AWS マネージドポリシーとは何ですか?

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されています。これにより、自身でポリシーを記述するよりも簡単に、ユーザー、グループ、ロールに許可を割り当てることができます。

AWS マネージドポリシーは、すべての AWS のユーザーが使用できるため、特定のユースケースに対して最小特権のアクセス許可が付与されない場合があることに留意してください。ユースケース別にカスタマーマネージドポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS サービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

ポリシーリファレンスページについて

各ポリシーリファレンスページには、以下の情報が含まれています。

• このポリシーを使用すると — ユーザー、グループ、ロールにポリシーをアタッチできるかどうか

• ポリシーの詳細

  • タイプ — AWS マネージドポリシーのタイプ

    • AWS managed policy — 標準 AWS マネージドポリシー

    • Job function policy — 一般的な業界職務に沿ったポリシー

    • Service-linked role policy — ユーザーに代わって AmazonRDSPreviewServiceRolePolicy のようなアクションを実行することをサービスに許可する、サービスリンクロールにアタッチするポリシー

    • Service role policy — AWSControlTowerServiceRolePolicy のようなサービスロールと連携するように設計されたポリシー

  • 作成日時 — ポリシーが最初に作成された日時

  • 編集日時 — このバージョンのポリシーが編集された日時

  • ARN — ポリシーの Amazon リソースネーム

• ポリシーのバージョン — ポリシーによって付与された許可バージョン

• JSON ポリシードキュメント — ポリシー JSON

• 詳細 — AWS マネージドポリシーに関連するドキュメントへのリンク

非推奨の AWS マネージドポリシー

AWS は、AWS マネージドポリシーを定期的に更新します。ほとんどの場合、アクセス許可をポリシーに追加します。これは、新しいサービスや機能をリリースしたときに行われます。AWS マネージドポリシーのセキュリティを向上させるために、ポリシーの範囲を縮小することがあります。ポリシーからアクセス許可を削除すると、ポリシーを非推奨の状態に設定し、新しいポリシーを利用できるようにします。AWS がサービスまたは機能を廃止すると、その機能の AWS マネージドポリシーも廃止されます。

使用しているポリシーが廃止されたというメール通知を受け取った場合は、直ちに対応することをお勧めします。ポリシーの変更を特定し、ワークフローを更新してください。AWS が交換ポリシーを提供する場合、影響を受けるすべてのアイデンティティ (ユーザー、グループ、およびロール) にそのポリシーをアタッチした後、それらのアイデンティティから廃止されたポリシーをデタッチします。

非推奨のポリシーには以下のような特徴があります。

• このガイドからは削除されています。

• アクセス許可は、現在アタッチされているすべてのアイデンティティに対して引き続き機能します。

• ポリシーがアイデンティティにアタッチされているアカウントでは、IAM コンソールの [Policies] リストに警告アイコンと共に表示されます。

• 新しいアイデンティティにはアタッチできません。現在のアイデンティティからポリシーをデタッチした場合、再アタッチすることはできません。

• 現在のすべてのエンティティからポリシーをデタッチしたら、そのポリシーは表示されなくなります。