AWS Healthユーザーガイド

AWS Health ユーザーガイド

AWS Health: ユーザーガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Health ユーザーガイド

Table of ContentsAWS Health とは ............................................................................................................................... 1

AWS Health を初めてお使いになる方向けの情報 ............................................................................. 1AWS Health でサポートされているオペレーション .......................................................................... 1AWS Health API へのアクセス ..................................................................................................... 3

エンドポイント .................................................................................................................. 3AWS Health API リクエストの署名 ....................................................................................... 3

Personal Health Dashboard の使用開始 ................................................................................................. 4ダッシュボード .......................................................................................................................... 4イベントログ ............................................................................................................................. 4

イベントタイプ .................................................................................................................. 5[イベントの詳細] ペイン ...................................................................................................... 5

統合 .......................................................................................................................................... 5AWS Organizations ............................................................................................................. 5Amazon CloudWatch Events ................................................................................................ 6

AWS Health イベントのアラート .................................................................................................. 7AWS Health API の開始方法 ................................................................................................................ 8

Java コード例 ............................................................................................................................ 9ステップ 1: 認証情報を初期化する ........................................................................................ 9ステップ 2: AWS Health API クライアントを初期化する .......................................................... 9ステップ 3: AWS Health API オペレーションを使用してイベント情報を取得する ......................... 9

セキュリティ .................................................................................................................................... 12データ保護 ............................................................................................................................... 12

データの暗号化 ................................................................................................................. 13インターネットトラフィックのプライバシー ......................................................................... 13

Identity and access management ................................................................................................ 14対象者 ............................................................................................................................. 14アイデンティティを使用した認証 ........................................................................................ 14ポリシーを使用したアクセスの管理 ..................................................................................... 16AWS Health と IAM の連携 ................................................................................................ 18アイデンティティベースのポリシーの例 .............................................................................. 21トラブルシューティング .................................................................................................... 29サービスにリンクされたロールの使用 .................................................................................. 31

AWS Health のモニタリング ...................................................................................................... 32CloudWatch イベント を使用したヘルスイベントのモニタリング ............................................. 33AWS CloudTrail による AWS Health API コールのログ記録 ..................................................... 39

コンプライアンス検証 ............................................................................................................... 40耐障害性 .................................................................................................................................. 41インフラストラクチャセキュリティ ............................................................................................. 41設定と脆弱性の分析 .................................................................................................................. 42セキュリティのベストプラクティス ............................................................................................. 42

AWS Health ユーザーに最低限のアクセス許可を付与する ....................................................... 42Personal Health Dashboard を表示する ............................................................................... 42Amazon Chime または Slack と AWS Health の統合 .............................................................. 42AWS Health イベントの監視 .............................................................................................. 42

AWS Health イベントの集計 .............................................................................................................. 44前提条件 .................................................................................................................................. 44組織ビューの有効化 .................................................................................................................. 44組織ビューイベントの表示 ......................................................................................................... 46AWS Health 組織ビュー API オペレーション ................................................................................ 46組織ビューの無効化 .................................................................................................................. 47

ドキュメント履歴 .............................................................................................................................. 49AWS の用語集 .................................................................................................................................. 50

iii

AWS Health ユーザーガイドAWS Health を初めてお使いになる方向けの情報

AWS Health とはAWS Health は、AWS のリソース、サービス、およびアカウントの状態をリアルタイムで可視化します。このサービスでは、AWS で実行されるアプリケーションに影響を与えているリソースのパフォーマンスや可用性の問題の把握と修復のガイダンスを提供します。AWS Health からタイムリーに提供される関連情報に基づいて、進行中のイベントを管理できます。また、AWS Health では予定されているアクティビティを確認して準備できます。このサービスでは、AWS リソースのヘルス状態が変化したときにアラートや通知がトリガーされ、ほぼ瞬時にイベントが可視化されます。また、表示されるガイダンスに沿って対処することでトラブルシューティングの時間を短縮できます。

すべてのお客様は、AWS Health API による Personal Health Dashboard (PHD) を使用できます。ダッシュボードのセットアップは必要ありません。認証済みの AWS ユーザー (p. 14)は、すぐに使い始めることができます。その他の主なサービスについては、AWS Personal Health Dashboard の詳細ページ を参照してください。

さらに、ビジネスサポートプランやエンタープライズサポートプランを持つ AWS サポート のお客様は、AWS Health API を使用して社内およびサードパーティーのシステムと統合することもできます。

トピック• AWS Health を初めてお使いになる方向けの情報 (p. 1)• AWS Health でサポートされているオペレーション (p. 1)• AWS Health API へのアクセス (p. 3)

AWS Health を初めてお使いになる方向けの情報AWS Health を初めて使用する場合は、最初に以下のセクションをお読みください。

• AWS Health とは (p. 1) - このセクションでは、基盤となるデータモデル、サポートしているオペレーション、サービスとの連係に利用できる AWS SDK について説明します。

• AWS Personal Health Dashboard の使用開始 (p. 4) – 「Personal Health Dashboard」セクションでは、Personal Health Dashboard を使用してイベントや影響を受けるエンティティを表示し、高度なフィルタ処理を行います。

• AWS Health API の開始方法 (p. 8) – 「AWS Health API」セクションでは、イベントやエンティティの情報を取得するオペレーションについて説明します。

AWS Health では、すべてのお客様が Personal Health Dashboard と呼ばれるコンソールを利用できます。ダッシュボードをセットアップするためのコードの記述やアクションの実行は不要です。ビジネスサポートプランまたはエンタープライズサポートプランがある場合は、ダッシュボードに表示される情報にプログラムでアクセスできます。AWS Command Line Interface (AWS CLI) を使用するか、コードを記述してリクエストを作成することができます。そのためには、REST API を直接使用するか AWS SDK を使用します。

AWS CLI での AWS Health の使用の詳細については、AWS Health の AWS CLI リファレンスを参照してください。AWS CLI のインストール方法については、「AWS Command Line Interface インターフェイスのインストール」を参照してください。

AWS Health でサポートされているオペレーションAWS Health では、AWS アカウントに影響するイベントの情報を入手するためのオペレーションとして以下がサポートされています。

1

AWS Health ユーザーガイドAWS Health でサポートされているオペレーション

• AWS Health でサポートされているイベントタイプ。• 指定したフィルタ条件に一致する 1 つ以上のイベントの情報。• 1 つ以上のイベントから影響を受けるエンティティの情報。• 指定したフィルタ条件に一致するイベントやエンティティの分類別の数。

すべてのオペレーションは変化を伴いません。つまり、データは取得されますが、変更されることはありません。以下のセクションでは、AWS Health オペレーションの概要を示します。

イベントタイプ

DescribeEventTypes オペレーションでは、オプションで指定したフィルタに一致するイベントタイプを取得します。イベントタイプは、イベントに関する AWS のサービス、イベントタイプコード、およびカテゴリのテンプレート定義です。イベントタイプとイベントは、オブジェクト指向プログラミングのクラスとオブジェクトに似ています。AWS Health でサポートされるイベントタイプの数は、時間とともに増えます。

イベント

DescribeEvents オペレーションでは、AWS アカウントに関連するイベントについての概要情報を取得します。イベントは、AWS のオペレーションの問題、AWS インフラストラクチャの予定された変更、またはセキュリティと請求の通知に関連している場合があります。DescribeEventDetails オペレーションでは、1 つ以上のイベントの詳細情報を取得します。たとえば、AWS のサービス、リージョン、アベイラビリティーゾーン、イベントの開始時刻と終了時刻、テキストの説明などが該当します。

影響を受けるエンティティ

DescribeAffectedEntities オペレーションでは、1 つ以上のイベントから影響を受けるエンティティの情報を取得します。表示された結果は、追加の条件 (AWS のリソースに割り当てられているステータスなど)を指定してフィルタできます。

集計

DescribeEventAggregates オペレーションでは、イベントタイプのカテゴリ別のイベント数を取得します。カテゴリは、必要に応じてその他の条件でフィルタすることもできます。DescribeEntityAggregatesオペレーションは、1 つ以上の指定したイベントから影響を受けるエンティティ (リソース) の数を取得します。

AWS Organizations および組織ビュー

DescribeEventsForOrganization

DescribeEventsForOrganization は、指定されたフィルタ条件を満たす AWS Organizations 全体のイベントに関する概要情報を返します。

DescribeAffectedAccountsForOrganization

DescribeAffectedAccountsForOrganization は、指定されたイベントの影響を受けている AWSOrganizations 内の AWS アカウントのリストを返します。

DescribeEventDetailsForOrganization

DescribeEventDetailsForOrganization は、AWS Organizations で 1 つ以上のアカウントの 1 つ以上の指定されたイベントに関する詳細情報を返します。

DescribeAffectedEntitiesForOrganization

DescribeAffectedEntitiesForOrganization は、フィルタ条件に基づいて、組織における 1 つ以上のアカウントの 1 つ以上のイベントの影響を受けたエンティティのリストを返します。

2

AWS Health ユーザーガイドAWS Health API へのアクセス

EnableHealthServiceAccessForOrganization

EnableHealthServiceAccessForOrganization オペレーションは、お客様に代わって AWS Organizations とやり取りするためのアクセス許可を AWS Health サービスに付与し、サービスにリンクされたロールを組織のマスターアカウントに適用します。

DisableHealthServiceAccessForOrganization

DisableHealthServiceAccessForOrganization オペレーションは、AWS Health サービスがお客様に代わって AWS Organizations とやり取りするためのアクセス許可を取り消します。

DescribeHealthServiceStatusForOrganization

DescribeHealthServiceStatusForOrganization オペレーションは、AWS Health による組織の操作の有効化または無効化に関するステータス情報を表示します。

これらのオペレーションの詳細については、AWS Health API リファレンス を参照してください。

AWS Health API へのアクセスAWS Health は、トランスポートとして HTTPS を使用し、メッセージシリアライズフォーマットとしてJavaScript Object Notation (JSON) を使用する RESTful なウェブサービスです。アプリケーションコードから直接、AWS Health ウェブサービス API へのリクエストを行うことができます。この REST API を直接使用するときは、リクエストの署名と認証のためのコードを書く必要があります。API の詳細については、AWS Health API リファレンス を参照してください。

Note

AWS Health API を使用するには、ビジネスサポートプランまたはエンタープライズサポートプラン が必要です。

AWS SDK を使用して AWS Health REST API コールをラップすることで、アプリケーション開発を簡素化できます。開発者が認証情報を指定すれば、ライブラリによって認証とリクエスト署名の処理が自動的に行われます。

AWS Health では、すべての AWS のお客様が使用できる AWS マネジメントコンソールに PersonalHealth Dashboard が用意されています。Personal Health Dashboard では、イベントや影響を受けるエンティティを表示および検索できます。

エンドポイントAWS Health のグローバルエンドポイント https://health.us-east-1.amazonaws.com が 1 つのみです。

API でサポートされているフィルタを使用して AWS のリージョン別のイベントを表示できます。すべてのサービスの AWS エンドポイントとリージョンの詳細については、AWS General Referenceの「AWSリージョンとエンドポイント」を参照してください。

AWS Health API リクエストの署名リクエストには、アクセスキー ID およびシークレットアクセスキーによる署名が必要です。AWS Healthへの通常のアクセスには、AWS ルートアカウントの認証情報を使用しないことを強くお勧めします。IAMユーザーの認証情報を代わりに使用できます。

API リクエストをサインアップする際には、AWS 署名バージョン 4 の使用が推奨されます。詳細については、AWS General Referenceの「AWS API リクエストの署名」を参照してください。

3

AWS Health ユーザーガイドダッシュボード

AWS Personal Health Dashboard の使用開始

AWS Personal Health Dashboard を使用して、AWS サービスまたはアカウントに影響を与える可能性がある AWS Health イベントについて確認できます。Personal Health Dashboard は、情報を 2 つの方法で表示します。ダッシュボードには、最近のイベントおよび予定されているイベントがカテゴリ別に分類されて表示されます。詳細なイベントログには、過去 90 日間のすべてのイベントが表示されます。

Personal Health Dashboard を表示するには

1. AWS マネジメントコンソールにサインインして、Personal Health Dashboard を開きます (https://phd.aws.amazon.com/phd/home)。

2. [ダッシュボード] を選択して最近および今後のイベントが表示するか、[イベントログ ] を選択して過去 90 日間のすべてのイベントを表示します。

トピック• ダッシュボード (p. 4)• イベントログ (p. 4)• 統合 (p. 5)• AWS Health イベントのアラート (p. 7)

ダッシュボードPersonal Health Dashboard では、未解決の問題、予定された変更、その他の通知という 3 つのグループに問題が分類されます。デフォルトでは、未解決の問題とその他の通知が表示されるのは、過去 7 日間以内の時刻に開始した問題に限られます。予定された変更には、進行中または予定されている変更が含まれます。

ダッシュボードのリストでイベントを選択すると、[イベントの詳細] ペインにイベントとその影響を受けるリソースの情報が表示されます。詳細については、「[イベントの詳細] ペイン (p. 5)」を参照してください。

表示された項目は、グループを問わず、フィルタリストからオプションを選択してフィルタリングできます。たとえば、アベイラビリティーゾーン、リージョン、イベントの終了時刻や最終更新時間、AWS のサービスなどで結果を絞り込むことができます。

ダッシュボードに表示される最近のイベントだけでなく、アカウントに適用されるすべてのイベントを表示するには、リストの上にある [すべての問題の表示] を選択し、「イベントログ (p. 4)」を表示します。

Note

現時点では、Personal Health Dashboard に表示されるイベントの通知を削除することはできません。AWS サービスがイベントを解決すると、通知はダッシュボードビューから削除されます。

イベントログPersonal Health Dashboard の [イベントログ] ページには、アカウントに適用されるすべての AWS Healthイベントが表示されます。列のレイアウトと動作はダッシュボードと似ていますが、ログページには [ステータス] と [イベントのカテゴリ] の列とフィルタオプションが追加されています。

4

AWS Health ユーザーガイドイベントタイプ

[イベントログ] リストでイベントを選択すると、[イベントの詳細] ペインにイベントとその影響を受けるリソースの情報が示されます。詳細については、「[イベントの詳細] ペイン (p. 5)」を参照してください。

フィルタリストからオプションを選択して項目をフィルタリングできます。たとえば、ステータス (解決済み、未解決、予定)、イベントカテゴリ (問題、通知、予定された変更)、アベイラビリティーゾーン、リージョン、イベント終了時刻/最終更新時間、AWS のサービスなどで結果を絞り込むことができます。

イベントタイプAWS Health イベントには 2 つのタイプがあります。

• パブリックイベントは、AWS アカウント固有ではないサービスイベントです。たとえば、AWS リージョンで Amazon Elastic Compute Cloud (Amazon EC2) に問題がある場合、そのリージョンでサービスやリソースを使用していなくても、AWS Health はイベントに関する情報を提供します。

• アカウント固有のイベントは、AWS アカウントまたは組織内のアカウントに固有です。たとえば、使用しているリージョンで Amazon EC2 インスタンスに問題がある場合、AWS Health はイベントに関する情報と、アカウント内の影響を受けるリソースに関する情報を提供します。

次のオプションを使用して、イベントがパブリックかアカウント固有かを識別します。

• Personal Health Dashboard で、[Event log (イベントログ)] ページの [Affected resources (影響を受けるリソース)] タブを選択します。リソースがあるイベントは、アカウントに固有です。リソースのないイベントはパブリックであり、アカウント固有のものではありません。

• AWS Health API を使用して、eventScopeCode パラメータを返します。イベントにはPUBLIC、ACCOUNT_SPECIFIC、または NONE の値を指定できます。詳細については、AWS Health APIリファレンスの「DescribeEventDetails」オペレーションを参照してください。

[イベントの詳細] ペイン[イベントの詳細] ペインには、2 つのタブがあります。[Details] タブには、イベントを説明するテキストと、イベントに関連するデータとしてイベント名、ステータス、リージョン、アベイラビリティーゾーン、開始時刻、終了時刻、カテゴリなどが表示されます。[影響を受けるリソース] タブには、イベントから影響を受ける AWS のすべてのリソースに関する情報が表示されます。

• リソース ID (例: vol-a1b2c34f などの Amazon EBS ボリューム ID) または Amazon リソースネーム(ARN) (ある場合または該当する場合)。

リソースのリストに表示される項目は、フィルタリストからオプションを選択してフィルタリングできます。リソース ID または ARN で結果を絞り込むことができます.

統合ナビゲーションページの [統合] セクションには、AWS Health で有効にできるサービスが一覧表示されます。AWS Health は、以下のサービスと統合します。

AWS Organizations組織の一部であるすべてのアカウントの AWS Health イベントを表示できます。これにより、組織に表示されるイベントの一元化されたビューが提供されます。これらのイベントを使用して、リソース、サービス、およびアプリケーションの変更を監視できます。

5

AWS Health ユーザーガイドAmazon CloudWatch Events

詳細については、「組織ビューでのアカウント全体の AWS Health イベントの集計 (p. 44)」を参照してください。

Amazon CloudWatch EventsAmazon CloudWatch Events を使用して、AWS Health イベントの変更を検出して対応します。AWS アカウントで発生する特定の AWS Health イベントを監視し、イベントが変更されたときに通知を受け取ったり、アクションを実行したりするようルールを設定できます。

[Set up CloudWatch Events (CloudWatch イベントの設定] を選択して、CloudWatch イベント コンソールに移動できます。詳細については、「Amazon CloudWatch Events による AWS Health イベントのモニタリング (p. 33)」を参照してください。

6

AWS Health ユーザーガイドAWS Health イベントのアラート

AWS Health イベントのアラートPersonal Health Dashboard では、[アラート] メニュー付きのコンソールナビゲーションバーにベルアイコンがあります。この機能は、各カテゴリのダッシュボードに表示される最近の AWS Health イベントの数を表示します。このベルアイコンは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon RelationalDatabase Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS Trusted Advisorなど、いくつかの AWS コンソールに表示されます。

ベルアイコンを選択して、アカウントが最近のイベントから影響を受けているかどうかを確認します。その後、イベントを選択して、Personal Health Dashboard に移動して詳細情報を確認できます。

7

AWS Health ユーザーガイド

AWS Health API の開始方法AWS Health API を使用すると、Personal Health Dashboard に表示される AWS Health 情報にプログラムでアクセスできます。これらの API オペレーションを使用して、AWS リソースに影響するイベントの情報を取得できます。

• DescribeEvents: イベントの概要情報。• DescribeEventDetails: 1 つ以上のイベントの詳細情報。• DescribeAffectedEntities: 1 つ以上のイベントから影響を受ける AWS リソースの情報。

また、これらのオペレーションでは、イベントタイプと、イベントやその影響を受けるエンティティの概数も情報として提供されます。

• DescribeEventTypes: AWS Health で追跡するイベントタイプの情報。• DescribeEventAggregates: 指定した条件に一致するイベントの総数。• DescribeEntityAggregates: 指定した条件に該当する、影響を受けるエンティティの総数。

Organizational View

AWS Health で Organizational View を有効にすると、以下の API オペレーションを使用して、AWSOrganizations で組織全体のすべてのアカウントの AWS リソースに影響するイベントに関する情報を取得できます。

• DescribeEventsForOrganization: 組織でアカウント全体のイベントに関する概要情報を提供します。• DescribeAffectedAccountsForOrganization: 指定されたイベントの影響を受けている AWS Organizations

から組織のアカウントのリストを返します。• DescribeEventDetailsForOrganization: 組織で 1 つ以上のアカウントの 1 つ以上の指定されたイベントに

関する詳細情報を返します。• DescribeAffectedEntitiesForOrganization: フィルタ条件に基づいて、AWS Organizations の組織における

1 つ以上のアカウントの 1 つ以上のイベントの影響を受けたエンティティのリストを返します。• EnableHealthServiceAccessForOrganization: このオペレーションを呼び出すと、AWS Health が AWS

Organizations を操作できるようになります。• DisableHealthServiceAccessForOrganization: このオペレーションを呼び出すと、AWS Health による

AWS Organizations の操作が無効になります。• DescribeHealthServiceStatusForOrganization: このオペレーションは、AWS Health による組織の操作の

有効化または無効化に関するステータス情報を表示します。

Health API には、AWS サポートからのビジネスサポートプランまたはエンタープライズサポートプラン が必要です。ビジネスサポートプランまたはエンタープライズサポートプランがないアカウントからHealth API を呼び出すと、SubscriptionRequiredException が発生します。

AWS Health API の詳細については、AWS Health API リファレンス を参照してください。

サービスエンドポイント

AWS Health API のエンドポイントは次のとおりです。

• https://health.us-east-1.amazonaws.com

AWS Health サービスのエンドポイントは米国東部 (バージニア北部) リージョンに 1 つあり、このエンドポイントからすべてのリージョンのイベントデータが提供されます。クエリ結果をフィルタして 1 つ以上

8

AWS Health ユーザーガイドJava コード例

のリージョンに影響するイベントの情報を取得できますが、クエリ先は常に health.us-east-1 エンドポイントにする必要があります。

Java コードの例

次のトピック (p. 9)では、AWS SDK for Java で AWS Health API を使用する例を示します。

AWS Health API 用の Java コード例以下の Java コード例では、AWS Health クライアントを初期化して、イベントやエンティティの情報を取得する方法を示します。

ステップ 1: 認証情報を初期化するAWS Health API との通信には、有効な認証情報が必要です。AWS アカウントに関連付けられている IAMユーザーのキーペアを使用できます。

AWSCredentials インスタンスを作成して初期化します。

AWSCredentials credentials = null;try { credentials = new ProfileCredentialsProvider("default").getCredentials();} catch (Exception e) {throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (/home/username/.aws/credentials), and is in valid format.", e);}

ステップ 2: AWS Health API クライアントを初期化する前のステップで初期化した認証情報オブジェクトを使用して、AWS Health クライアントを作成します。

import com.amazonaws.services.health.AWSHealthClient;

AWSHealth awsHealthClient = new AWSHealthClient(credentials);

ステップ 3: AWS Health API オペレーションを使用してイベント情報を取得するDescribeEvents

import com.amazonaws.services.health.model.DescribeEventsRequest;import com.amazonaws.services.health.model.DescribeEventsResult;import com.amazonaws.services.health.model.Event;import com.amazonaws.services.health.model.EventFilter;

DescribeEventsRequest request = new DescribeEventsRequest();

EventFilter filter = new EventFilter();// Filter on any field from the supported AWS Health EventFilter model. // Here is an example for Region us-east-1 events from the EC2 service.

9

AWS Health ユーザーガイドステップ 3: AWS Health API オペレー

ションを使用してイベント情報を取得する

filter.setServices(singletonList("EC2");filter.setRegions(singletonList("us-east-1"));request.setFilter(filter);

DescribeEventsResult response = awsHealthClient.describeEvents(request);List<Event> resultEvents = response.getEvents();

Event currentEvent = null;for (Event event : resultEvents) { // Display result event data; here is a subset. System.out.println(event.getArn()); System.out.println(event.getService()); System.out.println(event.getRegion()); System.out.println(event.getAvailabilityZone()); System.out.println(event.getStartTime()); System.out.println(event.getEndTime()); }

DescribeEventAggregates

import com.amazonaws.services.health.model.DescribeEventAggregatesRequest;import com.amazonaws.services.health.model.DescribeEventAggregatesResult;import com.amazonaws.services.health.model.EventAggregate;import com.amazonaws.services.health.model.EventFilter;

DescribeEventAggregatesRequest request = new DescribeEventAggregatesRequest();// set the aggregation fieldrequest.setAggregateField("eventTypeCategory");

// filter more on result if neededEventFilter filter = new EventFilter();filter.setRegions(singleton("us-east-1"));request.setFilter(filter);

DescribeEventAggregatesResult response = awsHealthClient.describeEventAggregates(request);

// print event count for each eventTypeCategoryfor (EventAggregate aggregate: response.getEventAggregates()) { System.out.println("Event Category:" + aggregate.getAggregateValue()); System.out.println("Event Count:" + aggregate.getCount()); }

DescribeEventDetails

import com.amazonaws.services.health.model.DescribeEventDetailsRequest;import com.amazonaws.services.health.model.DescribeEventDetailsResult;import com.amazonaws.services.health.model.Event;import com.amazonaws.services.health.model.EventDetails;

DescribeEventDetailsRequest describeEventDetailsRequest = new DescribeEventDetailsRequest();// set event ARN and local value

describeEventDetailsRequest.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));describeEventDetailsRequest.setLocale("en-US");filter.setEventArnsDescribeEventDetailsResult describeEventDetailsResult = awsHealthClient.describeEventDetails(request);EventDetails eventDetail = describeEventDetailsResult.getSuccessfulSet().get(0);

// check event-related fields

10

AWS Health ユーザーガイドステップ 3: AWS Health API オペレー

ションを使用してイベント情報を取得する

Event event = eventDetail.getEvent();System.out.println(event.getService());System.out.println(event.getRegion());System.out.println(event.getAvailabilityZone());System.out.println(event.getStartTime());System.out.println(event.getEndTime());

// print out event descriptionSystem.out.println(eventDetail.getEventDescription().getLatestDescription());

DescribeAffectedEntities

import com.amazonaws.services.health.model.AffectedEntity;import com.amazonaws.services.health.model.DateTimeRange;import com.amazonaws.services.health.model.DescribeAffectedEntitiesRequest;import com.amdescribeEventDetailsRequestazonaws.services.health.model.DescribeAffectedEntitiesResult;

DescribeAffectedEntitiesRequest request = new DescribeAffectedEntitiesRequest();EntityFilter filter = new EntityFilter();

filter.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));

DescribeAffectedEntitiesResult response = awsHealthClient.describeAffectedEntities(request);

for (AffectedEntity affectedEntity: response.getEntities()) { System.out.println(affectedEntity.getEntityValue()); System.out.println(affectedEntity.getAwsAccountId()); System.out.println(affectedEntity.getEntityArn()); }

DescribeEntityAggregates

import com.amazonaws.services.health.model.DescribeEntityAggregatesRequest;import com.amazonaws.services.health.model.DescribeEntityAggregatesResult;import com.amazonaws.services.health.model.EntityAggregate;

DescribeEntityAggregatesRequest request = new DescribeEntityAggregatesRequest();

request.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));

DescribeEntityAggregatesResult response = awsHealthClient.describeEntityAggregates(request);

for (EntityAggregate entityAggregate : response.getEntityAggregates()) { System.out.println(entityAggregate.getEventArn()); System.out.println(entityAggregate.getCount()); }

11

AWS Health ユーザーガイドデータ保護

AWS Health でのセキュリティAWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。

• クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWSコンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Health に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内サービス」を参照してください。

• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、AWS Health を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために AWS Healthを設定する方法を示します。また、AWS Health リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

トピック• AWS Health でのデータ保護 (p. 12)• AWS Health の Identity and Access Management (p. 14)• AWS Health でのログ記録とモニタリング (p. 32)• AWS Health のコンプライアンス検証 (p. 40)• AWS Health の耐障害性 (p. 41)• AWS Health でのインフラストラクチャセキュリティ (p. 41)• AWS Health での設定と脆弱性の分析 (p. 42)• AWS Health のセキュリティのベストプラクティス (p. 42)

AWS Health でのデータ保護AWS Health は、データ保護の規制やガイドラインを含む AWS 責任共有モデルに準拠しています。AWSは、AWS のすべてのサービスを実行するグローバルなインフラストラクチャを保護する責任を担います。また、AWS は、カスタマーコンテンツおよび個人データを取り扱うためのセキュリティ構成の統制など、このインフラストラクチャ上でホストされるデータ管理を維持します。データコントローラーまたはデータプロセッサーとして機能する、AWS のお客様および APN パートナーは、AWS クラウドに保存された個人データに対する責任を担います。

データ保護目的の場合、AWS アカウント認証情報を保護して IAM (AWS Identity and AccessManagement) で個々のユーザーアカウントをセットアップし、そのユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されるようにすることをお勧めします。また、以下の方法でデータを保護することをお勧めします。

• 各アカウントで多要素認証 (MFA) を使用します。• SSL/TLS を使用して AWS リソースと通信します。

12

AWS Health ユーザーガイドデータの暗号化

• AWS CloudTrail で API とユーザーアクティビティログをセットアップします。• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使

用します。• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3

に保存される個人データの検出と保護が支援されます。• Amazon GuardDuty などの脅威検出サービスを使用して、悪意のある操作や不正な動作を検出し、AWS

アカウントとワークロードを保護します。

顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS で AWS Health または他の AWS サービスを使用する場合も同様です。AWS Health または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、AWS セキュリティブログのブログ投稿「AWS の責任共有モデルとGDPR」を参照してください。

データの暗号化AWS Health がデータを暗号化する方法については、次の情報を参照してください。

データ暗号化とは、転送中 (サービスからお客様の AWS アカウントに移動中) および保存中 (AWS のサービスに保存中) のデータを保護することを指します。転送中のデータは、Transport Layer Security (TLS) を使用して保護することも、クライアント側の暗号化を使用して保存することもできます。

AWS Health は、E メールアドレスやお客様名などの個人識別情報 (PII) をイベントに記録しません。

保管時の暗号化AWS Health によって保存されたすべてのデータは、保管時に暗号化されます。

転送時の暗号化AWS Health との間で送受信されるすべてのデータは、転送中に暗号化されます。

キーの管理AWS Health は、AWS クラウドで暗号化されたデータのカスタマー管理の暗号化キーをサポートしていません。

インターネットトラフィックのプライバシーAWS Health がトラフィックのプライバシーを処理する方法については、次の情報を参照してください。

AWS Organizations と連携し、組織の一部である個々の AWS アカウントのイベントを表示できるように、AWS Health を有効にできます。この機能では、運用上の問題、スケジュールされたメンテナンス、アカウント通知など、すべての AWS Health イベントを一元的に表示できます。

これを行うには、組織のマスター AWS アカウントでサインインし、AWS マネジメントコンソール からこの機能を有効にするか、EnableHealthServiceAccessForOrganization API オペレーションを使用する必要があります。

詳細については、「組織ビューでのアカウント全体の AWS Health イベントの集計 (p. 44)」を参照してください。

13

AWS Health ユーザーガイドIdentity and access management

AWS Health の Identity and Access ManagementAWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、AWS Health リソースを使用するために認証 (サインイン) および承認 (アクセス許可を持つ) される者を制御します。IAM は、追加料金なしで使用できる AWS のサービスです。

トピック• 対象者 (p. 14)• アイデンティティを使用した認証 (p. 14)• ポリシーを使用したアクセスの管理 (p. 16)• AWS Health と IAM の連携 (p. 18)• AWS Health アイデンティティベースのポリシーの例 (p. 21)• AWS Health Identity and Access のトラブルシューティング (p. 29)• AWS Health のサービスにリンクされたロールの使用 (p. 31)

対象者AWS Identity and Access Management (IAM) の用途は、AWS Health で行う作業によって異なります。

サービスユーザー – ジョブを実行するために AWS Health サービスを使用する場合は、管理者が必要なアクセス許可と認証情報を用意します。作業を実行するためにさらに多くの AWS Health 機能を使用するとき、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切なアクセス許可をリクエストするのに役に立ちます。AWS Health の機能にアクセスできない場合は、「AWS Health Identity and Access のトラブルシューティング (p. 29)」を参照してください。

サービス管理者 – 社内の AWS Health リソースを担当している場合は、おそらく AWS Health へのフルアクセスがあります。従業員がどの AWS Health 機能とリソースアクセスする必要があるかを決定するのは管理者の仕事です。その後で、サービスユーザーのアクセス許可を変更するために、IAM 管理者にリクエストを送信する必要があります。IAM の基本概念については、このページの情報を確認します。お客様の会社で AWS Health の IAM を利用する方法の詳細については、「AWS Health と IAM の連携 (p. 18)」を参照して ください。

IAM 管理者 – IAM 管理者は、AWS Health へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS Health アイデンティティベースのポリシーの例を表示するには、「AWS Health アイデンティティベースのポリシーの例 (p. 21)」を参照して ください。

アイデンティティを使用した認証認証は、アイデンティティ認証情報を使用して AWS にサインインする方法です。AWS マネジメントコンソール を使用するサインインの詳細については、IAM ユーザーガイド の「IAM コンソールとサインインページ」を参照してください。

AWS アカウントのルートユーザー、IAM ユーザーとして、または IAM ロールを引き受けて、認証されている (AWS にサインインしている) 必要があります。会社のシングルサインオン認証を使用することも、Google や Facebook を使用してサインインすることもできます。このような場合、管理者は以前にIAM ロールを使用して ID フェデレーションを設定しました。他の会社の認証情報を使用して AWS にアクセスした場合、ロールを間接的に割り当てられています。

AWS マネジメントコンソール へ直接サインインするには、ルートユーザー E メールまたは IAM ユーザー名とパスワードを使用します。ルートユーザー または IAM を使用して AWS にプログラム的にアクセスできます。AWS では、SDK とコマンドラインツールを提供して、お客様の認証情報を使用して、リクエストに暗号で署名できます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。これには、インバウンド API リクエストを認証するためのプロトコル、署名バージョン 4 を使用し

14

AWS Health ユーザーガイドアイデンティティを使用した認証

ます。リクエストの認証の詳細については、AWS General Referenceの「署名バージョン 4 の署名プロセス」を参照してください。

使用する認証方法を問わず、追加のセキュリティ情報の提供を要求される場合もあります。たとえば、AWS では多要素認証 (MFA) を使用してアカウントのセキュリティを高めることを推奨しています。詳細については、IAM ユーザーガイドの「AWS のデバイスに多要素認証 (MFA) を使用」を参照してください。

AWS アカウントのルートユーザーAWS アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティはAWS アカウント ルートユーザー と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

IAM ユーザーとグループIAM ユーザーは、単一のユーザーまたはアプリケーションに特定のアクセス許可がある AWS アカウント内のアイデンティティです。IAM ユーザーは、ユーザー名とパスワード、アクセスキーのセットなど、長期的な認証情報を持つことができます。アクセスキーを生成する方法の詳細については、IAM ユーザーガイド の「IAM ユーザーのアクセスキーの管理」を参照してください。IAM ユーザーにアクセスキーを生成するとき、必ずキーペアを表示して安全に保存してください。後になって、シークレットアクセスキーを回復することはできません。新しいアクセスキーペアを生成する必要があります。

IAM グループは、IAM ユーザーのコレクションを指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、一度に複数のユーザーに対してアクセス許可を指定できます。多数の組のユーザーがある場合、グループを使用すると管理が容易になります。たとえば、IAMAdmin という名前のグループを設定して、そのグループに IAM リソースを管理するアクセス許可を与えることができます。

ユーザーは、ロールとは異なります。ユーザーは 1 人の特定の人またはアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時的な認証情報が利用できます。詳細については、IAMユーザーガイド の「IAM ユーザーの作成が適している場合 (ロールではなく)」を参照してください。

IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のアイデンティティです。これは IAMユーザーに似ていますが、特定のユーザーに関連付けられていません。ロールを切り替えて、AWS マネジメントコンソール で IAM ロールを一時的に引き受けることができます。ロールを引き受けるには、AWSCLI または AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、IAM ユーザーガイド の「IAM ロールの使用」を参照してください。

IAM ロールと一時的な認証情報は、次の状況で役立ちます。

• 一時的な IAM ユーザーアクセス許可 – IAM ユーザーは、特定のタスクに対して複数の異なるアクセス許可を一時的に IAM ロールで引き受けることができます。

• フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーに既存のアイデンティティを使用できます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、IAM ユーザーガイドの「フェデレーティッドユーザーとロール」を参照してください。

15

AWS Health ユーザーガイドポリシーを使用したアクセスの管理

• クロスアカウントアクセス – IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを別のアカウントの信頼済みプリンシパルに許可できます。ロールは、クロスアカウントアクセスを許可する主な方法です。ただし、一部の AWS のサービスでは、(ロールをプロキシとして使用する代わりに) リソースにポリシーを直接アタッチできます。クロスアカウントアクセスでのロールとリソースベースのポリシーの違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

• AWS サービスアクセス – サービスロールは、サービスがお客様に代わってお客様のアカウントでアクションを実行するために引き受ける IAM ロールです。一部の AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からロールを作成、修正、削除できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドのAWS サービスにアクセス権限を委任するロールの作成を参照してください。

• Amazon EC2で実行されているアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイドの「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する」を参照してください。

IAM ロールを使用するべきかどうかについては、IAM ユーザーガイド の「IAM ロール (ユーザーではない)の作成が適している場合」を参照してください。

ポリシーを使用したアクセスの管理AWS でアクセスをコントロールするには、ポリシーを作成して IAM アイデンティティや AWS リソースにアタッチします。ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、エンティティ (ルートユーザー、IAM ユーザーまたはIAM ロール) によってリクエストが行われると、それらのポリシーを評価します。ポリシーでのアクセス許可により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWS に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、IAM ユーザーガイド の「JSON ポリシー概要」を参照してください。

IAM 管理者は、ポリシーを使用して、AWS リソースへのアクセスを許可するユーザーと、これらのリソースで実行できるアクションを指定できます。すべての IAM エンティティ (ユーザーまたはロール) は、アクセス許可のない状態からスタートします。言い換えると、デフォルト設定では、ユーザーは何もできず、自分のパスワードを変更することすらできません。何かを実行するアクセス許可をユーザーに付与するには、管理者がユーザーにアクセス許可ポリシーをアタッチする必要があります。また、管理者は、必要なアクセス許可があるグループにユーザーを追加できます。管理者がグループにアクセス許可を付与すると、そのグループ内のすべてのユーザーにこれらのアクセス許可が付与されます。

IAM ポリシーは、オペレーションの実行方法を問わず、アクションのアクセス許可を定義します。たとえば、iam:GetRole アクションを許可するポリシーがあるとします。このポリシーがあるユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からロールの情報を取得できます。

アイデンティティベースのポリシーアイデンティティベースのポリシーは、IAM ユーザー、ロール、グループなどのアイデンティティにJSON ドキュメントとしてアタッチできるアクセス許可ポリシーです。これらのポリシーは、アイデン

16

AWS Health ユーザーガイドポリシーを使用したアクセスの管理

ティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「IAM ポリシー の 作成」を参照してください 。

アイデンティティベースのポリシーは、さらにインラインポリシーまたは管理ポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンポリシーです。管理ポリシーには、AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。管理ポリシーまたはインラインポリシーのいずれかを選択する方法については、IAM ユーザーガイド の「管理ポリシーとインラインポリシーの比較」を参照してください。

リソースベースのポリシーリソースベースのポリシーは、Amazon S3 バケットなどのリソースにアタッチする JSON ポリシードキュメントです。サービス管理者は、これらのポリシーを使用して、特定のプリンシパル (アカウントメンバー、ユーザー、またはロール) がそのリソースに対して実行する条件およびアクションを定義することができます。リソースベースのポリシーはインラインポリシーです。マネージド型のリソースベースのポリシーはありません。

AWS Health は、リソースベースの条件をサポートしています。ユーザーが表示できる AWS Health イベントを指定できます。たとえば、Personal Health Dashboard 内の特定の Amazon EC2 イベントへの IAMユーザーアクセスのみを許可するポリシーを作成できます。

詳細については、「リソース (p. 19)」を参照してください。

アクセスコントロールリストアクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) にリソースへのアクセス許可を付与するかを制御する一種のポリシーです。ACL は、リソースベースのポリシーと似ていますが、JSON ポリシードキュメント形式を使用しません。ACL をサポートするサービスとして Amazon S3、AWS WAF、Amazon VPC などがあります。ACL の詳細については、『AmazonSimple Storage Service 開発者ガイド』の「アクセスコントロールリスト (ACL) の概要」を参照してください。

AWS Health では、ACL はサポートされません。

その他のポリシータイプAWS では、別のあまり一般的ではないポリシータイプもサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大のアクセス許可を設定できます。

• アクセス許可の境界 – アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティ(IAM ユーザーまたはロール) に付与できるアクセス許可の上限を設定する高度な機能です。エンティティのアクセス許可の境界を設定できます。結果として得られるアクセス許可は、エンティティの IDベースのポリシーとそのアクセス許可の境界の共通部分です。Principal フィールドでユーザーまたはロールを指定するリソースベースのポリシーは、アクセス許可の境界では制限されません。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。アクセス許可の境界の詳細については、IAM ユーザーガイド の「IAM エンティティのアクセス許可の境界」を参照してください。

• サービスコントロールポリシー (SCP) – SCP は、AWS Organizations で 組織や組織単位 (OU) に最大権限を指定する JSON ポリシーです。AWS Organizations は、お客様のビジネスが所有する複数の AWSアカウントをグループ化し、一元的に管理するサービスです。組織内のすべての機能を有効にすると、サービス制御ポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP はメンバーアカウントのエンティティに対するアクセス許可を制限します (各 AWS アカウントのルートユーザー など)。Organizations および SCP の詳細については、AWS Organizations ユーザーガイド の「SCP の動作」を参照してください。

• セッションポリシー – セッションポリシーは、ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果として得られるセッションのアクセス許可は、ユーザーまたはロールの ID ベースのポリシーとセッションポリシーの共

17

AWS Health ユーザーガイドAWS Health と IAM の連携

通部分です。また、リソースベースのポリシーからアクセス許可が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。詳細については、IAM ユーザーガイド の「セッションポリシー」を参照してください。

複数のポリシータイプ1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに複雑になります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法の詳細については、IAM ユーザーガイド の「ポリシーの評価ロジック」を参照してください。

AWS Health と IAM の連携AWS Health へのアクセスを管理するために IAM 使用する前に、AWS Health で使用できる IAM 機能を理解しておく必要があります。AWS Health およびその他の AWS サービスが IAM と連携する方法の概要を理解するには、IAM ユーザーガイド の「IAM と連携する AWS サービス」を参照してください。

トピック• AWS Health アイデンティティベースのポリシー (p. 18)• AWS Health リソースベースのポリシー (p. 20)• AWS Health タグに基づいた承認 (p. 21)• AWS Health IAM ロール (p. 21)

AWS Health アイデンティティベースのポリシーIAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。AWS Health は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、IAMユーザーガイド の「IAM JSON ポリシーエレメントのリファレンス」を参照してください 。

アクション

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

AWS Health のポリシーアクションは、アクションの前にプレフィックス health: を使用します。たとえば、DescribeEventDetails API オペレーションを使用して、指定したイベントに関する詳細情報を表示するアクセス許可をユーザーに付与するには、ポリシーに heath:DescribeEventDetails アクションを含めます。

ポリシーステートメントには、Action 要素または NotAction 要素を含める必要があります。AWSHealth は、このサービスで実行できるタスクを記述する一連の独自のアクションを定義します。

単一のステートメントに複数のアクションを指定するには、以下のようにコンマで区切ります。

"Action": [ "health:action1", "health:action2"

ワイルドカード (*) を使用して複数のアクションを指定できます。たとえば、Describe という単語で始まるすべてのアクションを指定するには、以下のアクションを含めます。

18

AWS Health ユーザーガイドAWS Health と IAM の連携

"Action": "health:Describe*"

AWS Health のアクションを一覧表示するには、IAM ユーザーガイドの「AWS Health で定義されるアクション」を参照してください。

リソース

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。

AWS Health イベントには、次の Amazon リソースネーム (ARN) 形式があります。

arn:${Partition}:health:*::event/service/event-type-code/event-ID

たとえば、ステートメントで EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456 イベントを指定するには、次の ARN を使用します。

"Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456"

特定のアカウントに属する Amazon EC2 のすべての AWS Health イベントを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:health:*::event/EC2/*/*"

ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。

一部の AWS Health アクションは、特定のリソースに対して実行できません。このような場合は、ワイルドカード (*) を使用する必要があります。

"Resource": "*"

AWS Health API オペレーションは複数のリソースと関連します。たとえば、DescribeEvents オペレーションは、指定したフィルター条件を満たすイベントに関する情報を返します。これは、IAM ユーザーがこのイベントを表示するためのアクセス許可を持っている必要があることを意味します。

複数のリソースを単一のステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [ "resource1", "resource2"

AWS Health は、ヘルスイベントに対するリソースレベルのアクセス許可のみをサポートし、DescribeAffectedEntities および DescribeEventDetails API オペレーションに対してのみサポートしています。詳細については、「リソースおよびアクションに基づく条件 (p. 27)」を参照してください。

AWS Health リソースタイプおよびその ARN のリストを表示するには、IAM ユーザーガイド の「AWSHealth で定義されるリソース」を参照してください。どのアクションで、各リソースの ARN を指定することができるかについては、「AWS Health で定義されるアクション」を参照してください。

19

AWS Health ユーザーガイドAWS Health と IAM の連携

条件キー

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。

AWS Health は独自の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「AWS グローバル条件コンテキストキー」を参照してください 。

DescribeAffectedEntities および DescribeEventDetails API オペレーションは health:eventTypeCodeおよび health:service 条件キーをサポートしています。

AWS Health 条件キーのリストを表示するには、IAM ユーザーガイド の「AWS Health の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「AWS Healthで定義されるアクション」を参照してください。

例

AWS Health アイデンティティベースのポリシーの例を表示するには、「AWS Health アイデンティティベースのポリシーの例 (p. 21)」を参照してください。

AWS Health リソースベースのポリシーリソースベースのポリシーは、指定したプリンシパルが AWS Health リソースに対して実行できるアクションと実行の条件を指定する JSON ポリシードキュメントです。AWS Health は、ヘルスイベントのリソースベースのアクセス許可ポリシーをサポートしています。リソースベースのポリシーでは、リソースごとに他のアカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、AWS Health イベントへのアクセスを AWS のサービスに許可することもできます。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、リソースにアクセスするためのアクセス許可をプリンシパルエンティティにも付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、アイデンティティベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

AWS Health は、DescribeAffectedEntities および DescribeEventDetails API オペレーションのリソースベースのポリシーのみをサポートしています。ポリシーでこれらのアクションを指定して、AWS Healthイベントに対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーティッドユーザー) を定義できます。

例

20

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

AWS Health リソースベースのポリシーの例については、「リソースおよびアクションに基づく条件 (p. 27)」を参照してください。

AWS Health タグに基づいた承認AWS Health は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。

AWS Health IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。

AWS Health を使用した一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

AWS Healthでは、一時認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

AWS Health は、AWS Organizations と統合するサービスリンクロールをサポートしています。ロールはHealth_OrganizationsServiceRolePolicy という名前で AWS Health が組織内の他の AWS アカウントからのヘルスイベントにアクセスできるようにします。

EnableHealthServiceAccessForOrganization オペレーションを使用して、アカウントにサービスリンクされたロールを作成できます。ただし、この機能を無効にする場合は、まずDisableHealthServiceAccessForOrganization オペレーションを呼び出す必要があります。その後、IAMコンソール、IAM API、または AWS Command Line Interface (AWS CLI) を使用してロールを削除できます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの使用」を参照してください。

詳細については、「組織ビューでのアカウント全体の AWS Health イベントの集計 (p. 44)」を参照してください。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。

AWS Health はサービスロールをサポートしていません。

AWS Health アイデンティティベースのポリシーの例デフォルトでは、IAM ユーザーおよびロールには、AWS Health リソースを作成または変更するアクセス許可がありません。また、AWS マネジメントコンソール、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必

21

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「[JSON] タブでのポリシーの 作成」を参照してください。

トピック• ポリシーのベストプラクティス (p. 22)• AWS Health コンソールを使用する (p. 22)• 自分のアクセス許可の表示をユーザーに許可する (p. 23)• Personal Health Dashboard および AWS Health API へのアクセス (p. 24)• リソースおよびアクションに基づく条件 (p. 27)

ポリシーのベストプラクティスアイデンティティベースのポリシーは非常に強力です。アカウント内で、AWS Health リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウントに追加料金が発生する可能性があります。アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います。

• AWS 管理ポリシーの使用を開始する – AWS Health の使用をすばやく開始するには、AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントですでに有効になっており、AWS によって管理および更新されています。詳細については、IAM ユーザーガイドの「AWS 管理ポリシーを使用したアクセス許可の使用開始」を参照してください 。

• 最小権限を付与する – カスタムポリシーを作成するときは、タスクを実行するために必要なアクセス許可のみを付与します。最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します。この方法は、寛容なアクセス権限で始め、後でそれらを強化しようとするよりも安全です。詳細については、IAM ユーザーガイド の「最小権限を付与する」を参照してください。

• 機密性の高いオペレーションに MFA を有効にする – 追加セキュリティとして、機密性の高リソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、IAM ユーザーガイドの「AWS のデバイスに 多要素認証 (MFA) を使用」を参照してください。

• 追加セキュリティに対するポリシー条件を使用する – 実行可能な範囲内で、アイデンティティベースのポリシーがリソースにアクセスできる条件を定義します。たとえば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。ポリシー要素の詳細については、IAM ユーザーガイド の「IAM JSON ポリシー要素: 条件」を参照してください。

AWS Health コンソールを使用するAWS Health コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウントの AWS Health リソースの詳細をリストおよび表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。

これらのエンティティが AWS Health コンソールを使用できるように、次の AWS 管理ポリシー、AWSHealthFullAccess をアタッチします。

このポリシーでは、エンティティは次のものへのフルアクセスが付与されます。

• AWS マネジメントコンソール の Personal Health Dashboard• AWS Health API オペレーションと通知

22

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

• AWS Organizations の組織内のすべてのアカウントで AWS Health を有効または無効にするアクセス権限

Example : AWSHealthFullAccess

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ]}

Note

また、AWS 管理ロール、Health_OrganizationsServiceRolePolicy を使用して、AWSHealth が組織内の他のアカウントのイベントを表示するようにできます。詳細については、「AWS Health のサービスにリンクされたロールの使用 (p. 31)」を参照してください。

AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

詳細については、IAM ユーザーガイド の「ユーザーへのアクセス許可の追加」を参照してください。

自分のアクセス許可の表示をユーザーに許可するこの例は

この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWSAPI を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

23

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Personal Health Dashboard および AWS Health API へのアクセスPersonal Health Dashboard は、すべての AWS アカウントで使用できます。AWS Health API は、ビジネスまたはエンタープライズサポートプランのアカウントでのみ使用できます。詳細については、「AWS サポート」を参照してください。

IAM を使用してエンティティ (ユーザー、グループ、またはロール) を作成し、これらのエンティティに対して Personal Health Dashboard と AWS Health API へのアクセス許可を付与できます。

デフォルトでは、IAM ユーザーは Personal Health Dashboard または AWS Health API にアクセスできません。アカウントの AWS Health 情報へのアクセス権をユーザーに付与するには、単一のユーザー、ユーザーグループ、またはロールに対して IAM ポリシーをアタッチします。詳細については、「ID (ユーザー、グループ、ロール)」と「IAM ポリシーの概要」を参照してください。

IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。ユーザーは、アカウント固有のサインインページを使用することで、アカウントにサインインして AWS Health の情報を表示できます。詳細については、「ユーザーがアカウントにサインインする方法」を参照してください。

Note

Personal Health Dashboard を表示するアクセス許可を持つ IAM ユーザーには、アカウントのすべての AWS のサービス間でヘルス情報への読み取り専用アクセスが許可されます。これには、Amazon EC2 インスタンス ID などの AWS リソース ID、EC2 インスタンスの IP アドレス、および一般的なセキュリティ通知が含まれる場合がありますが、これらに限りません。たとえば、IAM ポリシーで Personal Health Dashboard および AWS Health API へのアクセスのみが許可される場合、ポリシーが適用されるユーザーまたはロールは、他の IAM ポリシーでその

24

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

アクセスを許可していない場合でも、AWS のサービスまたは関連リソースに関して投稿されたすべての情報にアクセスできます。

AWS Health には、2 つの API グループを使用できます。

• 個々のアカウント – DescribeEvents および DescribeEventDetails などのオペレーションを使用して、アカウントの AWS Health イベントに関する情報を取得できます。

• 組織アカウント – DescribeEventsForOrganization および DescribeEventDetailsForOrganization などのオペレーションを使用して、組織の一部であるアカウントの AWS Health イベントに関する情報を取得できます。

使用できる API オペレーションの詳細については、「AWS Health API リファレンス」を参照してください。

個々のアクション

IAM ポリシーの Action エレメントを health:Describe* に設定できます。これにより、PersonalHealth Dashboard および AWS Health にアクセスできます。AWS Health は、eventTypeCode およびサービスに基づくイベントへのアクセスコントロールをサポートしています。

アクセスの説明

このポリシーステートメントは Personal Health Dashboard およびすべての Describe* AWS Health APIオペレーションへのアクセスを許可します。たとえば、このポリシーを持つ IAM ユーザーは、AWS マネジメントコンソール の Personal Health Dashboard にアクセスし、AWS Health DescribeEvents API オペレーションを呼び出すことができます。

Example : アクセスの説明

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }]}

アクセスを拒否する

次のポリシーステートメントでは、Personal Health Dashboard と AWS Health API へのアクセスを拒否します。このポリシーを持つ IAM ユーザーは、AWS マネジメントコンソール で Personal HealthDashboard を表示できません。また、AWS Health API オペレーションを呼び出すこともできません。

Example : アクセスを拒否する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*"

25

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

}]}

組織ビュー

AWS Health の組織ビューを有効にする場合は、AWS Organizations の AWS Health API オペレーションへのアクセスを許可する必要があります。IAM ポリシーの Action 要素には、次のアクセス許可を含める必要があります。

• iam:CreateServiceLinkedRole

• organizations:EnableAWSServiceAccess

• organizations:DisableAWSServiceAccess

• organizations:ListAccounts

各 API に必要な正確なアクセス許可については、IAM ユーザーガイド の「AWS Health API によって定義されるアクションと通知」を参照してください。

Note

AWS Organizations の AWS Health API にアクセスするには、組織のマスター AWS アカウントの認証情報を使用する必要があります。詳細については、「組織ビューでのアカウント全体のAWS Health イベントの集計 (p. 44)」を参照してください。

AWS Health 組織 API アクセスを許可する

このポリシーステートメントでは、すべての AWS Health 組織レベル API オペレーションへのアクセスを許可します。

Example : AWS Health 組織ビューへのアクセスを許可する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"

26

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

} ]}

AWS Health 組織 API アクセスを拒否する

このポリシーステートメントは、AWS Organizations API オペレーションへのアクセスを拒否しますが、個々のアカウントの AWS Health API オペレーションへのアクセスを許可します。

Example : AWS Health 組織ビューへのアクセスを拒否する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ]}

Note

アクセス許可を付与する先のユーザーまたはグループに IAM ポリシーがすでにある場合は、そのポリシーに対して、ここに示した AWS Health 固有のポリシーステートメントを追加できます。

リソースおよびアクションに基づく条件AWS Health は、DescribeAffectedEntities および DescribeEventDetails API オペレーションの IAM 条件 をサポートしています。これにより、AWS Health API がユーザー、グループ、またはロールに送信するイベントを制限できます。

27

AWS Health ユーザーガイドアイデンティティベースのポリシーの例

これを行うには、IAM ポリシーの Condition ブロックを更新するか、Resource 要素を設定します。特定の AWS Health イベントフィールドに基づいてアクセスを制限するには、文字列条件を使用できます。

AWS Health では、次のフィールドがサポートされています。

• eventTypeCode

• service

Example : アクションベースの条件

このポリシーステートメントは、Personal Health Dashboard および AWS Health Describe* API オペレーションへのアクセスは許可されますが、Amazon EC2 に関連する AWS Health イベントへのアクセスは拒否されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ]}

Example : リソースベースの条件

次のポリシーでも結果は同じですが、Resource 要素を代わりに使用しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*", }]}

28

AWS Health ユーザーガイドトラブルシューティング

Example : eventTypeCode の条件

このポリシーステートメントは、Personal Health Dashboard および AWS Health Describe* API オペレーションへのアクセスは許可されますが、AWS_EC2_* と一致する eventTypeCode を持つ AWSHealth イベントへのアクセスは拒否されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ]}

Important

DescribeAffectedEntities および DescribeEventDetails オペレーションを呼び出して、AWSHealth イベントへのアクセス許可がない場合、AccessDeniedException エラーが表示されます。詳細については、「AWS Health Identity and Access のトラブルシューティング (p. 29)」を参照してください。

AWS Health Identity and Access のトラブルシューティング次の情報を使用して、AWS Health と IAM の使用に伴って発生する可能性がある一般的な問題を診断および修復します。

トピック• AWS Health でアクションを実行する権限がない (p. 29)• iam:PassRole を実行する権限がない (p. 30)• アクセスキーを表示する場合 (p. 30)• 管理者として AWS Health へのアクセスを他のユーザーに許可する (p. 30)• 自分の AWS アカウント以外のユーザーに AWS Health リソースへのアクセスを許可する場

合 (p. 31)

AWS Health でアクションを実行する権限がないAWS マネジメントコンソール から、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。

29

AWS Health ユーザーガイドトラブルシューティング

AccessDeniedException エラーは、ユーザーに、Personal Health Dashboard または AWS Health APIオペレーションを使用するアクセス許可がない場合に表示されます。

この場合、ユーザーの管理者はポリシーを更新して、ユーザーアクセスを許可する必要があります。

AWS Health API には、AWS サポート からのビジネスサポートプランまたはエンタープライズサポートプランが必要です。ビジネスサポートプランまたはエンタープライズサポートプランのないアカウントからAWS Health API を呼び出すと、次のエラーコードが返されます。SubscriptionRequiredException

iam:PassRole を実行する権限がないiam:PassRole アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。AWS Health にロールを渡すことができるようにポリシーを更新するよう、管理者に依頼します。

一部の AWS サービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して AWS Health でアクションを実行しようする場合に発生します。ただし、アクションでは、サービスロールによって付与されたアクセス許可がサービスにある必要があります。メアリーには、ロールをサービスに渡すアクセス許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。

アクセスキーを表示する場合IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーをもう一度表示することはできません。シークレットアクセスキーを紛失した場合は、新しいキーペアを作成する必要があります。

アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されます。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーをしっかり管理してください。

Important

正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへの永続的アクセスを取得する場合があります。

アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、新しいアクセスキーを IAM ユーザーに追加する必要があります。最大 2 つのアクセスキーを持つことができます。すでに 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイド の「アクセスキーの管理 」を参照してください。

管理者として AWS Health へのアクセスを他のユーザーに許可するAWS Health へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーは、このエン

30

AWS Health ユーザーガイドサービスにリンクされたロールの使用

ティティの認証情報を使用して AWS にアクセスします。次に、AWS Health の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。

すぐに開始するには、IAM ユーザーガイド の「IAM が委任した最初のユーザーおよびグループの作成」を参照してください 。

自分の AWS アカウント以外のユーザーに AWS Health リソースへのアクセスを許可する場合他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。

• AWS Health でこれらの機能がサポートされるかどうかを確認するには、「AWS Health と IAM の連携 (p. 18)」を参照してください。

• 所有している AWS アカウント間でリソースへのアクセスを付与する方法については、IAM ユーザーガイド の「所有している別の AWS アカウントへのアクセスを IAM ユーザーに許可」を参照してください。

• サードパーティーの AWS アカウントにリソースへのアクセスを提供する方法については、IAM ユーザーガイド の「第三者が所有する AWS アカウントへのアクセス権を付与する」を参照してください 。

• ID フェデレーションを介してアクセスを提供する方法については、IAM ユーザーガイド の「外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可」を参照して ください 。

• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

AWS Health のサービスにリンクされたロールの使用AWS Health は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS Health に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS Health による事前定義済みのロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Health の設定が簡単になります。AWS Health はサービスにリンクされたロールのアクセス許可を定義し、別途定義されている場合を除き、AWS Health のみがそのロールを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーをその他の IAM エンティティにアタッチすることはできません。

AWS Health のサービスにリンクされたロールのアクセス許可AWS Health では、Health_OrganizationsServiceRolePolicy という名前のサービスにリンクされたロールを使用します。

サービスにリンクされたロールは、ロールを継承するために health.amazonaws.com サービスを信頼します。

ロールは、次のアクセス許可ポリシーを使用して、AWS Health に AWS Organizations でのアカウントの一覧表示を許可します。

31

AWS Health ユーザーガイドAWS Health のモニタリング

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "organizations:ListAccounts", "Resource": "*" }, { "Sid": "ListAWSServiceAccessForOrganization0", "Effect": "Allow", "Action": "organizations:ListAWSServiceAccessForOrganization", "Resource": "*" } ]}

AWS Health のサービスにリンクされたロールの作成サービスにリンクされたロールを手動で作成する必要はありません。EnableHealthServiceAccessForOrganization オペレーションを呼び出すと、AWS Health によってアカウントにサービスリンクされたロールが作成されます。

AWS Health のサービスにリンクされたロールの編集AWS Health では、サービスにリンクされたロールの編集をユーザーに許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの編集」を参照してください。

AWS Health のサービスにリンクされたロールの削除このロールを削除する場合は、まず DisableHealthServiceAccessForOrganization オペレーションを呼び出す必要があります。その後、IAM コンソール、IAM API、または AWS Command Line Interface (AWS CLI)を使用してロールを削除できます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの使用」を参照してください。

AWS Health でのログ記録とモニタリングモニタリングは、AWS Health およびその他の AWS ソリューションの信頼性、可用性、およびパフォーマンスを維持する上で重要な部分です。AWS には、AWS Health を監視したり、問題が発生したときに報告したり、必要に応じて自動アクションを実行したりするために以下のモニタリングツールが用意されています。

• Amazon CloudWatch は、AWS リソースと、AWS でリアルタイムに実行されるアプリケーションを監視します。メトリクスの収集と追跡、カスタマイズしたダッシュボードの作成、および指定したメトリクスが指定したしきい値に達したときに通知またはアクションを実行するアラームの設定を行うことができます。たとえば、CloudWatch で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのCPU 使用率などのメトリクスを追跡し、必要に応じて新しいインスタンスを自動的に起動することができます。詳細については、『Amazon CloudWatch ユーザーガイド』を参照してください。

• Amazon CloudWatch Events は、AWS リソースの変更を示すシステムイベントをほぼリアルタイムのストリームとして提供します。CloudWatch イベント で自動イベント駆動型コンピューティングを有効にすると、特定のイベントを監視するルールを記述し、これらのイベントが発生したときに AWS の他のサービスで自動アクションをトリガーできます。詳細については、『Amazon CloudWatch Events ユーザーガイド』を参照してください。

32

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

• AWS CloudTrail は、AWS アカウントにより、またはそのアカウントに代わって行われた、API 呼び出しおよび関連イベントを取得し、指定した Amazon S3 バケットにログファイルを配信します。AWS を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。詳細については、「AWS CloudTrail User Guide」を参照してください。

トピック• Amazon CloudWatch Events による AWS Health イベントのモニタリング (p. 33)• AWS CloudTrail による AWS Health API コールのログ記録 (p. 39)

Amazon CloudWatch Events による AWS Health イベントのモニタリングAmazon CloudWatch Events を使用して、AWS Personal Health Dashboard (AWS Health) イベントのステータスの変化を検出し、対応することができます。次に、作成したルールで指定した値とイベントが一致すると、CloudWatch イベント で 1 つ以上のターゲットアクションが呼び出されます。イベントのタイプに応じて、通知の送信、イベント情報の取得、是正措置の実施、またはその他の対策を行うことができます。

CloudWatch イベント を使用する際には、AWS Health ワークフローの一部として次のターゲットタイプを選択できます。

• AWS Lambda 関数• Amazon Kinesis データストリーム• Amazon SQS キュー• 組み込みターゲット (CloudWatch アラームアクション)• Amazon Simple Notification Service (Amazon SNS) トピック

たとえば、AWS Health イベントの発生時に、Lambda 関数を使用して通知を Slack チャネルに渡すことができます。または、Lambda および CloudWatch イベント を使用して、AWS Health イベントの発生時にAmazon SNS でカスタムテキスト通知または SMS 通知を送信できます。

AWS Health イベントに作成できる自動アラートおよびカスタムアラートのサンプルについては、GitHubの AWS Health Tools を参照してください。

AWS アカウントおよびリソースに固有の AWS Health イベントのみが CloudWatch イベント に発行されます。これには、Amazon Elastic Block Store ボリュームの消失イベント、Amazon Elastic ComputeCloud (Amazon EC2) インスタンスストアのドライブパフォーマンスの低下イベント、すべての予定された変更イベントなどが含まれます。

これに対して、サービスヘルスダッシュボードのイベントは、リージョンでのサービスの可用性に関する公開情報を提供します。これらのイベントは AWS アカウントに固有のものではないため、CloudWatch イベント に公開されません。

次のオプションを使用して、イベントがパブリックかアカウント固有かを識別します。

• Personal Health Dashboard で、[Event log (イベントログ)] ページの [Affected resources (影響を受けるリソース)] タブを選択します。リソースがあるイベントは、アカウントに固有です。リソースのないイベントはパブリックであり、アカウント固有のものではありません。

• AWS Health API を使用して、eventScopeCode パラメータを返します。イベントにはPUBLIC、ACCOUNT_SPECIFIC、または NONE の値を指定できます。詳細については、AWS Health APIリファレンスの「DescribeEventDetails」オペレーションを参照してください。

33

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

Important

Personal Health Dashboard に表示されるイベントは、リージョン固有です。たとえば、AWSHealth が 米国東部 (オハイオ) リージョン 内のリソース (Amazon EC2 インスタンスなど) に影響を与えるイベントを送信する場合、そのイベントの通知を受けるように、同じリージョンでCloudWatch イベント を設定する必要があります。

トピック• AWS Health の CloudWatch イベント ルールの作成 (p. 34)• EC2 インスタンスのアクションの自動化 (p. 35)

AWS Health の CloudWatch イベント ルールの作成ここでは、AWS Health の CloudWatch イベント ルールを作成する方法について説明します。AWS Healthのイベントルールを作成する前に、以下のことを行う必要があります。

• CloudWatch イベント のイベント、ルール、ターゲットに精通しておいてください。詳細については、「Amazon CloudWatch Events とは何ですか?」および「新しい CloudWatch イベント – AWS リソースの変化の追跡と対応」を参照してください。

• イベントのルールで使用するターゲットを作成します。

AWS Health 用の CloudWatch イベント ルールを作成するには。

1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。AWS

Health イベントを追跡するリージョンを選択します。3. ナビゲーションペインの [Events] を選択します。4. [Create rule] を選択し、次に [Event Source] の下の [Service Name] で [Health] を選択します。5. AWS のサービスを指定します。

• すべての AWS のサービスに適用されるルールを作成するには、[イベントタイプ]、[すべてのイベント] の順に選択します。すべてのイベントを選択すると、イベントタイプのカテゴリやイベントタイプのコードを選択することはできません。

• 1 つのサービスのイベントにのみ適用されるルールを作成するには、[Specific Health events]、[Specific service(s)] の順に選択し、リストからサービス名を選択します(例: [EC2])。複数のサービスを選択することはできません。

6. イベントタイプのカテゴリを指定します (特定のサービスを選択した場合)。

• すべてのイベントタイプのカテゴリに適用されるルールを作成するには、[Any event type category]を選択します。

• 1 つのイベントタイプのカテゴリにのみ適用されるルールを作成するには、[Specific event typecategory(s)] を選択し、リストから値を選択します(例: scheduledChange)。複数のカテゴリを選択することはできません。

7. イベントタイプのコードを指定します (特定のサービスと特定のイベントタイプのカテゴリを選択した場合)。

• すべてのイベントタイプのコードに適用されるルールを作成するには、[Any event type code] を選択します。

• 1 つまたは複数のイベントタイプのコードにのみ適用されるルールを作成するには、[Specific event type code(s)] を選択し、リストから 1 つまたは複数の値を選択します(例:AWS_EC2_PERSISTENT_INSTANCE_RETIREMENT_SCHEDULED)。

8. 影響を受けるリソースを指定します。

34

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

• すべてのリソースに適用するルールを作成するには、[Any resource ] を選択します。• 1 つまたは複数のリソースにのみ適用されるルールを作成するには、[Specific resource(s)] を選択

し、1 つまたは複数リソースの ID を入力します。たとえば、i-a1b2c34f と指定します。9. ルール設定を確認して、イベントモニタリング要件を満たしていることを確認します。10. [Targets] エリアで、[Add target*] を選択します。11. [Select target type] リストで、このルールを使用するために準備したターゲットのタイプを選択してか

ら、そのタイプに必要な追加オプションを設定します。12. [Configure details] を選択します。13. [Configure rule details] ページで、ルールの名前と説明を入力し、[State] ボックスを選択して、作成後

できるだけ早くルールを有効化します。14. ルールが適切であることを確認したら、[Create rule] を選択します。

EC2 インスタンスのアクションの自動化EC2 インスタンスの新しいスケジュールされたイベントに応じて、アクションを自動化することができます。たとえば、AWS Health サービスによって生成された EC2 の予定されたイベントに対してCloudWatch イベント ルールを作成できます。次に、これらのルールは、AWS Systems Manager 自動化ドキュメントなどのターゲットをトリガーして、アクションを自動化できます。その他のオプションについては、「CloudWatch Events を使用した Amazon EC2 の自動化」を参照してください。

たとえば、Amazon EC2 インスタンスのリタイアイベントが Amazon Elastic Block Store (Amazon EBS) -backed EC2 インスタンスに対してスケジュールされている場合、これらのアクションを手動で実行しなくても済むように、インスタンスの停止と起動を自動化できます。

リタイアが予定されている EBS-backed EC2 インスタンスの停止と起動を自動化するには

1. CloudWatch コンソールを開いて CloudWatch イベント ルールを作成する:

1. https://console.aws.amazon.com/cloudwatch/ に移動します。2. [イベント] の [ルール] を選択します。

2. イベントパターンのプレビューを編集し、次の入力を入力します。

Example

{ "source": [ "aws.health" ], "detail-type": [ "AWS Health Event" ], "detail": { "service": [ "EC2" ], "eventTypeCategory": [ "scheduledChange" ], "eventTypeCode": [ "AWS_EC2_INSTANCE_RETIREMENT_SCHEDULED" ] }}

コンソールに次のフィールドが表示されます。

35

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

3. [Save] を選択します。4. Systems Manager オートメーションドキュメントターゲットを追加します。次の図に示すように、

[Add target* (ターゲットを追加)] を選択し、[SSM Automation (SSM オートメーション)] を選択します。

36

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

Example

5. リストから、[AWS-RestartEC2Instance] Systems Manager ドキュメントを選択します。6. ここに示すように、{"Instances":"$.resources"} を InputPathsMap、{"InstanceId":

<Instances>} を入力テンプレートとして、インプットトランスフォーマーを設定します。7. 既存の AWS Identity and Access Management (IAM) ロールを選択し、SSM オートメーションドキュ

メントを実行するアクセス許可を持つ新しいロールを作成します。

必要な EC2 と Systems Manager アクセス許可を持つ既存の IAM ロールがない場合は、ロールを作成します。

EC2 と Systems Manager アクセス許可を持つ IAM ロールを作成するには

1. IAM ポリシーを作成して、CloudWatch イベント 用の必要な IAM アクセス許可を設定します。次に、ポリシーを CloudWatch の IAM ロールに関連付けます。この例では、IAM ロールにAutomationCWRole という名前を付けます。このような IAM ポリシーの例を示します。

Example

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances",

37

AWS Health ユーザーガイドCloudWatch イベント を使用し

たヘルスイベントのモニタリング

"ec2:StopInstances", "ec2:DescribeInstanceStatus" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:Automation*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::<AccountId>:role/AutomationCWRole" } ]}

2. ロール Amazon リソースネーム (ARN) をアカウント ID とロール名で更新してください。また、ここに示すようにロールに events.amazonaws.com および ssm.amazonaws.com が、IAM ロールの信頼済みエンティティとして設定されていることを確認します。

Example

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "events.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ]}

38

AWS Health ユーザーガイドAWS CloudTrail による AWS Health API コールのログ記録

AWS CloudTrail による AWS Health API コールのログ記録AWS Health は AWS CloudTrail と統合されています。このサービスは、AWS Health のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスです。CloudTrail は、AWSHealth の API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、AWS Healthコンソールの呼び出しと、AWS Health API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、AWS Health のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history(イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、AWSHealth に対してどのようなリクエストが行われたかを判断できます。

CloudTrail の詳細（設定して有効にする方法など）については、『AWS CloudTrail User Guide』を参照してください。

CloudTrail 内の AWS Health 情報CloudTrail は、アカウント作成時に AWS アカウントで有効になります。AWS Health でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントとともに [Event history (イベント履歴)] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS Health のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、以下を参照してください。

• 証跡を作成するための概要• CloudTrail でサポートされるサービスと統合• CloudTrail の Amazon SNS 通知の設定• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから

CloudTrail ログファイルを受け取る」

DescribeEventAggregates を除くすべての AWS Health アクションは CloudTrail によって記録されます。また、これらのアクションは AWS Health API リファレンス で説明されています。たとえば、DescribeEvents、DescribeEventDetails、DescribeAffectedEntities の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

AWS Health は以下のアクションをイベントとして CloudTrail ログファイルに記録します。

• リクエストが、ルートと IAM 認証情報のどちらを使用して送信されたか• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用

して送信されたか• リクエストが、別の AWS サービスによって送信されたかどうか

詳細については、「CloudTrail userIdentity 要素」を参照してください。

Amazon S3 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。デフォルトでは Amazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。

39

AWS Health ユーザーガイドコンプライアンス検証

ログファイルの配信時に通知を受け取るには、新しいログファイルの配信時に Amazon SNS 通知が発行されるように CloudTrail を設定できます。詳細については、「CloudTrail の Amazon SNS 通知の設定」を参照してください。

また、複数の AWS リージョンと複数の AWS アカウントからの AWS Health ログファイルを 1 つのAmazon S3 バケットに集約することもできます。

詳細については、「CloudTrail ログファイルを複数のリージョンから受け取る」と「複数のアカウントから CloudTrail ログファイルを受け取る」を参照してください。

例: AWS Health ログファイルエントリ証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrailログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、DescribeEntityAggregates アクションの CloudTrail ログエントリを示しています。

{ "Records": [ { "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/JaneDoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "JaneDoe", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2016-11-21T07:06:15Z" }}, "invokedBy": "AWS Internal" }, "eventTime": "2016-11-21T07:06:28Z", "eventSource": "health.amazonaws.com", "eventName": "DescribeEntityAggregates", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.0", "userAgent": "AWS Internal", "requestParameters": {"eventArns": ["arn:aws:health:us-east-1::event/EBS/EBS_LOST_VOLUME/EBS_LOST_VOLUME_123"]}, "responseElements": null, "requestID": "05b299bc-afb9-11e6-8ef4-c34387f40bd4", "eventID": "e4deb9dc-dbc2-4bdb-8515-73e8abcbc29b", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ], ...}

AWS Health のコンプライアンス検証サードパーティーの監査者は、複数の AWS Health コンプライアンスプログラムの一環として AWS のセキュリティとコンプライアンスを評価します。このプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。

40

AWS Health ユーザーガイド耐障害性

特定のコンプライアンスプログラムの範囲内にある AWS のサービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。一般的な情報については、「AWS コンプライアンスプログラム」を参照してください。

サードパーティーの監査レポートをダウンロードするには、AWS Artifact を使用します。詳細については、「AWS Artifact でレポートをダウンロードする」を参照してください。

AWS Health サービスを使用する際のお客様のコンプライアンス責任は、データの機密性、貴社のコンプライアンス目的、および適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。

• セキュリティおよびコンプライアンスのクイックスタートガイド – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS でデプロイするための手順を説明します。

• HIPAA のセキュリティとコンプライアンスに関するホワイトペーパーを作成する – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。

• AWS コンプライアンスのリソース – このワークブックおよびガイドのコレクションは、お客様の業界や場所に適用される場合があります。

• AWS Config 開発者ガイドの「ルールでのリソースの評価」– AWS Config サービスでは、リソース設定が社内のプラクティス、業界のガイドライン、規制にどの程度適合しているかを評価します。

• AWS Security Hub – この AWS サービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。

AWS Health の耐障害性AWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心として構築されます。AWS リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立・隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。

AWS Health イベントは複数のアベイラビリティーゾーンに保存され、レプリケートされます。この方法により、Personal Health Dashboard または AWS Health API オペレーションからアクセスできるようになります。AWS Health イベントは発生日から最大 90 日間表示できます。

AWS リージョンとアベイラビリティーゾーンの詳細については、「AWS グローバルインフラストラクチャ」を参照してください。

AWS Health でのインフラストラクチャセキュリティ

マネージド型サービスとして、AWS Health は、ホワイトペーパー「Amazon Web Services: AWS セキュリティプロセスの概要」に記載されているAWS グローバルネットワークセキュリティの手順で保護されています。

AWS が公開した API コールを使用して、ネットワーク経由で AWS Health にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman(ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされ

41

AWS Health ユーザーガイド設定と脆弱性の分析

ている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

AWS Health での設定と脆弱性の分析設定および IT 管理は、AWS とお客様の間で共有される責任です。詳細については、AWS 責任共有モデルを参照してください。

AWS Health のセキュリティのベストプラクティスAWS Health を使用するには、次のベストプラクティスを確認します。

AWS Health ユーザーに最低限のアクセス許可を付与するユーザーとグループの最小限のアクセスポリシー許可セットを使用して、最小権限の原則に従います。たとえば、AWS Identity and Access Management (IAM) ユーザーの Personal Health Dashboard へのアクセスを許可できます。ただし、同じユーザーに AWS Organizations へのアクセスを有効または無効にすることを許可しない場合があります。

詳細については、「AWS Health アイデンティティベースのポリシーの例 (p. 21)」を参照してください。

Personal Health Dashboard を表示するPersonal Health Dashboard を頻繁にチェックして、アカウントやアプリケーションに影響する可能性のあるイベントを特定します。たとえば、更新する必要がある Amazon Elastic Compute Cloud (Amazon EC2)インスタンスなど、リソースに関するイベント通知を受け取ることがあります。

詳細については、「AWS Personal Health Dashboard の使用開始 (p. 4)」を参照してください。

Amazon Chime または Slack と AWS Health の統合AWS Health をチャットツールと統合できます。この統合により、ユーザーまたチームは、AWS Healthイベントについてリアルタイムで通知を受け取ることができます。詳細については、GitHub の「AWSHealth のツール」ページを参照してください。

AWS Health イベントの監視AWS Health を Amazon CloudWatch Events と統合して、特定のイベントのルールを作成できます。CloudWatch イベント がルールに一致するイベントを検出すると、通知を受け取り、アクションを実行できます。CloudWatch イベント イベントはリージョン固有であるため、アプリケーションまたはインフラストラクチャが存在するリージョンでこのサービスを設定する必要があります。

場合によっては、AWS Health イベントのリージョンを決定できないことがあります。この状況が発生した場合は、デフォルトで 米国東部 (バージニア北部) リージョン にイベントが表示されます。このリージョンで CloudWatch イベント を設定して、これらのイベントを確実に監視できます。

42

AWS Health ユーザーガイドAWS Health イベントの監視

詳細については、「Amazon CloudWatch Events による AWS Health イベントのモニタリング (p. 33)」を参照してください。

43

AWS Health ユーザーガイド前提条件

組織ビューでのアカウント全体のAWS Health イベントの集計

AWS Health ではデフォルトで、1 つの AWS アカウントの AWS Health イベントを表示できます。AWSOrganizations では、組織全体で AWS Health を一元的に表示することもできます。この機能により、1 つのアカウントオペレーションと同じ情報にアクセスできます。フィルターを使用して、AWS の特定のリージョン、アカウント、およびサービスのイベントを表示できます。

リアルタイムで AWS Health イベントを集計し、運用上のイベントの影響を受けている組織のアカウントを特定したり、セキュリティの脆弱性の通知を受けたりできます。また、組織全体のリソースメンテナンスイベントを事前に管理および自動化することもできます。この機能を使用して、更新またはコードの変更が必要な可能性のある AWS サービスに対する今後の変更について常に最新情報を把握できます。

組織のイベントは、削除される 90 日前まで表示できます。ビジネスまたはエンタープライズサポートプランをお持ちの場合は、追加料金なしでこの機能を使用できます。

トピック• 前提条件 (p. 44)• 組織ビューの有効化 (p. 44)• 組織ビューイベントの表示 (p. 46)• AWS Health 組織ビュー API オペレーション (p. 46)• 組織ビューの無効化 (p. 47)

前提条件組織ビューに AWS Health API を使用する前に、次のことを行う必要があります。

• すべての機能が有効な組織に参加する。• ビジネスまたはエンタープライズサポートプランに登録する。• 組織のマスター AWS アカウントで AWS Identity and Access Management (IAM) ユーザーとしてサイン

インして IAM ロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする。詳細については、IAM ユーザーガイドの「AWS アカウントのルートユーザーのアクセスキーをロックする」を参照してください。

• マスター AWS アカウント IAM ポリシーで AWS Health API オペレーションへのアクセスが許可されていることを確認する。「AWS Health 組織 API アクセスを許可する (p. 26)」を参照してください。

組織ビューの有効化組織ビューは、EnableHealthServiceAccessForOrganization API オペレーションを使用してのみ有効にできます。

AWS Command Line Interface (AWS CLI) または独自のコードを使用して、このオペレーションを呼び出すことができます。

44

AWS Health ユーザーガイド組織ビューの有効化

Example

次の AWS CLI コマンドは、AWS アカウントからこの機能を有効にします。このコマンドは、マスターAWS アカウントから、または必要なアクセス許可を持つロールを引き受けることができるアカウントから使用できます。

aws health enable-health-service-access-for-organization

次のコード例では、 EnableHealthServiceAccessForOrganization API オペレーションを呼び出します。

Python

import boto3

client = boto3.client('health')

response = client.enable_health_service_access_for_organization()

print(response)

Java

次の例では、バージョン Java 2.0 用の AWS SDK を使用できます。

import software.amazon.awssdk.services.health.HealthClient;import software.amazon.awssdk.services.health.HealthClientBuilder; import software.amazon.awssdk.services.health.model.ConcurrentModificationException;import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationRequest;import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationResponse;import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationRequest;import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationResponse; import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider; import software.amazon.awssdk.regions.Region; public class EnableHealthServiceAccessDemo { public static void main(String[] args) { HealthClient client = HealthClient.builder() .region(Region.US_EAST_1) .credentialsProvider( DefaultCredentialsProvider.builder().build() ) .build(); try { DescribeHealthServiceStatusForOrganizationResponse statusResponse = client.describeHealthServiceStatusForOrganization( DescribeHealthServiceStatusForOrganizationRequest.builder().build() ); String status = statusResponse.healthServiceAccessStatusForOrganization(); if ("ENABLED".equals(status)) { System.out.println("EnableHealthServiceAccessForOrganization already enabled!"); return; }

45

AWS Health ユーザーガイド組織ビューイベントの表示

client.enableHealthServiceAccessForOrganization( EnableHealthServiceAccessForOrganizationRequest.builder().build() ); System.out.println("EnableHealthServiceAccessForOrganization is in progress"); } catch (ConcurrentModificationException cme) { System.out.println("EnableHealthServiceAccessForOrganization is already in progress. Wait for the action to complete before trying again."); } catch (Exception e) { System.out.println("EnableHealthServiceAccessForOrganization FAILED: " + e); } }}

詳細については、 AWS SDK for Java 2.0 開発者ガイドを参照してください。

この機能を有効にすると、Health_OrganizationsServiceRolePolicy サービスにリンクされたロール (SLR) が組織のマスター AWS アカウントに適用されます。

Note

この機能の有効化は非同期プロセスであり、完了するまでに時間がかかります。DescribeHealthServiceStatusForOrganization オペレーションを呼び出して、このプロセスのステータスを確認できます。

組織ビューイベントの表示この機能を有効にした後、AWS Health は、組織内のアカウントに影響を与えるイベントの記録を開始します。アカウントが組織に参加すると、AWS Health は、自動的にそのアカウントを組織ビューに追加します。アカウントが組織から離れると、そのアカウントからの新しいイベントが組織ビューに記録されなくなります。ただし、既存のイベントは残り、90 日間の制限までそのクエリを実行できます。

Important

AWS Health では、組織ビューを有効にする前に組織内で発生したイベントは記録されません。

AWS Health API オペレーションを使用して、組織ビューからイベントを返すことができます。

Example : 組織ビューイベントの説明

次の AWS CLI コマンドは、組織内の AWS アカウントのヘルスイベントを返します。

aws health describe-events-for-organization

その他の AWS Health API オペレーションについては、次のセクションを参照してください。

AWS Health 組織ビュー API オペレーション組織ビューには、次の AWS Health API オペレーションを使用できます。

• DescribeEventsForOrganization – 組織全体のイベントに関する概要情報を返します。• DescribeAffectedAccountsForOrganization – 指定されたイベントの影響を受けている組織内の AWS ア

カウントのリストを返します。

46

AWS Health ユーザーガイド組織ビューの無効化

• DescribeEventDetailsForOrganization – 組織内の 1 つ以上のアカウントに指定されたイベントに関する詳細情報を返します。

• DescribeAffectedEntitiesForOrganization – 組織内の 1 つ以上のアカウントの 1 つ以上のイベントの影響を受けたエンティティのリストを返します。

次のオペレーションを使用すると、AWS Health による Organizations の操作を有効化または無効化できます。

• EnableHealthServiceAccessForOrganization – Organizations と対話するための AWS Health アクセス許可を付与し、Health_OrganizationsServiceRolePolicy SLR を組織内のマスター AWS アカウントに適用します。

• DisableHealthServiceAccessForOrganization – AWS Health が Organizations と対話するためのアクセス許可を取り消します。

• DescribeHealthServiceStatusForOrganization – 組織で AWS Health が有効になっているかどうかに関するステータス情報を返します。

これらの API オペレーションを呼び出すには、ビジネスサポートプランまたはエンタープライズサポートプランが必要です。少なくともビジネスサポートプランがあるアカウントからDescribeEventForOrganization および DescribeAffectedAccountsForOrganization オペレーションを呼び出すと、個々のアカウントのサポートレベルに関係なく、組織内の任意のアカウントに関する情報を返すことができます。以下の例を参照してください。

Example 例: ビジネスサポートプランと開発者サポートプランがあるアカウントを持つ組織

• 組織に 3 つのアカウントがあります。マスター AWS アカウントにビジネスサポートプランがあり、残りの 2 つのアカウントに開発者サポートプランがあります。

• マスターアカウントまたは必要なアクセス許可を持つロールを引き受けることができるアカウントから、DescribeEventForOrganization API オペレーションを呼び出します。

• AWS Health は、3 つのアカウントすべてに関する情報を返します。

少なくともビジネスサポートプランがあるアカウントから DescribeEventDetailsForOrganizationおよび DescribeAffectedEntitiesForOrganization API オペレーションを呼び出すと、ビジネスまたはエンタープライズのサポートレベルプランがある組織内のアカウントに関する情報のみを返すことができます。

Example 例: エンタープライズ、ビジネス、および開発者のサポートプランがあるアカウントを持つ組織

• 組織に 5 つのアカウントがあります。マスター AWS アカウントにエンタープライズサポートプランがあり、2 つのアカウントにビジネスサポートプランがあり、2 つのアカウントに開発者サポートプランがあります。

• マスターアカウントから DescribeEventDetailsForOrganization API オペレーションを呼び出します。

• AWS Health は、エンタープライズサポートプランまたはビジネスサポートプランがあるアカウントの情報のみを返します。開発者サポートプランがあるアカウントは、応答の failedSet に表示されます。

組織ビューの無効化組織ビューは、DisableHealthServiceAccessForOrganization API オペレーションを使用して無効にすることができます。

47

AWS Health ユーザーガイド組織ビューの無効化

Example

次の AWS CLI コマンドは、アカウントからこの機能を無効にします。

aws health disable-health-service-access-for-organization

Note

また、Organizations DisableAWSServiceAccess API オペレーションを使用して、組織機能を無効にすることもできます。このオペレーションを呼び出し後、AWS Health は、組織内の他のすべてのアカウントのイベントの集計を停止します。組織ビューの AWS Health API オペレーションを呼び出すと、AWS Health はエラーを返します。AWS Health は AWS アカウントのヘルスイベントを引き続き集計します。

この機能を無効にすると、AWS Health は組織からのイベントを集約しなくなります。ただし、Health_OrganizationsServiceRolePolicy SLR は、IAM コンソール、IAM API、または AWSCLI を通じて削除されるまでマスター AWS アカウントに残ります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

48

AWS Health ユーザーガイド

AWS Health のドキュメント履歴次の表は、AWS Health の今回のリリースの内容をまとめたものです。

• API バージョン: 2016-08-04• ドキュメントの最終更新日: 2020 年 6 月 3 日

変更 説明 変更日

組織ビューのトピックを更新し、例を含めました。

「組織ビューでのアカウント全体の AWS Health イベントの集計 (p. 44)」を参照してください。

2020 年 6 月 3 日

セキュリティと AWS Health AWS Health を使用する際のセキュリティ上の考慮事項に関する情報を追加しました。「AWS Health でのセキュリティ (p. 12)」を参照してください。

2020 年 5 月 5 日

AWS Organizations のすべてのアカウントにわたって集計されたイベントに対して、組織ビューを使用する方法を説明する新しいセクションを追加しました。

「組織ビューでのアカウント全体の AWS Health イベントの集計 (p. 44)」を参照してください。

2019 年 12 月 18 日

AWS Health API によるイベントの制限について説明するために、新しいセクション「リソースおよびアクションベースの条件」を追加しました。

「AWS Health の Identity andAccess Management (p. 14)」を参照してください。

2018 年 8 月 2 日

AWS Health 情報の可視性に関する注意を追加しました。

「AWS Health の Identity andAccess Management (p. 14)」を参照してください。

2017 年 8 月 16 日

サービスのリリース。 AWS Health のリリース。 2016 年 12 月 1 日

49

AWS Health ユーザーガイド

AWS の用語集最新の AWS の用語については、『AWS General Reference』の「AWS の用語集」を参照してください。

50