IAM のドキュメント履歴 - AWS Identity and Access Management

IAM のドキュメント履歴

次の表は、IAM のドキュメントの主な更新をまとめたものです。

変更説明日付

U2F の非推奨および WebAuthn/FIDO の更新

MFA オプションとしての U2F についての記述を削除し、WebAuthn、FIDO2、および FIDO セキュリティキーに関する情報を追加しました。

2022 年 5 月 31 日

IAM のレジリエンスに関する更新

イベントによって AWS リージョン 間の通信が中断されたときに IAM 認証情報へのアクセスを維持するための情報を追加しました。

2022 年 5 月 16 日

リソース用の新しいグローバル条件キー

リソースを含む AWS Organizations のアカウント、組織単位 (OU)、または組織に基づいて、リソースへのアクセスを制御できるようになりました。IAM ポリシーでは、aws:ResourceAccountaws:ResourceOrgID および aws:ResourceOrgPaths のグローバル条件キーを使用することができます。

2022 年 4 月 27 日

AWS SDK を使用した IAM のコード例

AWS Software Development Kit (SDK) で IAM を使用する方法を示すコード例を追加しました。例は、個々のサービス関数を呼び出す方法を示すコード抜粋と、同じサービス内で複数の関数を呼び出して特定のタスクを達成する方法を示す例に分けられています。

2022 年 4 月 7 日

ポリシー評価ロジックフローチャートの更新

ポリシー評価ロジックフローチャートおよびアカウント内でのリクエストの許可または拒否の決定セクションの関連テキストの更新です。

2021 年 11 月 17 日

セキュリティベストプラクティスの更新

ルートユーザーの認証情報を使用する代わりに IAM 管理者ユーザーを作成することについての情報を追加しました。また、ユーザーグループを使用して IAM ユーザーにアクセス許可を割り当てるベストプラクティスを削除しました。さらに、インラインポリシーの代わりに管理ポリシーを使用するタイミングを明確にしました。

2021 年 10 月 5 日

リソースベースのポリシーについての、ポリシー評価ロジックのトピックの更新

リソースベースのポリシーの影響についての情報と、同じアカウントに存在する異なるプリンシパルタイプについての情報を追加しました。

2021 年 10 月 5 日

単一値および複数値の条件キーの更新

単一値条件キーと複数値条件キーの違いについて、詳しく説明します。AWS グローバル条件コンテキストキーに、それぞれの値タイプが追加されました。

2021 年 9 月 30 日

IAM Access Analyzer は、Amazon S3 マルチリージョンアクセスポイントをサポートします

IAM Access Analyzer は、Amazon S3 マルチリージョンアクセスポイントを使用するバケットを含め、パブリックおよびクロスアカウントアクセスを許可する Amazon S3 バケットを識別します。。

2021 年 9 月 2 日

AWS管理ポリシーの更新-既存のポリシーへの更新

IAM Access Analyzer は、既存のAWS管理ポリシーを更新しました。

2021 年 9 月 2 日

アクションレベルのポリシー生成でサポートされるその他のサービス

IAM Access Analyzer は、AWS の追加サービスのアクションレベルのアクセスアクティビティ情報を含む追加の IAM ポリシーを生成できます。

2021 年 8 月 24 日

クロスアカウントの証跡の IAM ポリシーの生成

IAM Access Analyzer を使用して、別のアカウントでの AWS CloudTrail 証跡、例えば、集中型 AWS Organizations 証跡を使用したアクセスアクティビティに基づいてきめ細かなポリシーを生成できるようになりました。

2021 年 8 月 18 日

IAM Access Analyzer のポリシーチェック

IAM Access Analyzer は、IAM ポリシーに含まれる条件を検証する新しいポリシーチェックを追加することで、ポリシーの検証を拡張しました。これらのチェックは、ポリシーステートメント内の条件ブロックを分析し、セキュリティの警告、エラー、および提案を実行可能な推奨事項とともに報告します。

IAM アクセスアナライザでは、次のポリシーチェックが追加されました。

2021 年 6 月 29 日

アクション最終アクセスによるより多くのサービスのサポート

IAM プリンシパルが Amazon EC2、IAM、Lambda、および Amazon S3 管理アクションに対してアクションを前回使用した時点について、IAM コンソールでアクションの最後にアクセスした情報を表示できるようになりました。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう IAM ポリシーを改善することができます。

2021 年 4 月 19 日

引き受けたロールで実行されるアクションのモニタリングとコントロールアクション

管理者は、ID が AWS CloudTrail にログインしているソース ID を渡すように要求するように IAM ロールを設定できます。ソース ID 情報を確認すると、管理者は、引き受けたロールセッションでアクションを実行したユーザーやアクションを判断できます。

2021 年 4 月 13 日

アクセスアクティビティに基づいて IAM ポリシーを生成する

IAM Access Analyzer を使用して、AWS CloudTrail で見つかったアクセスアクティビティに基づいてきめ細かいポリシーを生成できるようになりました。

2021 年 4 月 7 日

IAM Access Analyzer のポリシーチェック

IAM Access Analyzer は、ポリシー作成中に 100 を超えるポリシーチェックと、実用的な推奨事項を提供するようになりました。

2021 年 3 月 16 日

拡張されたポリシー検証オプション

拡張されたポリシー検証は、IAM コンソールで利用できます。AWS API、および AWS CLI IAM Access Analyzer のポリシーチェックを使用して、安全で機能的な JSON ポリシーを作成できるようにします。

2021 年 3 月 15 日

IAM リソースのタグ付け

タグキーおよび値のペアを使用して、追加の IAM リソースにタグを付けることができるようになりました。

2021 年 2 月 11 日

IAM ユーザーのデフォルトのパスワードポリシー

AWS アカウントにカスタムパスワードポリシーを設定しない場合、IAM ユーザーのパスワードはデフォルトの AWS パスワードポリシーの要件を満たす必要があります。

2020 年 11 月 18 日

AWS サービスのアクション、リソース、および条件キーの各ページが移動しました

それぞれの AWS のサービスでは、IAM ポリシーで使用できるように、アクション、リソース、および条件コンテキストキーを定義することができます。これで、サービス認証リファレンスで、AWS サービス、ならびにそのアクション、リソース、および条件コンテキストキーのリストを検索できるようになりました。

2020 年 11 月 16 日

より長い IAM ユーザーロールセッション期間

IAM ユーザーは、AWS Management Console でロールを切り替えるときにロールセッション時間を長くできるようになりました。これによりセッションの期限切れによる中断を減らすことができます。ユーザーには、ロールに設定された最大セッション期間、または IAM ユーザーのセッションの残り時間のいずれか短い方が付与されます。

2020 年 7 月 24 日

Service Quotas を使用して IAM エンティティのクイック増加をリクエストする

Service Quotas コンソールを使用して、調整可能なクォータの IAM クォータ増加をリクエストできます。現在、いくつかの増加は Service Quotas で自動的に承認され、数分以内にアカウントで利用できるようになります。より大きなリクエストは AWS Support に送信されます。

2020 年 6 月 25 日

IAM の最終アクセス時間情報に Amazon S3 管理アクションを追加

サービスの最終アクセス時間情報に加えて、 プリンシパルが最後に Amazon S3 アクションを使用した時間に関する情報を IAM コンソールに表示できるようになりました。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このレポートには、プリンシパルで許可されているどのサービスとアクションに、いつ最後にアクセスが試みられたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう IAM ポリシーを改善することができます。

2020 年 6 月 3 日

セキュリティチャプター追加

セキュリティに関する章では、セキュリティとコンプライアンスの目標を達成するために IAM と AWS STS を設定する方法について説明します。また、IAM リソースのモニタリングや保護に役立つ、他の AWS のサービスの使用方法についても説明します。

2020 年 4 月 29 日

sts:RoleSessionName

ロールを引き受けるときにプリンシパルが指定するセッション名に基づいてアクセス許可を付与するポリシーを記述できるようになりました。

2020 年 4 月 21 日

AWS サインインページの更新

メインの AWS サインインページでサインインする場合、AWS アカウント ルートユーザーまたは IAM ユーザーとしてサインインすることはできません。この場合、ページのラベルに、ルートユーザーの E メールアドレスまたは IAM ユーザーアカウント情報を指定する必要があるかどうかが示されます。このドキュメントには、AWS サインインページを理解するのに役立つ、更新済みの画面キャプチャが含まれています。

2020 年 3 月 4 日

aws:ViaAWSService および aws:CalledVia 条件キー

サービスが IAM プリンシパル (ユーザーまたはロール) に代わってリクエストを実行できるかどうかを制限するポリシーを記述できるようになりました。プリンシパルが AWS サービスに対してリクエストを実行すると、そのサービスはプリンシパルの認証情報を使用して、後続のリクエストを他のサービスに対して実行することがあります。いずれかのサービスがプリンシパルの認証情報を使用してリクエストを実行したときに一致する、aws:ViaAWSService 条件キーを使用します。特定のサービスがプリンシパルの認証情報を使用してリクエストを実行したときに一致する、aws:CalledVia 条件キーを使用します。

2020 年 2 月 20 日

Policy Simulator でアクセス許可の境界のサポートを追加

IAM Policy Simulator を使用して、IAM エンティティに対するアクセス許可の境界の影響をテストできるようになりました。

2020 年 1 月 23 日

クロスアカウントポリシーの評価

AWS でクロスアカウントアクセスのポリシーが評価される方法を学習できるようになりました。これは、別のアカウントのプリンシパルがリソースにアクセスすることを信頼するアカウントのリソースに許可する、リソースベースのポリシーが含まれている場合に発生します。リクエストは両方のアカウントで許可されている必要があります。

2020 年 1 月 2 日

セッションタグ

AWS STS でロールを引き受けるとき、またはユーザーをフェデレートするときにタグを含めることができるようになりました。AssumeRole または GetFederationToken オペレーションを実行するときに、セッションタグを属性として渡すことができます。AssumeRoleWithSAML または AssumeRoleWithWebIdentity オペレーションを実行するときに、企業の ID から AWS に属性を渡すことができます。

2019 年 11 月 22 日

AWS Organizations の AWS アカウントのグループへのアクセスを制御する

IAM ポリシーで AWS Organizations からレファレンス組織単位 (OU) を参照できるようになりました。Organizations を使用してアカウントを OU に編成する場合、リソースへのアクセスを許可する前に、プリンシパルが特定の OU に属するように要求できます。プリンシパルには、AWS アカウント ルートユーザー、IAM ユーザー、IAM ロールが含まれます。これを行うには、ポリシーの aws:PrincipalOrgPaths 条件キーに OU パスを指定します。

2019 年 11 月 20 日

最後に使用したロール

ロールが最後に使用された日付、時刻、およびリージョンを表示できるようになりました。この情報は、アカウント内の未使用のロールを特定する際にも役立ちます。AWS Management Console、AWS CLI および AWS API を使用して、ロールが最後にいつ使用されたかに関する情報を表示できます。

2019 年 11 月 19 日

グローバル条件コンテキストキーページの更新

各グローバル条件キーがリクエストのコンテキストに含まれるタイミングを知ることができるようになりました。また、ページの目次 (TOC) を使用して、各キーにさらに簡単に移動することもできます。ページの情報は、より正確なポリシーを記述するのに役立ちます。たとえば、従業員が IAM ロールでフェデレーションを使用する場合、aws:userName キーではなく aws:userId キーを使用する必要があります。aws:userName キーは IAM ユーザーにのみ適用され、ロールには適用されません。

2019 年 10 月 6 日

AWS の ABAC

タグを使用した AWS での属性ベースのアクセスコントロール (ABAC) の動作と、従来の AWS 認証モデルとの比較について説明します。ABAC チュートリアルを使用して、プリンシパルタグを持つ IAM ロールが一致するタグを持つリソースにアクセスすることを許可するポリシーを作成およびテストする方法を学習します。この戦略により、個人は自分のジョブに必要な AWS リソースのみを表示または編集できます。

2019 年 10 月 3 日

AWS STS GetAccessKeyInfo オペレーション

コード内の AWS アクセスキーを確認して、キーが所有するアカウントのものであるかどうかを判断できます。アクセスキー ID は、aws sts get-access-key-info AWS CLI コマンドまたは GetAccessKeyInfo AWS API オペレーションを使用して渡すことができます。

2019 年 7 月 24 日

IAM での Organizations サービスの最終アクセス時間情報の表示

IAM コンソールの AWS Organizations セクションで、AWS Organizations エンティティまたはポリシーのサービスの最終アクセス時間情報を表示できます。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このデータには、Organizations アカウントのプリンシパルで許可されているどのサービスがいつ最後にアクセスを試みたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう Organizations ポリシーを改善することができます。

2019年6月20日

管理ポリシーをセッションポリシーとして使用する

ロールを引き受ける際に最大 10 の管理ポリシー ARN を渡すことができるようになりました。これにより、ロールの一時的な認証情報のアクセス許可を制限することができます。

2019 年 5 月 7 日

グローバルエンドポイントに対するセッショントークンの AWS STS リージョンの互換性

バージョン 1 またはバージョン 2 グローバルエンドポイントのトークンの使用を選択できるようになりました。バージョン 1 トークンは、デフォルトで利用できる AWS リージョンでのみ有効です。これらのトークンは、アジアパシフィック (香港) など、手動で有効になっているリージョンでは動作しません。バージョン 2 のトークンはすべてのリージョンで有効です。ただし、バージョン 2 トークンの方が長く、一時的にトークンを保存するシステムに影響する可能性があります。

2019 年 4 月 26 日

AWS リージョンの有効化と無効化の許可

管理者がアジアパシフィック (香港) リージョン (ap-east-1) を有効化および無効化できるようにするポリシーを作成できるようになりました。

2019 年 4 月 24 日

IAM ユーザーのセキュリティ認証情報ページ

IAM ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の認証情報を管理できるようになりました。この AWS Management Console ページには、アカウント ID や正規ユーザー ID などのアカウント情報が表示されます。ユーザーは、自分のパスワード、アクセスキー、X.509 証明書、SSH キー、および Git 認証情報を表示および編集することもできます。

2019 年 1 月 24 日

アクセスアドバイザー API

AWS CLI および AWS API を使用して、サービスの最終アクセス時間情報を表示できるようになりました。

2018 年 12 月 7 日

IAM ユーザーとロールのタグ付け

タグキーと値のペアを使用して、IAM タグを使い、アイデンティティ (IAM ユーザーまたはロール) にカスタム属性を追加できるようになりました。タグを使用して、アイデンティティのリソースへのアクセスや、アイデンティティにアタッチできるタグを制御することもできます。

2018 年 11 月 14 日

U2F セキュリティキー

AWS Management Console にサインインするとき、U2F セキュリティキーを多要素認証 (MFA) オプションとして使用できるようになりました。

2018 年 9 月 25 日

Amazon VPC エンドポイントのサポート

米国西部 (オレゴン) リージョンで、VPC と AWS STS の間のプライベート接続を確立できるようになりました。

2018 年 7 月 31 日

アクセス許可の境界

新機能では、完全な &IAM; 管理アクセスを付与することなく、信頼された従業員に IAM 許可を管理できる権限を付与することがより簡単になりました。

2018 年 7 月 12 日

aws:PrincipalOrgID

新しい条件キーでは、IAM プリンシパルの AWS 組織を指定することで、AWS リソースへのアクセスをより簡単にコントロールできます。

2018 年 5 月 17 日

aws:RequestedRegion

新しい条件キーでは、より簡単に IAM ポリシーを使用して AWS リージョンへのアクセスをコントロールできます。

2018 年 4 月 25 日

IAM ロールのセッションの有効期間を増やしました

IAM ロールのセッションの有効期間は 12 時間になりました。

2018 年 3 月 28 日

ロール作成ワークフローを更新しました

新しいワークフローでは、信頼関係を作成するプロセスとロールにアクセス許可をアタッチするプロセスが効率化されます。

2017 年 9 月 8 日

AWS アカウントへのサインインプロセス

AWS サインインエクスペリエンスの更新により、root ユーザーと IAM ユーザーの両方は AWS Management Console のホームページで [Sign In to the Console] (コンソールへのサインイン) リンクを使用できます。

2017 年 8 月 25 日

IAM ポリシーの例

ドキュメントの更新に伴って 30 を超えるポリシー例が追加されました。

2017 年 8 月 2 日

IAM のベストプラクティス

IAM コンソールの [ユーザー] セクションに追加された情報により、IAM のベストプラクティスを実践しやすくなりました。

2017 年 7 月 5 日

Auto Scaling のリソース

リソースレベルのアクセス許可で、Auto Scaling のリソースへのアクセスとアクセス許可をコントロールできます。

2017 年 5 月 16 日

Amazon RDS for MySQL および Amazon Aurora データベース

データベース管理者は、データベースユーザーと IAM ユーザーおよびロールに関連付けることができます。これにより、すべての AWS リソースへのユーザーアクセスを一元管理できます。

2017 年 4 月 24 日

サービスにリンクされたロール

サービスにリンクされたロールでは、より簡単で安全な方法でアクセス許可を AWS のサービスに委任できます。

2017 年 4 月 19 日

ポリシー概要

新しいポリシー概要では、IAM ポリシーのアクセス許可をより簡単に理解できます。

2017 年 3 月 23 日