翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center のサービスリンクロールの使用
AWS IAM Identity Center は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスリンクロールは、IAM Identity Center に直接リンクされた特殊なタイプの IAM ロールです。これは IAM Identity Center によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。詳細については、「サービスリンクロール」を参照してください。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がないため、IAM Identity Center の設定が簡単になります。サービスリンクロールの許可は IAM Identity Center が定義し、特に定義されない限り、IAM Identity Center のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール 列が [はい]になっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。
IAM Identity Center のサービスリンクロールの権限
IAM Identity Center は、 という名前のサービスにリンクされたロールAWSServiceRoleForSSOを使用して、ユーザーに代わって IAM ロール、ポリシー、SAML IdP などの AWS リソースを管理するアクセス許可を IAM Identity Center に付与します。
AWSServiceRoleForSSO サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
IAM Identity Center (サービスプレフィックス:
sso
)
AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAM Identity Center はパス「/aws-reserved/sso.amazonaws.com/”」と名前プレフィックスAWSReservedSSO「_」のロールに対して以下を完了できます。
-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:DeleteRole
-
iam:DeleteRolePermissionsBoundary
-
iam:DeleteRolePolicy
-
iam:DetachRolePolicy
-
iam:GetRole
-
iam:ListRolePolicies
-
iam:PutRolePolicy
-
iam:PutRolePermissionsBoundary
-
iam:ListAttachedRolePolicies
AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAM Identity Center は、名前のプレフィックスがAWSSSO「_」の SAML プロバイダーで以下を完了できます。
-
iam:CreateSAMLProvider
-
iam:GetSAMLProvider
-
iam:UpdateSAMLProvider
-
iam:DeleteSAMLProvider
AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAM Identity Center はすべての組織で以下を完了できます。
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:ListAccounts
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:ListDelegatedAdministrators
AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAM Identity Center はすべての IAM ロール (*) で以下を完了できます。
-
iam:listRoles
AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAM Identity Center は「arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO」で次のことを完了できます。
-
iam:GetServiceLinkedRoleDeletionStatus
-
iam:DeleteServiceLinkedRole
ロールのアクセス権限ポリシーは、リソースに対して以下のアクションを実行することを IAM Identity Center に許可します。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-linked role permissions」を参照してください。
IAM Identity Center のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。有効にすると、IAM Identity Center は AWS Organizations の組織内のすべてのアカウントにサービスにリンクされたロールを作成します。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。
メモ
-
AWS Organizations 管理アカウントにサインインしている場合、サービスにリンクされたロールではなく、現在サインインしているロールが使用されます。これにより、権限の昇格を防ぐことができます。
-
IAM Identity Center が AWS Organizations 管理アカウントで IAM オペレーションを実行すると、すべてのオペレーションは IAM プリンシパルの認証情報を使用して行われます。これにより、 のログイン CloudTrail により、管理アカウントですべての権限変更を行ったユーザーを可視化できます。
重要
サービスにリンクされたロールのサポートが開始された 2017 年 12 月 7 日より前に IAM Identity Center サービスを使用していた場合、IAM Identity Center はアカウントに AWSServiceRoleForSSO ロールを作成しました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。
IAM Identity Center のサービスリンクロールの編集
IAM Identity Center では、 AWSServiceRoleForSSO サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。
IAM Identity Center のサービスリンクロールの削除
AWSServiceRoleForSSO ロールを手動で削除する必要はありません。 AWS アカウント が AWS 組織から削除されると、IAM Identity Center は自動的にリソースをクリーンアップし、その からサービスにリンクされたロールを削除します AWS アカウント。
サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。
注記
リソースを削除しようとしたときに IAM Identity Center サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
が使用する IAM Identity Center リソースを削除するには AWSServiceRoleForSSO
-
AWS アカウントへのアクセス権を持つすべてのユーザーとグループの ユーザーとグループのアクセス権限を削除。
-
AWS アカウントに関連付けられている アクセス権限セットを削除する。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、IAM CLI、または IAM API を使用して、サービスにリンクされたロールを削除します AWSServiceRoleForSSO。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。