AWSジョブ機能の 管理ポリシー - AWS Identity and Access Management

AWSジョブ機能の 管理ポリシー

最小権限を付与するポリシーを使用するか、タスクの実行に必要な権限のみを付与することをお勧めします。最小限の権限を付与する最も安全な方法は、チームに必要な権限のみを使用してカスタムポリシーを作成することです。必要に応じて、チームがより多くの権限を要求できるようにプロセスを作成する必要があります。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。

AWS マネージドポリシー を使用して、IAM ID(ユーザー、ユーザーのグループ、およびロール)へのアクセス許可の追加を開始。AWS 管理ポリシーは一般的な使用例をカバーし、AWS アカウントで利用できます。AWS 管理ポリシーは、最小特権のアクセス許可を付与しません。プリンシパルにジョブに必要な以上のアクセス許可を付与すると、セキュリティ上のリスクを考慮する必要があります。

AWS管理ポリシー(ジョブ機能を含む)を任意の IAM ID に添付することができます。最小権限権限に切り替えるには、AWS Identity and Access ManagementAnalyzerにアクセスしてプリンシパルをモニタリングするAWS管理ポリシーを使用します。どの権限を使用しているかを学習したら、カスタムポリシーを作成するか、チームに必要な権限のみを持つポリシーを生成できます。これは安全性は低くなりますが、チームが AWS をどのように使用しているかを学習するにつれて柔軟性が高まります。

AWSジョブ機能の 管理ポリシーは、IT 業界の一般的なジョブ機能と密接に連携するように設計されています。これらのポリシーを使用すると、特定のジョブ機能を持つ人によるタスクの実行に必要な権限を簡単に付与することができます。これらのポリシーは、多くのサービスの権限を一つのポリシーに統合しているため、権限が様々なポリシーに分散している場合に比べてより作業しやすくなっています。

ロールを使用してサービスを連動する

他の AWS サービスにある機能の活用を促すために IAM サービスのロールを使用するポリシーもあります。これらのポリシーは、iam:passrole にアクセス許可を付与します。これによりポリシーが適用されるユーザーは AWS のサービスにロールを渡すことができます。このロールは、お客様に代わってアクションを実行するための IAM アクセス許可を AWS のサービスに委任します。

必要に応じてロールを作成する必要があります。たとえば、ネットワーク管理者のポリシーでは、ポリシーを利用するユーザーは「flow-logs-vpc」というロールを Amazon CloudWatch サービスに渡すことができます。CloudWatch は、そのロールを使用して、ユーザーが作成した VPC の IP トラフィックをログに記録し、キャプチャします。

セキュリティのベスト プラクティスに従うは、渡すことができる有効なロール名を制限するフィルタを、ジョブ機能のポリシーに含めます。これは不要な権限の付与を避けるのに役立ちます。ご自分のユーザーにオプション サービス ロールが必要な場合は、ポリシーで指定されている命名規則に従うロールを作成する必要があります。その後、ロールに権限を付与します。この処理が終わると、ユーザーは、ロールを使用するサービスを設定して、そのロールが提供する権限を付与することができます。

次のセクションでは、各ポリシーの名前は AWS Management Console のポリシー詳細ページへのリンクです。ここでは、ポリシードキュメントを表示し、そのポリシーによって付与されるアクセス許可を確認できます。

管理者ジョブ関数

AWS 管理ポリシー名: AdministratorAccess

ユースケース: このユーザーはフルアクセスが許可され、AWS のあらゆるサービスおよびリソースにアクセス許可を委任できます。

ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、アカウントの AWS のすべてのサービスおよびリソースに対するすべてのアクションを許可します。

注記

IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。そのためには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

請求ジョブ関数

AWS 管理ポリシー名: Billing

ユースケース: このユーザーは請求情報の確認、支払いの設定、支払いの承認を行う必要があります。ユーザーは、AWS のサービス全体の累計されたコストをモニタリングできます。

ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、請求、コスト、支払い方法、予算、レポートを管理するためのフルアクセス許可を付与します。

注記

IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。そのためには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

データベース管理者のジョブ機能

AWS 管理ポリシー名: DatabaseAdministrator

ユースケース: このユーザーは AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。

ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、データベースの作成、設定、メンテナンスを行うためのアクセス許可を付与します。これは、へのアクセスが含まれていますAWSAmazon DynamoDB、Amazon Relational Database Service (RDS)、Amazon Redshift などのデータベースサービスを利用できます。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。このポリシーは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

データベース管理者のジョブ機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 この AWS 管理ポリシーを選択します。
ユーザーに RDS データベースのモニタリングを許可します rds-monitoring-role 拡張モニタリング用 Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
AWS Lambda に、データベースのモニタリングと外部データベースへのアクセスを許可します rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Lambda が DynamoDB を使用して Amazon S3 および Amazon Redshift クラスターにファイルをアップロードすることを許可する lambda_exec_role AWS Lambda AWS ビッグデータブログで定義されているように新しい管理ポリシーを作成します
Lambda 関数に、DynamoDB テーブルのトリガーとしての動作を許可します lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Lambda 関数が VPC 内の Amazon RDS へのアクセスを許可する lambda-vpc-execution-role AWS Lambda 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AWSLambdaVPCAccessExecutionRole
AWS Data Pipeline に、AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「AWS Data Pipelineの IAM ロール」を参照してください。
Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AmazonEC2RoleforDataPipelineRole

データサイエンティストジョブ関数

AWS 管理ポリシー名: DataScientist

ユースケース: このユーザーは Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。

ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、Amazon EMR クラスターでクエリを作成、管理、実行し、Amazon QuickSight などのツールでデータを分析するアクセス許可を付与します。このポリシーには、追加のデータサイエンティストサービス (AWS Data Pipeline、Amazon EC2、Amazon Kinesis、Amazon Machine Learning、および SageMaker に導入されている。このポリシーがサポートしているデータサイエンティストサービスの詳細なリストに対するポリシーを表示します。

このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。一方のステートメントは、任意のロールを SageMaker に渡すことを許可します。別のステートメントは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

データサイエンティストのジョブ機能に対するオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon EC2 インスタンスの、クラスターに適したサービスおよびリソースへのアクセスを許可します。 EMR-EC2_DefaultRole EC2 の Amazon EMR AmazonElasticMapReduceforEC2Role
Amazon EMR アクセスを許可して Amazon EC2 サービスおよびクラスターのリソースにアクセスする EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Kinesis Kinesis Data Analytics でストリーミングデータソースへのアクセスを許可する kinesis-* AWS ビッグデータブログに定義されているように、信頼ポリシーを適用したロールを作成します。 ユースケースに応じて選択できる 4 つのオプションの概要については、「AWS ビッグデータブログ」を参照してください。
AWS Data Pipeline に、AWS へのアクセスを許可します DataPipelineDefaultRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「AWS Data Pipelineの IAM ロール」を参照してください。
Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します DataPipelineDefaultResourceRole AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します AmazonEC2RoleforDataPipelineRole

開発者パワーユーザージョブ機能

AWS 管理ポリシー名: PowerUserAccess

ユースケース: このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。

ポリシーの更新 AWS: このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの説明: このポリシーの最初のステートメントでは、NotAction 要素を使用して、すべての AWS のサービスのすべてのアクションと、すべてのリソース (AWS Identity and Access Management、AWS Organizations、AWS Account Management を除く) のすべてのアクションを許可します。2 つめのステートメントでは、サービスにリンクされたロールを作成する IAM アクセス許可を付与します。これは、別のサービスのリソース (Amazon S3 バケットなど) にアクセスしなければならないサービスに必要です。また、ユーザーの組織に関する情報 (管理アカウントの E メールや組織の制限など) を表示する Organizations アクセス許可を付与します。このポリシーは、IAM、Organizations を制限しますが、IAM Identity Center が有効化されている場合には、ユーザーが、IAM Identity Center のすべてのアクションを実行できるようになります。また、アカウントに対してどの AWS リージョンが有効か無効かを表示するためのアカウント管理のアクセス許可も付与されます。

ネットワーク管理者のジョブ機能

AWS 管理ポリシー名: NetworkAdministrator

ユースケース: このユーザーは AWS; ネットワークリソースの設定とメンテナンスを担当します。

ポリシーの更新: AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの説明:このポリシーは、Auto Scaling、Amazon EC2 、AWS Direct Connect、 Route 53、Amazon CloudFront、Elastic Load Balancing 、AWS Elastic Beanstalk、 Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM、Amazon Virtual PrivateCloud でネットワークリソースを作成および維持するためのアクセス許可を付与します 。

このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

ネットワーク管理者のジョブ機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon VPC に、ユーザーに代わって CloudWatch Logs でログを作成および管理し、VPC を出入りする IP トラフィックをモニタリングするのを許可します flow-logs-* Amazon VPC ユーザーガイドに定義されているように、信頼ポリシーを適用したロールを作成します。 このユースケースには、既存の AWS 管理ポリシーがありませんが、ドキュメントには必要な権限が記載されています。Amazon VPC User Guide を参照してください。

読み取り専用アクセス

AWS 管理ポリシー名: ReadOnlyAccess

ユースケース:このユーザーには、AWS アカウントのすべてのリソースへの読み取り専用アクセス権が必要です。

ポリシーの更新: AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの説明:このポリシーは、リソースとその属性を一覧表示、取得、説明、その他の表示するためのアクセス許可を付与します。これは、作成や削除のような突然変異機能が含まれていません。このポリシーには、AWS や AWS Identity and Access Management などのセキュリティ関連の AWS Billing and Cost Management サービスへの読み取り専用アクセスが含まれています。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。

セキュリティ監査ジョブ機能

AWS 管理ポリシー名: SecurityAudit

ユースケース: このユーザーはセキュリティ要件の遵守についてアカウントをモニタリングします。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。

ポリシーの更新: AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、AWS の多数のサービスの設定データを表示し、それらのログを確認するアクセス許可を付与します。

Support ユーザジョブ機能

AWS 管理ポリシー名: SupportUser

ユースケース: このユーザーは AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。

ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、AWS サポートケースを作成および更新するアクセス許可を付与します。

システム管理者のジョブ機能

AWS 管理ポリシー名: SystemAdministrator

ユースケース: このユーザーは開発運用リソースのセットアップおよびメンテナンスを行います。

ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの説明:このポリシーでは、AWS CloudTrail、Amazon CloudWatch、AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor、Amazon VPC などのさまざまな AWS サービスにわたってリソースを作成および維持するためのアクセス許可を付与します。

このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRoleiam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

システム管理者のジョブ機能のオプション IAM サービスロール
ユースケース ロール名 (* はワイルドカードです) 選択するサービスロールの種類 選択する AWS 管理ポリシー
Amazon ECS クラスターの EC2 インスタンスで実行されるアプリケーションに Amazon ECS へのアクセスを許可します ecr-sysadmin-* EC2 コンテナサービスの Amazon EC2 のロール AmazonEC2ContainerServiceforEC2Role
ユーザーがデータベースをモニタリングすることを許可します rds-monitoring-role 拡張モニタリング用 Amazon RDS ロール AmazonRDSEnhancedMonitoringRole
EC2 インスタンスで実行されるアプリケーションの、AWS リソースへのアクセスを許可します。 ec2-sysadmin-* Amazon EC2 Linux インスタンス用の Amazon EC2 ユーザーガイドに示されているように、S3 バケットへのアクセスを許可するロールのサンプルポリシー。 必要に応じてカスタマイズします。
Lambda が DynamoDB Streams の読み取り、CloudWatch Logs への書き込みを許可する lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

閲覧専用ユーザージョブ関数

AWS 管理ポリシー名: ViewOnlyAccess

ユースケース: このユーザーは、すべてのサービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。

ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーのバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。

ポリシーの詳細: このポリシーでは、ほとんどの AWS サービスのリソースに対する List*Describe*Get*View*、および Lookup* アクセス許可を付与します。このポリシーに含まれる各サービスのアクションを確認するには、「ViewOnlyAccess」を参照してください。

ジョブ機能の AWS 管理ポリシー

これらのポリシーはすべて AWS によって維持され、AWS サービスによって追加された新しいサービスや新機能のサポートを含めるよう最新の状態に保たれます。これらのポリシーは、お客様が変更することはできません。ポリシーのコピーを作成してそのコピーを変更できますが、AWS での新しいサービスや API オペレーションの導入時に、そのコピーは自動的に更新されません。

ジョブ機能ポリシーの場合、IAM コンソールでバージョン履歴と各更新の日時を表示できます。これを行うには、このページのリンクを使用して、ポリシーの詳細を表示します。次に、[ポリシーのバージョン] タブをクリックして、バージョンを表示します。このページには、ポリシーの最後の 25 バージョンが表示されます。ポリシーのすべてのバージョンを表示するには、get-policy-version AWS CLI コマンドまたは GetPolicyVersion API オペレーションを呼び出します。

注記

カスタマー管理ポリシーには最大 5 つのバージョンを含めることができますが、AWS は AWS 管理ポリシーの完全なバージョン履歴を保持します。