翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス権限セットを作成します。
この手順を使用して、1 つの AWS 管理ポリシーを使用する定義済みの権限セット、または最大 10 個の AWS
管理ポリシーまたはカスタマー管理ポリシーとインラインポリシーを使用するカスタム権限セットを作成します。の Service Quotas コンソール
IAM Identity Center コンソールでアクセス許可セットを作成できます。
アクセス権限セットを作成するには
-
IAM Identity Center コンソール
を開きます。 -
[マルチアカウント権限] で、[権限セット] を選択します。
-
[Create permission set] (アクセス権限セットの作成) を選択します。
-
[権限セットタイプの選択] ページの [権限セットタイプ] で、権限セットタイプを選択します。
-
権限セットタイプに基づいて、権限セットに使用したいポリシーを 1 つ以上選択します。
-
定義済み権限セット
-
事前定義されたアクセス許可セットのポリシー で、リスト内のIAMジョブ関数ポリシーまたは共通アクセス許可ポリシーのいずれかを選択し、次へ を選択します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS ジョブ機能の管理ポリシー」および「AWS マネージドポリシー」を参照してください。
-
ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。
-
-
カスタム権限セット
-
[Next (次へ)] を選択します。
-
ポリシーとアクセス許可の境界を指定ページで、新しいアクセス許可セットに適用するIAMポリシーのタイプを選択します。デフォルトでは、最大 10 個の [AWS 管理ポリシー] と [顧客管理ポリシー] を任意に組み合わせて権限セットに追加できます。このクォータは によって設定されますIAM。これを引き上げるには、アクセス許可セットを割り当てる各 の Service Quotas IAM コンソールで、 IAMロールにアタッチされたクォータ管理ポリシーの引き上げ AWS アカウント をリクエストします。
-
AWS 管理ポリシーを展開して、 IAMが AWS 構築および維持する ポリシーを追加します。詳細については、「AWS マネージドポリシー」を参照してください。
-
[AWS 権限セット] でユーザーに適用する管理ポリシーを検索して選択します。
-
別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。
-
-
カスタマー管理ポリシーを展開して、構築して管理する IAM のポリシーを追加します。詳細については、「カスタマー管理ポリシー」を参照してください。
-
[ポリシーを追加] を選択し、権限セットに追加するポリシーの名前を入力します。権限セットを割り当てる各アカウントで、入力した名前でポリシーを作成します。ベストプラクティスとして、各アカウントのポリシーに同じ権限を割り当ててください。
-
[もっと追加する] を選択して別のポリシーを追加します。
-
別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。
-
-
インラインポリシーを展開して、カスタムJSON形式のポリシーテキストを追加します。インラインポリシーは既存のIAMリソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントで作成するIAMリソースにポリシーを追加します。詳細については、「インラインポリシー」を参照してください。
-
インタラクティブエディタ内の目的のアクションとリソースをインラインポリシーに追加します。追加のステートメントは、新しいステートメントを追加 で追加できます。
-
別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。
-
-
アクセス許可の境界を展開して、 AWS 管理IAMポリシーまたはカスタマー管理ポリシーを、アクセス許可セット内の他のポリシーが割り当てることができる最大アクセス許可として追加します。詳細については、「アクセス許可の境界」を参照してください。
-
[アクセス許可の境界を使用する] を選択して、アクセス許可の上限を設定します。
-
AWS 管理ポリシーを選択して、 IAMがアクセス許可の境界としてAWS構築および維持するポリシーを設定します。カスタマー管理ポリシーを選択して、IAMアクセス許可の境界として構築および維持するポリシーを設定します。
-
別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。
-
-
-
-
-
[権限セットの詳細指定] ページで、以下を実行します。
-
「アクセス許可セット名」に、IAMIdentity Center でこのアクセス許可セットを識別する名前を入力します。このアクセス許可セットに指定した名前は、利用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 を選択し AWS アカウント、ロールを選択します。
-
(オプション) 説明を入力することもできます。説明は IAM Identity Center コンソールにのみ表示され、 AWS アクセスポータルには表示されません。
-
(オプション) Session duration (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。
-
(オプション) Relay state (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、「にすばやくアクセスするためのリレーステートの設定 AWS Management Console」を参照してください。
注記
リレーステートは 内にあるURL必要があります AWS Management Console。例:
https://console.aws.amazon.com/ec2/
-
[タグ (オプション)] を拡張して [タグの追加] を選択し、[キー] と [値 (オプション)] () の値を指定します。
タグの詳細については、「AWS IAM Identity Center リソースのタグ付け」を参照してください。
-
[Next (次へ)] を選択します。
-
-
[確認と作成] ページで、選択した内容を確認し、[作成] を選択します。
-
デフォルトでは、アクセス許可セットを作成すると、アクセス許可セットはプロビジョニングされません (どの でも使用されます AWS アカウント)。でアクセス許可セットをプロビジョニングするには AWS アカウント、アカウント内のユーザーとグループに IAM Identity Center アクセスを割り当て、それらのユーザーとグループにアクセス許可セットを適用する必要があります。詳細については、「へのシングルサインオンアクセス AWS アカウント」を参照してください。