AWS ドキュメント » AWS Identity and Access Management » ユーザーガイド » IAM のチュートリアル » チュートリアル: はじめてのカスタマー管理ポリシーの作成とアタッチ

チュートリアル: はじめてのカスタマー管理ポリシーの作成とアタッチ

このチュートリアルでは、AWS マネジメントコンソール を使用してカスタマー管理ポリシーを作成し、AWS アカウントのすべての IAM ユーザーにアタッチします。作成したポリシーで、IAM テストユーザーは読み取り専用アクセス権限で AWS マネジメントコンソール に直接サインインすることができます。

このワークフローに 3 つの基本的なステップがあります:

ステップ 1: ポリシーの作成

デフォルトでは IAM ユーザーにはアクセス権限はありません。ユーザーは許可されるまで、AWS マネジメントコンソールにアクセスしたり、その中のデータを管理したりすることはできません。このステップでは、アタッチされたユーザーにコンソールへのサインインを許可するカスタマー管理ポリシーを作成します。

ステップ 2: ポリシーのアタッチ

ユーザーにポリシーをアタッチする場合、ユーザーはポリシーに関連付けられているすべてのアクセス権限を継承します。このステップでは、テストユーザーアカウントに新しいポリシーをアタッチします。

ステップ 3: ユーザーアクセスのテスト

ポリシーがアタッチされると、ユーザーとしてサインインし、ポリシーをテストできます。

前提条件

このチュートリアルのステップを実行するには、以下を持っている必要があります:

• 管理者権限を持つ IAM ユーザーとしてサインインできる AWS アカウント。

• 以下のような権限またはメンバーシップが割り当てられていないテスト IAM ユーザー:

  ユーザー名	グループ	アクセス許可
  PolicyUser	<なし>	<なし>

ステップ 1: ポリシーの作成

このステップでは、アタッチされたユーザーが IAM データへの読み取り専用アクセス権限で AWS マネジメントコンソール にサインインできるカスタマー管理ポリシーを作成します。

テストユーザーのポリシーを作成するには

1. 管理者権限を持つユーザーとして、IAM コンソール（https://console.aws.amazon.com/iam/）にサインインします。

2. ナビゲーションペインで、[Policies] を選択します。

3. コンテンツペインで、[Create Policy] を選択します。

4. [JSON] タブを選択して、次の JSON ポリシードキュメントからテキストをコピーします。このテキストを [JSON] ボックスに貼り付けます。

   {
       "Version": "2012-10-17",
       "Statement": [ {
           "Effect": "Allow",
           "Action": [
               "iam:GenerateCredentialReport",
               "iam:Get*",
               "iam:List*"
           ],
           "Resource": "*"
       } ]
   }

5. 完了したら、[ポリシーの確認] を選択します。構文エラーがある場合、Policy Validator によって報告されます。

   注記

   いつでも [ビジュアルエディタ] タブと [JSON] タブを切り替えることができます。ただし、[Visual editor] タブで [Review policy] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

6. [Review] ページで、ポリシー名に「UsersReadOnlyAccessToIAMConsole」と入力します。ポリシーの [Summary] で、ポリシーによって割り当てられたアクセス権限を確認し、[Create policy] を選択して作業を保存します。

   新しいポリシーが管理ポリシーの一覧に表示され､アタッチの準備ができます。

ステップ 2: ポリシーのアタッチ

次に、作成したポリシーをテスト IAM ユーザーにアタッチします。

テストユーザーにポリシーをアタッチするには

1. IAM コンソールのナビゲーションペインで、[Policies] を選択します。

2. ポリシーリストの上部にある検索ボックスで、ポリシーが表示されるまで UsersReadOnlyAccesstoIAMConsole と入力を開始し、次にリストの [UsersReadOnlyAccessToIAMConsole] の横にあるチェックボックスをオンにします。

3. [Policy actions] ボタンを選択して、[Attach] を選択します。

4. [Filter] で、[Users] を選択します。

5. 検索ボックスで、リストにそのユーザーが表示されるまで PolicyUser と入力を開始し、リストのユーザーの横にあるチェックボックスをオンにします。

6. [Attach Policy] を選択します。

これで IAM テストユーザーにポリシーがアタッチされました。これは、ユーザーが読み取り専用アクセス権限で IAM コンソールにアクセスできることを意味します。

ステップ 3: ユーザーアクセスのテスト

このチュートリアルでは、テストユーザーとしてサインインしてアクセスをテストし、結果を見てユーザーの体験を確認することをお勧めします。

テストユーザーアカウントにサインインしてアクセスをテストするには

1. PolicyUser テストユーザーとして、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

2. コンソールのページを参照して、新しいユーザーまたはグループを作成します。PolicyUser はデータを表示できますが、IAM データを作成したり既存のデータを変更したりすることはできないことに注意してください。

関連リソース

『IAM ユーザーガイド』の関連情報については、以下の関連リソースを参照してください。

• 管理ポリシーとインラインポリシー

• AWS マネジメントコンソール へのユーザーアクセスのコントロール

• 個々の IAM ユーザーの作成

概要

これで、カスタマー管理ポリシーを作成してアタッチするために必要なすべてのステップが完了しました。その結果、テスト用アカウントで IAM コンソールにサインインして、ユーザーが体験することになる内容を直接確認することができます。