アクセス権限セットを作成します。 - AWS IAM Identity Center
最小特権権のアクセス許可を適用するアクセス許可セットを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセス権限セットを作成します。

権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウントに対するアクセスのレベルを定義します。最初に作成するアクセス許可セットは管理許可セットです。入門チュートリアル のいずれかを完了した場合は、管理許可セットは作成済みです。「IAM ユーザーガイド」の「職務機能のAWS マネージドポリシー」のトピックで説明されているように、この手順を使用してアクセス許可セットを作成します。

  1. 以下のいずれかを行って、 AWS Management Consoleにサインインします。

    • 新規ユーザー AWS (ルートユーザー)ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

    • AWS IAM 認証情報) を既に使用 – 管理者権限を持つ IAM 認証情報を使用してサインインします。

  2. IAM Identity Center コンソールを開きます。

  3. IAM Identity Center のナビゲーションペインの「マルチアカウント権限」で、「アクセス権限セット」を選択します。

  4. [Create permission set] (アクセス権限セットの作成) を選択します。

    1. アクセス権限セットタイプの選択」ページの「アクセス権限セットタイプ」セクションで、「定義済みのアクセス権限セット」を選択します。

    2. [事前定義された許可セットのポリシー] セクションで、次のいずれかを選択します。

      • AdministratorAccess

      • 請求

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. [アクセス権限セットの詳細を指定] ページでは、デフォルト設定のまま [次へ] を選択します。デフォルト設定では、セッションは 1 時間に制限されています。

  6. [確認と作成] ページで、次のことを確認します。

    1. ステップ 1: アクセス許可セットタイプ を選択する では、選択したアクセス許可セットのタイプが表示されます。

    2. ステップ 2: アクセス許可セットの詳細を定義するには、選択したアクセス許可セットの名前を に表示します。

    3. [作成] を選択します。

最小特権権のアクセス許可を適用するアクセス許可セットを作成する

最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAM Access Analyzer を実行して、 AWS マネージドポリシーを持つプリンシパルをモニタリングできます。どのアクセス許可を使用しているかがわかったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成します。

IAM Identity Center を使用すると、同じユーザーに複数のアクセス権限セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。これにより、常に管理アクセス許可を使用するのではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。

例えば、開発者の場合、IAM アイデンティティセンターで管理ユーザーを作成した後に、PowerUserAccess アクセス許可を付与する新しいアクセス許可セットを作成し、そのアクセス許可セットを自身に割り当てることができます。アクセス許可を使用する管理AdministratorAccessアクセス許可セットとは異なり、アクセスPowerUserAccess 許可セットでは IAM ユーザーとグループの管理が許可されません。 AWS アクセスポータルにサインインして AWS アカウントにアクセスすると、 PowerUserAccessではなく を選択してアカウントで開発タスクAdministratorAccessを実行できます。

次の考慮事項に注意が必要です。

  • より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。

    定義済みのアクセス許可を使用する定義済みのアクセス許可セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通の職務機能に対するアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。

  • アクセス権限セットのセッション期間を構成して、ユーザーが AWS アカウントにサインインしている時間を制御できます。

    ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソールまたは AWS コマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、セッション期間 の値は、ユーザーがセッションから AWS サインアウト AWS アカウント するまでに にサインインできる時間の長さを決定するもので、1 時間に設定されます。最大値は 12 時間まで指定できます。詳細については、「セッション期間の設定」を参照してください。

  • AWS アクセスポータルのセッション期間を設定して、ワークフォースユーザーがポータルにサインインする期間を制御することもできます。

    デフォルトでは、最大セッション期間 の値は、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる時間の長さを決定し、8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する」を参照してください。

  • AWS アクセスポータルにサインインするときは、最小特権のアクセス許可を付与するロールを選択します。

    作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。

  • IAM Identity Center に他のユーザーを追加し、そのユーザーに既存または新規のアクセス権限セットを割り当てることができます。

    詳細については、「グループに AWS アカウント アクセス権を割り当てる」を参照してください。