職務機能の AWS 管理ポリシー - AWS Identity and Access Management

職務機能の AWS 管理ポリシー

最小権限を付与するポリシーを使用するか、タスクの実行に必要なアクセス許可のみを付与することをお勧めします。最小権限を付与する最も安全な方法は、チームが必要とするアクセス許可のみを含むカスタムポリシーを作成することです。必要に応じて、チームがさらにアクセス許可をリクエストできるようにプロセスを作成する必要があります。必要なアクセス許可のみをチームに提供する IAM カスタマー管理ポリシーの作成には、時間と専門知識が必要です。

IAM ID (ユーザー、ユーザーのグループ、ロール) へのアクセス許可の追加を開始するには、AWS 管理ポリシー を使用できます。AWS 管理ポリシーは、一般的なユースケースをカバーし、AWS アカウントで利用できます。AWS 管理ポリシーでは、最小権限のアクセス許可は付与されません。プリンシパルに職務に必要となるものを超えるアクセス許可を付与することによるセキュリティリスクを考慮する必要があります。

職務機能を含む AWS 管理ポリシーは、任意の IAM ID にアタッチできます。最小権限のアクセス許可に切り替えるには、AWS Identity and Access Management Access Analyzer を実行して、AWS 管理ポリシーでプリンシパルをモニタリングできます。ユーザーが使用しているアクセス許可が分かったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを含むポリシーを生成できます。これは安全性は低くなりますが、チームの AWS の使用方法を知るにつれて柔軟性が高まります。

職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。これらのポリシーを使用すると、特定の職務機能を持つ人によるタスクの実行に必要なアクセス許可を付与できます。これらのポリシーは、多くのサービスの権限を一つのポリシーに統合しているため、権限が様々なポリシーに分散している場合に比べてより作業しやすくなっています。

ロールを使用してサービスを連動する

他の AWS サービスにある機能の活用を促すために IAM サービスのロールを使用するポリシーもあります。これらのポリシーは、iam:passrole にアクセス許可を付与します。これによりポリシーが適用されるユーザーは AWS のサービスにロールを渡すことができます。このロールは、お客様に代わってアクションを実行するための IAM アクセス許可を AWS のサービスに委任します。

必要に応じてロールを作成する必要があります。たとえば、ネットワーク管理者のポリシーでは、ポリシーを利用するユーザーは「flow-logs-vpc」というロールを Amazon CloudWatch サービスに渡すことができます。CloudWatch では、このロールを使用してユーザーが作成した VPC の IP トラフィックをログに記録し、キャプチャします。

セキュリティのベスト プラクティスに従うは、渡すことができる有効なロール名を制限するフィルタを、職務機能のポリシーに含めます。これは不要な権限の付与を避けるのに役立ちます。ご自分のユーザーにオプション サービス ロールが必要な場合は、ポリシーで指定されている命名規則に従うロールを作成する必要があります。その後、ロールに権限を付与します。この処理が終わると、ユーザーは、ロールを使用するサービスを設定して、そのロールが提供する権限を付与することができます。

次のセクションでは、各ポリシーの名前は AWS Management Console のポリシー詳細ページへのリンクです。ここでは、ポリシードキュメントを表示し、そのポリシーによって付与されるアクセス許可を確認できます。

管理者の職務機能

AWS 管理ポリシー名: AdministratorAccess

ユースケース: このユーザーはフルアクセスが許可され、AWS のあらゆるサービスおよびリソースにアクセス許可を委任できます。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、アカウントの AWS のすべてのサービスおよびリソースに対するすべてのアクションを許可します。

注記

IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。そのためには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

請求職務機能

AWS 管理ポリシー名: Billing

ユースケース: このユーザーは請求情報の確認、支払いの設定、支払いの承認を行う必要があります。ユーザーは、AWS のサービス全体の累計されたコストをモニタリングできます。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、請求、コスト、支払い方法、予算、レポートを管理するためのフルアクセス許可を付与します。

注記

IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。そのためには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

データベース管理者の職務機能

AWS 管理ポリシー名: DatabaseAdministrator

ユースケース: このユーザーは AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、データベースの作成、設定、メンテナンスを行うためのアクセス許可を付与します。これには、AWS データベースサービス (Amazon DynamoDB、Amazon Relational Database Service (RDS) や Amazon Redshift など) へのアクセスが含まれます。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。このポリシーは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

データベース管理者の職務機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 この AWS 管理ポリシーを選択します。
ユーザーに RDS データベースの監視を許可します rds-monitoring-role 拡張モニタリングの Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
AWS Lambda に、データベースの監視と外部データベースへのアクセスを許可します rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Lambda に、DynamoDB での Amazon S3 と Amazon Redshift クラスターへのファイルのアップロードを許可します lambda_exec_role AWS Lambda AWS ビッグデータブログで定義されているように新しい管理ポリシーを作成します
Lambda 関数に、DynamoDB テーブルのトリガーとしての動作を許可します lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Lambda 関数に、VPC 内の Amazon RDS へのアクセスを許可します lambda-vpc-execution-role AWS Lambda Developer Guide に定義されているように、信頼ポリシーを適用したロールを作成します AWSLambdaVPCAccessExecutionRole
AWS Data Pipeline に、AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AWS Data Pipeline ドキュメントには、このユースケースに必要な権限が記載されています。AWS Data Pipeline 用の IAM ロールを参照してください
Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AmazonEC2RoleforDataPipelineRole

データサイエンティストの職務機能

AWS 管理ポリシー名: DataScientist

ユースケース: このユーザーは Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、Amazon EMR クラスターでクエリを作成、管理、実行し、Amazon QuickSight などのツールでデータを分析するアクセス許可を付与します。このポリシーには、追加のデータサイエンティストサービス (AWS Data Pipeline、Amazon EC2、Amazon Kinesis、Amazon Machine Learning、SageMaker など) へのアクセスが含まれます。このポリシーがサポートしているデータサイエンティストサービスの詳細なリストに対するポリシーを表示します。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。一方のステートメントは、任意のロールを SageMaker に渡すことを許可します。別のステートメントは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

データサイエンティストの職務機能に対するオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon EC2 インスタンスの、クラスターに適したサービスおよびリソースへのアクセスを許可します。 EMR-EC2_DefaultRole EC2 の Amazon EMR AmazonElasticMapReduceforEC2Role
Amazon EMR に、クラスターの Amazon EC2 サービスおよびリソースへのアクセスを許可します EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Kinesis Kinesis Data Analytics に、ストリーミングデータソースへのアクセスを許可します kinesis-* AWS ビッグデータブログに定義されているように、信頼ポリシーを適用したロールを作成します。 ユースケースに応じて選択できる 4 つのオプションの概要については、「AWS ビッグデータブログ」を参照してください。
AWS Data Pipeline に、AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AWS Data Pipeline ドキュメントには、このユースケースに必要な権限が記載されています。AWS Data Pipeline 用の IAM ロールを参照してください
Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AmazonEC2RoleforDataPipelineRole

デベロッパーパワーユーザーの職務機能

AWS 管理ポリシー名: PowerUserAccess

ユースケース: このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの説明: このポリシーの最初のステートメントでは、NotAction 要素を使用して、すべての AWS サービスのすべてのアクションと、すべてのリソース (AWS Identity and Access Management および AWS Organizations を除く) のすべてのアクションを許可します。2 つめのステートメントでは、サービスにリンクされたロールを作成する IAM アクセス許可を付与します。これは、別のサービスのリソース (Amazon S3 バケットなど) にアクセスしなければならないサービスに必要です。また、ユーザーの組織に関する情報 (management account の E メールや組織の制限など) を表示する Organizations アクセス許可を付与します。このポリシーは IAM および Organizations アクセスを制限しますが、AWS SSO が有効になっている場合、ユーザーはすべての AWS SSO アクションを実行できます。

ネットワーク管理者の職務機能

AWS 管理ポリシー名: NetworkAdministrator

ユースケース: このユーザーは AWS; ネットワークリソースの設定とメンテナンスを担当します。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、Auto Scaling、Amazon EC2、AWS Direct Connect、Route 53、Amazon CloudFront、Elastic Load Balancing、AWS Elastic Beanstalk、Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM、Amazon Virtual Private Cloud のネットワークリソースの作成とメンテナンスを行うアクセス許可を付与します。

この職務機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

ネットワーク管理者の職務機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon VPC に、ユーザーに代わって CloudWatch Logs でログを作成および管理し、VPC を出入りする IP トラフィックをモニタリングするのを許可します flow-logs-* Amazon VPC ユーザーガイド に定義されているように、信頼ポリシーを適用したロールを作成します このユースケースには、既存の AWS 管理ポリシーがありませんが、ドキュメントには必要な権限が記載されています。「Amazon VPC ユーザーガイド」を参照してください。

読み取り専用アクセス

AWS 管理ポリシー名: ReadOnlyAccess

ユースケース: このユーザーは、AWS アカウント内のすべてのリソースへの読み取り専用アクセス権が必要です。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの説明: このポリシーは、リソースとその属性を一覧表示、取得、説明、表示するためのアクセス許可を付与します。これは、作成や削除のような変更関数は含まれていません。このポリシーには、AWS Identity and Access Management や AWS Billing and Cost Management などのセキュリティ関連 AWS サービスへの読み取り専用アクセス権が含まれます。このポリシーがサポートしているサービスとアクションの詳細なリストに対するポリシーを表示します。

セキュリティ監査の職務機能

AWS 管理ポリシー名: SecurityAudit

ユースケース: このユーザーはセキュリティ要件の遵守についてアカウントをモニタリングします。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、AWS の多数のサービスの設定データを表示し、それらのログを確認するアクセス許可を付与します。

ユーザー職務機能のサポート

AWS 管理ポリシー名: SupportUser

ユースケース: このユーザーは AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、AWS サポートケースを作成および更新するアクセス許可を付与します。

システム管理者の職務機能

AWS 管理ポリシー名: SystemAdministrator

ユースケース: このユーザーは開発運用リソースのセットアップおよびメンテナンスを行います。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、AWS のサービスのさまざまなリソース (AWS CloudTrail、Amazon CloudWatch, AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor、Amazon VPC など) を作成およびメンテナンスするアクセス許可を付与します。

この職務機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

システム管理者の職務機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon ECS クラスターの EC2 インスタンスで実行されるアプリケーションに Amazon ECS へのアクセスを許可します ecr-sysadmin-* EC2 コンテナサービスの Amazon EC2 のロール AmazonEC2ContainerServiceforEC2Role
ユーザーがデータベースを監視することを許可します rds-monitoring-role 拡張モニタリングの Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
EC2 インスタンスで実行されるアプリケーションの、AWS リソースへのアクセスを許可します。 ec2-sysadmin-* Amazon EC2 Linux インスタンス用 Amazon EC2 ユーザーガイド に示されているように、S3 バケットへのアクセス許可を付与するロールのサンプルポリシーです。必要に応じてカスタマイズします。
Lambda に DynamoDB ストリームの読み取り、CloudWatch ログへの書き込みを許可する lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

表示専用のユーザーの職務機能

AWS 管理ポリシー名: ViewOnlyAccess

ユースケース: このユーザーは、すべてのサービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。

ポリシーの更新: AWS は、このポリシーを維持し、更新します。このポリシーの変更履歴を表示するには、IAM コンソールでポリシーを表示し、[ポリシーのバージョン] タブを選択します。ジョブ関数ポリシーの更新の詳細については、「ジョブ関数の AWS マネージドポリシーの更新」を参照してください 。

ポリシーの詳細: このポリシーでは、ほとんどの AWS サービスのリソースに対する List*Describe*Get*View*、および Lookup* アクセス許可を付与します。このポリシーに含まれる各サービスのアクションを確認するには、「ViewOnlyAccess」を参照してください。

ジョブ関数の AWS マネージドポリシーの更新

これらのポリシーは、すべて AWS によって維持され、 AWS サービスが追加した新しいサービスや新機能のサポートを含めるよう最新状態を維持します。これらのポリシーは、お客様が変更することはできません。ポリシーのコピーを作成してそのコピーを変更できますが、AWS での新しいサービスや API オペレーションの導入時に、そのコピーは自動的に更新されません。

ジョブ機能ポリシーの場合、IAM コンソールでバージョン履歴と各アップデートの日時を表示できます。これを行うには、このページのリンクを使用してポリシーの詳細を表示します。次に、[ポリシーのバージョン] タブを選択してバージョンを表示します。このページには、ポリシーの最新の 25 バージョンが表示されます。ポリシーのすべてのバージョンを表示するには、get-policy-version AWS CLI コマンドまたは GetPolicyVersion API オペレーションを呼び出します。

注記

カスタマー管理ポリシーのバージョンは 5 つまで設定できますが、AWS は AWS 管理ポリシーの完全なバージョン履歴を保持します。