メニュー
AWS Identity and Access Management
ユーザーガイド

職務機能の AWS 管理ポリシー

職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。これらのポリシーを使用すると、特定の職務機能を持つ人によるタスクの実行に必要な権限を簡単に付与することができます。これらのポリシーは、多くのサービスの権限を一つのポリシーに統合しているため、権限が様々なポリシーに分散している場合に比べてより作業しやすくなっています。

職務機能のこれらのポリシーは、任意のグループ、ユーザー、またはロールに関連付けることができます。

ロールを使用してサービスを連動する

他の AWS サービスにある機能の活用を促すために IAM サービスのロールを使用するポリシーもあります。これらのポリシーは、iam:passroleにアクセス権限を付与します。これによりポリシーを使用するユーザーは、AWS サービスにロールを渡すことができます。このロールは、 ユーザーに代わってアクションを実行するための IAM 権限を AWS サービスに委任します。

必要に応じてロールを作成する必要があります。例えば、ネットワーク管理者のポリシーでは、ポリシーを利用するユーザーは「flow-logs-vpc」というロールを Amazon CloudWatch サービスに渡すことができます。CloudWatch では、このロールを使用してユーザーが作成した VPC の IP トラフィックをログに記録し、キャプチャします。

セキュリティのベスト プラクティスに従うは、渡すことができる有効なロール名を制限するフィルタを、職務機能のポリシーに含めます。これは不要な権限の付与を避けるのに役立ちます。ご自分のユーザーにオプション サービス ロールが必要な場合は、ポリシーで指定されている命名規則に従うロールを作成する必要があります。その後、ロールに権限を付与します。この処理が終わると、ユーザーは、ロールを使用するサービスを設定して、そのロールが提供する権限を付与することができます。

最新情報の把握

これらのポリシーは、すべて AWS によって維持され、 AWS が追加した新しいサービスや新機能のサポートを含めるよう最新状態を維持します。これらのポリシーは、お客様が変更することはできません。ポリシーのコピーを作成してそのコピーを変更できますが、AWS が新しいサービスやAPIを導入した際に、そのコピーは自動で更新されません。

職務機能

次のセクションでは、各ポリシーの名前は AWS マネジメントコンソール のポリシー詳細ページへのリンクです。ここでは、ポリシードキュメントを表示するアクセス権限を確認することもできます。

管理者

AWS 管理ポリシー名: AdministratorAccess

ユースケース: このユーザーはフルアクセスを持ち、AWS のあらゆるサービスおよびリソースに権限を委任できます。

ポリシーの詳細: このポリシーは、アカウントのすべての AWS サービスおよびリソースに対するすべてのアクションを許可します。

請求

AWS 管理ポリシー名: 請求処理

ユースケース: このユーザーは、請求情報の確認、支払いの設定、支払いの許可を行う必要があります。ユーザーは、AWS の各サービスごとに累計されたコストをモニタリングできます。

ポリシーの詳細: このポリシーでは、請求管理とコスト管理の権限を付与します。権限には、予算と支払い方法の両方の確認および変更が含まれます。

注記

IAM ユーザーがこのポリシーを利用して AWS Billing and Cost Management コンソールにアクセスできるようになる前に、アカウントの Billing and Cost Management コンソールへのアクセスを有効にする必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

データベース管理者

AWS 管理ポリシー名: DatabaseAdministrator

ユースケース: このユーザーは、AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。

ポリシーの詳細: このポリシーは、データベースの作成、設定、メンテナンスを行う権限を付与します。Amazon DynamoDB、Amazon ElastiCache、Amazon Relational Database Service (RDS)、Amazon Redshift、およびその他のサポート サービス など、AWS のすべてのデータベースへのアクセスが含まれています。

このポリシーでは、AWS サービスへロールを渡す機能をサポートしています。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ」を参照してください。

データベース管理者の職務権限のオプション IAM サービスロール

ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 この AWS 管理ポリシーを選択します。
ユーザーに RDS データベースの監視を許可します rds-monitoring-role 拡張モニタリングの Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
AWS Lambda に、データベースの監視と外部データベースへのアクセスを許可します rdbms-lambda-access Amazon EC2 AWSLambdaFullAccess
Lambda に、DynamoDB を利用した Amazon S3 と Amazon Redshift クラスタへのファイルのアップロードを許可します lambda_exec_role AWS Lambda AWS ビッグデータ ブログで定義されているように新しい管理ポリシーを作成します
Lambda 機能の DynamoDB テーブルのトリガーとしての動作を許可します lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Lambda 機能が VPC 内の Amazon RDS にアクセスできるようにする lambda-vpc-execution-role AWS Lambda Developer Guideに定義されているように、信頼ポリシーを利用してロールを作成します AWSLambdaVPCAccessExecutionRole
AWS Data Pipeline の AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイドに定義されているように、信頼ポリシーを利用してロールを作成します AWSDataPipelineRole
Amazon EC2 インスタンスで実行されるアプリケーションの AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイドに定義されているように、信頼ポリシーを利用してロールを作成します AmazonEC2RoleforDataPipelineRole

データサイエンティスト

AWS 管理ポリシー名: DataScientist

ユースケース: このユーザーは、Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。

ポリシーの詳細: このポリシーでは、クエリを作成、管理、およびAmazon EMR クラスターで実行し、Amazon QuickSight などのツールでデータ分析を行う権限を付与します。このポリシーには、 AWS Data Pipeline、Amazon EC2、Amazon Elasticsearch Service、Amazon Elastic File System、Amazon EMR、Amazon Kinesis、Amazon Kinesis Analytics、Amazon Machine Learning、Amazon RDS、Amazon Redshiftへのアクセスが含まれます。

この職務機能は、ロールを AWS サービスへ渡す機能をサポートしています。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ」を参照してください。

データサイエンティストの職務機能に対するオプション IAM サービスロール

ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon EC2 インスタンスの、クラスターに適したサービスおよびリソースへのアクセスを許可します。 EMR-EC2_DefaultRole EC2 の Amazon EMR AmazonElasticMapReduceforEC2Role
Amazon EMR の、クラスター用 Amazon EC2 サービスおよびリソースへのアクセスを許可します。 EMR_DefaultRole Amazon EMR AmazonElasticMapReduceRole
Kinesis Kinesis Analyticsの、ストリーミングデータソースへのアクセスを許可します kinesis-* AWS ビッグデータブログに定義されているように、信頼ポリシーを利用してロールを作成します。 目的に合ったユースケースに応じ、4つの選択可能なオプションの概要を説明しているAWS ビッグデータ ブログを参照してください。
AWS Data Pipeline の AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイドに定義されているように、信頼ポリシーを利用してロールを作成します AWSDataPipelineRole
Amazon EC2 インスタンスで実行されるアプリケーションの AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイドに定義されているように、信頼ポリシーを利用してロールを作成します AmazonEC2RoleforDataPipelineRole

開発者パワーユーザー

AWS 管理ポリシー名: PowerUserAccess

ユースケース: このユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。

ポリシーの詳細: このポリシーでは、Amazon API Gateway、Amazon AppStream、Amazon CloudSearch、AWS CodeCommit、AWS CodeDeploy、AWS CodePipeline、AWS Device Farm、Amazon DynamoDB、Amazon Elastic Compute Cloud、Amazon EC2 Container Service (ECS)、AWS Lambda、Amazon RDS、Amazon Route 53、Amazon Simple Storage Service (S3)、Amazon Simple Email Service (SES)、Amazon Simple Queue Service (SQS)、Amazon Simple Workflow Service (SWF) を含むアプリケーション開発向けのさまざまな AWS サービスに対する、表示、読み取り、および書き込みの権限を付与します。

ネットワーク管理者

AWS 管理ポリシー名: NetworkAdministrator

ユースケース: このユーザーは、AWS ネットワークリソースの設定とメンテナンスの作業の担当となります。

ポリシーの詳細: このポリシーは、Amazon EC2、Amazon Route 53、Amazon Virtual Private Cloud (VPC)、AWS Direct Connect のネットワークリソースの作成および保守を行う権限を付与します。

この職務機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ」を参照してください。

ネットワーク管理者の職務権限のオプション IAM サービスロール

ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon VPC が、ユーザーに代わって CloudWatch ログを作成および管理し、VPC を出入りするIPトラフィックを監視するのを許可します flow-logs-* Amazon VPC ユーザーガイドに定義されているように、信頼ポリシーを利用してロールを作成します このユースケースには、既存の AWS 管理ポリシーがありませんが、ドキュメントには必要な権限が記載されています。Amazon VPC ユーザーガイド を参照してください。

システム管理者

AWS 管理ポリシー名: SystemAdministrator

ユースケース: このユーザーは、開発運用リソースのセットアップおよび保守を行います。

ポリシーの詳細: このポリシーは、AWS CloudTrail、Amazon CloudWatch、AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Amazon Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor、Amazon VPC を含む膨大な AWS サービスにわたるリソースの、作成および保守を行う権限を付与します。

この職務機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ」を参照してください。

システム管理者の職務権限のオプション IAM サービスロール

ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon ECS クラスターの EC2 インスタンスで実行されるアプリケーションの Amazon ECS へのアクセスを許可します ecr-sysadmin-* EC2 コンテナサービスの Amazon EC2 のロール AmazonEC2ContainerServiceforEC2Role
ユーザーがデータベースを監視することを許可します rds-monitoring-role 拡張モニタリングの Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
EC2 インスタンスで実行されるアプリケーションの、AWS リソースへのアクセスを許可します。 ec2-sysadmin-* Amazon EC2 Linux インスタンス用 Amazon EC2 ユーザーガイド に示された S3 バケットへのアクセス権限を付与するロールのサンプルポリシーです。必要に応じてカスタマイズします。
Lambda が、DynamoDB ストリームを読み取り、CloudWatch ログに書き込むことを許可 lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

セキュリティ監査人

AWS 管理ポリシー名: SecurityAudit

ユースケース: このユーザーは、セキュリティ要件の順守に対してアカウントを監視します。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。

ポリシーの詳細: このポリシーは、多数の AWS サービスの設定データを表示し、それらのログを確認する権限を付与します。

サポートユーザー

AWS 管理ポリシー名: SupportUser

ユースケース: このユーザーは、AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。

ポリシーの詳細: このポリシーは、AWS サポートケースを作成および更新する権限を付与します。

閲覧専用ユーザー

AWS 管理ポリシー名: ViewOnlyAccess

ユースケース: このユーザーは、全サービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。

ポリシーの詳細: このポリシーは、あらゆる AWS サービスのリソースへの List*Describe* アクセス権限を付与します。

ロールの作成とポリシーのアタッチ

上記のポリシーのいくつかは、 AWS サービスがお客様に代わって操作を実行できるようにするロールを利用して、それらのサービスを設定することもできます。職務機能ポリシーは、使用しなければならない正確なロール名、または、使用可能な名前の前半を少なくとも含んでいるプレフィックスを指定します。これらのロールのいずれかを作成するには、次の手順のステップを実行します。

職務機能の IAM サービスロールの作成方法

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. IAM コンソールのナビゲーションペインで、[Roles]、[Create New Role] の順に選択します。

  3. ロール名については、職務機能の管理ポリシーで指定された名前 (上記の表のロール名列) の条件に一致するロール名を入力します。名前を入力したら、下部の [Next Step(次のステップ)] を選択します。

  4. 必要に応じて、[AWS Service Roles]セクションを展開し、該当するテーブルの「選択するサービスロールの種類」列で指定されているサービスロールの種類に対して [Select] を選択します。サービスロールの種類がテーブルで定義されていない場合は、Amazon EC2 を選択します。後でロールの信頼ポリシーを編集して、EC2 サービスエンドポイントを、ロールを引き受ける必要のあるものに置換する必要があります。詳細については、「例 2 」を参照してください。

  5. テーブルに指定された管理ポリシーが示されている場合は、そのポリシーのチェックボックスにチェックを入れると、そのサービスに必要な権限を付与できます。テーブルに既存の管理ポリシー以外のものが指定されている場合は、このステップを省略して、ドキュメントに従ってポリシーを後で作成しロールにアタッチすることができます。

  6. [Next Step] をクリックしてロールを確認してから、[Create Role] をクリックします。

例 1: データベース管理者としてユーザーを設定する

この例では、IAM ユーザーである Alice を データベース管理者 として設定するために必要な手順を示します。そのセクションのテーブルの最初の列情報を使用し、ユーザーが Amazon RDS モニタリングを有効にできるようにします。DatabaseAdministrator ポリシーを Alice の IAM ユーザーにアタッチして、彼女が Amazon データベースサービスを管理できるようにします。このポリシーは、Alice が rds-monitoring-role と呼ばれるロールを Amazon RDS サービスに渡して、Alice の代わりに RDS データベースを監視できるようにします。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [ポリシー] を選択し、検索ボックスに database と入力します。

  3. DatabaseAdministrator ポリシーのチェックボックスを選択し、[Policy Actions]、次に [Attach] を選択します。

  4. ユーザーのリストから [Alice] を選択して、[Attach Policy] を選択します。これで Alice は、AWS データベースを管理できます。ただし、Alice がこれらのデータベースを監視できるようにするには、サービスロールを設定する必要があります。

  5. [ロール] を選択してから [新しいロールの作成] を選びます。

  6. ロール名は、Alice が現在持っている DatabaseAdministrator ポリシーによって指定されたものである必要があります。rds-monitoring-role がその 1 つです。 ロール名にこれを入力し、[Next Step] を選択します。

  7. 最初のテーブル行と同様に、AWS Service Rolesでは、[Amazon RDS Role for Enhanced Monitoring] の横の [Select] を選択します。

  8. 詳細を確認したら、[Create Role]を選択します。

  9. これで Alice は、DB インスタンスやリードレプリカを作成したり、DB インスタンスを修正する時に、Amazon RDS コンソールの [Monitoring] セクションで RDS Enhanced Monitoringを有効にできるようになりました。Alice は、[Enable Enhanced Monitoring] を [Yes] に設定する時に、[Monitoring Role] テキストボックスで作成したロール名 (rds-monitoring-role) を入力する必要があります。

例 2: ネットワーク管理者としてユーザーを設定する

この例では、IAM ユーザーである Juan を ネットワーク管理者 として設定するために必要な手順を示しています。Juan が VPC との間で送受信される IP トラフィックを監視し、Juan がその情報を CloudWatch ログで取得できるようにするには、このセクションのテーブルの情報を使用します。NetworkAdministrator ポリシーをファンの IAM ユーザーにアタッチして、彼が AWS ネットワークリソースを設定できるようにします。このポリシーでは、あなたがフローログを作成すると、ファンは名前が flow-logs* で始まるロールを Amazon EC2 に渡せるようになります。このシナリオでは、例 1 と違って事前定義されたサービスロールの種類がないため、いくつかのステップが異っています。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Policies] を選択し、検索ボックスに network と入力します。

  3. NetworkAdministrator ポリシーの横にあるチェックボックスを選択し、[Policy actions]、次に [Attach] を選択します。

  4. ユーザーのリストで、Juan の横にあるチェックボックスを選択し、[Attach policy] を選択します。これでファンは、AWS ネットワークリソースを管理できます。ただし、VPC の IP トラフィックのモニタリングを有効にするには、サービスロールを設定する必要があります。

  5. 作成する必要のあるサービスロールに事前定義された管理ポリシーがないため、先にそれを作成する必要があります。ナビゲーションペインで、[Policies] を選択し、[Create Policy] を選択します。

  6. [Create Your Own Policy] の横の [Select] を選択します。

  7. ポリシー名については、vpc-flow-logs-policy-for-service-roleと入力します。

  8. [Policy Document] で、以下のテキストをコピーして貼り付けます。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ] }
  9. [Create Policy] を選択して変更を保存します。

  10. [ロール] を選択してから [新しいロールの作成] を選びます。

  11. ロール名はファンが現在持っている、NetworkAdministrator ポリシーによって許可されている必要があります。flow-logs- で始まる名前であれば、使用可能です。この例では、ロール名に [flow-logs-for-juan] と入力して、[Next Step] を選択します。

  12. 2 番目のテーブルと同様に、AWS Service Rolesでは、Amazon EC2 の横にある [Select] を選択します。

  13. Attach Policy ページでは、先に作成したポリシー vpc-flow-logs-policy-for-service-role を選択し、[Next Step] を選択します。

  14. 詳細を確認したら、[Create Role]を選択します。

  15. これで、このシナリオで必要な信頼ポリシーを設定することができます。[Roles] ページで、[flow-logs-for-juan] ロール (チェックボックスではなく名前) を選択します。 新しいロールの詳細ページで、[Trust Relationships] タブを選択し、[Edit Trust Relationship] を選択します。

  16. 「Service」行の ec2.amazonaws.com のエントリを置き換えて以下のように変更します。

    Copy
    "Service": "vpc-flow-logs.amazonaws.com"
  17. Alice はこれで、Amazon EC2 コンソールで VPC またはサブネットのフローログを作成できます。フローログを作成する時に、flow-logs-for-juanロールを指定します。このロールには、ログを作成し、そのログにデータを書き込む権限があります。