IAM Identity Center のサービスにリンクされたロールの使用 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center のサービスにリンクされたロールの使用

AWS IAM Identity Center は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、IAMIdentity Center に直接リンクされた一意のタイプのIAMロールです。これは IAM Identity Center によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。詳細については、「IAM Identity Center のサービスにリンクされたロールについて」を参照してください。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、IAMIdentity Center の設定が簡単になります。 IAMIdentity Center は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、IAMIdentity Center のみがそのロールを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーをその他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「は」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

IAM Identity Center のサービスにリンクされたロールのアクセス許可

IAM Identity Center は、 という名前のサービスにリンクされたロールAWSServiceRoleForSSOを使用して、ユーザーに代わってIAMロール、ポリシー、IdP などの AWS リソースを管理するアクセス許可を IAM Identity Center SAML に付与します。

AWSServiceRoleForSSO サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • IAM Identity Center (サービスプレフィックス: sso

AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAMIdentity Center はパス「/aws-reserved/sso.amazonaws.com/”AWSReservedSSO。

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーでは、名前のプレフィックスがAWSSSO「_」のSAMLプロバイダーに対して、IAMIdentity Center が以下を完了することを許可します。

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAMIdentity Center はすべての組織で次のことを完了できます。

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAMアイデンティティセンターはすべてのIAMロール (*) で次のことを完了できます。

  • iam:listRoles

AWSServiceRoleForSSO サービスにリンクされたロールのアクセス許可ポリシーにより、IAMアイデンティティセンターは「arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO」で次のことを完了できます。

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

ロールのアクセス許可ポリシーにより、 IAM Identity Center は リソースに対して次のアクションを実行できます。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

IAM Identity Center のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。有効にすると、IAMアイデンティティセンターは AWS Organizations の組織内のすべてのアカウントにサービスにリンクされたロールを作成します。 IAMIdentity Center は、その後組織に追加されるすべてのアカウントに同じサービスにリンクされたロールも作成します。このロールにより、IAMIdentity Center がユーザーに代わって各アカウントのリソースにアクセスできるようになります。

メモ
  • AWS Organizations 管理アカウントにサインインしている場合、サービスにリンクされたロールではなく、現在サインインしているロールが使用されます。これにより、権限の昇格を防ぐことができます。

  • IAM Identity Center が AWS Organizations 管理アカウントでIAMオペレーションを実行すると、すべてのオペレーションはIAMプリンシパルの認証情報を使用して行われます。これにより、 のログイン CloudTrail により、管理アカウントですべての権限変更を行ったユーザーを可視化できます。

重要

サービスにリンクされたロールのサポートが開始された 2017 年 12 月 7 日より前に IAM Identity Center サービスを使用していた場合、IAMIdentity Center はアカウントに AWSServiceRoleForSSO ロールを作成しました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。

IAM Identity Center のサービスにリンクされたロールの編集

IAM Identity Center では、 AWSServiceRoleForSSO サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。 IAM

IAM Identity Center のサービスにリンクされたロールの削除

AWSServiceRoleForSSO ロールを手動で削除する必要はありません。 AWS アカウント が AWS 組織から削除されると、IAMIdentity Center は自動的にリソースをクリーンアップし、そこからサービスにリンクされたロールを削除します AWS アカウント。

IAM コンソール、、または IAM を使用してCLI、サービスにリンクされたロールIAMAPIを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに IAM Identity Center サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

によって使用されている IAM Identity Center リソースを削除するには AWSServiceRoleForSSO
  1. AWS アカウントへのアクセス権を持つすべてのユーザーとグループの AWS アカウントへのユーザーおよびグループのアクセスを削除する

  2. AWS アカウントに関連付けられている IAM Identity Center で権限セットを削除する

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、CLI、または IAM を使用してIAMAPI、サービスにリンクされたロールを削除します AWSServiceRoleForSSO。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。