カスタムアクセス許可 - AWS IAM Identity Center
インラインポリシーAWS 管理ポリシーカスタマー管理ポリシーアクセス許可の境界

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムアクセス許可

カスタム権限を含む権限セットを作成すると、 AWS Identity and Access Management (IAM) に用意されている管理ポリシーと顧客管理ポリシーをインラインポリシーおよび他のポリシーが権限セットのユーザに付与できる最大権限を設定する権限境界と組み合わせることができます。 AWS

アクセス権限セットの作成方法については、「アクセス許可セットの作成、管理と削除」を参照してください。

アクセス権限セットに適用できるポリシータイプ

インラインポリシー

インラインポリシーをアクセス権限セットに適用します。インラインポリシーは IAM ポリシーとしてフォーマットされたテキストブロックで、アクセス権限セットに直接追加します。新しいアクセス権限セットを作成するときに、ポリシーを貼り付けるか、IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。AWS ポリシージェネレーター を使用して IAM ポリシーを作成することもできます。

インラインポリシーを使用して権限セットをデプロイすると、IAM Identity Center AWS アカウント はアクセス権限セットを割り当てた場所に IAM ポリシーを作成します。IAM Identity Center は、アクセス権限セットをアカウントに割り当てるとポリシーを作成します。その後、ポリシーは、ユーザーが引き受ける IAM AWS アカウント ロールにアタッチされます。

インラインポリシーを作成して権限セットを割り当てると、IAM Identity Center がユーザーに代わってポリシーを設定します。 AWS アカウント で権限セットを作成する場合はカスタマー管理ポリシー、 AWS アカウント 権限セットを割り当てる前に自分でポリシーを作成する必要があります。

AWS 管理ポリシー

AWS 管理ポリシーを権限セットにアタッチできます。 AWS 管理ポリシーは、管理を行う IAM ポリシーです AWS 。これとは対照的に、カスタマー管理ポリシーアカウント内の IAM ポリシーは自分で作成して管理するものです。 AWS 管理ポリシーは、ユーザーの一般的な最小権限のユースケースに対応しています。 AWS アカウント AWS 管理ポリシーは、IAM Identity Center が作成するロールのアクセス権限として、または権限境界として割り当てることができます

AWS AWS リソースにジョブ固有のアクセス権限を割り当てるジョブ機能の管理ポリシーを管理します。 AWS アクセス権限セットに 定義済みの権限 を使用する場合は、職務ポリシーを 1 つ追加できます。カスタム権限 を選択すると、複数の職務ポリシーを追加できます。

AWS アカウント また、には、特定の IAM AWS AWS のサービス ポリシーやその組み合わせに対応するマネージド IAM ポリシーも多数含まれています。 AWS のサービスカスタム権限を持つ権限セットを作成すると、 AWS 多数の管理ポリシーの中から権限セットに割り当てる管理ポリシーを選択できます。

AWS AWS アカウント AWS すべてに管理ポリシーを設定します。 AWS 管理ポリシーを含む権限セットをデプロイするには、最初にでポリシーを作成する必要はありません。 AWS アカウントを使用して権限セットを作成する場合はカスタマー管理ポリシー、 AWS アカウント 権限セットを割り当てる前に自分でポリシーを作成する必要があります。

AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「AWS 管理ポリシー」を参照してください。

カスタマー管理ポリシー

カスタマー管理ポリシーをアクセス権限セットに適用できます。カスタマー管理ポリシーは、アカウント内で顧客が作成および維持する IAM ポリシーです。これとは対照的に、AWS 管理ポリシーアカウント内の IAM ポリシーは維持されます。 AWS カスタマー管理ポリシーは、IAM Identity Center が作成するロールのアクセス権限として、または アクセス許可の境界 として割り当てることができます。

カスタマー管理ポリシーを使用して権限セットを作成する場合、IAM Identity Center AWS アカウント が権限セットを割り当てる各ポリシーに同じ名前とパスの IAM ポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウントに同じパスを指定してください。詳細については、「IAM ユーザーガイド」の「親しみやすい名前とパス」を参照してください。IAM Identity Center は、作成した IAM ポリシーを、 AWS アカウントで作成した IAM ロールにアタッチします。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「権限セットに IAM ポリシーを使用する」を参照してください。

詳細については、IAM ユーザーガイドの「カスタマー管理ポリシー」を参照してください。

アクセス許可の境界

アクセス権限セットには アクセス許可の境界を適用できます。アクセス権限境界は、アイデンティティベースのポリシーが IAM プリンシパルに付与できる最大アクセス権限を設定する管理型または顧客管理型の IAM ポリシーです。 AWS アクセス許可の境界を適用する場合、インラインポリシーカスタマー管理ポリシー、および AWS 管理ポリシーは、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス権限は付与されませんが、その代わりに IAM が境界を超えるすべてのアクセス権限を無視するようになります。

カスタマー管理ポリシーをアアクセス許可の境界として使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前の IAM ポリシーを作成する必要があります。IAM Identity Center は、IAM ポリシーをアクセス許可の境界として AWS アカウント で作成する IAM ロールに適用します。

詳細については、IAM ユーザーガイド の IAM エンティティのアクセス許可の境界を参照してください。