アクセス許可セットの作成、管理と削除

アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。IAM Identity Center でのアクセス許可セットの使用方法の詳細については、アクセス権限セット を参照してください。

アクセス許可セットを作成するときは、次の考慮事項に留意してください。

• あらかじめ定義されたアクセス許可セットから始める

  定義済みの権限を使用する定義済みの権限セットでは、使用可能なポリシーのリストから 1 AWS つの管理ポリシーを選択します。各ポリシーは、 AWS サービスやリソースへの特定のアクセスレベル、または一般的な職務に必要な権限を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。

• 管理セッションの期間を妥当な作業期間に制限する

  AWS AWS ユーザーが連携して管理コンソールまたはコマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center は権限セットのセッション期間設定を使用してセッションの期間を制御します。 AWS アカウント ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、[セッション期間] は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「セッション期間の設定」を参照してください。

• ワークフォースユーザーポータルのセッション期間を制限する

  ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、Workforce ユーザーが再認証を受けるまでに AWS Access Portal にサインインできる時間を決定する「最大セッション期間」の値は 8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定します。」を参照してください。

• 最小特権アクセス許可を与えるロールを使用する

  作成してユーザに割り当てた各権限セットは、 AWS Access Portal で使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。

注記

AWS CloudFormation を使用してアクセス許可セットを作成して割り当て、それらのアクセス許可セットにユーザーを割り当てることもできます。

トピック

• アクセス権限セットを作成します。
• 権限セット管理の委任
• 権限セットに IAM ポリシーを使用する