AWS の AWS Health マネージドポリシー - AWS Health
AWSHealth_EventProcessorServiceRolePolicyHealth_OrganizationsServiceRolePolicyAWSHealthFullAccessポリシーの更新

AWS の AWS Health マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS Health には次のマネージドポリシーがあります。

AWS マネージドポリシー: AWSHealth_EventProcessorServiceRolePolicy

AWS Health は、AWSHealth_EventProcessorServiceRolePolicy AWS マネージドポリシーを使用します。このマネージドポリシーは、AWSServiceRoleForHealth_EventProcessor サービスリンクロールにアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「AWS Health のサービスにリンクされたロールの使用」を参照してください。

管理ポリシーには、AWS Health が AWS インシデント検出と対応のための Amazon EventBridge ルールへのアクセスを許可する以下のアクセス権限があります。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • events — EventBridge ルールを記述および削除し、それらのルールのターゲットを説明および更新します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Condition": {
                "StringEquals": {"events:ManagedBy": "event-processor.health.amazonaws.com"}
            },
            "Action": [
                "events:DeleteRule",
                "events:RemoveTargets",
                "events:PutTargets",
                "events:PutRule"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "events:ListTargetsByRule",
                "events:DescribeRule"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

ポリシーへの変更のリストについては、「AWS マネージドポリシーの AWS Health 更新」を参照してください。

AWS マネージドポリシー: Health_OrganizationsServiceRolePolicy

AWS Health は、Health_OrganizationsServiceRolePolicy AWS マネージドポリシーを使用します。このマネージドポリシーは、AWSServiceRoleForHealth_Organizations サービスリンクロールにアタッチされます。このポリシーは、サービスリンクロールがユーザーに代わってアクションを完了することを許可します。このポリシーを IAM エンティティにアタッチすることはできません。詳細については、「AWS Health のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、AWS Health がヘルス組織ビューに必要となる AWS Organizations の詳細にアクセスできる権限を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations — AWS Organizations内のアカウントと、組織で使用できるAWS のサービスについて説明します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount"
            ],
            "Resource": "*"
        }
    ]
}

ポリシーへの変更のリストについては、「AWS マネージドポリシーの AWS Health 更新」を参照してください。

AWS マネージドポリシー: AWSHealthFullAccess

AWS Health は、AWSHealthFullAccess AWS マネージドポリシーを使用します。このポリシーは、エンティティ (IAM ユーザーまたはロール) にAWS Healthコンソールへのアクセス権を付与します。詳細については、「AWS Health コンソールを使用する」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations — AWS 組織内のすべてのアカウントの AWS Health 組織表示機能を有効または無効にし、管理アカウントの組織単位 (OU) を表示します

  • health – AWS HealthAPI オペレーションと通知へのアクセス

  • iam – AWS Healthサービスにリンクした IAM ロールを作成します

{
    "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "OrganizationWriteAccess",
                "Effect": "Allow",
                "Action": [
                    "organizations:EnableAWSServiceAccess",
                    "organizations:DisableAWSServiceAccess"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "organizations:ServicePrincipal": "health.amazonaws.com"
                    }
                }
            },
            {
                "Sid": "HealthFullAccess",
                "Effect": "Allow",
                "Action": [
                    "health:*",
                    "organizations:DescribeAccount",
                    "organizations:ListAccounts",
                    "organizations:ListDelegatedAdministrators",
                    "organizations:ListParents"
                ],
                "Resource": "*"
            },
            {
                "Sid": "ServiceLinkAccess",
                "Effect": "Allow",
                "Action": "iam:CreateServiceLinkedRole",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "iam:AWSServiceName": "health.amazonaws.com"
                    }
                }
            }
        ]
}

ポリシーへの変更のリストについては、「AWS マネージドポリシーの AWS Health 更新」を参照してください。

AWS マネージドポリシーの AWS Health 更新

このサービスがこれらの変更の追跡を開始してからの、AWS Health の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、AWS Health のドキュメント履歴 ページの RSS フィードを購読してください。

次の表は、2022 年 1 月 13 日現在の AWS Health マネージドポリシーの重要な更新について説明しています。

AWS Health
変更 説明 日付

AWS マネージドポリシー: AWSHealthFullAccess – 既存ポリシーへの更新

AWS Health は AWSHealthFullAccess ポリシーをAWS GovCloud (US) Regionsと中国リージョンに拡大しました。

2023 年 10 月 16 日

AWS マネージドポリシー: Health_OrganizationsServiceRolePolicy – 既存ポリシーへの更新

AWS Health は、サービスリンクロールが AWS Organizations で使用できるアカウントと AWS サービスを記述できるようにする新しい AWS Organizationsアクションを追加しました。

2023 年 7 月 19 日

変更ログが発行されました

AWS Health マネージドポリシーのログを変更します。

 2023 年 1 月 13 日