IAM ロールの管理 - AWS Identity and Access Management

IAM ロールの管理

作成したロールをユーザー、アプリケーション、またはサービスが使用できるようにするには、該当のロールに切り替えるためのアクセス許可を付与する必要があります。グループまたはユーザーにアタッチされたポリシーを使用して、必要なアクセス許可を付与することができます。このセクションでは、ロールを使用するアクセス許可をユーザーに付与する方法について説明します。また、ユーザーが、AWS Management Console、 Tools for Windows PowerShell、 AWS Command Line Interface (AWS CLI) 、および AssumeRole API からロールに切り替える方法についても説明します。

重要

ロールの作成を IAM コンソールではなくプログラムで行う場合は、最大 64 文字までの Path に加えて最大 512 文字までの RoleName を追加できます。ただし、AWS Management Console の [ロールの切り替え] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

ロールのアクセスの表示

ロールのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用して AWS のアクセス許可を調整する」を参照してください。

アクセス情報に基づくポリシーの生成

IAM エンティティ (ユーザーまたはロール) に必要な権限を超えるアクセス許可を付与することがあります。付与するアクセス権限を調整するために、エンティティのアクセスアクティビティに基づく IAM ポリシーを生成できます。IAM Access Analyzer は AWS CloudTrail ログを確認し、指定した日付範囲内のロールが使用したアクセス許可を含むポリシーテンプレートを生成します。テンプレートを使用して、きめ細かなアクセス権限で管理ポリシーを作成し、それを IAM エンティティにアタッチできます。これにより、特定のユースケースでロールが AWS リソースとインタラクションするために必要なアクセス権限のみを付与します。詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。