権限セットに IAM ポリシーを使用する - AWS IAM Identity Center

権限セットに IAM ポリシーを使用する

アクセス権限セットを作成します。 では、カスタマー管理ポリシーや権限境界などのポリシーを権限セットに追加する方法を学習しました。カスタマーが管理するポリシーと権限を権限セットに追加すると、IAM Identity Center はどの AWS アカウント でもポリシーを作成しません。その代わりに、権限セットを割り当てたい各アカウントで事前にそれらのポリシーを作成し、権限セットの名前とパスの指定に一致させる必要があります。権限セットを組織の AWS アカウント に割り当てると、IAM アイデンティティセンターが AWS Identity and Access Management IAM ロールを作成し、IAM ポリシーをそのロールにアタッチします。

注記

IAM ポリシーを使用して権限セットを割り当てる前に、メンバーアカウントを準備する必要があります。メンバーアカウントの IAM ポリシー名は、管理アカウントのポリシー名と一致している必要があります。ポリシーがメンバーアカウントに存在しない場合、IAM Identity Center は権限セットを割り当てることができません。

ポリシーによって付与される権限は、アカウント間で完全に一致する必要はありません。

IAM ポリシーを権限セットに割り当てる

  1. 権限セットを割り当てる各 AWS アカウント で、IAM ポリシーを作成します。

  2. IAM ポリシーにアクセス許可を割り当てます。アカウントごとに異なるアクセス許可を割り当てることができます。一貫した操作性を実現するには、各ポリシーで同じ権限を設定し、維持してください。AWS CloudFormation StackSets などの自動化リソースを使用して、各メンバーアカウントに同じ名前と権限を持つ IAM ポリシーのコピーを作成できます。CloudFormation StackSets の詳細については、AWS CloudFormation CloudFormation ユーザーガイドの「AWS CloudFormation StackSets の操作」を参照してください。

  3. 管理アカウントに権限セットを作成し、[カスタマー管理ポリシー] または [アクセス許可の境界] に IAM ポリシーを追加します。権限セットの作成方法の詳細については、アクセス権限セットを作成します。 を参照してください。

  4. 準備したインラインポリシー、AWS 管理ポリシー、その他の IAM ポリシーを追加します。

  5. 権限セットを作成して割り当てます。