アクセス許可セットの作成、管理と削除

アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。IAM Identity Center でのアクセス許可セットの使用方法の詳細については、アクセス許可セット AWS アカウント を使用して を管理する を参照してください。

注記

IAM Identity Center コンソールでは、権限セットを名前で検索およびソートできます。

アクセス許可セットを作成するときは、次の考慮事項に留意してください。

• 組織インスタンス

  アクセス許可セットを使用するには、IAM Identity Center の Organization インスタンスを使用する必要があります。詳細については、「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス」を参照してください。

• あらかじめ定義されたアクセス許可セットから始める

  事前定義されたアクセス許可を使用する事前定義されたアクセス許可セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通のジョブ関数のアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。

• 管理セッションの期間を妥当な作業期間に制限する

  ユーザーが にフェデレーション AWS アカウント し、 AWS Management Console または AWS コマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、[セッション期間] は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「AWS アカウントのセッション期間を設定する」を参照してください。

• ワークフォースユーザーポータルのセッション期間を制限する

  ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、最大セッション期間の値です。これは、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる時間の長さを決定し、8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する」を参照してください。

• 最小特権アクセス許可を与えるロールを使用する

  作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。

注記

AWS CloudFormation を使用してアクセス許可セットを作成して割り当て、それらのアクセス許可セットにユーザーを割り当てることもできます。

トピック

• アクセス権限セットを作成します。

• 権限セットを表示および変更する

• 権限セット管理の委任

• 権限セットに IAM ポリシーを使用する

• IAM Identity Center でアクセス許可セットを削除する

• IAM アイデンティティセンターで権限セットを削除する