AWS Access Analyzer 用の AWS Identity and Access Management マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。
AWSマネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケースに固有の カスタマーマネージドポリシーを定義して、許可をさらに減らすことをお勧めします。
AWS マネージドポリシーで定義したアクセス権限は変更できません。AWSがAWSマネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しいAWS のサービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWSがAWSマネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
IAMReadOnlyAccess
IAM リソースへの読み取り専用アクセスを許可するには、IAMReadOnlyAccess 管理ポリシーを使用します。このポリシーは、すべての IAM リソースを取得して一覧表示するアクセス許可を付与します。これにより、ユーザー、グループ、ロール、ポリシー、ID プロバイダー、および MFA デバイスについての詳細と、アクティビティレポートを表示できます。リソースを作成または削除したり、IAM Access Analyzer リソースにアクセスしたりする機能は含まれません。このポリシー
IAMUserChangePassword
この IAMUserChangePassword 管理ポリシーを使用して、パスワード変更を IAM ユーザーに許可します。
IAM ユーザーが IAM アカウントのパスワードを変更できるように、IAM のアカウント設定とパスワードポリシーを設定します。このアクションを許可すると、IAM は次のポリシーを各ユーザーに添付します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ChangePassword" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy" ], "Resource": "*" } ] }
IAMAccessAnalyzerFullAccess
IAMAccessAnalyzerFullAccess AWS管理ポリシーを使用して、管理者が IAM Access Analyzer にアクセスできるようにします。
アクセス権限のグループ化
このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。
-
IAM Access Analyzer — IAM Access Analyzer のすべてのリソースに対する完全な管理アクセス許可を許可します。
-
サービスリンクロールの作成 — 管理者がサービスにリンクされたロールを作成できるようにします。これにより、IAM AccessAnalyzer がユーザーに代わって他のサービスのリソースを分析できるようになります。このアクセス許可では、IAM Access Analyzer が使用するサービスリンクロールのみを作成できます。
-
AWS Organizations — 管理者による AWS Organizations の組織への IAM Access Analyzer の使用を許可します。AWS Organizations でIAM Access Analyzer の信頼できるアクセスを有効にすると、管理アカウントのメンバーは組織全体の調査結果を表示できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }
IAMAccessAnalyzerReadOnlyAccess
IAM Access Analyzer に対して読み取り専用アクセスを許可するには、IAMAccessAnalyzerReadOnlyAccess AWS 管理ポリシーを使用します。
AWS Organizations 用の IAM Access Analyzer への読み取り専用アクセスも許可するには、 IAMAccessAnalyzerFullAccess AWS 管理ポリシーからの Describe および List アクションを許可するカスタマー管理ポリシーを作成します。
サービスレベルのアクセス許可
このポリシーは IAM Access Analyzer ーへの読み取り専用アクセスを提供します。このポリシーには、他のサービス権限は含まれていません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMAccessAnalyzerReadOnlyAccess", "Effect": "Allow", "Action": [ "access-analyzer:CheckAccessNotGranted", "access-analyzer:CheckNoNewAccess", "access-analyzer:Get*", "access-analyzer:List*", "access-analyzer:ValidatePolicy" ], "Resource": "*" } ] }
AccessAnalyzerServiceRolePolicy
IAM エンティティに AccessAnalyzerServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって IAM Access Analyzer がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「AWS Identity and Access Management Access Analyzer」の「サービスにリンクされたロールの使用」を参照してください。
アクセス許可グルーピング
このポリシーは、複数の AWS のサービス からのリソースメタデータを分析するための IAM Access Analyzer へのアクセスを許可します。
-
Amazon DynamoDB – DynamoDB ストリームとテーブルを表示するアクセス許可を付与します。
-
Amazon Elastic Compute Cloud – IP アドレス、スナップショット、および VPC を記述するためのアクセス許可を許可します。
-
Amazon Elastic Container Registry – イメージリポジトリを記述し、リポジトリポリシーを取得するためのアクセス許可を許可します。
-
Amazon Elastic File System – Amazon EFS ファイルシステムの記述と、Amazon EFS ファイルシステムのリソースレベルのポリシーを表示するためのアクセス許可を許可します。
-
AWS Identity and Access Management – 指定されたロールに関する情報を取得して、指定されたパスプレフィックスを持つ IAM ロールをリストするためのアクセス許可を許可します。ユーザー、ユーザーグループ、ログインプロファイル、アクセスキー、およびサービスの最終アクセスデータに関する情報を取得するアクセス許可を付与します。
-
AWS Key Management Service – KMS キー、およびそのキーポリシーとグラントに関する詳細情報を表示するためのアクセス許可を許可します。
-
AWS Lambda – Lambda のエイリアス、関数、およびレイヤーに関する情報を表示するためのアクセス許可を許可します。
-
AWS Organizations – Organizations に対するアクセス許可を許可し、AWS 組織内での信頼ゾーンとしてのアナライザーの作成を許可します。
-
Amazon Relational Database Service – Amazon RDS DB スナップショットと Amazon RDS DB クラスタースナップショットに関する詳細情報を表示するアクセス許可を許可します。
-
Amazon Simple Storage Service – Amazon S3 Express One ストレージクラスを使用する Amazon S3 Access Points、バケット、Amazon S3 ディレクトリバケットに関する詳細情報を表示するアクセス許可を付与します。
-
AWS Secrets Manager – シークレットと、シークレットにアタッチされているリソースポリシーに関する詳細情報を表示するためのアクセス許可を許可します。
-
Amazon Simple Notification Service – トピックに関する詳細情報を表示するためのアクセス許可を許可します。
-
Amazon Simple Queue Service – 指定されたキューに関する詳細情報を表示するためのアクセス許可を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessAnalyzerServiceRolePolicy", "Effect": "Allow", "Action": [ "dynamodb:GetResourcePolicy", "dynamodb:ListStreams", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeByoipCidrs", "ec2:DescribeSnapshotAttribute", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:GetSnapshotBlockPublicAccessState", "ecr:DescribeRepositories", "ecr:GetRepositoryPolicy", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeFileSystems", "iam:GenerateServiceLastAccessedDetails", "iam:GetAccessKeyLastUsed" "iam:GetGroup", "iam:GetLoginProfile", "iam:GetRole", "iam:GetServiceLastAccessedDetails", "iam:GetUser", "iam:ListAccessKeys", "iam:ListEntitiesForPolicy", "iam:ListRoles", "iam:ListUsers", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "lambda:GetFunctionUrlConfig", "lambda:GetLayerVersionPolicy", "lambda:GetPolicy", "lambda:ListAliases", "lambda:ListFunctions", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:ListVersionsByFunction", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBSnapshotAttributes", "rds:DescribeDBSnapshots", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPolicy", "s3:GetBucketPublicAccessBlock", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListAccessPoints", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "sns:GetTopicAttributes", "sns:ListTopics", "secretsmanager:DescribeSecret", "secretsmanager:GetResourcePolicy", "secretsmanager:ListSecrets", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }
IAM と IAM Access Analyzer による AWS 管理ポリシーの更新
サービスが変更の追跡を開始してからの、IAM と AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「RSS feed on the IAM and IAM Access Analyzer Document history」ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer は、Amazon EC2 スナップショットのブロックパブリックアクセスに関する現況を取得するためのアクセス許可を、AccessAnalyzerServiceRolePolicy のサービスレベルのアクセス許可に追加しました。 |
2024 年 1 月 23 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer は、DynamoDB ストリームとテーブルのサポートを、AccessAnalyzerServiceRolePolicy のサービスレベルのアクセス許可に追加しました。 |
2024 年 1 月 11 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer は、Amazon S3 ディレクトリバケットのサポートを、AccessAnalyzerServiceRolePolicy のサービスレベルのアクセス許可に追加しました。 |
2023 年 12 月 1 日 |
|
IAMAccessAnalyzerReadOnlyAccess – アクセス許可を追加 |
IAM Access Analyzer で、ポリシーの更新によって追加のアクセス権限が付与されるかどうかをユーザーが確認できるようにするためのアクセス許可が追加されました。 このアクセス許可は、IAM Access Analyzer でポリシーチェックを実行するために必要です。 |
2023 年 11 月 26 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer で、以下のアクションをサポートするための IAM アクションが AccessAnalyzerServiceRolePolicy のサービスレベルアクセス許可に追加されました。
|
2023 年 11 月 26 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer は、以下のリソースタイプのサポートを AccessAnalyzerServiceRolePolicy のサービスレベルアクセス許可に追加しました。
|
2022 年 10 月 25 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer は、AccessAnalyzerServiceRolePolicy のサービスレベル権限に対して lambda:GetFunctionUrlConfig アクションを追加しました。 |
2022 年 4 月 6 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer には、マルチリージョンアクセスポイントに関連付けられたメタデータを分析する新しい Amazon S3 アクションが追加されました。 | 2021 年 9 月 2 日 |
|
IAMAccessAnalyzerReadOnlyAccess – アクセス許可を追加 |
IAM Access Analyzer は、検証にポリシーチェックを使用できるようにする このアクセス許可は、IAM Access Analyzer でポリシーチェックを実行するために必要です。 |
2021 年 3 月 16 日 |
|
IAM Access Analyzer は変更の追跡を開始しました |
IAM Access Analyzer が AWS 管理ポリシーの変更の追跡を開始しました。 |
2021 年 3 月 1 日 |
