翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center リソースへのアクセス許可の管理の概要
すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アクセスを提供するために、アカウント管理者は ID (ユーザー、グループ、ロール) IAM にアクセス許可を追加できます。一部のサービス ( AWS Lambdaなど) は、アクセス権限ポリシーをリソースに追加することができます。
注記
アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 ユーザーガイド」の「 のIAMベストプラクティスIAM」を参照してください。
トピック
IAM Identity Center のリソースとオペレーション
IAM Identity Center では、プライマリリソースはアプリケーションインスタンス、プロファイル、およびアクセス許可セットです。
リソース所有権について
リソース所有者は、リソースを作成した AWS アカウント です。つまり、リソース所有者は、リソースを作成するリクエスト AWS アカウント を認証するプリンシパルエンティティ (アカウント、ユーザー、またはIAMロール) の です。次の例は、この仕組みを示しています。
-
がアプリケーションインスタンスやアクセス許可セットなどの IAM Identity Center リソース AWS アカウントのルートユーザー を作成する場合、 AWS アカウント はそのリソースの所有者です。
-
AWS アカウントにユーザーを作成し、そのユーザーに IAM Identity Center リソースを作成するアクセス許可を付与すると、そのユーザーは Identity Center IAM リソースを作成できます。ただし、ユーザーが属する AWS アカウントがリソースを所有します。
-
IAM Identity Center リソースを作成するアクセス許可を持つ AWS アカウントに IAM ロールを作成すると、そのロールを引き受けることのできるすべてのユーザーが IAM Identity Center リソースを作成できます。ロールが属 AWS アカウントする が Identity IAM Center リソースを所有しています。
リソースへのアクセスの管理
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
注記
このセクションでは、 IAM Identity Center のコンテキストIAMでの の使用について説明します。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイド」のIAM「 とは」を参照してください。 IAM IAM ポリシーの構文と説明については、「 ユーザーガイド」の「 AWS IAMポリシーリファレンスIAM」を参照してください。
IAM ID にアタッチされたポリシーは、アイデンティティベースのポリシー ( ポリシー) と呼ばれます。IAMリソースにアタッチされているポリシーは、リソースベース のポリシーと呼ばれます。IAM Identity Center は、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。
アイデンティティベースのポリシー (IAM ポリシー)
ID IAM にアクセス許可を追加できます。例えば、次のオペレーションを実行できます。
-
のユーザーまたはグループにアクセス許可ポリシーをアタッチする AWS アカウント – アカウント管理者は、特定のユーザーに関連付けられたアクセス許可ポリシーを使用して、そのユーザーに新しいアプリケーションなどの IAM Identity Center リソースを追加するアクセス許可を付与できます。
-
アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。
を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理IAM」を参照してください。
次のアクセス権限ポリシーは、List で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、アプリケーションインスタンスやアクセス許可セットなど、IAMIdentity Center リソースに関する情報を表示します。Resource 要素のワイルドカード文字 (*) は、アカウントが所有するすべての IAM Identity Center リソースに対してアクションが許可されていることを示します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ] }
IAM Identity Center でのアイデンティティベースのポリシーの使用の詳細については、「」を参照してくださいIdentity Center のIAMアイデンティティベースのポリシーの例。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
リソースベースのポリシー
Simple Storage Service (Amazon S3) などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。IAM Identity Center はリソースベースのポリシーをサポートしていません。
ポリシー要素の指定 : アクション、効果、リソース、プリンシパル
IAM Identity Center リソースごとに (「」を参照IAM Identity Center のリソースとオペレーション)、サービスは一連のAPIオペレーションを定義します。これらのAPIオペレーションのアクセス許可を付与するために、IAMIdentity Center はポリシーで指定できる一連のアクションを定義します。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があることに注意してください。
以下は、基本的なポリシーの要素です。
-
リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。
-
アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。例えば、 アクセス
sso:DescribePermissionsPolicies許可により、ユーザーは IAM Identity CenterDescribePermissionsPoliciesオペレーションを実行できます。 -
効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
-
プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。IAM Identity Center はリソースベースのポリシーをサポートしていません。
IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」の「 AWS IAMポリシーリファレンスIAM」を参照してください。
ポリシーでの条件の指定
アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーを有効にするために必要な条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。IAM Identity Center に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 条件キーがあります。 AWS キーの完全なリストについては、「 ユーザーガイド」の「利用可能なグローバル条件キーIAM」を参照してください。
