カスタム信頼ポリシーを使用してロールを作成する - AWS Identity and Access Management

カスタム信頼ポリシーを使用してロールを作成する

カスタムの信頼ポリシーを作成して、アクセスを委任し、他のユーザーに自分の AWS アカウント でアクションの実行を許可することができます。詳細については、「IAM ポリシーの作成」を参照してください。

ロールを使用してアクセス権限を委任する方法の詳細については、「ロールに関する用語と概念」を参照してください。

カスタム信頼ポリシーを使用した IAM ロールの作成 (コンソール)

IAM ユーザーが引き受けるロールは、AWS Management Console を使用して作成できます。例えば、組織で複数の AWS アカウント を使用して本稼働環境から開発環境を分離しているとします。開発用アカウントのユーザーに対して本番用アカウントのリソースへのアクセスを許可するロールを作成するための高レベルの情報については、「個別の開発用アカウントと本稼働用アカウントを使用したシナリオ例」を参照してください。

カスタム信頼ポリシーを使用してロールを作成するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. コンソールのナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。

  3. [Custom trust policy] (カスタム信頼ポリシー) ロールタイプを選択してください。

  4. [Custom trust policy] (カスタム信頼ポリシー) セクションで、ロールのカスタム信頼ポリシーを入力または貼り付けます。詳細については、「IAM ポリシーの作成」を参照してください。

  5. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。

  6. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

    [Permissions boundary] (アクセス許可の境界) セクションを開き、[Use a permissions boundary to control the maximum role permissions] (アクセス許可の境界を使用してロールのアクセス許可の上限を設定する) を選択します。IAM には、あなたのアカウント内の AWS 管理ポリシーとカスタマー管理ポリシーのリストがあります。アクセス許可の境界として使用するポリシーを選択します。

  7. [Next] を選択します。

  8. [ロール名] の場合、ロール名のカスタマイズの度合いはサービスによって定義されます。サービスのロール名が定義されている場合、このオプションを変更することはできません。それ以外の場合、サービスでロールのプレフィックスが定義され、オプションのサフィックスを入力できる場合があります。一部のサービスでは、ロールの名前全体を指定することができます。

    可能な場合は、ロール名またはロール名のサフィックスを入力します。ロール名は AWS アカウント アカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、PRODROLEprodrole というロール名を両方作成することはできません。他の AWS リソースがロールを参照している場合があるため、作成後はロールの名前を変更できません。

  9. (オプション) [Description] (説明) には、新しいロールの説明を入力します。

  10. (オプション) [ステップ 1: 信頼されたエンティティを選択する] または [ステップ 2: 許可を追加する] セクションで [編集] を選択し、ロールのカスタムポリシーと許可を編集します。

  11. (オプション) タグをキーバリューのペアとしてアタッチして、メタデータをロールに追加します。IAM におけるタグの使用の詳細については、「AWS Identity and Access Management リソースのタグ」を参照してください。

  12. ロール情報を確認し、ロールの作成 を選択します。