AWS の マネージドポリシー AWS Well-Architected Tool

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS マネージドポリシー: WellArchitectedConsoleFullAccess

WellArchitectedConsoleFullAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、 へのフルアクセスを許可します AWS Well-Architected Tool。

許可の詳細

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}

AWS マネージドポリシー: WellArchitectedConsoleReadOnlyAccess

WellArchitectedConsoleReadOnlyAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、 への読み取り専用アクセスを許可します AWS Well-Architected Tool。

許可の詳細

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
          "wellarchitected:ExportLens"
     ],
     "Resource": "*"
     }
   ]
}

AWS マネージドポリシー: AWSWellArchitectedOrganizationsServiceRolePolicy

AWSWellArchitectedOrganizationsServiceRolePolicy ポリシーは IAM ID にアタッチできます。

このポリシーは AWS Organizations 、Organizations と AWS Well-Architected Tool の統合をサポートするために必要な の管理アクセス許可を付与します。これらのアクセス許可により、組織管理アカウントは とのリソース共有を有効にできます AWS WA Tool。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• organizations:ListAWSServiceAccessForOrganization – プリンシパルが AWS のサービスアクセスが有効になっているかどうかを確認できます AWS WA Tool。

• organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

• organizations:DescribeOrganization - 組織設定に関する情報の取得を、プリンシパルに許可します。

• organizations:ListAccounts - 組織に属するアカウントリストの取得を、プリンシパルに許可します。

• organizations:ListAccountsForParent - 組織に属するアカウントのリストを組織の指定ルートノードから取得することをプリンシパルに許可します。

• organizations:ListChildren - 組織に属するアカウントのリストの組織部門を組織の指定ルートノードから取得することをプリンシパルに許可します。

• organizations:ListParents - 組織内の OU またはアカウントで指定された直属の親リストの取得をプリンシパルに許可します。

• organizations:ListRoots - 組織内のすべてのルートノードの一覧の取得をプリンシパルに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー： AWSWellArchitectedDiscoveryServiceRolePolicy

AWSWellArchitectedDiscoveryServiceRolePolicy ポリシーは IAM ID にアタッチできます。

このポリシーにより、 AWS Well-Architected Tool は リソースに関連する AWS サービスと AWS WA Tool リソースにアクセスできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• trustedadvisor:DescribeChecks – 利用可能な Trusted Advisor チェックを一覧表示します。

• trustedadvisor:DescribeCheckItems – によってフラグが付けられたステータスやリソースなどの Trusted Advisor チェックデータを取得します Trusted Advisor。

• servicecatalog:GetApplication – AppRegistry アプリケーションの詳細を取得します。

• servicecatalog:ListAssociatedResources – AppRegistry アプリケーションに関連付けられたリソースを一覧表示します。

• cloudformation:DescribeStacks — AWS CloudFormation スタックの詳細を取得します。

• cloudformation:ListStackResources – AWS CloudFormation スタックに関連付けられたリソースを一覧表示します。

• resource-groups:ListGroupResources – からのリソースを一覧表示します ResourceGroup。

• tag:GetResources – に必要です ListGroupResources。

• servicecatalog:CreateAttributeGroup — 必要に応じてサービス管理属性グループを作成します。

• servicecatalog:AssociateAttributeGroup – サービスマネージド属性グループを AppRegistry アプリケーションに関連付けます。

• servicecatalog:UpdateAttributeGroup — サービス管理属性グループを更新します。

• servicecatalog:DisassociateAttributeGroup - サービスマネージド属性グループと AppRegistry アプリケーションの関連付けを解除します。

• servicecatalog:DeleteAttributeGroup — 必要に応じてサービス管理属性グループを削除します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}

AWS WA ToolAWS 管理ポリシーの更新

このサービスがこれらの変更の追跡を開始した AWS WA Tool 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を受け取るには、 AWS WA Tool ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更	説明	日付
AWS WA Tool 管理ポリシーの変更	"wellarchitected:Export*"が WellArchitectedConsoleReadOnlyAccessに追加されました。	2023 年 6 月 22 日
AWS WA Tool がサービスロールポリシーを追加	AWSWellArchitectedDiscoveryServiceRolePolicy が リソースに関連する AWS サービスと AWS WA Tool リソースにアクセス AWS Well-Architected Tool できるようにする を追加しました。	2023 年 5 月 3 日
AWS WA Tool がアクセス許可を追加	AWS がサービスアクセスが AWS WA Tool に対して有効になっているかどうかを確認するListAWSServiceAccessForOrganizationために、 に付与する新しいアクションを追加しました AWS WA Tool。	2022 年 7 月 22 日
AWS WA Tool が変更の追跡を開始しました	AWS WA Tool が AWS マネージドポリシーの変更の追跡を開始しました。	2022 年 7 月 22 日