AWS Artifact ユーザーガイド
AWS Artifact: ユーザーガイド Copyright 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.
Table of Contents AWS Artifact とは... 1 AWS Artifact を初めてお使いになる方向けの情報... 1 AWS Artifact へのアクセス... 1 ドキュメントのセキュリティ保護... 2 AWS Artifact リージョン... 2 AWS Artifact の料金表... 2 セットアップ... 3 AWS にサインアップする... 3 IAM 管理グループとユーザーの作成... 3 ご利用開始にあたって... 4 ステップ 1: 管理者グループを作成し IAM ユーザーを追加する... 4 ステップ 2: レポートのダウンロードと契約の管理... 5 レポートをダウンロードする... 6 追加のレポートのアクセス許可の取得... 6 契約の管理... 7 単一アカウントの契約の管理... 7 AWS との契約の受諾... 7 AWS との契約の終了... 8 複数アカウントの契約の管理... 8 組織の契約を受諾する... 9 組織契約の終了... 9 既存のオフライン契約の管理... 10 アクセスの制御... 11 IAM ポリシーの作成... 11 IAM グループを作成する... 21 IAM ユーザーを作成してグループに追加する... 21 ドキュメント履歴... 23 iii
AWS Artifact を初めてお使いになる方向けの情報 AWS Artifact とは AWS Artifact では AWS ISO 認定 Payment Card Industry(PCI) Service Organization Control (SOC) レポートなどの AWS セキュリティおよびコンプライアンスドキュメントをオンデマンドでダウンロードできます これらのセキュリティおよびコンプライアンスドキュメント ( 監査アーティファクトとも呼ばれます ) を監査人や規制機関に送信し 使用中の AWS インフラストラクチャとサービスのセキュリティとコンプライアンスを示すことができます また これらのドキュメントは 独自のクラウドアーキテクチャを評価したり 会社の内部統制の有効性を評価したりするためのガイドラインとしても使用できます AWS Artifact は AWS に関するドキュメントのみを提供しています AWS のお客様による自社のセキュリティとコンプライアンスを示すドキュメントの作成または取得については お客様の責任となります 詳細については 責任共有モデル を参照してください また AWS Artifact を使用し 事業提携契約 (BAA) のような AWS 契約の状況を確認 受諾 追跡できます BAA は通常 Health Insurance Portability and Accountability Act (HIPAA) の対象となる企業において必要なものであり 保護されるべき医療情報 (PHI) が適切に保護されていることを確認するものです AWS Artifact を使用して AWS との契約を受諾し 限定された情報を法的に処理できる AWS アカウントを指定できます 複数のアカウントに代わって契約を受諾できます 複数アカウントの契約を受諾するには AWS Organizations を使用して組織を作成します 詳細については AWS Artifact で契約を管理する (p. 7) を参照してください トピック AWS Artifact を初めてお使いになる方向けの情報 (p. 1) AWS Artifact へのアクセス (p. 1) ドキュメントのセキュリティ保護 (p. 2) AWS Artifact リージョン (p. 2) AWS Artifact の料金表 (p. 2) AWS Artifact を初めてお使いになる方向けの情報 AWS Artifact を初めて使用する方には 次のセクションを初めに読むことをお勧めします ドキュメントのセキュリティ保護 (p. 2) AWS Artifact のセットアップ (p. 3) AWS Artifact の使用開始 (p. 4) AWS Artifact にレポートをダウンロードする (p. 6) AWS Artifact へのアクセス AWS Artifact には AWS Artifact コンソールというウェブベースのユーザーインターフェイスがあります AWS アカウントにサインアップ済みの場合は https://console.aws.amazon.com/artifact/ にサインインし コンソールのホームページから [Artifact を選択することで AWS Artifact コンソールにアクセスできます AWS アカウントをお持ちでない場合は AWS にサインアップする (p. 3) を参照してください 自分や他のユーザーのコンソールへのアクセスを制御するアクセス許可の作成については IAM 管理グループとユーザーの作成 (p. 3) を参照してください 1
ドキュメントのセキュリティ保護 ドキュメントのセキュリティ保護 AWS Artifact ドキュメントは機密であり 常に安全に保護する必要があります AWS Artifact は そのドキュメントに対して AWS 共有コンプライアンス責任モデルを使用しています このため AWS は AWS クラウドにある間はドキュメントを安全に保護しますが ダウンロード後に安全に保護するのはお客様の責任になります AWS Artifact では ドキュメントをダウンロードする前に 秘密保持契約書 (NDA) への署名が要求される場合があります 各ドキュメントのダウンロードには一意のトレース可能なウォーターマークが含まれます 機密とマークされているドキュメントは 企業内 規制機関 またはお客様の監査人とのみ共有できます これらのドキュメントをお客様の顧客またはウェブサイト上で共有することは許可されていません Amazon WorkDocs などのセキュアなドキュメント共有サービスを使用して 他のユーザーとドキュメントを共有することを強くお勧めします ドキュメントは E メール経由で送信したり セキュアでないサイトにアップロードしたりしないでください AWS Artifact リージョン AWS Artifact は すべてのパブリックリージョンで利用できます AWS Artifact の料金表 AWS は AWS Artifact ドキュメントおよび契約を無料で提供しています 2
AWS にサインアップする AWS Artifact のセットアップ AWS にサインアップすると AWS Artifact を含む AWS のすべてのサービスに対して AWS アカウントが自動的にサインアップされます AWS にまだサインアップしていない場合は AWS にサインアップする (p. 3) を参照してください ユーザーのアクセス権限を作成および管理し 自分と AWS リソースを使って作業を行う必要がある他のユーザーの両方に対して AWS リソースへのセキュリティが高い制限付きのアクセス権限を提供する方法については IAM 管理グループとユーザーの作成 (p. 3) を参照してください トピック AWS にサインアップする (p. 3) IAM 管理グループとユーザーの作成 (p. 3) AWS にサインアップする AWS アカウントをお持ちでない場合は 次に説明する手順に従ってアカウントを作成してください AWS にサインアップするには 1. https://aws.amazon.com/ を開き [AWS アカウントの作成 を選択します 2. オンラインの手順に従います サインアップ手順の一環として 通話呼び出しを受け取り 電話のキーパッドを用いて PIN を入力することが求められます 後で必要になるので AWS アカウント番号を書き留めておきます IAM 管理グループとユーザーの作成 AWS にサインアップするときには AWS アカウントに関連付けられた E メールアドレスとパスワードを提供します これらはルート認証情報であり これらの情報を使用すると すべての AWS リソースへの完全なアクセスが可能になります ただし 日常のアクセスにはルートアカウントを使用しないことを強くお勧めします また 他のユーザーとアカウント認証情報を共有して アカウントへの完全なアクセスを提供しないことをお勧めします ルート認証情報を使用してアカウントにサインインしたり 他のユーザーと認証情報を共有したりするのではなく 自分と AWS Artifact のドキュメントまたは契約へのアクセスを必要とする可能性のあるユーザー用に IAM ユーザーと呼ばれる特別なユーザー ID を作成してください この方法では 各ユーザーに個別のサインイン情報を提供し 各ユーザーが特定のドキュメントを使うために必要なアクセス許可のみを与えることができます 複数の IAM ユーザーに同じアクセス許可を付与するには IAM グループにアクセス許可を付与して IAM ユーザーをそのグループに追加します 詳細については AWS Artifact の使用開始 (p. 4) を参照してください すでにユーザー ID を AWS の外で管理している場合 AWS アカウントに IAM ユーザーを作成する代わりに IAM ID プロバイダーを利用できます 詳細については IAM ユーザーガイドの ID プロバイダーおよびフェデレーション を参照してください 3
ステップ 1: 管理者グループを作成し IAM ユーザーを追加する AWS Artifact の使用開始 AWS Artifact には多くのドキュメントがダウンロード用に用意されており また事業提携契約 (BAA) などの法的な契約を受諾および管理できます AWS Organizations を使用すると 契約を組織内のすべてのアカウントに代わって受諾できます 受諾すると すべての既存のメンバーアカウントおよび今後のメンバーアカウントはすべて自動的にこの契約の範囲内となります この使用開始チュートリアルでは 以下のステップを実行して レポートのダウンロードや契約の管理を行うことができるアクセス許可のセットアップ方法を説明します 1. ステップ 1: 管理者グループを作成し IAM ユーザーを追加する 2. ステップ 2: レポートのダウンロードと契約の管理 ステップ 1: 管理者グループを作成し IAM ユーザーを追加する このステップでは 管理者グループを作成し 自分の IAM ユーザーを作成して その IAM ユーザーをグループに追加します IAM グループを作成すると 個別のユーザーではなくグループにアクセス許可をアタッチして そのグループにユーザーを追加することで他のユーザーに同じアクセス許可を付与できます 自分用の IAM ユーザーを作成し そのユーザーを管理者グループに追加するには 1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ で AWS アカウントのルートユーザーとして IAM コンソールにサインインします Note 以下の管管管 IAM ユーザーの使用に関するベストプラクティスに従い ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします ルートユーザーとしてサインインして 少数のアカウントおよびサービス管理タスクのみを実行します 2. コンソールのナビゲーションペインで [Users を選択後 [Add user を選択します 3. [User name に Administrator と入力します 4. [AWS マネジメントコンソール access の横のチェックボックスをオンにし [Custom password を選択して 新しいユーザーのパスワードをテキストボックスに入力します オプションとして [Require password reset ( パスワードのリセットの強制 ) を選択し ユーザーが次回サインインしたときに新しいパスワードを作成することを強制できます 5. [Next: Permissions を選択します 6. [Set permissions ページで [Add user to group を選択します 7. [Create group を選択します 8. [ グループの作成 ダイアログボックスで [ グループ名 に Administrators と入力します 9. [ ポリシーのフィルタ で [AWS 管理のジョブ機能 チェックボックスをオンにします 10. ポリシーリストで [AdministratorAccess のチェックボックスをオンにします 次に [Create group を選択します 11. グループのリストに戻り 新しいグループのチェックボックスをオンにします 必要に応じて [Refresh を選択し リスト内のグループを表示します 12. [Next: Review を選択して 新しいユーザーに追加するグループメンバーシップのリストを表示します 続行する準備ができたら [Create user を選択します 4
ステップ 2: レポートのダウンロードと契約の管理 この同じプロセスを繰り返して新しいグループとユーザーを作成し AWS アカウントのリソースへのアクセス権をユーザーに付与できます ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス権限を制限する方法については アクセス管理 と ポリシーの例 を参照してください Note AWS Artifact 固有の IAM ポリシーについては Controlling Access (p. 11) を参照してください 前述のステップ 1 ~ 6 を繰り返してから リストから [ 管理者 グループを選択して 他の IAM ユーザーに管理者アクセス権限を付与します ステップ 2: レポートのダウンロードと契約の管理 これで IAM ユーザーとポリシーを設定したので AWS Artifact にレポートをダウンロードする の手順に従ってドキュメントをダウンロードできます AWS 契約を管理することもできます 詳細については AWS Artifact で契約を管理する を参照してください 5
追加のレポートのアクセス許可の取得 AWS Artifact にレポートをダウンロードする AWS Artifact コンソールからレポートをダウンロードできます AWS Artifact からレポートをダウンロードすると レポートは特にお客様用に生成され 各レポートには一意のウォーターマークが含まれます このため レポートは信頼しているユーザーとのみ共有してください 添付ファイルとしてレポートを E メールで送信したり オンラインで共有したりしないでください レポートを共有するには Amazon WorkDocs などのセキュアな共有サービスを使用します 一部のレポートでは ドキュメントをダウンロードする前に 秘密保持契約書 (NDA) への署名が要求される場合があります レポートをダウンロードするには 適切なアクセス許可が必要です 権限の詳細については Controlling Access (p. 4) を参照してください ドキュメントをダウンロードするには 1. AWS マネジメントコンソールにサインインし AWS Artifact コンソール (https:// console.aws.amazon.com/artifact/) を開きます 2. AWS Artifact ダッシュボードで [Reports を選択します 3. レポートを見つけ [Get this artifact を選択します 4. ドキュメントの利用規約をご覧ください ドキュメントをダウンロードするには 機密保持契約 (NDA) への署名を要求される場合があります Note NDA は法的に拘束力のある契約です これは綿密に確認することをお勧めします 5. [Terms and Conditions ( 利用規約 ) を読んだら ページの下部にあるチェックボックスをオンにして [Accept and download ( 同意してダウンロード ) を選択します AWS Artifact によりファイルが生成され 別のウィンドウで開きます 6. ドキュメントウィンドウで [Save File ( ファイルの保存 ) または [Open with Adobe Acrobat Reader (Adobe Acrobat Reader で開く ) を選択し [OK を選択します ドキュメントはコンピュータの指定された場所にダウンロードされるか Adobe Reader で開きます 追加のレポートのアクセス許可の取得 AWS Artifact にサインアップすると アカウントに一部のレポートをダウンロードするアクセス許可が自動的に付与されます リスト内の別のレポートへのアクセスをリクエストする場合は 指定の形式を使用して AWS からのアクセスをリクエストします 6
単一アカウントの契約の管理 AWS Artifact で契約を管理する AWS Artifact Agreements を使用すると AWS マネジメントコンソールでアカウントや組織の契約を確認 受諾 管理できます たとえば 事業提携契約 (BAA) は通常 Health Insurance Portability and Accountability Act (HIPAA) の対象となる企業において必要なものであり 保護されるべき医療情報 (PHI) が適切に保護されていることを確認するものです AWS Artifact を使用して BAA などの契約を AWS と結び PHI を法的に処理できる AWS アカウントを指定できます を使用すると AWS Organizations AWS BAA などの契約を組織内のすべてのアカウントに代わって受諾できます 既存のメンバーアカウントおよび今後のメンバーアカウントは 自動的にすべてこの契約の範囲内となり PHI を法的に処理できます また AWS Artifact を使用して AWS アカウントまたは組織が契約を受諾したことを確認したり 義務を理解するために受諾した契約の条項を確認することもできます アカウントや組織で受諾済みの契約書を使用する必要がなくなった場合は AWS Artifact Agreements を使用して契約を終了できます 単一アカウントの契約の管理 自分のアカウントが AWS Organizations の組織のメンバーアカウントの場合でも 自分のアカウントのみの契約を受諾できます AWS Organizations の詳細については AWS Organizations ユーザーガイドを参照してください AWS との契約の受諾 アカウントの管理者は IAM ユーザーおよびフェデレーティッドユーザーに 1 つ以上の契約にアクセスし管理するロールアクセス権限を付与できます デフォルトでは 管理者権限を持つユーザーしか契約を受諾できません 契約を受諾するには IAM ユーザーおよびフェデレーティッドユーザーに次のアクセス許可が必要です artifact:downloadagreement artifact:acceptagreement これらのアクセス許可の詳細については IAM ポリシーの作成 (p. 11) を参照してください Important 契約を受諾する前に 法務 個人情報 およびコンプライアンス担当部門に相談することをお勧めします AWS との契約を受諾するには 1. AWS マネジメントコンソールにサインインし AWS Artifact コンソール (https:// console.aws.amazon.com/artifact/) を開きます 2. AWS Artifact ナビゲーションペインで [Agreements ( 契約 ) を選択します 3. [Account agreements ( アカウント契約 ) タブを選択します 4. 必要な契約のセクションを展開します 5. [Download and review ( ダウンロードして確認 ) を選択します 6. [Terms and conditions ( 利用規約 ) ダイアログボックスで [Accept and download ( 同意してダウンロード ) を選択します Note NDA は法的に拘束力のある契約です これは綿密に確認することをお勧めします 7
AWS との契約の終了 7. 契約内容を確認し 同意する場合はチェックボックスをオンにします 8. [Accept ( 受諾 ) を選択して自分のアカウントのみの契約を受諾します AWS との契約の終了 契約の受諾に AWS Artifact コンソールを使用した場合 コンソールを使用してその契約を終了できます 契約を終了するには IAM ユーザーおよびフェデレーティッドユーザーに次のアクセス許可が必要です artifact:terminateagreement これらのアクセス許可の詳細については IAM ポリシーの作成 (p. 11) を参照してください Note 契約の受諾に AWS Artifact コンソールを使用しなかった場合 コンソールを使用して契約を終了することはできません 詳細については 既存のオフライン契約の管理 (p. 10) を参照してください AWS とのオンライン契約を終了するには 1. AWS マネジメントコンソールにサインインし AWS Artifact コンソール (https:// console.aws.amazon.com/artifact/) を開きます 2. AWS Artifact ナビゲーションペインで [Agreements ( 契約 ) を選択します 3. [Account agreements ( アカウント契約 ) タブを選択します 4. 契約を終了するには [Terminate agreement for this account ( このアカウントの契約を終了する ) を選択します 5. [Terminate ( 終了 ) を選択します 6. すべてのチェックボックスをオンにして 契約終了に同意することを示します 7. [Terminate ( 終了 ) ボタンを選択します プロンプトが表示されたら 再度選択します 複数アカウントの契約の管理 AWS Organizations 組織のマスターアカウントの所有者は 組織のすべてのアカウントに代わって契約を受諾できます 組織の契約を受諾または終了するには 正しい AWS Artifact アクセス許可を持つマスターアカウントにサインインする必要があります describeorganizations アクセス許可を持つメンバーアカウントのユーザーは お客様が代わりに受諾した組織の契約を表示できます アカウントが組織の一部でない場合は AWS Organizations の作成と管理 の手順に従って 組織を作成または組織に参加できます コメント AWS Organizations には 一括請求機能とすべての機能の 2 つの利用可能な機能セットがあります 組織で AWS Artifact を使用するには 所属する組織で すべての機能を有効にする必要があります 組織が一括請求用にのみ設定されている場合は 組織内のすべての機能の有効化を参照してください メンバーアカウントが組織から削除されると そのメンバーアカウントは組織契約の対象範囲ではなくなります マスターアカウント管理者は メンバーアカウントが必要に応じて新しい契約を用意できるように メンバーアカウントを組織から削除する前にメンバーアカウントにこのことに連絡する必要があります 組織の有効な契約のリストは AWS Artifact 組織契約で確認できます 8
組織の契約を受諾する AWS Organizations およびマスターアカウントの詳細については 組織内の AWS アカウントの管理 を参照してください AWS Artifact の管理者アカウントをセットアップする詳しい方法については ステップ 1: 管理者グループを作成し IAM ユーザーを追加する (p. 4) を参照してください 組織の契約を受諾する AWS Organizations の組織内のすべてのメンバーアカウントに代わって契約を受諾できます 契約を受諾するには マスターアカウントの所有者に次のアクセス許可が必要です artifact:downloadagreement artifact:acceptagreement organizations:describeorganization organizations:enableawsserviceaccess organizations:listawsserviceaccessfororganization iam:listroles iam:createrole iam:attachrolepolicy これらのアクセス許可の詳細については IAM ポリシーの作成 (p. 11) を参照してください Important 契約を受諾する前に 法務 個人情報 およびコンプライアンス担当部門に相談することをお勧めします 組織の契約を受諾するには 1. AWS マネジメントコンソールにサインインし AWS Artifact コンソール (https:// console.aws.amazon.com/artifact/) を開きます 2. AWS Artifact ダッシュボードで [Agreements ( 契約 ) を選択します 3. [Organization agreements ( 組織契約 ) タブを選択します 4. 必要な契約のセクションを展開します 5. [Download and review ( ダウンロードして確認 ) を選択します 6. [Terms and conditions ( 利用規約 ) ダイアログボックスで [Accept and download ( 同意してダウンロード ) を選択します Note NDA は法的に拘束力のある契約です これは綿密に確認することをお勧めします 7. 契約内容を確認し 同意する場合はチェックボックスをオンにします 8. [Accept ( 受諾 ) を選択して組織内の既存および今後のすべてのアカウントの契約を受諾します 組織契約の終了 AWS Artifact コンソールを使用して組織内のすべてのメンバーアカウントの代わりに契約を受諾した場合は コンソールを使用してその契約を終了できます 契約を終了するには マスターアカウントの所有者に次のアクセス許可が必要です artifact:downloadagreement artifact:terminateagreement organizations:describeorganization organizations:enableawsserviceaccess organizations:listawsserviceaccessfororganization iam:listroles iam:createrole 9
既存のオフライン契約の管理 iam:attachrolepolicy ポリシーの作成方法の詳細については IAM ポリシーの作成 (p. 11) を参照してください Note 契約の受諾に AWS Artifact コンソールを使用しなかった場合 コンソールを使用して契約を終了することはできません 詳細については 既存のオフライン契約の管理 (p. 10) を参照してください AWS とのオンライン組織契約を終了するには 1. AWS マネジメントコンソールにサインインし AWS Artifact コンソール (https:// console.aws.amazon.com/artifact/) を開きます 2. AWS Artifact ダッシュボードで [Agreements ( 契約 ) を選択します 3. [Organization agreements ( 組織契約 ) タブを選択します 4. 契約を終了するには [Terminate agreement for this account ( このアカウントの契約を終了する ) を選択します 5. [Terminate ( 終了 ) を選択します 6. すべてのチェックボックスをオンにして 契約終了に同意することを示します 7. [Terminate ( 終了 ) ボタンを選択します プロンプトが表示されたら 再度選択します 既存のオフライン契約の管理 受諾済みの契約 ( オフラインで受諾した契約を含む ) を初めて表示する前に AWS Artifact の使用開始 (p. 4) のプロセスに従います 開始方法のすべてのステップを完了すると AWS Artifact コンソールを使用してオフライン契約を表示できます 既存のオフライン契約がある場合 AWS Artifact にはオフラインで受諾した契約が表示されます たとえば コンソールに [Offline Business Associate Addendum (BAA) ( オフライン事業提携契約 ) が [Active ( 有効 ) というステータスで表示されます 有効というステータスは契約が受諾されたことを示します オフライン契約を終了するには 契約に含まれる終了のガイドラインおよび手順を参照してください アカウントが AWS Organizations 組織のマスターアカウントである場合 AWS Artifact を使用してオフライン契約の条項を組織のすべてのアカウントに適用できます オフラインで受諾した契約を組織および組織内のすべてのアカウントに適用するには 次のアクセス許可が必要です organizations:describeorganization organizations:enableawsserviceaccess organizations:listawsserviceaccessfororganization iam:listroles iam:createrole iam:attachrolepolicy お客様のアカウントが組織のメンバーアカウントである場合 オフラインの組織契約を表示するには 次のアクセス許可が必要です organizations:describeorganization ポリシーの作成方法の詳細については IAM ポリシーの作成 (p. 11) を参照してください 10
IAM ポリシーの作成 Controlling Access 契約を管理するために必要なすべての権限は管理アカウントに含まれていますが さまざまなユーザーアカウントに異なる権限を付与するには個別のドキュメントや契約が必要になる場合があります IAM ポリシーを使用してアクセス権限を付与できます 管理以外のアクセスを付与するには ポリシーを作成し グループにポリシーをアタッチしてから そのグループに IAM ユーザーを追加する必要があります 1. IAM ポリシーの作成 2. IAM グループを作成する 3. IAM ユーザーを作成してグループに追加する IAM ポリシーの作成 IAM ユーザーにアクセス許可を付与するアクセス権ポリシーを作成します このアクセス権限は 単一のアカウントまたは組織に代わって ユーザーが AWS Artifact レポートに対してアクセスすること および契約の受諾およびダウンロードを行うことを許可します 次の表に 必要なアクセスレベルに基づいて IAM ユーザーに割り当てることができるアクセス権限を示します レポートの権限 契約の権限 一般的な AWS Artifact IAM ポリシー IAM ポリシーを作成するには レポートの権限 アクセス許可名付与されたアクセス許可 IAM ポリシーの例 Get IAM ユーザーに ルートアカウントがアクセスできるすべてのレポートをダウンロードするアクセス許可を付与します "artifact:get", "Resource": [ "arn:aws:artifact:::reportpackage/*" 11
IAM ポリシーの作成 契約の権限 アクセス許可名 付与されたアクセス許可 IAM ポリシーの例 DownloadAgreement IAM ユーザーに ルートアカウントがアクセスできるすべての契約をダウンロードするアクセス許可を付与します IAM ユーザーが契約を受諾するにはこのアクセス許可が必要です "artifact:downloadagreement", "Resource": [ "*" AcceptAgreement IAM ユーザーに ルートアカウントに代わって契約を受諾するアクセス許可を付与します IAM ユーザーが契約を受諾するには 契約をダウンロードするアクセス許可も必要です "artifact:acceptagreement", "Resource": [ "*" TerminateAgreement IAM ユーザーに ルートアカウントに代わって契約を終了するアクセス許可を付与します "artifact:terminateagreement", "Resource": [ "*" DescribeOrganization IAM ユーザーに ユーザーのアカウントが属する AWS Organizations 組織に関する情報を取得するアクセス許可を付与します 組織契約を表示または使用するには マスターアカウントおよびメンバーアカウント "organizations:describeorganization", 12
IAM ポリシーの作成 アクセス許可名 付与されたアクセス許可 IAM ポリシーの例 の両方に DescribeOrganizations アクセス許可が必要です, "Resource": "*" ListRoles IAM ユーザーに AWS Artifact が AWS CreateRoleOrganizations との統合に使用する IAM ロールを作成するアクセス許可を付与しま AttachRolePolicy す 組織的な契約を開始するには 組織のマスターアカウントにこれらのアクセス許可が必要です "Action": "iam:listroles", "Resource": "arn:aws:iam::*:role/*", "Action": "iam:createrole", "Resource": "arn:aws:iam::*:role/service-role/ AWSArtifactAccountSync", "Action": "iam:attachrolepolicy", "Resource": "arn:aws:iam::*:role/service-role/ AWSArtifactAccountSync", "Condition": "ArnEquals": "iam:policyarn": "arn:aws:iam::aws:policy/servicerole/awsartifactaccountsync" 13
IAM ポリシーの作成 アクセス許可名 付与されたアクセス許可 IAM ポリシーの例 EnableAWSServiceAccess Organizations を使用するアクセス ListAWSServiceAccessForOrganization 許可を Artifact に付与するためのアクセス許可を IAM ユーザーに付与します AWS Organizations の詳細については AWS Artifact で契約を管理する を参照してください 組織的な契約を開始するには 組織のマスターアカウントにこれらのアクセス許可が必要です "organizations:enableawsserviceaccess", "organizations:describeorganization", "organizations:listawsserviceaccessfororganizatio, "Resource": "*" 以下はもっとも一般的なユースケース 7 つのポリシーです 一般的な AWS Artifact IAM ポリシー ユースケースアクセス許可名ポリシーの例 レポートのダウンロードと契約の管理を行うフルアクセス artifact:get artifact:acceptagreement artifact:downloadagreement artifact:terminateagreement organizations:describeorganization "artifact:get", organizations:enableawsserviceaccess "artifact:acceptagreement", organizations:listaccounts "artifact:downloadagreement", organizations:listawsserviceaccessfororganization "artifact:terminateagreement", iam:createrole "Resource": [ iam:attachrolepolicy iam:listroles "arn:aws:artifact:::agreement/ *", "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact:::reportpackage/*", "Action": "iam:listroles", 14
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 "Resource": "arn:aws:iam::*:role/*", "Action": "iam:createrole", "Resource": "arn:aws:iam::*:role/ service-role/ AWSArtifactAccountSync", "Action": "iam:attachrolepolicy", "Resource": "arn:aws:iam::*:role/ service-role/ AWSArtifactAccountSync", "Condition": "ArnEquals": "iam:policyarn": "arn:aws:iam::aws:policy/ service-role/ AWSArtifactAccountSync", "organizations:describeorganization", "organizations:enableawsserviceaccess", "organizations:listaccounts", "organizations:listawsserviceaccessforor, "Resource": "*" 15
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 レポートをダウンロードするアクセス許可 artifact:get "artifact:get", "Resource": [ "arn:aws:artifact:::reportpackage/*" 16
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 組織的な契約の管理を開始するアクセス許可 マスターアカウントのみ artifact:acceptagreement artifact:downloadagreement artifact:terminateagreement organizations:describeorganization organizations:enableawsserviceaccess "artifact:acceptagreement", organizations:listaccounts "artifact:downloadagreement", organizations:listawsserviceaccessfororganization "artifact:terminateagreement", iam:createrole "Resource": [ iam:attachrolepolicy iam:listroles "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact:::agreement/ *", "Action": "iam:listroles", "Resource": "arn:aws:iam::*:role/*", "Action": "iam:createrole", "Resource": "arn:aws:iam::*:role/ service-role/ AWSArtifactAccountSync", "Action": "iam:attachrolepolicy", "Resource": "arn:aws:iam::*:role/ service-role/ AWSArtifactAccountSync", "Condition": "ArnEquals": "iam:policyarn": "arn:aws:iam::aws:policy/ service-role/ AWSArtifactAccountSync", 17
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 "organizations:describeorganization", "organizations:enableawsserviceaccess", "organizations:listaccounts", "organizations:listawsserviceaccessforor, "Resource": "*" 組織的な契約を管理するアクセス許可 マスターアカウントのみ 事前に組織的な契約をセットアップする必要があります artifact:acceptagreement artifact:downloadagreement artifact:terminateagreement organizations:describeorganization "artifact:acceptagreement", "artifact:downloadagreement", "artifact:terminateagreement", "Resource": [ "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact:::agreement/ *", "organizations:describeorganization", "Resource": "*" 18
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 組織的な契約を表示するアクセス許可 artifact:downloadagreement organizations:describeorganization "artifact:downloadagreement", "Resource": [ "arn:aws:artifact:::agreement/ *", "organizations:describeorganization", "Resource": "*" 組織的な契約を表示およびダウンロードするアクセス許可 artifact:downloadagreement "artifact:downloadagreement", "Resource": [ "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact:::agreement/ *" 19
IAM ポリシーの作成 ユースケースアクセス許可名ポリシーの例 ユーザーが単一アカウントの契約を管理するためのアクセス許可 artifact:acceptagreement artifact:downloadagreement artifact:terminateagreement "artifact:acceptagreement", "artifact:terminateagreement", "artifact:downloadagreement", "Resource": [ "arn:aws:artifact::*:customeragreement/*", "arn:aws:artifact:::agreement/ *" IAM ポリシーを作成するには 次の手順に従って IAM ポリシーを作成します 独自のポリシーを使用することも 前の表のポリシーのいずれかを使用することもできます 1. AWS マネジメントコンソールにサインインし IAM コンソール (https://console.aws.amazon.com/ iam/) を開きます 2. ナビゲーションペインで [Policies を選択します 3. [Create Policy を選択します 4. [Create Your Own Policy を選択します 5. [Policy Name に ポリシーの意図を覚えておくための一意の名前を入力します 6. [Description に ポリシーの説明を入力します 7. [ ポリシードキュメント では レポートの権限 (p. 11) 契約の権限 (p. 12) または 一般的な AWS Artifact IAM ポリシー (p. 14) の表のポリシードキュメントのいずれかをコピーして貼り付けます または AWS Artifact の AWS PCI SOC および ISO レポートのみに対するアクセス権を付与するには 次のポリシーをコピーして貼り付けます *", *", "artifact:get", "Resource": [ "arn:aws:artifact:::report-package/certifications and Attestations/SOC/ "arn:aws:artifact:::report-package/certifications and Attestations/PCI/ 20
IAM グループを作成する *" "arn:aws:artifact:::report-package/certifications and Attestations/ISO/ 特定のタイプのレポートのアクセス権限を削除するには そのレポートタイプの行を削除します たとえば SOC レポートを削除するには 次の行を削除します "arn:aws:artifact:::report-package/certifications and Attestations/SOC/*", 8. [Validate Policy を選択します 9. [Create Policy を選択します これでポリシーを作成したので グループにポリシーをアタッチできます IAM グループを作成する 前の手順では アクセス権限ポリシーを作成しました グループにポリシーをアタッチし 他の IAM ユーザーをいつでもグループに追加できます IAM グループを作成してポリシーをアタッチするには 1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ で AWS アカウントのルートユーザーとして IAM コンソールにサインインします 2. コンソールのナビゲーションペインで [ グループ [ 新しいグループの作成 の順に選択します 3. [ グループ名 に IAM グループの名前を入力し [ 次のステップ を選択します 4. 検索ボックスに作成したポリシーの名前を入力します 5. ポリシーリストで ポリシーのチェックボックスをオンにします その後 [Next Step を選択します 6. グループ名とポリシーを確認します 続行する準備ができたら [ グループの作成 を選択します グループを作成し ポリシーをアタッチしたので ユーザーをグループに追加できます IAM ユーザーを作成してグループに追加する 前の手順では IAM ポリシーを作成し グループを作成してポリシーをそのグループにアタッチしました いつでも IAM ユーザーをグループに追加できます IAM ユーザーを作成し そのユーザーをグループに追加するには 1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ で AWS アカウントのルートユーザーとして IAM コンソールにサインインします Note 以下の AdministratorIAM ユーザーの使用に関するベストプラクティスに従い ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします ルートユーザーとしてサインインして 少数のアカウントおよびサービス管理タスクのみを実行します 2. コンソールのナビゲーションペインで [ ユーザー [ ユーザーの追加 の順に選択します 21
IAM ユーザーを作成してグループに追加する 3. [ ユーザー名 にユーザーの名前を入力します 4. [AWS マネジメントコンソールによるアクセス の横のチェックボックスをオンにし [Custom password ( カスタムパスワード ) を選択して 新しいユーザーのパスワードをテキストボックスに入力します オプションとして [Require password reset ( パスワードのリセットの強制 ) を選択し ユーザーが次回サインインしたときに新しいパスワードを作成することを強制できます 5. [Next: Permissions ( 次へ : アクセス許可 ) を選択します 6. [Set permissions for user ページで [Add user to group を選択します 7. グループのリストで 新しいグループのチェックボックスをオンにします 必要に応じて [Refresh を選択し リスト内のグループを表示します 8. [Next: Review を選択して 新しいユーザーに追加するグループメンバーシップのリストを表示します 続行する準備ができたら [Create user を選択します これで グループの作成 グループへのポリシーのアタッチ グループへのユーザーの追加が完了しました 同じ手順で 別のアクセス許可を持つユーザーやグループを追加できます 22
AWS Artifact のドキュメント履歴 次の表は AWS Artifact の今回のリリースの内容をまとめたものです 文書の最終更新 : 2018 年 6 月 5 日 変更説明日付 AWS Organizations 契約 契約 ドキュメントのリリース 組織の契約を管理するドキュメントが追加されました AWS Artifact Agreements の管理のドキュメントを追加しました これはドキュメントの最初のリリースです ドキュメントの設定 開始方法 およびダウンロードの詳細が含まれています 2018 年 6 月 20 日 2017 年 13 月 6 日 2016 年 11 月 30 日 23