IAM のドキュメント履歴 - AWS Identity and Access Management

IAM のドキュメント履歴

次の表は、IAM のドキュメントの主な更新をまとめたものです。

変更 Description 日付

より長い IAM ユーザーロールセッション期間

IAM ユーザーは、AWS マネジメントコンソール でロールを切り替えるときにロールセッション時間を長くできるようになりました。これによりセッションの期限切れによる中断を減らすことができます。ユーザーには、ロールに設定された最大セッション期間、または IAM ユーザーのセッションの残り時間のいずれか短い方が付与されます。

July 24, 2020

サービスクォータ を使用して IAM エンティティのクイック増加をリクエストする

サービスクォータ コンソールを使用して、調整可能なクォータの IAM クォータ増加をリクエストできます。現在、いくつかの増加は サービスクォータ で自動的に承認され、数分以内にアカウントで利用できるようになります。より大きなリクエストは AWS サポート に送信されます。

June 25, 2020

IAM の最終アクセス時間情報に Amazon S3 管理アクションを追加

サービスの最終アクセス時間情報に加えて、IAM プリンシパルが最後に Amazon S3 アクションを使用した時間に関する情報を IAM コンソールに表示できるようになりました。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このレポートには、プリンシパルで許可されているどのサービスとアクションに、いつ最後にアクセスが試みられたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう IAM ポリシーを改善することができます。

June 3, 2020

セキュリティに関する章の追加

セキュリティに関する章では、セキュリティとコンプライアンスの目標を達成するために IAM と AWS STS を設定する方法について説明します。また、IAM リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。

April 29, 2020

sts:RoleSessionName

ロールを引き受けるときにプリンシパルが指定するセッション名に基づいてアクセス許可を付与するポリシーを記述できるようになりました。

April 21, 2020

AWS サインインページの更新

メインの AWS サインインページでサインインする場合、 AWS アカウントのルートユーザー または IAM ユーザーとしてサインインすることはできません。この場合、ページのラベルに、ルートユーザー E メールアドレスまたは IAM ユーザーアカウント情報を指定する必要があるかどうかが示されます。このドキュメントには、AWS サインインページを理解するのに役立つ、更新済みの画面キャプチャが含まれています。

March 4, 2020

aws:ViaAWSService および aws:CalledVia 条件キー

サービスが IAM プリンシパル (ユーザーまたはロール) に代わってリクエストを実行できるかどうかを制限するポリシーを記述できるようになりました。プリンシパルが AWS サービスに対してリクエストを実行すると、そのサービスはプリンシパルの認証情報を使用して、後続のリクエストを他のサービスに対して実行することがあります。いずれかのサービスがプリンシパルの認証情報を使用してリクエストを実行したときに一致する、aws:ViaAWSService 条件キーを使用します。特定のサービスがプリンシパルの認証情報を使用してリクエストを実行したときに一致する、aws:CalledVia 条件キーを使用します。

February 20, 2020

Policy Simulator でアクセス許可の境界のサポートを追加

IAM Policy Simulator を使用して、IAM エンティティに対するアクセス許可の境界の影響をテストできるようになりました。

January 23, 2020

クロスアカウントポリシーの評価

AWS でクロスアカウントアクセスのポリシーが評価される方法を学習できるようになりました。これは、別のアカウントのプリンシパルがリソースにアクセスすることを信頼するアカウントのリソースに許可する、リソースベースのポリシーが含まれている場合に発生します。リクエストは両方のアカウントで許可されている必要があります。

January 2, 2020

セッションタグ

AWS STS でロールを引き受けるとき、またはユーザーをフェデレートするときにタグを含めることができるようになりました。AssumeRole または GetFederationToken オペレーションを実行するときに、セッションタグを属性として渡すことができます。AssumeRoleWithSAML または AssumeRoleWithWebIdentity オペレーションを実行するときに、企業の ID から AWS に属性を渡すことができます。

November 22, 2019

AWS Organizations の AWS アカウントのグループに対するアクセスを制御する

IAM ポリシーで AWS Organizations から 組織単位 (OU) を参照できるようになりました。Organizations を使用してアカウントを OU に編成する場合、リソースへのアクセスを許可する前に、プリンシパルが特定の OU に属するように要求できます。プリンシパルには AWS アカウントのルートユーザー、IAM ユーザーと IAM ロールが含まれます。これを行うには、ポリシーの aws:PrincipalOrgPaths 条件キーに OU パスを指定します。

November 20, 2019

最後に使用したロール

ロールが最後に使用された日付、時刻、およびリージョンを表示できるようになりました。この情報は、アカウント内の未使用のロールを特定する際にも役立ちます。AWS マネジメントコンソール、AWS CLI および AWS API を使用して、ロールが最後にいつ使用されたかに関する情報を表示できます。

November 19, 2019

グローバル条件コンテキストキーページの更新

各グローバル条件キーがリクエストのコンテキストに含まれるタイミングを知ることができるようになりました。また、ページの目次 (TOC) を使用して、各キーにさらに簡単に移動することもできます。ページの情報は、より正確なポリシーを記述するのに役立ちます。たとえば、従業員が IAM ロールでフェデレーションを使用する場合、aws:userName キーではなく aws:userId キーを使用する必要があります。aws:userName キーは IAM ユーザーにのみ適用され、ロールには適用されません。

October 6, 2019

AWS の ABAC

タグを使用した AWS での属性ベースのアクセスコントロール (ABAC) の動作と、従来の AWS 認証モデルとの比較について説明します。ABAC チュートリアルを使用して、プリンシパルタグを持つ IAM ロールが一致するタグを持つリソースにアクセスすることを許可するポリシーを作成およびテストする方法を学習します。この戦略により、個人は自分のジョブに必要な AWS リソースのみを表示または編集できます。

October 3, 2019

AWS STS GetAccessKeyInfo オペレーション

コード内の AWS アクセスキーを確認して、キーが所有するアカウントのものであるかどうかを判断できます。アクセスキー ID は、aws sts get-access-key-info AWS CLI コマンドまたは GetAccessKeyInfo AWS API オペレーションを使用して渡すことができます。

July 24, 2019

IAM での Organizations サービスの最終アクセス時間情報の表示

IAM コンソールの [AWS Organizations] セクションで、AWS Organizations エンティティまたはポリシーのサービスの最終アクセス時間情報を表示できます。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このデータには、Organizations アカウントのプリンシパルで許可されているどのサービスがいつ最後にアクセスを試みたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう Organizations ポリシーを改善することができます。

June 20, 2019

管理ポリシーをセッションポリシーとして使用する

ロールを引き受ける際に最大 10 の管理ポリシー ARN を渡すことができるようになりました。これにより、ロールの一時的な認証情報のアクセス許可を制限することができます。

May 7, 2019

グローバルエンドポイントに対するセッショントークンの AWS STS リージョンの互換性

バージョン 1 またはバージョン 2 グローバルエンドポイントのトークンの使用を選択できるようになりました。バージョン 1 トークンは、デフォルトで利用できる AWS リージョンでのみ有効です。これらのトークンは、アジアパシフィック (香港) など、手動で有効になっているリージョンでは動作しません。バージョン 2 のトークンはすべてのリージョンで有効です。ただし、バージョン 2 トークンの方が長く、一時的にトークンを保存するシステムに影響する可能性があります。

April 26, 2019

AWS リージョンの有効化と無効化の許可

管理者がアジアパシフィック (香港) リージョン (ap-east-1) を有効化および無効化できるようにするポリシーを作成できるようになりました。

April 24, 2019

IAM ユーザーのセキュリティ認証情報ページ

IAM ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の認証情報を管理できるようになりました。この AWS マネジメントコンソール ページには、アカウント ID や正規ユーザー ID などのアカウント情報が表示されます。ユーザーは、自分のパスワード、アクセスキー、X.509 証明書、SSH キー、および Git 認証情報を表示および編集することもできます。

January 24, 2019

アクセスアドバイザー API

AWS CLI および AWS API を使用して、サービスの最終アクセス時間情報を表示できるようになりました。

December 7, 2018

IAM ユーザーとロールのタグ付け

タグキーと値のペアを使用して、IAM タグを使い、アイデンティティ (IAM ユーザーまたはロール) にカスタム属性を追加できるようになりました。タグを使用して、アイデンティティのリソースへのアクセスや、アイデンティティにアタッチできるタグを制御することもできます。

November 14, 2018

U2F セキュリティキー

AWS マネジメントコンソール にサインインするとき、U2F セキュリティキーを多要素認証 (MFA) オプションとして使用できるようになりました。

September 25, 2018

Amazon VPC エンドポイントのサポート

米国西部 (オレゴン) リージョンで、VPC と AWS STS の間のプライベート接続を確立できるようになりました。

July 31, 2018

アクセス許可の境界

新機能では、完全な IAM 管理アクセスを許可することなく、信頼された従業員に IAM アクセス許可を管理できる権限を付与することがより簡単になりました。

July 12, 2018

aws:PrincipalOrgID

新しい条件キーでは、IAM プリンシパルの AWS 組織を指定することで、AWS リソースへのアクセスをより簡単にコントロールできます。

May 17, 2018

aws:RequestedRegion

新しい条件キーでは、より簡単に IAM ポリシーを使用して AWS リージョンへのアクセスをコントロールできます。

April 25, 2018

IAM ロールのセッションの有効期間を増やしました

IAM ロールのセッションの有効期間は 12 時間になりました。

March 28, 2018

ロール作成ワークフローを更新しました

新しいワークフローでは、信頼関係を作成するプロセスとロールにアクセス許可をアタッチするプロセスが効率化されます。

September 8, 2017

AWS アカウントへのサインインプロセス

AWS サインインエクスペリエンスの更新により、root ユーザーと IAM ユーザーの両方は AWS マネジメントコンソール のホームページで [Sign In to the Console (コンソールへのサインイン)] リンクを使用できます。

August 25, 2017

IAM ポリシーの例

ドキュメントの更新に伴って 30 を超えるポリシー例が追加されました。

August 2, 2017

IAM のベストプラクティス

IAM コンソールの [ユーザー] セクションに追加された情報により、IAM のベストプラクティスを実践しやすくなりました。

July 5, 2017

Auto Scaling のリソース

リソースレベルのアクセス許可で、Auto Scaling のリソースへのアクセスとアクセス許可をコントロールできます。

May 16, 2017

Amazon RDS for MySQL および Amazon Aurora データベース

データベース管理者は、データベースユーザーと IAM ユーザーおよびロールに関連付けることができます。これにより、すべての AWS リソースへのユーザーアクセスを一元管理できます。

April 24, 2017

サービスにリンクされたロール

サービスにリンクされたロールでは、より簡単で安全な方法でアクセス許可を AWS のサービスに委任できます。

April 19, 2017

ポリシー概要

新しいポリシー概要では、IAM ポリシーのアクセス許可をより簡単に理解できます。

March 23, 2017