メニュー
AWS Identity and Access Management
ユーザーガイド

チュートリアル: はじめてのカスタマー管理ポリシーの作成とアタッチ

このチュートリアルでは、AWS マネジメントコンソール を使用してカスタマー管理ポリシーを作成し、AWS アカウントのすべての IAM ユーザーにアタッチします。作成したポリシーで、IAM テストユーザーは読み取り専用アクセス権限で AWS マネジメントコンソール に直接サインインすることができます。

このワークフローに 3 つの基本的なステップがあります:

ステップ 1: ポリシーの作成

デフォルトでは IAM ユーザーにはアクセス権限はありません。ユーザーは許可されるまで、AWS マネジメントコンソールにアクセスしたり、その中のデータを管理したりすることはできません。このステップでは、アタッチされたユーザーにコンソールへのサインインを許可するカスタマー管理ポリシーを作成します。

ステップ 2: ポリシーのアタッチ

ユーザーにポリシーをアタッチする場合、ユーザーはポリシーに関連付けられているすべてのアクセス権限を継承します。このステップでは、テストユーザーアカウントに新しいポリシーをアタッチします。

ステップ 3: ユーザーアクセスのテスト

ポリシーがアタッチされると、ユーザーとしてサインインし、ポリシーをテストできます。

前提条件

このチュートリアルのステップを実行するには、以下を持っている必要があります:

  • 管理者権限を持つ IAM ユーザーとしてサインインできる AWS アカウント。

  • 以下のような権限またはメンバーシップが割り当てられていないテスト IAM ユーザー:

    ユーザー名 グループ アクセス許可
    PolicyUser <なし> <なし>

ステップ 1: ポリシーの作成

このステップでは、アタッチされたユーザーが IAM データへの読み取り専用アクセス権限で AWS マネジメントコンソール にサインインできるカスタマー管理ポリシーを作成します。

テストユーザーのポリシーを作成するには

  1. 管理者権限を持つユーザーとして、IAM コンソール(https://console.aws.amazon.com/iam/)にサインインします。

  2. ナビゲーションペインで、[Policies] を選択します。

  3. コンテンツペインで、[Create Policy] を選択します。

  4. [Create Your Own Policy] の横の [Select] を選択します。

  5. [Policy Name] で、「UsersReadOnlyAccessToIAMConsole」と入力します。

  6. [Policy Document] で、次のポリシーを貼り付けます。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
  7. [Validate Policy] を選択して、画面上部の赤いボックスにエラーが表示されないことを確認します。報告されたエラーがあれば、修正します。

    注記

    [Use autoformatting for policy editing] を選択した場合、ポリシーは、ポリシーを開く度または [Validate Policy] を選択する度に再フォーマットされます。

  8. [Create Policy] を選択します。

これでアタッチ可能なポリシーが作成されました。

ステップ 2: ポリシーのアタッチ

次に、作成したポリシーをテスト IAM ユーザーにアタッチします。

テストユーザーにポリシーをアタッチするには

  1. IAM コンソールのナビゲーションペインで、[Policies] を選択します。

  2. ポリシーリストの上部にある検索ボックスで、ポリシーが表示されるまで UsersReadOnlyAccesstoIAMConsole と入力を開始し、次にリストの [UsersReadOnlyAccessToIAMConsole] の横にあるチェックボックスをオンにします。

  3. [Policy actions] ボタンを選択して、[Attach] を選択します。

  4. [Filter] で、[Users] を選択します。

  5. 検索ボックスで、リストにそのユーザーが表示されるまで PolicyUser と入力を開始し、リストのユーザーの横にあるチェックボックスをオンにします。

  6. [Attach Policy] を選択します。

これで IAM テストユーザーにポリシーがアタッチされました。これは、ユーザーが読み取り専用アクセス権限で IAM コンソールにアクセスできることを意味します。

ステップ 3: ユーザーアクセスのテスト

このチュートリアルでは、テストユーザーとしてサインインしてアクセスをテストし、結果を見てユーザーの体験を確認することをお勧めします。

テストユーザーアカウントにサインインしてアクセスをテストするには

  1. PolicyUser テストユーザーとして、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. コンソールのページを参照して、新しいユーザーまたはグループを作成します。PolicyUser はデータを表示できますが、IAM データを作成したり既存のデータを変更したりすることはできないことに注意してください。

関連リソース

IAM ユーザーガイド』の関連情報については、以下の関連リソースを参照してください。

概要

これで、カスタマー管理ポリシーを作成してアタッチするのに必要なすべてのステップが完了しました。その結果、テスト用アカウントで IAM コンソールにサインインして、ユーザーが体験することになる内容を直接確認することができます。