翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ロールを作成して、アクセス許可を割り当てる
ロールと権限により、AWS Control Tower AWS やその他のサービスのリソースにアクセスできます (リソースへのプログラムによるアクセスを含む)。
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ: AWS IAM Identity Center
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。
-
IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。
注記
AWS Control Tower のlanding zone を設定するときは、AdministratorAccess管理ポリシーを持つユーザーまたはロールが必要です。 (arn: aws: iam:: aws: policy/) AdministratorAccess
(IAM コンソール) のロールを作成するには AWS のサービス
AWS Management Console にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。
-
IAM コンソールのナビゲーションペインで、[ロール]、[ロールを作成] を選択します。
-
信頼できるエンティティタイプ で、AWS のサービス を選択します。
-
[サービスまたはユースケース] でサービスを選択し、次にユースケースを選択します。ユースケースは、サービスに必要な信頼ポリシーを含める定義になります。
-
[次へ] をクリックします。
-
[アクセス許可ポリシー] では、オプションは選択したユースケースによって異なります。
-
サービスがロールのアクセス許可を定義している場合、アクセス許可ポリシーを選択することはできません。
-
制限されたアクセス許可ポリシーのセットから選択します。
-
すべてのアクセス許可ポリシーから選択します。
-
アクセス許可ポリシーを選択せずに、ロールの作成後にポリシーを作成し、そのポリシーをロールにアタッチします。
-
-
(オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。
-
[アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。
IAM には、 AWS アカウント内の管理ポリシーとカスタマー管理ポリシーのリストが含まれます。
アクセス許可の境界として使用するポリシーを選択します。
-
-
[次へ] をクリックします。
-
[ロール名] では、オプションはサービスによって異なります。
-
サービスでロール名が定義されている場合、ロール名を編集することはできません。
-
サービスでロール名のプレフィックスが定義されている場合、オプションのサフィックスを入力できます。
-
サービスでロール名が定義されていない場合、ロールに名前を付けることができます。
重要
ロールに名前を付けるときは、次のことに注意してください。
-
ロール名は社内では一意でなければならず AWS アカウント、ケースバイケースで一意にすることはできません。
例えば、
PRODROLEとprodroleの両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。 -
他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。
-
-
-
(オプション) [説明] にロールの説明を入力します。
-
(オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。
-
(オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。
-
ロールを確認したら、[Create role] (ロールを作成) を選択します。
JSON ポリシーエディタでポリシーを作成するには
AWS Management Console にサインインし、https://console.aws.amazon.com/iam/
にある IAM コンソールを開きます。 -
左側のナビゲーションペインで、[ポリシー] を選択します。
初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
-
ページの上部で、[ポリシーを作成] を選択します。
-
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。
-
JSON ポリシードキュメントを入力するか貼り付けます。IAM ポリシー言語の詳細については、 「IAM JSON ポリシーリファレンス」を参照してください。
-
ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。
注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
-
(オプション) でポリシーを作成または編集すると AWS Management Console、 AWS CloudFormation テンプレートで使用できる JSON または YAML ポリシーテンプレートを生成できます。
これを行うには、ポリシーエディタで [アクション] を選択し、[ CloudFormationテンプレートの生成] を選択します。詳細については AWS CloudFormation、『AWS CloudFormation ユーザーガイド』の「AWS Identity and Access Management リソースタイプリファレンス」を参照してください。
-
ポリシーにアクセス権限を追加し終えたら、[次へ] を選択します。
-
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
-
(オプション) タグをキー - 値のペアとしてアタッチして、メタデータをポリシーに追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。
-
[Create Policy (ポリシーを作成)] をクリックして、新しいポリシーを保存します。
ビジュアルエディタを使用してポリシーを作成するには
AWS Management Console にサインインし、https://console.aws.amazon.com/iam/
にある IAM コンソールを開きます。 -
左側のナビゲーションペインで、[ポリシー] を選択します。
初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[Get Started] (今すぐ始める) を選択します。
-
[Create policy] (ポリシーを作成) を選択します。
-
[ポリシーエディタ] セクションで、[サービスを選択] セクションを見つけて、 AWS のサービスを選択します。上部の検索ボックスを使用して、サービスのリストの結果を制限することができます。ビジュアルエディタのアクセス許可ブロック内で選択できるサービスは 1 つだけです。複数のサービスにアクセス許可を付与するには、[さらにアクセス許可を追加する] を選択して、複数のアクセス許可ブロックを追加します。
-
[許可されるアクション] で、ポリシーに追加するアクションを選択します。アクションは次の方法で選択できます。
-
すべてのアクションのチェックボックスをオンにします。
-
[アクションを追加] を選択して、特定のアクションの名前を入力します。ワイルドカード文字 (
*) を使用すると、複数のアクションを指定できます。 -
[アクセスレベル] グループの 1 つを選択して、アクセスレベルのすべてのアクション ([読み取り]、[書き込み]、または [リスト] など) を選択します。
-
それぞれの [アクセスレベル] グループを展開して、個々のアクションを選択します。
デフォルトでは、作成しているポリシーが選択するアクションを許可します。その代わりに選択したアクションを拒否するには、[Switch to deny permissions (アクセス許可の拒否に切り替え)] を選択します。IAM はデフォルトでは拒否されるため、ユーザーが必要とするアクションとリソースのみに対してアクセス許可を許可することを、セキュリティのベストプラクティスとしてお勧めします。別のステートメントまたはポリシーによって個別に許可されるアクセス許可を上書きする場合のみ、アクセス許可を拒否する JSON ステートメントを作成します。これにより、アクセス許可のトラブルシューティングがより困難になる可能性があるため、拒否ステートメントの数は最小限に制限することをお勧めします。
-
-
[リソース] では、前のステップで選択したサービスとアクションが特定のリソースの選択をサポートしていない場合は、すべてのリソースが許可され、このセクションを編集することはできません。
リソースレベルのアクセス許可をサポートする 1 つ以上のアクションを選択した場合、ビジュアルエディタでそれらのリソースが一覧表示されます。[リソース] を展開して、ポリシーのリソースを指定できます。
リソースは次の方法で指定できます。
-
[ARN を追加] を選択して、それらの Amazon リソースネーム (ARN) 別にリソースを指定します。ビジュアル ARN エディタを使用するか、ARN を手動でリストすることができます。ARN 構文の詳細については、「IAM ユーザーガイド」の「Amazon リソースネーム (ARN)」を参照してください。ポリシーの
Resource要素で ARN を使用する方法については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素: Resource」を参照してください。 -
リソースの横にある [このアカウント内のすべて] を選択して、そのタイプのすべてのリソースにアクセス許可を付与します。
-
[すべて] を選択し、そのサービスのすべてのリソースを選択します。
-
-
(オプション) [リクエスト条件 - オプション] を選択して、作成するポリシーに条件を追加します。条件によって JSON ポリシーステートメントの効果が制限されます。例えば、特定の時間範囲内でそのユーザーのリクエストが発生した場合にのみ、ユーザーがリソースに対してアクションを実行できるように指定できます。また、一般的に使用される条件を使用して、多要素認証 (MFA) デバイスでユーザーを認証する必要があるかどうかを制限することもできます。または、リクエストの発行元を特定範囲内の IP アドレスに限定できます。ポリシー条件で使用できるすべてのコンテキストキーのリストについては、『サービス認証リファレンス』の「AWS サービスのアクション、リソース、条件キー」を参照してください。
条件は次の方法で選択できます。
-
一般的に使用される条件を選択するには、チェックボックスを使用します。
-
他の条件を指定するには、[別の条件を追加] を選択します。条件の [条件キー]、[修飾子]、[演算子] を選択し、[値] に入力します。複数の値を追加するには、[追加] を選択します。値は、論理
OR演算子によって接続されていると見なすことができます。完了したら、[条件を追加] を選択します。
複数の条件を追加するには、[別の条件を追加] を選択します。必要に応じて操作を繰り返します。各条件は、この 1 つのビジュアルエディタのアクセス許可ブロックにのみ適用されます。アクセス許可ブロックが一致すると見なされるためには、すべての条件が満たされている必要があります。つまり、論理
AND演算子によって接続される条件を考慮します。Condition 要素の詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素: Condition」を参照してください。
-
-
さらにアクセス許可ブロックを追加するには、[さらにアクセス許可を追加] を選択します。各ブロックに対して、ステップ 2 から 5 を繰り返します。
注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
-
(オプション) でポリシーを作成または編集すると AWS Management Console、 AWS CloudFormation テンプレートで使用できる JSON または YAML ポリシーテンプレートを生成できます。
これを行うには、ポリシーエディタで [アクション] を選択し、[ CloudFormationテンプレートの生成] を選択します。詳細については AWS CloudFormation、『AWS CloudFormation ユーザーガイド』の「AWS Identity and Access Management リソースタイプリファレンス」を参照してください。
-
ポリシーにアクセス権限を追加し終えたら、[次へ] を選択します。
-
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認し、意図したアクセス許可を付与したことを確認します。
-
(オプション) タグをキー - 値のペアとしてアタッチして、メタデータをポリシーに追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。
-
[Create Policy (ポリシーを作成)] をクリックして、新しいポリシーを保存します。
プログラム的なアクセス権を付与するには
AWS 外部とやりとりしたいユーザは、プログラムによるアクセスが必要です。 AWS Management Consoleプログラムによるアクセスを許可する方法は、アクセスするユーザーのタイプによって異なります。 AWS
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
| プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
|---|---|---|
|
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー) |
一時的な認証情報を使用して、 AWS CLI、 AWS SDK、または API へのプログラムによるリクエストに署名します。 AWS |
使用するインターフェイス用の手引きに従ってください。
|
| IAM | 一時的な認証情報を使用して、、 AWS SDK AWS CLI、または API へのプログラムによるリクエストに署名します。 AWS | IAM ユーザーガイドの「AWS リソースでの一時認証情報の使用」の指示に従います。 |
| IAM | (非推奨) 長期認証情報を使用して、 AWS CLI、 AWS SDK、または API へのプログラムによるリクエストに署名します。 AWS |
使用するインターフェイス用の手引きに従ってください。
|
攻撃者からの保護
AWS 他のサービスプリンシパルに権限を付与する際に攻撃者からの保護に役立つ方法について詳しくは、「ロールの信頼関係のオプション条件」を参照してください。ポリシーに特定の条件を追加することで、混乱した代理攻撃と呼ばれる特定のタイプの攻撃を防ぐことができます。これは、クロスサービス偽装など、エンティティが、より特権のあるエンティティにアクションを実行させる場合に発生します。ポリシー条件に関する一般的な情報については、「ポリシーでの条件の指定」も参照してください。
AWS Control Tower でアイデンティティベースのポリシーを使用する場合の詳細については、「AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、「IAM ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
