AWSジョブ機能の 管理ポリシー
最小権限を付与するポリシーを使用するか、タスクの実行に必要な権限のみを付与することをお勧めします。最小限の権限を付与する最も安全な方法は、チームに必要な権限のみを使用してカスタムポリシーを作成することです。必要に応じて、チームがより多くの権限を要求できるようにプロセスを作成する必要があります。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。
AWS マネージドポリシー を使用して、IAM ID (ユーザー、ユーザーのグループ、およびロール) へのアクセス許可の追加を開始。AWS 管理ポリシーは一般的な使用例をカバーし、AWS アカウント で利用できます。AWS 管理ポリシーは、最小特権のアクセス許可を付与しません。プリンシパルにジョブに必要な以上のアクセス許可を付与すると、セキュリティ上のリスクを考慮する必要があります。
AWS管理ポリシー(ジョブ機能を含む)を任意の IAM ID にアタッチすることができます。最小権限権限に切り替えるには、AWS Identity and Access ManagementAnalyzerにアクセスしてプリンシパルをモニタリングするAWS管理ポリシーを使用します。どの権限を使用しているかを学習したら、カスタムポリシーを作成するか、チームに必要な権限のみを持つポリシーを生成できます。これは安全性は低くなりますが、チームが AWS をどのように使用しているかを学習するにつれて柔軟性が高まります。
AWSジョブ機能の 管理ポリシーは、IT 業界の一般的なジョブ機能と密接に連携するように設計されています。これらのポリシーを使用すると、特定のジョブ機能を持つ人によるタスクの実行に必要な権限を簡単に付与することができます。これらのポリシーは、多くのサービスの権限を一つのポリシーに統合しているため、権限が様々なポリシーに分散している場合に比べてより作業しやすくなっています。
ロールを使用してサービスを連動する
他の AWS サービスにある機能の活用を促すために IAM サービスのロールを使用するポリシーもあります。これらのポリシーは、iam:passrole にアクセス許可を付与します。これによりポリシーが適用されるユーザーは AWS のサービスにロールを渡すことができます。このロールは、お客様に代わってアクションを実行するための IAM アクセス許可を AWS のサービスに委任します。
必要に応じてロールを作成する必要があります。たとえば、ネットワーク管理者のポリシーでは、ポリシーを利用するユーザーは「flow-logs-vpc」というロールを Amazon CloudWatch サービスに渡すことができます。CloudWatch は、そのロールを使用して、ユーザーが作成した VPC の IP トラフィックをログに記録し、キャプチャします。
セキュリティのベスト プラクティスに従うは、渡すことができる有効なロール名を制限するフィルタを、ジョブ機能のポリシーに含めます。これは不要な権限の付与を避けるのに役立ちます。ご自分のユーザーにオプション サービス ロールが必要な場合は、ポリシーで指定されている命名規則に従うロールを作成する必要があります。その後、ロールに権限を付与します。この処理が終わると、ユーザーは、ロールを使用するサービスを設定して、そのロールが提供する権限を付与することができます。
次のセクションでは、各ポリシーの名前は AWS Management Console のポリシー詳細ページへのリンクです。ここでは、ポリシードキュメントを表示し、そのポリシーによって付与されるアクセス許可を確認できます。
管理者ジョブ関数
AWS 管理ポリシー名: AdministratorAccess
ユースケース: このユーザーはフルアクセスが許可され、AWS のあらゆるサービスおよびリソースにアクセス許可を委任できます。
ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、アカウントの AWS のすべてのサービスおよびリソースに対するすべてのアクションを許可します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「AdministratorAccess」を参照してください。
注記
IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。このためには、「請求コンソールへのアクセス権の付与」の指示に従って、請求コンソールへのアクセスを委任します。
請求ジョブ関数
AWS 管理ポリシー名: Billing
ユースケース: このユーザーは請求情報の確認、支払いの設定、支払いの承認を行う必要があります。ユーザーは、AWS のサービス全体の累計されたコストをモニタリングできます。
ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、請求、コスト、支払い方法、予算、レポートを管理するためのフルアクセス許可を付与します。その他のコスト管理ポリシーの例については、「AWS Billing and Cost Management ユーザーガイド」の「AWS Billing ポリシーの例」を参照してください。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「Billing」を参照してください。
注記
IAM ユーザーまたはロールが、このポリシーのアクセス許可を使用して AWS Billing and Cost Management コンソールにアクセスするには、まず IAM ユーザーおよびロールのアクセスをアクティブ化する必要があります。このためには、「請求コンソールへのアクセス権の付与」の指示に従って、請求コンソールへのアクセスを委任します。
データベース管理者のジョブ機能
AWS 管理ポリシー名: DatabaseAdministrator
ユースケース: このユーザーは AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。
ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、データベースの作成、設定、メンテナンスを行うためのアクセス許可を付与します。これは、へのアクセスが含まれていますAWSAmazon DynamoDB、Amazon Relational Database Service (RDS)、Amazon Redshift などのデータベースサービスを利用できます。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「DatabaseAdministrator」を参照してください。
このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。このポリシーは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。
| ユースケース | ロール名 (* はワイルドカードです) | 選択するサービスロールの種類 | この AWS 管理ポリシーを選択します。 |
|---|---|---|---|
| ユーザーに RDS データベースのモニタリングを許可します | rds-monitoring-role | 拡張モニタリング用 Amazon RDS ロール | AmazonRDSEnhancedMonitoringRole |
| AWS Lambda に、データベースのモニタリングと外部データベースへのアクセスを許可します | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Lambda が DynamoDB を使用して Amazon S3 および Amazon Redshift クラスターにファイルをアップロードすることを許可する | lambda_exec_role |
AWS Lambda | AWS ビッグデータブログ |
| Lambda 関数に、DynamoDB テーブルのトリガーとしての動作を許可します | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| Lambda 関数が VPC 内の Amazon RDS へのアクセスを許可する | lambda-vpc-execution-role | AWS Lambda 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します | AWSLambdaVPCAccessExecutionRole |
| AWS Data Pipeline に、AWS へのアクセスを許可します | DataPipelineDefaultRole | AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します | AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「AWS Data Pipelineの IAM ロール」を参照してください。 |
| Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します | DataPipelineDefaultResourceRole | AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します | AmazonEC2RoleforDataPipelineRole |
データサイエンティストジョブ関数
AWS 管理ポリシー名: DataScientist
ユースケース: このユーザーは Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。
ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、Amazon EMR クラスターでクエリを作成、管理、実行し、Amazon QuickSight などのツールでデータを分析するアクセス許可を付与します。このポリシーには、追加のデータサイエンティストサービス (AWS Data Pipeline、Amazon EC2、Amazon Kinesis、Amazon Machine Learning、および SageMaker に導入されている。このポリシーがサポートしているデータサイエンティストサービスの詳細なリストに対するポリシーを表示します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「DataScientist」を参照してください。
このジョブ機能ポリシーは、ロールを AWS サービスへ渡す機能をサポートしています。一方のステートメントは、任意のロールを SageMaker に渡すことを許可します。別のステートメントは、次の表で示されるロールに対してのみ iam:PassRole アクションを許可します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。
| ユースケース | ロール名 (* はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー |
|---|---|---|---|
| Amazon EC2 インスタンスの、クラスターに適したサービスおよびリソースへのアクセスを許可します。 | EMR-EC2_DefaultRole | EC2 の Amazon EMR | AmazonElasticMapReduceforEC2Role |
| Amazon EMR アクセスを許可して Amazon EC2 サービスおよびクラスターのリソースにアクセスする | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
| Kinesis Managed Service for Apache Flink を許可してストリーミングデータソースにアクセスする | kinesis-* |
AWS ビッグデータブログ |
ユースケースに応じて選択できる 4 つのオプションの概要については、「AWS ビッグデータブログ |
| AWS Data Pipeline に、AWS へのアクセスを許可します | DataPipelineDefaultRole | AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します | AWS Data Pipeline のドキュメントには、このユースケースに必要なアクセス許可が記載されています。「AWS Data Pipelineの IAM ロール」を参照してください。 |
| Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを許可します | DataPipelineDefaultResourceRole | AWS Data Pipeline 開発者ガイド に定義されているように、信頼ポリシーを適用したロールを作成します | AmazonEC2RoleforDataPipelineRole |
開発者パワーユーザージョブ機能
AWS 管理ポリシー名: PowerUserAccess
ユースケース: このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。
ポリシーの更新 AWS: このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの説明: このポリシーの最初のステートメントでは、NotAction 要素を使用して、すべての AWS のサービスのすべてのアクションと、すべてのリソース (AWS Identity and Access Management、AWS Organizations、AWS Account Management を除く) のすべてのアクションを許可します。2 つめのステートメントでは、サービスにリンクされたロールを作成する IAM アクセス許可を付与します。これは、別のサービスのリソース (Amazon S3 バケットなど) にアクセスしなければならないサービスに必要です。また、ユーザーの組織に関する情報 (管理アカウントの E メールや組織の制限など) を表示する Organizations アクセス許可を付与します。このポリシーは、IAM、Organizations を制限しますが、IAM Identity Center が有効化されている場合には、ユーザーが、IAM Identity Center のすべてのアクションを実行できるようになります。また、アカウントに対してどの AWS リージョンが有効か無効かを表示するためのアカウント管理のアクセス許可も付与されます。
ネットワーク管理者のジョブ機能
AWS 管理ポリシー名: NetworkAdministrator
ユースケース: このユーザーは AWS; ネットワークリソースの設定とメンテナンスを担当します。
ポリシーの更新: AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの説明:このポリシーは、Auto Scaling、Amazon EC2 、AWS Direct Connect、 Route 53、Amazon CloudFront、Elastic Load Balancing 、AWS Elastic Beanstalk、 Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM、Amazon Virtual PrivateCloud でネットワークリソースを作成および維持するためのアクセス許可を付与します 。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「NetworkAdministrator」を参照してください。
このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRole と iam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。
| ユースケース | ロール名 (* はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー |
|---|---|---|---|
| Amazon VPC に、ユーザーに代わって CloudWatch Logs でログを作成および管理し、VPC を出入りする IP トラフィックをモニタリングするのを許可します | flow-logs-* | Amazon VPC ユーザーガイドに定義されているように、信頼ポリシーを適用したロールを作成します。 | このユースケースには、既存の AWS 管理ポリシーがありませんが、ドキュメントには必要な権限が記載されています。Amazon VPC User Guide を参照してください。 |
読み取り専用アクセス
AWS 管理ポリシー名: ReadOnlyAccess
ユースケース: このユーザーには、AWS アカウント のすべてのリソースへの読み取り専用アクセス権が必要です。
ポリシーの更新 AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの説明:このポリシーは、リソースとその属性を一覧表示、取得、説明、その他の表示するためのアクセス許可を付与します。これは、作成や削除のような突然変異機能が含まれていません。このポリシーには、AWS や AWS Identity and Access Management などのセキュリティ関連の AWS Billing and Cost Management サービスへの読み取り専用アクセスが含まれています。このポリシーがサポートしているデータベースサービスの詳細なリストに対するポリシーを表示します。
セキュリティ監査ジョブ機能
AWS 管理ポリシー名: SecurityAudit
ユースケース: このユーザーはセキュリティ要件の遵守についてアカウントをモニタリングします。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。
ポリシーの更新: AWS は、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、AWS の多数のサービスの設定データを表示し、それらのログを確認するアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「SecurityAudit」を参照してください。
Support ユーザジョブ機能
AWS 管理ポリシー名: SupportUser
ユースケース: このユーザーは AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。
ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、AWS Support ケースを作成および更新するアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「SupportUser」を参照してください。
システム管理者のジョブ機能
AWS 管理ポリシー名: SystemAdministrator
ユースケース: このユーザーは開発運用リソースのセットアップおよびメンテナンスを行います。
ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの説明:このポリシーでは、AWS CloudTrail、Amazon CloudWatch、AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor、Amazon VPC などのさまざまな AWS サービスにわたってリソースを作成および維持するためのアクセス許可を付与します。マネージドポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「SystemAdministrator」を参照してください。
このジョブ機能には、ロールを AWS サービスへ渡す機能が必要です。このポリシーは、次の表で指定されたロールに対してのみ iam:GetRole と iam:PassRole を付与します。詳細については、このトピックで後述する「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
| ユースケース | ロール名 (* はワイルドカードです) | 選択するサービスロールの種類 | 選択する AWS 管理ポリシー |
|---|---|---|---|
| Amazon ECS クラスターの EC2 インスタンスで実行されるアプリケーションに Amazon ECS へのアクセスを許可します | ecr-sysadmin-* | EC2 コンテナサービスの Amazon EC2 のロール | AmazonEC2ContainerServiceforEC2Role |
| ユーザーがデータベースをモニタリングすることを許可します | rds-monitoring-role | 拡張モニタリング用 Amazon RDS ロール | AmazonRDSEnhancedMonitoringRole |
| EC2 インスタンスで実行されるアプリケーションの、AWS リソースへのアクセスを許可します。 | ec2-sysadmin-* | Amazon EC2 | 「Amazon EC2 ユーザーガイド」に示されている、S3 バケットへのアクセスを許可するロールのサンプルポリシー (必要に応じてカスタマイズします)。 |
| Lambda が DynamoDB Streams の読み取り、CloudWatch Logs への書き込みを許可する | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
閲覧専用ユーザージョブ関数
AWS 管理ポリシー名: ViewOnlyAccess
ユースケース: このユーザーは、サービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。
ポリシーの更新: AWSは、このポリシーを維持および更新します。このポリシーの変更履歴については、IAM コンソールでポリシーを表示し、ポリシーバージョンタブを選択します。ジョブ関数のポリシーの更新の詳細については、「ジョブ機能の AWS 管理ポリシー」を参照してください。
ポリシーの詳細: このポリシーでは、AWS サービスのリソースに対する List*、Describe*、Get*、View*、および Lookup* アクセス許可を付与します。このポリシーに含まれる各サービスのアクションを確認するには、「ViewOnlyAccess
ジョブ機能の AWS 管理ポリシー
これらのポリシーはすべて AWS によって維持され、AWS サービスによって追加された新しいサービスや新機能のサポートを含めるよう最新の状態に保たれます。これらのポリシーは、お客様が変更することはできません。ポリシーのコピーを作成してそのコピーを変更できますが、AWS での新しいサービスや API オペレーションの導入時に、そのコピーは自動的に更新されません。
ジョブ機能ポリシーの場合、IAM コンソールでバージョン履歴と各更新の日時を表示できます。これを行うには、このページのリンクを使用して、ポリシーの詳細を表示します。次に、[ポリシーのバージョン] タブをクリックして、バージョンを表示します。このページには、ポリシーの最後の 25 バージョンが表示されます。ポリシーのすべてのバージョンを表示するには、get-policy-version AWS CLI コマンドまたは GetPolicyVersion API オペレーションを呼び出します。
注記
カスタマー管理ポリシーには最大 5 つのバージョンを含めることができますが、AWS は AWS 管理ポリシーの完全なバージョン履歴を保持します。
