アクセス許可セットの作成、管理と削除

アクセス許可セットは、ユーザーとグループが に対して持つアクセスのレベルを定義します。 AWS アカウント。 アクセス許可セットは IAM Identity Center に保存され、1 つ以上の にプロビジョニングできます。 AWS アカウント。 ユーザーには複数のアクセス許可セットを割り当てることができます。アクセス許可セットと IAM Identity Center での使用の詳細については、「」を参照してください管理 AWS アカウント アクセス許可セットを持つ。

アクセス許可セットを作成するときは、次の考慮事項に留意してください。

• あらかじめ定義されたアクセス許可セットから始める

  事前定義済みのアクセス許可を使用する事前定義済みのアクセス許可セットでは、1 つの を選択します。 AWS 利用可能なポリシーのリストからの マネージドポリシー。各ポリシーは、 に特定のレベルのアクセス権を付与します。 AWS のサービスとリソース、または共通の職務機能に対するアクセス許可。これらのポリシーの詳細については、「」を参照してください。 AWS ジョブ機能 の マネージドポリシー。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。

• 管理セッションの期間を妥当な作業期間に制限する

  ユーザーが にフェデレーションする場合 AWS アカウント および を使用する AWS マネジメントコンソールまたは AWS コマンドラインインターフェイス (AWS CLI）、IAMIdentity Center は、アクセス許可セットのセッション期間設定を使用してセッション期間を制御します。ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、[セッション期間] は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。

• ワークフォースユーザーポータルのセッション期間を制限する

  ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、最大セッション期間 の値は、ワークフォースユーザーが にサインインできる時間の長さを決定します。 AWS アクセスポータルは、再認証が必要になる前に 8 時間です。最大値は 90 日まで指定できます。詳細については、「のセッション期間を設定する AWS アクセスポータルと IAM Identity Center 統合アプリケーション」を参照してください。

• 最小特権アクセス許可を与えるロールを使用する

  作成してユーザーに割り当てる各アクセス許可セットは、 に使用可能なロールとして表示されます。 AWS アクセスポータル。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。

注記

また、AWS CloudFormation アクセス許可セットを作成して割り当て、それらのアクセス許可セットにユーザーを割り当てます。

トピック

• アクセス権限セットを作成します。
• アクセス許可セットの表示と変更
• 権限セット管理の委任
• アクセス許可セットでIAMポリシーを使用する
• IAM Identity Center でアクセス許可セットを削除する