリストを取得した後、Trusted Advisor データを更新するための更新された指示を追加

2018 年 11 月 1 日

サービスにリンクされたロールの使用

新しいセクションを追加. 2018 年 7 月 11 日

はじめに: トラブルシューティング

Route 53 および AWS Certificate Manager のトラブルシューティングリンクを追加。

2017 年 9 月 1 日

ケース管理の例: ケースの作成

ベーシックサポートプランユーザーのための CCボックスに関する注記を追加。

2017 年 8 月 1 日

Trusted Advisor チェック結果を CloudWatchイベント でモニタリングする

新しいセクションを追加. 2016 年 11 月 18 日

ケース管理 ケース重大度レベルの名前を更新。 2016 年 10 月 27 日

AWS CloudTrail によるAWS サポート API 呼び出しのログ記録

新しいセクションを追加. 2016 年 4 月 21 日

はじめに: トラブルシューティング

さらにトラブルシューティングリンクを追加。 2015 年 5 月 19 日

はじめに: トラブルシューティング

さらにトラブルシューティングリンクを追加。 2014 年 11 月 18 日

はじめに: ケース管理 AWS マネジメントコンソール に AWS ServiceCatalog が反映されるように更新。

2014 年 10 月 30 日

AWS サポートケースライフのプログラミング 

ケースの履歴取得時に、ケースに添付ファイルを追加したり、ケース通信を省略するための、新しい API 要素に関する情報を追加。

2014 年 7 月 16 日

API バージョン 2013-04-1553

AWS サポート ユーザーガイド

変更 説明 変更日

AWS サポートへのアクセス 

アクセス方法として、指定サポート担当者を削除。

2014 年 5 月 28 日

ご利用開始にあたって 「はじめに」セクションを追加。 2013 年 12 月 13 日

初稿 新しい AWS サポートサービスのリリース開始。 2013 年 4 月 30 日

API バージョン 2013-04-1554

AWS サポート ユーザーガイド

AWS の用語集最新の AWS の用語については、『AWS General Reference』の「AWS の用語集」を参照してください。

API バージョン 2013-04-1555