翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス許可セット AWS アカウント を使用して を管理する
アクセス権限セットは、1 つまたは複数の [IAM policies] (IAM ポリシー) のコレクションの定義を作成および維持するテンプレートです。アクセス許可セットは、組織内のユーザーとグループの AWS アカウント アクセスの割り当てを簡素化します。たとえば、 AWS RDS、DynamoDB、Aurora サービスを管理するポリシーを含むデータベース管理者権限セットを作成し、その単一の権限セットを使用して、データベース管理者の AWS Organization
IAM Identity Center は、アクセス許可セット AWS アカウント を使用して 1 つ以上のユーザーまたはグループにアクセスを割り当てます。アクセス権限セットを割り当てると、IAM Identity Center は、対応する IAM Identity Center 制御の IAM ロールを各アカウントに作成し、アクセス権限セットで指定されたポリシーをそれらのロールに適用します。IAM Identity Center は、IAM Identity Center ユーザーポータルまたは AWS CLI を使用してロールを管理し、定義した承認されたユーザーがロールを引き受けることを許可します。 アクセス権限セットを変更すると、IAM Identity Center は、対応する IAM ポリシーとロールがそれに応じて更新されることを保証します。
アクセス権限セットには、AWS マネージドポリシー、カスタマー管理ポリシー、インラインポリシー、およびAWS 職務機能の管理ポリシーを追加できます。アクセス許可の境界として、 AWS マネージドポリシーまたはカスタマー管理ポリシーを割り当てることもできます。
アクセス権限セットを作成するには、「アクセス許可セットの作成、管理と削除」を参照してください。
最小特権権のアクセス許可を適用するアクセス許可セットを作成する
最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAM Access Analyzer を実行して、 AWS 管理ポリシーを持つプリンシパルをモニタリングできます。どのアクセス許可を使用しているかがわかったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成します。
IAM Identity Center を使用すると、同じユーザーに複数のアクセス権限セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。これにより、常に管理アクセス許可を使用するのではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。
例えば、開発者の場合、IAM アイデンティティセンターで管理ユーザーを作成した後に、PowerUserAccess アクセス許可を付与する新しいアクセス許可セットを作成し、そのアクセス許可セットを自身に割り当てることができます。AdministratorAccess 権限を使用する管理者権限セットとは異なり、PowerUserAccess 権限セットでは IAM ユーザーとグループの管理はできません。 AWS アクセスポータルにサインインして AWS アカウントにアクセスすると、 PowerUserAccessではなく を選択してアカウントで開発タスクAdministratorAccessを実行できます。
次の考慮事項に注意が必要です。
-
より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。
事前定義されたアクセス許可を使用する事前定義されたアクセス許可セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスやリソースへの特定のレベルのアクセス、または共通の職務機能に対するアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。
-
アクセス権限セットのセッション期間を構成して、ユーザーが AWS アカウントにサインインしている時間を制御できます。
ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソールまたは コマンドラインインターフェイス (AWS CLI) AWS を使用する場合、IAM アイデンティティセンターはアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、ユーザーがセッションから AWS サインアウト AWS アカウント するまでにユーザーが にサインインできる時間を決定するセッション期間の値は 1 時間に設定されます。最大値は 12 時間まで指定できます。詳細については、「AWS アカウントのセッション期間を設定する」を参照してください。
-
AWS アクセスポータルセッション期間を設定して、ワークフォースユーザーがポータルにサインインする時間の長さを制御することもできます。
デフォルトでは、最大セッション期間 の値は、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる期間を決定し、8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する」を参照してください。
-
AWS アクセスポータルにサインインするときに、最小特権のアクセス許可を付与するロールを選択します。
作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (
AdministratorAccessではなく) 選択してください。 -
IAM Identity Center に他のユーザーを追加し、そのユーザーに既存または新規のアクセス権限セットを割り当てることができます。
詳細については、「ユーザーまたはグループアクセスを に割り当てる AWS アカウント」を参照してください。
