アクセス権限セットを作成します。 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセス権限セットを作成します。

この手順を使用して、1 つの AWS 管理ポリシーを使用する定義済みの権限セット、または最大 10 個の AWS 管理ポリシーまたはカスタマー管理ポリシーとインラインポリシーを使用するカスタム権限セットを作成します。IAM の「Service Quotas コンソール」で、ポリシーの最大数 10 への調整をリクエストできます。

IAM Identity Center コンソールで権限セットを作成できます。

アクセス権限セットを作成するには
  1. IAM Identity Center コンソール を開きます。

  2. [マルチアカウント権限] で、[権限セット] を選択します。

  3. [Create permission set] (アクセス権限セットの作成) を選択します。

  4. [権限セットタイプの選択] ページの [権限セットタイプ] で、権限セットタイプを選択します。

  5. 権限セットタイプに基づいて、権限セットに使用したいポリシーを 1 つ以上選択します。

    • 定義済み権限セット

      1. [次へ] を選択します。

      2. [定義済みポリシー] で、リスト内の IAM Job 機能ポリシーまたは [共通権限ポリシー] のいずれかを選択し、[次へ] を選択します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS ジョブ機能の管理ポリシー」および「AWS マネージドポリシー」を参照してください。

      3. [確認と作成] 画面で、選択した内容を確認し、[作成] を選択します。

    • カスタム権限セット

      1. [次へ] を選択します。

      2. [ポリシーの指定] ページで、新しい権限セットに適用する IAM ポリシーの種類を選択します。デフォルトでは、最大 10 個の [AWS 管理ポリシー] と [顧客管理ポリシー] を任意に組み合わせて権限セットに追加できます。このクォータは IAM によって設定されます。これを増やすには、 AWS アカウント 権限セットを割り当てたい各サービスの Service Quotas コンソールで、IAM ロールにアタッチされている IAM クォータ管理ポリシーの引き上げをリクエストします

        • AWS 管理ポリシーを拡張して、構築と保守を行う IAM のポリシーを追加します。 AWS 詳細については、「AWS 管理ポリシー」を参照してください。

          1. [AWS 権限セット] でユーザーに適用する管理ポリシーを検索して選択します。

          2. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。

        • [顧客管理ポリシー] を展開して、作成して管理するポリシーを IAM から追加します。詳細については、「カスタマー管理ポリシー」を参照してください。

          1. [ポリシーを追加] を選択し、権限セットに追加するポリシーの名前を入力します。権限セットを割り当てる各アカウントで、入力した名前でポリシーを作成します。ベストプラクティスとして、各アカウントのポリシーに同じ権限を割り当ててください。

          2. [もっと追加する] を選択して別のポリシーを追加します。

          3. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。

        • [カスタムインラインポリシー] を展開して、カスタム JSON 形式のポリシーテキストを追加します。インラインポリシーは既存の IAM リソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントに作成した IAM リソースにポリシーを追加します。詳細については、「インラインポリシー」を参照してください。

          1. インタラクティブエディターを使用して、インラインポリシーに含める権限を選択するには、[設計] を選択します。[コード] を選択して、フォーマット済みのポリシー JSON に貼り付けます。

          2. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。

        • 権限境界を拡張して、権限セット内の他のポリシーが割り当てることができる最大の権限として、管理対象またはカスタマー管理の IAM ポリシーを追加します。 AWS 詳細については、「アクセス許可の境界」を参照してください。

          1. [アクセス許可の境界を使用する] を選択して、アクセス許可の上限を設定します。

          2. [AWS 管理ポリシー] を選択し、IAM からポリシーを設定し、「AWS」がアクセス許可の境界として構築・維持します。[カスタマー管理ポリシー] を選択して、[お客様] が IAM から作成して維持するポリシーをアクセス許可の境界として設定します。

          3. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。

  6. [権限セットの詳細指定] ページで、以下を実行します。

    1. [権限セット名] に、IAM Identity Center でこの権限セットを識別するための名前を入力します。この権限セットに指定した名前は、 AWS 使用可能なロールとしてアクセスポータルに表示されます。 AWS ユーザはアクセスポータルにサインインし AWS アカウント、を選択してからロールを選択します。

    2. (オプション) 説明を入力することもできます。説明は IAM Identity Center コンソールにのみ表示され、 AWS アクセスポータルには表示されません。

    3. (オプション) Session duration (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、「セッション期間の設定」を参照してください。

    4. (オプション) Relay state (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、「リレーステートの設定」を参照してください。

      注記

      リレーステート URL は AWS Management Console内にある必要があります。例:

      https://console.aws.amazon.com/ec2/

    5. [タグ (オプション)] を拡張して [タグの追加] を選択し、[キー][値 (オプション)] () の値を指定します。

      タグの詳細については、「AWS IAM Identity Center リソースのタグ付け」を参照してください。

    6. [次へ] を選択します。

  7. [確認と作成] ページで、選択した内容を確認し、[作成] を選択します。

  8. デフォルトでは、権限セットを作成しても、その権限セットはプロビジョニングされません ( AWS アカウントどの権限にも使用されません)。で権限セットをプロビジョニングするには AWS アカウント、アカウント内のユーザーとグループに IAM Identity Center アクセスを割り当て、その権限セットをそれらのユーザーとグループに適用する必要があります。詳細については、「へのシングルサインオンアクセス AWS アカウント」を参照してください。