のカスタムアクセス許可 AWS 管理ポリシーとカスタマー管理ポリシー - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のカスタムアクセス許可 AWS 管理ポリシーとカスタマー管理ポリシー

カスタムアクセス許可 を使用してアクセス許可セットを作成し、 AWS の 管理ポリシーとカスタマー管理ポリシー AWS Identity and Access Management (IAM) とインラインポリシー。また、アクセス許可の境界を含めて、他のポリシーがアクセス許可セットのユーザーに付与できるアクセス許可の上限を設定することもできます。

アクセス権限セットの作成方法については、「アクセス許可セットの作成、管理と削除」を参照してください。

アクセス権限セットに適用できるポリシータイプ

インラインポリシー

インラインポリシーをアクセス権限セットに適用します。インラインポリシーは、アクセス許可セットに直接追加する IAMポリシーとしてフォーマットされたテキストのブロックです。新しいアクセス許可セットを作成するときに、IAMIdentity Center コンソールのポリシー作成ツールを使用して、ポリシーを貼り付けたり、新しいポリシーを生成したりできます。を使用してIAMポリシーを作成することもできます。 AWS ポリシージェネレーター

インラインポリシーを使用してアクセス許可セットをデプロイすると、IAMIdentity Center は にIAMポリシーを作成します。 AWS アカウント アクセス許可セットを割り当てる場所。IAM Identity Center は、アクセス許可セットをアカウントに割り当てるときにポリシーを作成します。その後、ポリシーは のIAMロールにアタッチされます。 AWS アカウント ユーザーが引き受ける 。

インラインポリシーを作成してアクセス許可セットを割り当てると、IAMIdentity Center は のポリシーを設定します。 AWS アカウント お客様に代わって。を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、 でポリシーを作成する必要があります。 AWS アカウント アクセス許可セットを割り当てる前に、自分自身で行ってください。

AWS 管理ポリシー

をアタッチできます。 AWS アクセス許可セットへの マネージドポリシー。 AWS 管理ポリシーはIAM、 AWS は を維持します。これとは対照的に、 カスタマー管理ポリシーは、ユーザーが作成および管理する アカウント内のIAMポリシーです。 AWS 管理ポリシーは、 の一般的な最小特権のユースケースに対処します。 AWS アカウント。 を割り当てることができます。 AWS IAM Identity Center が作成するロールのアクセス許可、またはアクセス許可の境界 としての マネージドポリシー。

AWS は を維持 AWS にジョブ固有のアクセス許可を割り当てるジョブ機能の マネージドポリシー AWS リソースの使用料金を見積もることができます。アクセス権限セットに 定義済みの権限 を使用する場合は、職務ポリシーを 1 つ追加できます。カスタム権限 を選択すると、複数の職務ポリシーを追加できます。

の AWS アカウント また、 には多数の AWS 特定の の マネージドIAMポリシー AWS のサービス と の組み合わせ AWS のサービス。 カスタムアクセス許可 を使用してアクセス許可セットを作成する場合、追加の から選択できます。 AWS アクセス許可セットに割り当てる マネージドポリシー。

AWS はすべての を入力します。 AWS アカウント with AWS マネージドポリシー。を使用してアクセス許可セットをデプロイするには AWS マネージドポリシー。最初に でポリシーを作成する必要はありません。 AWS アカウント。 を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、 でポリシーを作成する必要があります。 AWS アカウント アクセス許可セットを割り当てる前に、自分自身で行ってください。

の詳細については、「」を参照してください。 AWS 管理ポリシー、「」を参照してください。 AWS IAM ユーザーガイドの マネージドポリシー

カスタマー管理ポリシー

カスタマー管理ポリシーをアクセス権限セットに適用できます。カスタマー管理ポリシーは、ユーザーが作成および管理するアカウント内のIAMポリシーです。これとは対照的に、 AWS 管理ポリシーはアカウント内のIAMポリシーであり、 AWS は を維持します。カスタマー管理ポリシーは、IAMIdentity Center が作成するロールのアクセス許可として、またはアクセス許可の境界として割り当てることができます。

カスタマー管理ポリシーを使用してアクセス許可セットを作成する場合、各 で同じ名前とパスを持つ IAM ポリシーを作成する必要があります。 AWS アカウント IAM Identity Center がアクセス許可セットを割り当てる場所。カスタムパスを指定する場合は、それぞれに同じパスを指定してください。 AWS アカウント。 詳細については、「 IAMユーザーガイド」の「わかりやすい名前とパス」を参照してください。IAM Identity Center は、 で作成したIAMロールにIAMポリシーをアタッチします。 AWS アカウント。 ベストプラクティスとして、アクセス許可セットを割り当てる各アカウントのポリシーに同じアクセス許可を適用します。詳細については、「アクセス許可セットでIAMポリシーを使用する」を参照してください。

詳細については、「 ユーザーガイド」の「カスタマー管理ポリシーIAM」を参照してください。

アクセス許可の境界

アクセス権限セットには アクセス許可の境界を適用できます。アクセス許可の境界は AWS アイデンティティベースのIAMポリシーがプリンIAMシパルに付与できるアクセス許可の上限を設定する マネージドポリシーまたはカスタマーマネージドポリシー。アクセス許可の境界を適用する場合、インラインポリシーカスタマー管理ポリシー、および AWS 管理ポリシーは、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス許可は付与されませんが、 は境界を超えるすべてのアクセス許可IAMを無視するようにします。

カスタマー管理ポリシーをアクセス許可の境界として使用してアクセス許可セットを作成する場合は、それぞれに同じ名前のIAMポリシーを作成する必要があります。 AWS アカウント IAM Identity Center がアクセス許可セットを割り当てる場所。IAM Identity Center は、IAMポリシーをアクセス許可の境界として、 で作成するIAMロールにアタッチします。 AWS アカウント .

詳細については、「 IAMユーザーガイド」のIAM「エンティティのアクセス許可の境界」を参照してください。