Amazon Web Services (AWS) アセットをオンボードする方法 - Security Center

クラウドセキュリティポスチャ管理 (CSPM) は、自動化されたリスクチェック、ベースラインスキャン、攻撃パス解析を通じて、クラウド資産のセキュリティリスクを発見し、管理します。この機能は、クラウド製品の設定ミスやサーバー設定の不備などのセキュリティ脆弱性を特定し、それらに対処するための修正提案を提供します。

オンボード方法の選択

セキュリティ要件、サポートされている機能、環境タイプに基づいてオンボード方法を選択します。クイック設定プランと手動設定プランから選択できます。

比較項目	クイック設定プラン	手動設定プラン
権限付与アカウントタイプ	ルートユーザーの AccessKey ペアは、初回の権限付与にのみ使用されます。	最小権限アクセスの IAM ユーザーを作成します。
サポートされる機能	ホストアセットのみをサポートします。	ホストアセット Cloud Security Posture Management エージェントレス検出 (Outside Chinese Mainland のリージョンでサポート)
設定の複雑さ	シンプル	中

プラン 1: クイック設定 (ホスト資産のみ)

ステップ 1: AWS でルートユーザーの権限付与認証情報を作成する

警告

ルートユーザーの AccessKey ペアは、初回の権限付与にのみ使用されます。これにより、Security Center は AWS アカウントに限定された権限を持つ専用の IAM ユーザーを自動的に作成できます。IAM ユーザーのユーザー名は AlibabaSasSubAccount_ というプレフィックスで始まります。権限付与が成功したら、このルートユーザーの AccessKey ペアを直ちに削除する必要があります。

AWS コンソールにログインする
AWS IAM コンソールにログインします。ダッシュボードで、[マイセキュリティ資格情報] をクリックします。
重要
ルートユーザーのみが [セキュリティ資格情報] を設定できます。
AccessKey ペアを作成する
[マイセキュリティ資格情報] ページで、指示に従って設定を行い、[アクセスキーを作成] をクリックします。
- ユースケース: ビジネスシナリオに基づいてユースケースを選択します。該当するオプションがない場合は、[その他] を選択します。
- 説明タグの値 (オプション): タグは最大 256 文字で、文字、数字、スペース、および次の特殊文字を含めることができます: _ . : / = + - @。
AccessKey ペアを保存する
AccessKey ペアが作成されたら、[アクセスキーを取得] ページに移動して、[アクセスキー] (アクセスキー ID) と [シークレットアクセスキー] を表示して保存します。
説明
[.csv ファイルをダウンロード] をクリックして、AccessKey ペアをコンピューターに保存できます。

ステップ 2: Security Center でオンボーディングを完了する

権限付与ページに移動する:
次のいずれかの方法で AWS アセットプロビジョニングページに移動できます:
- 推奨パス:
  1. Security Center コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
  3. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、[AWS] を選択します。
- その他のパス:
  以下のページで、Multi-cloud Service Access セクションまたはリージョンにあるアイコンを見つけ、[プロビジョニング] または [付与] をクリックします。
  - アセットセンター > ホストアセット
  - リスクガバナンス > Cloud Security Posture Management > 設定のチェック
  - 脅威の分析と応答 > プロダクトアクセス
  - [保護設定] > ホスト保護 > エージェントレス検出。まずリージョンを Outside Chinese Mainland に切り替える必要があります。
プロビジョニング認証情報を設定する:
1. Add Assets Outside Cloud パネルで、Quick Configuration を選択し、プロビジョニングする機能を選択して、次へをクリックします。
2. SubscriptionId ページで、AWS で作成した認証情報を入力します。
  - アクセスキー ID とシークレットアクセスキー：ステップ 1: AWS でルートユーザーの権限付与の認証情報を作成するで作成した認証情報を入力します。
  - プロビジョニングリージョン: 利用可能な AWS リージョンを選択します。システムはこのリージョンを使用してアセットのアクセシビリティを検証します。
  - ドメイン: プロビジョニングリージョンに基づいてこのパラメーターを設定します。AWS China プロキシを使用する場合は、[China] を選択します。それ以外の場合は、[International] を選択します。
3. 情報を入力したら、次へをクリックします。システムは自動的に認証情報と権限を検証します。
  説明
  検証に失敗した場合は、「AccessKey ペアを入力した後、自動認証情報と権限の検証が失敗した場合はどうすればよいですか？」をご参照ください。
同期ポリシーを設定する:
- リージョン選択: オンボードする AWS アセットのリージョンを選択します。
  説明
  同期されたアセットデータは、Security Center コンソールの左上隅で選択されたリージョンに対応するデータセンターに保存されます。
  - Chinese Mainland: データセンターは中国本土にあります。
  - Outside Chinese Mainland: データセンターはシンガポールにあります。
- リージョン管理: このオプションはデフォルトで選択されています。このオプションを選択すると、この AWS アカウントに追加された新しいリージョンのアセットが自動的に同期されます。手動で追加する必要はありません。
- Host Asset Synchronization Frequency: AWS ホスト (EC2) アセットを自動的に同期する間隔を設定します。同期を無効にするには、このパラメーターを [オフ] に設定します。
- AK サービスのステータスチェック: Security Center が AWS アカウントの AccessKey ペアの有効性を自動的にチェックする間隔を設定します。[オフ] に設定してこのチェックを無効にすることができます。
設定が完了したら、最新のアセットの同期 をクリックします。システムは AWS アカウントから Security Center にホスト資産を自動的に同期します。
重要
これらの操作を完了すると、Security Center は権限付与のために AWS に IAM ユーザーを自動的に作成します。IAM ユーザーのユーザー名は AlibabaSasSubAccount_ というプレフィックスで始まります。自動的に作成された IAM ユーザーまたはその AccessKey ペアを削除したり無効にしたりしないでください。そうしないと、アセットのプロビジョニングとセキュリティ監視が中断されます。

ステップ 3: AWS ルートユーザーキーを削除する

アセットが正常にプロビジョニングされた後、セキュリティリスクを軽減するために、初回の権限付与に使用されたルートユーザーの AccessKey ペアを直ちに削除してください。

ルートユーザーとして AWS IAM コンソールにログインし、ダッシュボードで [マイセキュリティ資格情報] をクリックします。
[アクセスキー] セクションで、この権限付与に使用された AccessKey ペアを見つけます。次に、[アクション] 列で [削除] をクリックし、削除を確認します。

プラン 2: 手動設定

このプランは、AWS で限定された権限を持つ IAM ユーザーを作成することでアセットをプロビジョニングします。この方法は高いセキュリティを確保し、すべての機能をサポートします。

ステップ 1: AWS で RAM ユーザーの権限付与認証情報を作成する

Security Center との統合のために最小権限アクセスの IAM ユーザーを作成し、その AccessKey ペアを取得します。

説明

詳細については、AWS の公式ドキュメント「ユーザーの作成」および「権限の追加」をご参照ください。

AWS コンソールにログインする
AWS IAM コンソールにログインします。左側のナビゲーションウィンドウで、[ユーザー] をクリックします。[ユーザー] ページで、[ユーザーを作成] をクリックします。
ユーザー詳細を指定する
- ユーザー名: aliyun-security-center-user のように、識別しやすい名前を入力します。
- AWS マネジメントコンソールへのユーザーアクセスを提供する: このオプションは選択しないでください。このユーザーは API アクセス専用です。

ユーザー権限を設定する

[ポリシーを直接アタッチする] を選択します。

Security Center で使用する予定の機能に対応する権限ポリシーを選択します。

機能	AWS ポリシー	備考
ホストアセット	`AmazonEC2ReadOnlyAccess` `IAMReadOnlyAccess`	なし
Cloud Security Posture Management (CSPM)	`ReadOnlyAccess`	ログ監査に基づいて包括的なリスク検出を実行したい場合は、「CSPM のための AWS サービス監査ログを設定する」をご参照ください。AWS で関連サービスの監査ログを設定します。
エージェントレス検出	カスタムポリシーを手動で作成する必要があります。	AWS で CloudTrail、S3、SQS からなるログ配信パイプラインを作成する必要があります。詳細については、「エージェントレス検出のためのカスタムポリシーを作成する」をご参照ください。

レビューして作成
ユーザー詳細と権限ポリシーが正しいことを確認し、[ユーザーを作成] をクリックします。
AccessKey ペアを作成して保存する
1. ユーザーが作成されたら、[ユーザー] リストに戻り、ユーザー名をクリックして詳細ページに移動します。
2. [セキュリティ認証情報] タブで、[アクセスキーを作成] をクリックします。指示に従って設定を構成します。
  1. ユースケース: ビジネスシナリオに合ったユースケースを選択します。該当するオプションがない場合は、[その他] を選択します。
  2. 説明タグの値 (オプション): for-aliyun-sasc のようなカスタムタグを入力します。
3. [アクセスキーを作成] をクリックします。[アクセスキーを取得] ページで、[アクセスキー] と [シークレットアクセスキー] をコピーして保存します。

ステップ 2: Security Center でオンボーディング設定を完了する

AWS で IAM ユーザーの API キーを作成した後、Security Center コンソールに戻ってオンボーディング設定を完了します。

権限付与ページに移動する
説明
他のエントリポイントについては、「その他のエントリポイント」をご参照ください。
1. Security Center コンソールにログインします。
2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
3. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、[AWS] を選択します。
プロビジョニング認証情報を設定する
1. Add Assets Outside Cloud パネルで、手動設定プラン を選択し、プロビジョニングする機能を選択して、次へをクリックします。
  - ホストアセット: Security Center が AWS EC2 ホスト資産を自動的に検出して同期できるようにします。
  - Cloud Security Posture Management: CSPM 機能を使用して AWS クラウド製品の設定をスキャンし、設定リスクを発見して管理します。
  - エージェントレス検出 (Outside Chinese Mainland のリージョンでのみサポート): エージェントレス検出機能を使用して、AWS アセットの脆弱性やリスクをスキャンします。
2. SubscriptionId ページで、AWS で作成した認証情報を入力します。
  - IAM ユーザーのアクセスキー ID と IAM ユーザーのシークレットアクセスキー: 詳細については、「ステップ 1: AWS で RAM ユーザーの権限付与認証情報を作成する」をご参照ください。
  - プロビジョニングリージョン: 利用可能な AWS リージョンを選択します。システムはこのリージョンを使用してアセットのアクセシビリティを検証します。
  - ドメイン: プロビジョニングリージョンに基づいてこのパラメーターを設定します。AWS China プロキシを使用する場合は、[China] を選択します。それ以外の場合は、[International] を選択します。
3. 情報を入力したら、次へをクリックします。システムは自動的に認証情報と権限を検証します。
  説明
  検証に失敗した場合は、「AccessKey ペアを入力した後、自動認証情報と権限の検証が失敗した場合はどうすればよいですか？」をご参照ください。
監査ログを設定する (オプション)
クラウドプラットフォーム設定のチェック (CSPM) のログ監査機能を使用する場合は、このステップで設定を完了します。それ以外の場合は、[スキップ] をクリックします。
重要
続行する前に、AWS コンソールで必要なすべての設定を完了する必要があります。詳細については、「CSPM のための AWS サービス監査ログを設定する」をご参照ください。
- AWS リージョン: AWS キューが配置されているリージョンの ID を入力します。リージョン ID については、「AWS リージョン ID」をご参照ください。
- SQS キュー名: 作成した SQS キューの名前を入力します。
同期ポリシーを設定する
1. Policy Configuration ページで、必要に応じて次の設定を構成します:
  - リージョン選択: プロビジョニングする AWS アセットが含まれるリージョンを選択します。
    説明
    アセットデータは、Security Center コンソールの左上隅で選択されたリージョンに対応するデータセンターに自動的に保存されます。
    Chinese Mainland: 中国本土にあるデータセンター。
    Outside Chinese Mainland: データセンターはシンガポールにあります。
  - リージョン管理: このオプションはデフォルトで選択されています。このオプションが選択されている場合、この AWS アカウントに追加された新しいリージョンのアセットは自動的に同期され、手動で追加する必要はありません。
  - Host Asset Synchronization Frequency: AWS ホスト (EC2) アセットを自動的に同期する間隔を設定します。同期を無効にするには、[オフ] を選択します。
    説明
    このパラメーターは、ホストアセット のプロビジョニングを選択した場合にのみ必要です。
  - クラウドプロダクトの同期頻度: AWS クラウド製品の設定を自動的に同期する間隔を設定します。同期を無効にするには、[オフ] を選択します。
    説明
    このパラメーターは、クラウドプラットフォーム設定のチェック のプロビジョニングを選択した場合にのみ必要です。
  - AK サービスのステータスチェック: Security Center が AWS アカウントの AccessKey ペアの有効性を自動的にチェックする間隔を設定します。このチェックを無効にするには、[オフ] を選択できます。
設定が完了したら、最新のアセットの同期 をクリックします。システムは AWS アカウントから Security Center にデータを自動的に同期します。

プロビジョニングされたアセットの管理

ホスト資産

アセットセンター > ホストアセット ページに移動します。マルチクラウド資産プロビジョニングセクションで、アイコンをクリックしてプロビジョニングされた AWS ホストを表示します。次の手順を実行して、プロビジョニングされた AWS EC2 ホストを管理し、その保護を強化できます。

説明

詳細については、「ホスト資産」をご参照ください。

クライアントのインストール: AWS ホストに Security Center クライアントをインストールできます。インストールコマンドを実行するときは、サービスプロバイダー として [AWS] を選択する必要があります。詳細については、「クライアントのインストール」をご参照ください。
保護のための有料版へのアップグレード: デフォルトの無料版では、基本的なセキュリティ検出のみが提供されます。ウイルス対策、脆弱性修復、侵入防止などの包括的なセキュリティ保護を取得するには、有料版 (ウイルス対策版以上) を AWS ホストにアタッチします。詳細については、「ホストとコンテナのセキュリティ権限を管理する」をご参照ください。

クラウドセキュリティポスチャ管理 (CSPM)

Security Center コンソールで、アセットセンター > クラウドプロダクト ページに移動します。左側の All Alibaba Cloud Services ナビゲーションウィンドウで、[AWS] をクリックしてプロビジョニングされた AWS アセットを表示します。プロビジョニングされた AWS アセットに対して、次の CSPM 機能を使用できます:

説明

詳細については、「クラウド製品情報の表示」をご参照ください。

設定リスクチェックの実行: AWS 製品の設定リスクをチェックできます。詳細については、「クラウドプラットフォーム設定リスクチェックポリシーの設定と実行」をご参照ください。
リスク項目の処理: チェック結果に基づいて失敗したリスクチェック項目を表示および修正し、クラウド資産のコンプライアンスとセキュリティを向上させることができます。詳細については、「失敗したクラウドプラットフォーム設定リスクチェック項目の表示と処理」をご参照ください。

エージェントレス検出

Security Center コンソールで、保護設定 > ホスト保護 > エージェントレス検出 ページに移動します。リージョンを Outside Chinese Mainland に切り替えます。Add Multi-cloud Asset エリアで、アイコンをクリックしてインポートされた AWS アセットの数を表示します。アセットがインポートされた後、エージェントレス検出機能を使用して、脆弱性やベースラインなどの項目について AWS ホストをスキャンできます。詳細については、「エージェントレス検出」をご参照ください。

AWS 詳細設定 (エージェントレス検出および Cloud Security Posture Management 用)

エージェントレス検出のためのカスタムポリシーの作成

説明

詳細については、AWS ドキュメントの「ユーザーの作成」および「権限の追加」をご参照ください。

AWS IAM コンソールにログインします。[ポリシー] ページで、[ポリシーを作成] をクリックします。

[ポリシーエディター] セクションで、[JSON] を選択し、次の JSON コードをエディターに貼り付けます。

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:DeleteSubnet",
                "ec2:DeleteVpcEndpoints",
                "ec2:DeleteInternetGateway",
                "ec2:TerminateInstances",
                "ec2:StopInstances",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteVpc"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/Name": "alibaba-cloud-security-scan*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/Name": "SAS_Agentless*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:CopySnapshot",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeInstances",
                "ec2:CreateImage",
                "ec2:CreateVpc",
                "ec2:AttachInternetGateway",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute",
                "ec2:DescribeSnapshots",
                "ec2:ModifySubnetAttribute",
                "ec2:DescribeInternetGateways",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateInternetGateway",
                "ec2:CreateSecurityGroup",
                "ec2:DescribeVolumes",
                "ec2:CreateSnapshot",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RunInstances",
                "ec2:DetachInternetGateway",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeImages",
                "ec2:CreateVpcEndpoint",
                "ec2:CreateSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVpcEndpoints",
                "ec2:CreateSubnet",
                "ec2:DescribeSubnets",
                "ec2:ModifyVpcEndpoint",
                "ec2:CreateTags",
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeRegions",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant",
                "kms:GenerateDataKey",
                "kms:ReEncrypt*",
                "iam:GetUser"
            ],
            "Resource": "*"
        }
    ]
}

[次へ] をクリックし、ポリシーの名前 (例: AliyunSASC-AgentlessScan-Policy) を入力して、[ポリシーを作成] をクリックします。
このポリシーを AWS RAM ユーザーにアタッチするには、「ユーザー権限を設定する」をご参照ください。

CSPM のための AWS サービス監査ログの設定

ステップ 1: CloudTrail トレイルを作成する

このステップでは、AWS CloudTrail でトレイルを作成します。トレイルは、指定されたリージョン内のクラウドリソースに対するすべての管理操作を記録および保存します。これらのログは、CSPM データ収集に必要なデータを提供します。詳細については、AWS ドキュメントの「トレイルの作成」をご参照ください。

AWS CloudTrail コンソールにログインする
1. AWS CloudTrail コンソールにログインします。コンソールの右上隅にあるリージョンセレクターで、監視したい AWS リージョンを選択します。
2. ダッシュボードまたは左側のナビゲーションウィンドウで、[トレイル] を選択し、[トレイルを作成] をクリックします。
トレイル属性を設定する
[トレイル属性を選択] ページで、次の設定を構成し、[次へ] をクリックします。
- トレイル名: 識別しやすいように、aliyun-sasc-audit-trail のような説明的な名前を入力します。
- ストレージの場所:
  重要
  後で使用するためにバケット名を記録しておきます。
  - 新しい S3 バケットを作成: グローバルに一意のバケット名をすべて小文字で入力します。
  - 既存の S3 バケットを使用: [トレイルログバケット名] セクションで、[参照] をクリックし、ダイアログボックスからターゲットバケットを選択します。
- ログファイルの SSE-KMS 暗号化: このチェックボックスをオフにします。デフォルトの Amazon S3 マネージドキーによるサーバーサイド暗号化 (SSE-S3) を使用してログファイルを暗号化します。
ログイベントを選択する
[ログイベントを選択] ページで、次の設定を構成し、[次へ] をクリックします。
- イベントタイプ: 管理イベント。
- API アクティビティ: 読み取り、書き込み。
レビューして作成
[レビューして作成] ページで、設定項目を確認します。情報が正しい場合は、[トレイルを作成] をクリックします。

ステップ 2: SQS メッセージキューを作成する

このキューは、S3 バケットからログファイルイベント通知を受信し、ログ配信のターゲットメッセージチャネルとして機能します。詳細については、AWS ドキュメントの「メッセージキューの作成」をご参照ください。

AWS SQS コンソールにログインします。
AWS SQS コンソールにログインし、リージョンを選択してから [キューを作成] をクリックします。
警告
選択したリージョンが、前のステップで CloudTrail トレイルを作成したリージョンと同じであることを確認してください。
キュー情報を設定する
- タイプ: 標準。
- 名前: aliyun-sasc-log-queue のように、識別しやすいキュー名を入力します。
  重要
  このキュー名は、一意の ARN を生成し、その後のアクセスポリシー設定に使用されます。正しく入力してください。

アクセスポリシーを設定する

これは最も重要なステップです。このポリシーは、誰がこのキューにメッセージを送信できるか、誰がメッセージを読み取ることができるかを定義します。

[アクセスポリシー] パネルで、[詳細] を選択します。
重要
後で使用するために、デフォルトポリシーからアカウント ID とキュー ARN を記録しておきます。

以下の JSON テンプレート全体をコピーし、ポリシーエディターに貼り付けて、既存のすべてのコンテンツを置き換えます。

{
  "Version": "2012-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__owner_statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${Account ID}:root"
      },
      "Action": "SQS:*",
      "Resource": "${SQS ARN}"
    },
    {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "${SQS ARN}",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:${S3 bucket name}"
                }
            }
        }
  ]
}

重要: テンプレート内のプレースホルダーを次の表の説明に従って置き換えてください:

プレースホルダー	値の取得方法	例
`${Account ID}`	前のステップで保存したアカウント ID。	`99********1`
`${SQS ARN}`	前のステップで保存した SQS ARN。	`arn:aws:sqs:ap-northeast-1:123******012:aliyun-sasc-log-queue`
`${S3 bucket name}`	CloudTrail の作成時に設定した S3 バケットの名前。説明 AWS S3 コンソールにログインし、対応するリージョンでバケットを見つけ、詳細ページでその情報を表示できます。	`aws-cloudtrail-logs-123******12-abcdef`

プレースホルダーを置き換えた後、ページの下部までスクロールし、[キューを作成] をクリックします。

ステップ 3: S3 イベント通知を作成する

このステップでは、S3 バケットのイベント通知ルールを設定します。このルールは、新しいログファイルが生成されたときに、指定された SQS キューに自動的に通知を送信します。詳細については、AWS ドキュメントの「Amazon S3 イベント通知」をご参照ください。

AWS SQS コンソールにログインする
1. AWS S3 コンソールにログインし、リージョンを選択してから [バケット] をクリックします。
  警告
  選択したリージョンがCloudTrail トレイルを作成したリージョンと同じであることを確認してください。
2. [汎用バケット] タブで、CloudTrail 作成時に指定した S3 バケットを見つけ、その詳細ページを開きます。
イベント通知を設定する
[プロパティ] タブの [イベント通知] セクションで、[イベント通知を作成] をクリックします。次の設定を構成します。
1. イベントタイプ: [送信] を選択します。
2. 送信先: [SQS キュー] を選択し、「ステップ 2: SQS メッセージキューを作成する」で作成したキューを指定します。
3. 設定が完了したら、[変更を保存] をクリックします。

ステップ 4: キューアクセス権限を設定する

このステップでは、Security Center 専用の IAM ユーザーに、SQS キューから通知メッセージを読み取る権限を付与します。

SQS ポリシーを作成する:
1. AWS IAM コンソールにログインします。[ポリシー] ページで、[ポリシーを作成] をクリックします。
2. 次の設定を構成します。
  1. サービス: SQS。
  2. 効果: 許可。
  3. 読み取り: GetQueueUrl, ReceiveMessage。
  4. 書き込み: ReceiveMessage を選択します。
  5. [リソース] で、[ARN を追加] をクリックします。[リソース ARN] フィールドに、キュー ARN を入力します。
    説明
    AWS SQS コンソールにログインし、対応するリージョンでキューを見つけ、その ARN を詳細ページで表示できます。
ポリシーを IAM ユーザーにアタッチする:
作成した SQS ポリシーをターゲット IAM ユーザーにアタッチするには、「ユーザー権限を設定する」をご参照ください。

よくある質問

プロビジョニングされた AWS リソースの一部が Security Center に表示されないのはなぜですか？
- リージョンが選択されていない: Security Center のプロビジョニング設定で、リソースが配置されている AWS リージョンを選択しているか確認してください。
- 同期の遅延: 初回のプロビジョニングや設定変更後、アセットの同期が遅れることがあります。同期が完了するまでお待ちください。
AccessKey ペアを入力した後、自動認証情報と権限の検証が失敗した場合はどうすればよいですか？
- 権限の問題: IAM ユーザーの権限が不十分である可能性があります。AWS コンソールに移動して、必要な権限ポリシーを変更または追加してください。詳細については、「ユーザー権限を設定する」をご参照ください。
- アカウントの問題: クイック設定プランを使用する場合、AccessKey ペアはルートユーザー用に生成する必要があります。ルートユーザーとして AWS コンソールにログインし、API アクセスキーを作成してください。詳細については、「ステップ 1: AWS でルートユーザーの権限付与認証情報を作成する」をご参照ください。
- リージョンの問題: 現在選択されているリージョンが利用できない可能性があります。別の利用可能なリージョンまたは対応するドメインに切り替えてから、再送信してください。