IAM チュートリアル: はじめてのカスタマー管理ポリシーの作成とアタッチ
このチュートリアルでは、AWS マネジメントコンソール を使用してカスタマー管理ポリシーを作成し、AWS アカウントのすべての IAM ユーザーにアタッチします。作成するポリシーでは、IAM テストユーザーに、AWS マネジメントコンソール に直接サインインする読み取り専用アクセス許可を付与します。
このワークフローに 3 つの基本的なステップがあります:

- ステップ 1: ポリシーを作成する
-
デフォルトでは IAM ユーザーにはアクセス許可はありません。ユーザーは許可されるまで、AWS マネジメントコンソールにアクセスしたり、その中のデータを管理したりすることはできません。このステップでは、アタッチされたユーザーにコンソールへのサインインを許可するカスタマー管理ポリシーを作成します。
- ステップ 2: ポリシーのアタッチ
-
ユーザーにポリシーをアタッチする場合、ユーザーはポリシーに関連付けられているすべてのアクセス権限を継承します。このステップでは、テストユーザーアカウントに新しいポリシーをアタッチします。
- ステップ 3: ユーザーアクセスのテスト
-
ポリシーがアタッチされると、ユーザーとしてサインインし、ポリシーをテストできます。
前提条件
このチュートリアルのステップを実行するには、以下を持っている必要があります:
-
管理アクセス許可を持つ IAM ユーザーとしてサインインできる AWS アカウント。
-
以下のような権限またはメンバーシップが割り当てられていないテスト IAM ユーザー:
ユーザー名 グループ アクセス許可 PolicyUser <なし> <なし>
ステップ 1: ポリシーを作成する
このステップで作成するカスタマー管理ポリシーでは、アタッチされたユーザーに、AWS マネジメントコンソール にサインインして IAM データにアクセスする読み取り専用アクセス許可を付与します。
テストユーザーのポリシーを作成するには
-
管理者アクセス許可を持つユーザーとして、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。
-
ナビゲーションペインで、[ポリシー] を選択します。
-
コンテンツペインで、[ポリシーの作成] を選択します。
-
[JSON] タブを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキストを [JSON] ボックスに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
-
完了したら、[ポリシーの確認] を選択します。Policy Validator によって、構文エラーがある場合はレポートされます。
注記 いつでも [Visual editor (ビジュアルエディタ)] タブと [JSON] タブを切り替えることができます。ただし、[Visual editor (ビジュアルエディタ)] タブで [ポリシーの確認] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。
-
[Review (確認)] ページで、ポリシー名として「
UsersReadOnlyAccessToIAMConsole
」と入力します。ポリシーの [Summary (概要)] で、ポリシーによって割り当てられたアクセス許可を確認し、[ポリシーの作成] を選択して作業を保存します。新しいポリシーが管理ポリシーの一覧に表示され、アタッチの準備ができます。
ステップ 2: ポリシーのアタッチ
次に、作成したポリシーをテスト IAM ユーザーにアタッチします。
テストユーザーにポリシーをアタッチするには
-
IAM コンソールのナビゲーションペインで、[ポリシー] を選択します。
-
ポリシーリストの上部にある検索ボックスに、ポリシーが表示されるまで「
UsersReadOnlyAccesstoIAMConsole
」と入力します。次に、リストの [UsersReadOnlyAccessToIAMConsole] の横にあるチェックボックスをオンにします。 -
[ポリシーアクション] ボタンを選択して、[アタッチ] を選択します。
-
[フィルター] で、[ユーザー] を選択します。
-
検索ボックスで、そのユーザーがリストに表示されるまで「
PolicyUser
」と入力します。次に、リスト内のそのユーザーの横にあるチェックボックスをオンにします。 -
[Attach Policy] を選択します。
これで、IAM テストユーザーにポリシーがアタッチされて、IAM コンソールへの読み取りアクセスが許可されるようになりました。
ステップ 3: ユーザーアクセスのテスト
このチュートリアルでは、テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。
テストユーザーアカウントにサインインしてアクセスをテストするには
-
PolicyUser
テストユーザーとして、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。 -
コンソールのページを参照して、新しいユーザーまたはグループを作成します。
PolicyUser
はデータを表示できますが、IAM データを作成したり既存のデータを変更したりできなくなっています。
関連リソース
IAM ユーザーガイド の関連情報については、以下の関連リソースを参照してください。
概要
これで、カスタマー管理ポリシーを作成してアタッチするために必要なすべてのステップが完了しました。その結果、テストアカウントで IAM コンソールにサインインして、ユーザーのエクスペリエンスがどのように表示されるかを確認できます。