# IAM の使用開始
AWS Identity and Access Management (IAM) により、Amazon Web Services (AWS) およびアカウントリソースへのアクセスを安全に管理することができます。IAM では、サインイン認証情報をプライベートに保持することもできます。IAM を使用するため、特別にサインアップしません。IAM の使用は無料です。
ユーザーやロールなどの ID に対し、アカウントのリソースに対するアクセス権を付与するには、IAM を使用します。例えば、AWS の外部で管理している社内ディレクトリの既存のユーザーに対し IAM を使用することや、AWS IAM アイデンティティセンター を使用して AWS 内にユーザーを作成することが考えられます。フェデレーション ID は、定義済の IAM ロールを引き受け、必要なリソースにアクセスします。IAM アイデンティティセンターの詳細については、「AWS IAM アイデンティティセンター ユーザーガイド」の「[What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」(IAM アイデンティティセンターとは) を参照してください。
**注記**
IAM は複数の AWS 製品と統合されています。IAM をサポートするサービスのリストについては、「[IAM と連携する AWS のサービス](reference_aws-services-that-work-with-iam.md)」を参照してください。
AWS の使用開始、管理ユーザーの作成、AWS Organizations、最初のプロジェクトの構築や起動などの問題の解決に複数のサービスを使用する方法については、「[開始方法リソースセンター](https://aws.amazon.com/getting-started/)」を参照してください。
# AWS アカウント のセットアップ
IAM の使用を開始する前に、AWS 環境の初期設定が完了していることを確認してください。
サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
サービスにサインアップした時に、メールアドレスとパスワードを使用して AWS アカウント を作成しました。これらが AWSのルートユーザー認証情報です。ベストプラクティスとして、日常的なタスクで AWS にアクセスするためにルートユーザーの認証情報を使用しないでください。[ルートユーザー認証情報を必要とするタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)を実行するには、ルートユーザー認証情報のみを使用してください。また、認証情報を他のユーザーと共有しないでください。代わりに、ディレクトリに人々を追加し、AWS アカウント へのアクセスを付与します。
**AWS アカウントのルートユーザー を保護するには**
1. **[ルートユーザー]** を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「IAM ユーザーガイド」の[AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を参照してください。
**請求コンソールへのアクセス権の付与**
AWS アカウント内の IAM ユーザーとロールは、デフォルトでは Billing and Cost Management コンソールにアクセスできません。これは、IAM ユーザーまたはロールに、特定の請求機能へのアクセス権を付与する IAM ポリシーがある場合でも当てはまります。アクセスを許可するには、AWS アカウントルートユーザーが先に IAM アクセスをアクティブ化しておく必要があります。
**注記**
セキュリティ上の理由から、[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) で ID フェデレーションを利用してリソースにアクセスできるようにするのがベストプラクティスです。IAM アイデンティティセンターを AWS Organizations と共に有効にすると、Billing and Cost Management コンソールがデフォルトで有効になり、組織内のすべての AWS アカウントに対して一括請求を実施できます。詳細については、「Billing and Cost Management ユーザーガイド」の「[Consolidating billing for AWS Organizations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)」を参照してください。
1. ルートユーザー認証情報 (AWS アカウントの作成に使用した E メールアドレスとパスワード) で AWS マネジメントコンソール にサインインします。
1. ナビゲーションバーでアカウント名を選択してから、[[アカウント]](https://console.aws.amazon.com/billing/home#/account) を選択します。
1. ページを下にスクロールして、**[請求情報への IAM ユーザーとロールのアクセス]** セクションが見つかったら、**[編集]** を選択します。
1. **[IAM アクセスをアクティブ化]** チェックボックスをオンにして、Billing and Cost Management コンソールページへのアクセスをアクティベートします。
1. **[更新]** を選択します。
このページには、**[IAM ユーザーとロールの請求情報へのアクセスがアクティブ化されています]** というメッセージが表示されます。
**重要**
IAM アクセスをアクティブ化するだけでは、Billing and Cost Management コンソールページを表示できるアクセス許可がユーザーとロールに付与されません。また、Billing and Cost Management コンソールへのアクセスを許可するには、必要な ID ベースのポリシーを IAM ロールにアタッチする必要があります。ロールは、ユーザーが必要なときに引き受けることができる一時的な認証情報を提供します。
1. AWS マネジメントコンソールを使用して、Billing and Cost Management にアクセスするためにユーザーが引き受けることができる[ロールを作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)します。
1. ロールの **[アクセス許可の追加]** ページで、アクセス許可を追加して、自分の AWS アカウントの請求リソースに関する詳細をリストします。
AWS マネージドポリシー[請求](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/managed-policies.html#security-iam-awsmanpol-Billing)は、Billing and Cost Management コンソールを表示および編集するためのアクセス許可をユーザーに付与します。これには、アカウントの使用状況の閲覧、予算および支払い方法の修正が含まれます。IAM ロールにアタッチしてアカウントの請求情報へのアクセスを制御できるポリシーのその他の例については、「Billing and Cost Management ユーザーガイド」の「[AWS 請求ポリシーの例](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html)」を参照してください。
# AWS アカウント ID の表示
コンソールにサインインした場合は、以下の方法で AWS アカウントのアカウント ID を確認できます。
## AWS アカウントの ID を表示するには
------
#### [ Console ]
AWS アカウント ID は、AWS アカウントセクションの IAM **ダッシュボード**に移動すると表示されます。アカウント ID は右上のナビゲーションバーで表示することもできます。ユーザー名を選択すると、ユーザー名の上にアカウント ID が表示されます。
![\[アカウント ID が強調表示されているアカウント情報ドロップダウンボックス\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/find-account-id.png)
------
#### [ AWS CLI ]
次のコマンドを使用して、ユーザー ID、アカウント ID、およびユーザー ARN を表示します。
+ [aws sts get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)
------
#### [ API ]
次の API を使用して、ユーザー ID、アカウント ID、およびユーザー ARN を表示します。
+ [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html)
------
# AWS アカウント ID のエイリアスの使用
アカウント ID は、アカウントを一意に識別する 12 桁の数字です。デフォルトでは、アカウントの IAM ユーザーは、アカウント ID を含むウェブ URL でサインインします。URL がない場合は、サインインする際に AWS サインインページでアカウント ID を指定できます。
サインインページのデフォルトの URL は以下の形式です。
```
https://Your_Account_ID.signin.aws.amazon.com/console/
```
多くの人々は数字よりも言葉の方が覚えやすいと感じるため、アカウント ID のエイリアスを作成することで IAM ユーザーのサインインが容易になります。
AWS アカウント ID の AWS アカウント エイリアスを作成すると、サインインページの URL は次の例のようになります。
```
https://Your_Account_Alias.signin.aws.amazon.com/console/
```
**アカウントエイリアスを作成する前に考慮すべき事項**
+ AWS アカウント で使用できるエイリアスは 1 つのみです。AWS アカウントの新しいエイリアスを作成すると、新しいエイリアスによって以前のエイリアスが上書きされ、以前のエイリアスを含む URL は機能しなくなります。
+ アカウントエイリアスは、数字、小文字、ハイフンのみです。AWS アカウントのエンティティの制限に関する詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。
+ アカウントエイリアスは、指定されたネットワークパーティション内のすべての Amazon Web Services 製品で一意となる必要があります。
*パーティション*は AWS リージョンのグループです。各 AWS アカウントのスコープは 1 つのパーティションです。
サポートされているパーティションは以下のとおりです。
+ `aws` - AWS リージョン
+ `aws-cn` - 中国リージョン
+ `aws-us-gov` - AWS GovCloud (US) リージョン
**注記**
アカウントエイリアスはシークレットではなく、公開されているサインインページの URL に表示されます。アカウントのエイリアスには、機密情報を含めないでください。
AWS アカウント ID を含む本来の URL は、AWS アカウント エイリアスの作成後も有効です。
# アカウントエイリアスの作成
次の手順を実行するには、少なくとも以下のIAM アクセス許可が必要です。
+ `iam:ListAccountAliases`
+ `iam:CreateAccountAlias`
## AWS アカウントエイリアスを作成するには
------
#### [ Console ]
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. ナビゲーションペインで、**ダッシュボード**を選択してください。
1. [**AWS アカウント**] セクションで、**[アカウントエイリアス]** を選択し、**[作成]** を選択します。エイリアスが既に存在する場合は、[**Edit**] (編集) を選択します。
1. ダイアログボックス内でエイリアスの名前を入力し、**[変更の保存]** を選択します。
------
#### [ AWS CLI ]
次のコマンドを実行します。
+ `[aws iam create-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/create-account-alias.html)`
------
#### [ API ]
AWS マネジメントコンソール のサインインページの URL のエイリアスを作成するには、以下のオペレーションを呼び出します。
+ `[CreateAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccountAlias.html)`
------
# アカウントエイリアスを削除する
次の手順を実行するには、少なくとも以下のIAM アクセス許可が必要です。
+ `iam:ListAccountAliases`
+ `iam:DeleteAccountAlias`
## アカウントエイリアスを削除するには
------
#### [ Console ]
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. ナビゲーションペインで、**ダッシュボード**を選択してください。
1. **[アカウントエイリアス]** の横にある **[AWS アカウント]** セクションで、**[削除]** を選択します。
------
#### [ AWS CLI ]
AWS アカウント ID のエイリアスを削除するには、以下のコマンドを実行します。
+ `[aws iam delete-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-alias.html)`
アカウントエイリアスが削除されたことを確認するには、AWS アカウント ID エイリアスを表示してみてください。次のコマンドを実行します。
+ `[aws iam list-account-aliases](https://docs.aws.amazon.com/cli/latest/reference/iam/list-account-aliases.html)`
------
#### [ API ]
AWS アカウント ID のエイリアスを削除するには、以下のオペレーションを呼び出します。
+ `[DeleteAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountAlias.html)`
アカウントエイリアスが削除されたことを確認するには、AWS アカウント ID エイリアスを表示してみてください。次の操作を呼び出します。
+ `[ListAccountAliases](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccountAliases.html)`
------
**注記**
アカウントエイリアスを削除すると、アカウントのサインイン URL だけがアカウント ID に基づいたものになります。エイリアス URL に接続しようとしても失敗し、リダイレクトされません。
# AWS アカウントへのアクセスを計画する
AWS を設定する場合は、自分の AWS アカウントおよびリソースへのアクセスをどのように許可するかを計画して、適切に設計された安全な ID 管理ソリューションを導入します。
**ID ソース**
IAM ベストプラクティスに従って、人間のユーザーとワークロードは他のユーザーの AWS リソースにアクセスするときに、一時的な認証情報を使用するようにします。一時的な認証情報は、IAM ロールを使用してリソースにアクセスする ID に付与されます。IAM にフェデレーションされたユーザーと IAM アイデンティティセンター内のユーザー (IAM アイデンティティセンターディレクトリにフェデレーションまたは作成されたユーザー) の両方が、IAM ロールを使用してリソースにアクセスします。
AWS を使い始める前に、次のどちらの方法で ID をどのように設定するかを計画します。
+ AWS Organizations で IAM アイデンティティセンターを有効にし、IAM アイデンティティセンター内のユーザーを組織ディレクトリに直接追加します。
IAM アイデンティティセンター組織ディレクトリに直接ユーザーを追加する方法については、「[Add users](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)」を参照してください。
+ 既存の外部 ID プロバイダーを IAM アイデンティティセンターまたは IAM とフェデレーションします。
外部 ID プロバイダーを IAM アイデンティティセンター組織ディレクトリにフェデレーションする方法については、適切な[入門チュートリアル](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)を参照してください。
**アクセス管理**
ユーザーがアクセスする AWS リソースとサービスを識別し、ユーザー、グループ、ロールごとに必要なアクセス許可とポリシーを定義します。
+ IAM アイデンティティセンターを使用した場合は、IAM ID プロバイダーに加えて IAM ロールとアクセス許可ポリシーが組織内の AWS アカウントごとに自動的に作成されます。これらのロールとアクセス許可は、特定のアプリケーションや AWS アカウントにユーザーやグループを割り当てるときに指定したアクセス許可と一致します。
詳細については、「[ユーザーアクセスを割り当てる](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html)」と「[アプリケーションへのシングルサインオンアクセスを設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/set-up-single-sign-on-access-to-applications.html)」を参照してください。
+ ID プロバイダーを AWS アカウント内の IAM と直接フェデレーションする場合は、ユーザーが引き受けるロールのほか、ポリシーを 2 つ作成する必要があります。誰がロールを引き受けることができるかを指定する信頼ポリシーと、ロールを引き受けるユーザーがアクセスを許可または拒否する AWS アクションとリソースを指定するアクセス許可ポリシーです。
詳細については、[ID プロバイダーと AWS とのフェデレーション](id_roles_providers.md) を参照してください。
# IAM ユーザーに関するユースケース
AWS アカウント内に作成した IAM ユーザーには、自分で直接管理できる長期認証情報が設定されます。
AWS 内でアクセス権を管理する場合、IAM ユーザーは一般に最良の選択肢ではありません。ほぼどんなユースケースでも IAM ユーザーを利用しないことをお勧めします。その主な理由は次のとおりです。
まず、IAM ユーザーは個人のアカウント向けに設計されているため、組織の成長に合わせてうまくスケールされません。多数の IAM ユーザーのアクセス許可とセキュリティを管理するのは容易ではなく、すぐに立ち行かなくなるおそれがあります。
また、IAM ユーザーには、他の AWS ID 管理ソリューションが備えているような一元的に可視化して監査する機能もありません。そのため、他のソリューションに比べてセキュリティと規制のコンプライアンスを維持するのが難しくなります。
最後に、よりスケーラブルな ID 管理アプローチの方が、多要素認証、パスワードポリシー、ロール分離といったセキュリティベストプラクティスの導入がはるかに簡単です。
IAM ユーザーに依存するのではなく、AWS Organizations で IAM Identity Center を使用する、外部プロバイダーから ID をフェデレーションするといった堅牢性の高いソリューションの導入をお勧めします。こうした選択肢により、AWS 環境の拡大に合わせて制御、セキュリティ、運用の効率を高めることができます。
そのため、[フェデレーションユーザーでサポートされていないユースケース](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html#id_which-to-choose)にのみ、IAM ユーザーを使用することをお勧めします。
以下のリストは、AWS の IAM ユーザーとの長期認証情報が必要な特定のユースケースを示しています。IAM を使用して自分の AWS アカウントの下にこれらの IAM ユーザーを作成し、そのユーザーのアクセス許可を IAM で管理できます。
+ AWS アカウントに対する緊急アクセス
+ IAM ロールを使用できないワークロード
+ AWS CodeCommit アクセス
+ Amazon Keyspaces (Apache Cassandra 向け) のアクセス
+ サードパーティーの AWS クライアント
+ アカウントで AWS IAM アイデンティティセンター を利用できず、他に ID プロバイダーがない場合
# 緊急アクセス用の IAM ユーザーを作成する
[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)は、1 人のユーザーまたは 1 つのアプリケーションに対して特定の許可を持つ AWS アカウント 内のアイデンティティです。
IAM ユーザーの作成を推奨する理由の 1 つに、緊急アクセス用の IAM ユーザーを確保することがあります。これで、ID プロバイダーがアクセス不能になった場合でも AWS アカウントにアクセスできます。
**注記**
セキュリティ上の[ベストプラクティス](best-practices.md)として、IAM ユーザーを作成するのではなく、ID フェデレーションを通じてリソースへのアクセスを提供することをお勧めします。IAM ユーザーが必要な特定の状況についての情報は、「[IAMユーザー (ロールの代わりに) を作成する場合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)」を参照してください。
## 緊急アクセス用の IAM ユーザーを作成するには
**最小アクセス許可**
次の手順を実行するには、少なくとも以下のIAM アクセス許可が必要です。
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`
------
#### [ Console ]
1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで **[ユーザー]**、**[ユーザーの作成]** の順に選択します。
**注記**
IAM Identity Center を有効にしている場合は、AWS マネジメントコンソール には、IAM Identity Center でユーザーのアクセスを管理するのが最善であることを示すメッセージが表示されます。この手順で作成した IAM ユーザーは、特に ID プロバイダーが利用できなくなった場合にのみ使用します。
1. **[ユーザーの詳細を指定]** ページの **[ユーザーの詳細]** の **[ユーザー名]** に、新しいユーザーの名前を入力します。これは、AWS のサインイン名です。この例では、**EmergencyAccess** と入力します。
**注記**
ユーザー名は、最大 64 文字の英数字、プラス記号 (\$1)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (\$1)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。ユーザー名をポリシーまたは ARN の一部として使用する場合、名前の大文字と小文字が区別されます。サインイン中など、コンソールにユーザー名が表示される場合、大文字と小文字は区別されません。
1. **[AWS マネジメントコンソール へのユーザーアクセスを提供する — オプション]** の横にあるチェックボックスを選択し、**[IAM ユーザーを作成します]** を選択します。
1. **[コンソールパスワード]** で、**[自動生成パスワード]** を選択します。
1. **[ユーザーは次回サインイン時に新しいパスワードを作成する必要があります (推奨)]** の横にあるチェックボックスをオンにします。この IAM ユーザーは緊急アクセス用であるため、信頼できる管理者がパスワードを保持し、必要な場合にのみ提供します。
1. **[権限の設定]** ページの **[権限オプション]** の、**[ユーザーをグループに追加]** を選択します。次に、**[ユーザーグループ]** で **[グループの作成]** を選択します。
1. **[ユーザーグループの作成]** ページの **[ユーザーグループ名]** に、**EmergencyAccessGroup** と入力します。次に、**[許可ポリシー]** で **[AdministratorAccess]** を選択します。
1. **[ユーザーグループを作成]** を選択して **[許可を設定]** ページに戻ります。
1. **[ユーザーグループ]** で、以前に作成した **EmergencyAccessGroup** の名前を選択します。
1. **[次へ]** を選択して **[確認および作成]** ページに進みます。
1. **[確認と作成]** ページで、新しいユーザーに追加するユーザーグループメンバーシップのリストを確認します。続行する準備ができたら、**[ユーザーの作成]** を選択します。
1. **[パスワードの取得]** ページで、**[.csv ファイルのダウンロード]** を選択し、ユーザーの認証情報 (接続 URL、ユーザー名、パスワード) が含まれている .csv ファイルを保存します。
1. このファイルを保存して、IAM にサインインする必要があるものの、ID プロバイダーにアクセスできない場合に使用します。
新しい IAM ユーザーが**[ユーザー]** リストに表示されます。**[ユーザー名]** リンクを選択すると、ユーザーの詳細が表示されます。
------
#### [ AWS CLI ]
1. **EmergencyAccess** という名前のユーザーを作成します。
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name EmergencyAccess
```
1. (オプション) ユーザーに AWS マネジメントコンソール へのアクセス権を付与します。これにはパスワードが必要です。IAM ユーザーのパスワードを作成するには、`--cli-input-json` パラメータを使用して、パスワードが含まれている JSON ファイルを渡します。また、[アカウントのサインインページの URL](id_users_sign-in.md) をユーザーに提供する必要があります。
+ [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)
```
aws iam create-login-profile \
--generate-cli-skeleton > create-login-profile.json
```
+ テキストエディタで `create-login-profile.json` ファイルを開き、パスワードポリシーに準拠したパスワードを入力して、ファイルを保存します。例えば、次のようになります。
```
{
"UserName": "EmergencyAccess",
"Password": "Ex@3dRA0djs",
"PasswordResetRequired": false
}
```
+ 再度 `aws iam create-login-profile` コマンドを使用して、JSON ファイルを指定した `--cli-input-json` パラメータを渡します。
```
aws iam create-login-profile \
--cli-input-json file://create-login-profile.json
```
**注記**
JSON ファイルに指定したパスワードがアカウントのパスワードポリシーに違反している場合は、`PassworPolicyViolation` エラーが返されます。この場合は、アカウントの[パスワードポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details)を確認し、要件を満たすように JSON ファイル内のパスワードを更新します。
1. **EmergencyAccessGroup** を作成し、AWS マネージドポリシー `AdministratorAccess` をグループにアタッチして、グループに **EmergencyAccess** ユーザーを追加します。
**注記**
*AWS 管理ポリシー*は、AWS が作成および管理するスタンドアロンポリシーです。各ポリシーには、それぞれ独自の Amazon リソースネーム (ARN) (ポリシー名を含む) があります。たとえば、`arn:aws:iam::aws:policy/IAMReadOnlyAccess` は AWS 管理ポリシーです。ARN の詳細については、[IAM ARN](reference_identifiers.md#identifiers-arns)を参照してください。AWS のサービス に対する AWS マネージドポリシーのリストについては、「[AWS マネージドポリシー](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html)」を参照してください。
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name EmergencyAccessGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
--group-name >EmergencyAccessGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name EmergencyAccess \
--group-name EmergencyAccessGroup
```
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) コマンドを実行して、**EmergencyAccessGroup** とそのメンバーをリストします。
```
aws iam get-group \
--group-name EmergencyAccessGroup
```
------
# IAM ロールを使用できないワークロード用の IAM ユーザーを作成する
**重要**
[ベストプラクティス](best-practices.md#lock-away-credentials)として、AWS にアクセスする場合には、人間のユーザーに[一時的な認証情報](id_credentials_temp.md)を使用するよう要求することを推奨します。
または、管理ユーザーを含むユーザー ID を [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) で管理することもできます。IAM Identity Center を使用して、ご自分のアカウントへのアクセスと、それらのアカウント内でのアクセス許可を管理することをお勧めします。外部 ID プロバイダーを使用している場合は、IAM Identity Center でユーザー ID のアクセス許可を設定することもできます。
プログラムによるアクセスと長期認証情報が設定された IAM ユーザーを必要とするユースケースの場合、必要に応じてアクセスキーを更新するための手順を策定することをお勧めします。詳細については、「[アクセスキーを更新する](id-credentials-access-keys-update.md)」を参照してください。
一部のアカウントおよびサービス管理タスクを実行するには、ルートユーザー認証情報を使用してログインする必要があります。ルートユーザーとしてサインインする必要があるタスクを確認するには、「[ルートユーザー認証情報が必要なタスク](id_root-user.md#root-user-tasks)」を参照してください。
## IAM ロールを使用できないワークロード用の IAM ユーザーを作成するには
**最小アクセス許可**
次の手順を実行するには、少なくとも以下のIAM アクセス許可が必要です。
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで **[ユーザー]**、**[ユーザーを作成]** の順に選択します。
1. **[ユーザーの詳細を指定]** ページで、以下の作業を行います。
1. [**User name**] に、***WorkloadName*** と入力します。**WorkloadName** を、アカウントを使用するワークロードの名前に置き換えます。
1. [**次へ**] を選択します。
1. (オプション) **[アクセス許可を設定]** ページで、以下を実行します。
1. **[ユーザーをグループに追加]** を選択します。
1. **[グループの作成]** を選択してください。
1. **[ユーザーグループを作成]** ダイアログボックスの **[ユーザーグループ名]** に、グループ内のワークロードの使用を表す名前を入力します。この例では、**Automation** という名前を使用します。
1. **[アクセス許可ポリシー]** で、**[PowerUserAccess]** 管理ポリシーのチェックボックスをオンにします。
**ヒント**
**[アクセス許可ポリシー]** の検索ボックスに Power と入力すると、管理ポリシーをすばやく見つけることができます。
1. **[ユーザーグループの作成]** を選択します。
1. IAM グループのリストがあるページに戻り、新しいユーザーグループのチェックボックスをオンにします。新しいユーザーグループがリストに表示されない場合は、[**Refresh (更新)**] を選択します。
1. [**次へ**] を選択します。
1. (オプション) **[タグ]** ページで、タグをキーと値のペアとしてアタッチして、メタデータをユーザーに追加します。詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
1. 新しいユーザーのユーザーグループメンバーシップを確認します。続行する準備ができたら、**[Create user]** (ユーザーの作成) を選択します。
1. ユーザーが正常に作成されたことを示すステータス通知が表示されます。**[ユーザーを表示]** を選択してユーザーの詳細ページに移動します。
1. **[セキュリティ認証情報]** タブを選択します。次に、ワークロードに必要な認証情報を作成します。
+ **アクセスキー** - **[アクセスキーを作成]** を選択して、ユーザーのアクセスキーを生成およびダウンロードします。
**重要**
シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。**このステップを行った後に、シークレットキーに再度アクセスすることはできません。**
+ **AWS CodeCommit の SSH パブリックキー** – ユーザーが SSH 経由で CodeCommit リポジトリと通信できるように、**[SSH パブリックキーのアップロード]** を選択して SSH パブリックキーをアップロードします。
+ **AWS CodeCommit の HTTPS Git 認証情報** - **[認証情報を生成]** を選択して、Git リポジトリで使用する一意のユーザー認証情報のセットを生成します。**[認証情報をダウンロード]** を選択して、ユーザー名とパスワードを .csv ファイルに保存します。この情報を利用できるのはこのときのみです。パスワードを忘れたり紛失したりした場合は、リセットする必要があります。
+ **Amazon Keyspaces (Apache Cassandra 向け) の認証情報** - **[認証情報を生成]** を選択して、AmazonKeyspaces で使用するサービス固有のユーザー認証情報を生成します。**[認証情報をダウンロード]** を選択して、ユーザー名とパスワードを .csv ファイルに保存します。この情報を利用できるのはこのときのみです。パスワードを忘れたり紛失したりした場合は、リセットする必要があります。
**重要**
サービス固有の認証情報は、特定の IAM ユーザーに関連付けられた長期の資格情報で、認証情報の作成時に対象としていたサービスにしか使用できません。IAM ロールまたはフェデレーテッドアイデンティティに対し、一時的な資格情報を使用してすべての AWS リソースにアクセスできるアクセス許可を付与するには、Amazon Keyspaces 用の SigV4 認証プラグインで AWS 認証を使用します。詳細については、「Amazon Keyspaces (Apache Cassandra 向け) デベロッパーガイド」の「[Using temporary credentials to connect to Amazon Keyspaces (for Apache Cassandra) using an IAM role and the SigV4 plugin](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM)」を参照してください。
+ **X.509 署名証明書** – セキュアな SOAP プロトコルリクエストを行う必要があり、AWS Certificate Manager でサポートされていないリージョンにある場合は、**[Create X.509 Certificate]** を選択します。ACM は、サーバー証明書をプロビジョン、管理、デプロイするための推奨ツールです。ACM の使用の詳細については、「[https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)」を参照してください。
プログラムによるアクセス権を持つユーザーを作成し、**PowerUserAccess** ジョブ関数で設定しました。このユーザーのアクセス許可ポリシーは、IAM と AWS Organizations を除くすべてのサービスへのフルアクセスを許可します。
ワークロードが IAM ロールを引き受けられない場合、同じプロセスを使用して、追加のワークロードに AWS アカウント リソースへのプログラムによるアクセスを許可できます。この手順では、**[PowerUserAccess]** 管理ポリシーを使用してアクセス許可を割り当てます。最小特権のベストプラクティスに従うには、より制限の厳しいポリシーを使用するか、プログラムに必要なリソースのみへのアクセスを制限するカスタムポリシーを作成することを検討してください。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「[AWS リソースの アクセス管理](access.md)」および「[IAM アイデンティティベースのポリシーの例](access_policies_examples.md)」を参照してください。グループの作成後に追加ユーザーグループを追加するには、「[IAM グループのユーザーを編集する](id_groups_manage_add-remove-users.md)」を参照してください。
------
#### [ AWS CLI ]
1. **Automation** という名前のユーザーを作成します。
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. IAM ユーザーグループを **AutomationGroup** という名前で作成し、そのグループに AWS マネージドポリシー `PowerUserAccess` をアタッチして、グループに **Automation** ユーザーを追加します。
**注記**
*AWS 管理ポリシー*は、AWS が作成および管理するスタンドアロンポリシーです。各ポリシーには、それぞれ独自の Amazon リソースネーム (ARN) (ポリシー名を含む) があります。たとえば、`arn:aws:iam::aws:policy/IAMReadOnlyAccess` は AWS 管理ポリシーです。ARN の詳細については、[IAM ARN](reference_identifiers.md#identifiers-arns)を参照してください。AWS のサービス に対する AWS マネージドポリシーのリストについては、「[AWS マネージドポリシー](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html)」を参照してください。
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) コマンドを実行して、**AutomationGroup** とそのメンバーをリストします。
```
aws iam get-group \
--group-name AutomationGroup
```
1. ワークロードに必要なセキュリティ認証情報を作成します。
+ **[テスト用にアクセスキーを作成]** – [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
このコマンドを出力すると、シークレットアクセスキーとアクセスキー ID が表示されます。この情報を記録して、安全な場所に保管します。こうした認証情報を紛失した場合は回復できないため、新たにアクセスキーを作成しなければなりません。
**重要**
こうした IAM ユーザーアクセスキーは長期認証情報であり、アカウントにとってはセキュリティリスクです。テストを完了したら、こうしたアクセスキーを削除することをお勧めします。アクセスキーを検討中という場合は、ワークロード IAM ユーザーで MFA を有効にできるかどうかを調べ、IAM アクセスキーを使用するのではなく、[aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) を使用してセッション用に一時的な認証情報を取得してください。
+ **[AWS CodeCommit 用に SSH パブリックキーをアップロード]** - [aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
以下の例では、SSH パブリックキーが `sshkey.pub` ファイルに保存されていることを前提としています。
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **[X.509 署名証明書をアップロード]** – [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
SOAP プロトコルによる安全なリクエストを行う必要があり、AWS Certificate Manager によってサポートされていないリージョンに所属している場合は、X.509 証明書をアップロードしてください。ACM は、サーバー証明書をプロビジョン、管理、デプロイするための推奨ツールです。ACM の使用の詳細については、「[https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)」を参照してください。
以下の例では、X.509 署名証明書が `certificate.pem` ファイルに保存されていることを前提としています。
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
ワークロードが IAM ロールを引き受けられない場合、同じプロセスを使用して、追加のワークロードに AWS アカウント リソースへのプログラムによるアクセスを許可できます。この手順では、**[PowerUserAccess]** 管理ポリシーを使用してアクセス許可を割り当てます。最小特権のベストプラクティスに従うには、より制限の厳しいポリシーを使用するか、プログラムに必要なリソースのみへのアクセスを制限するカスタムポリシーを作成することを検討してください。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「[AWS リソースの アクセス管理](access.md)」および「[IAM アイデンティティベースのポリシーの例](access_policies_examples.md)」を参照してください。グループの作成後に追加ユーザーグループを追加するには、「[IAM グループのユーザーを編集する](id_groups_manage_add-remove-users.md)」を参照してください。
------
# 多要素認証を ID に使用する
ID に多要素認証 (MFA) を使用することは、IAM のベスト プラクティスの 1 つです。MFA は、ID を検証するためにユーザー名とパスワードを指定した後でさらに別の認証要素を指定するようユーザーに求める、セキュリティ強化のレイヤーです。ユーザーのパスワードが侵害された場合でも、攻撃者が不正アクセスを仕掛けることがはるかに難しくなり、セキュリティが大幅に強化されます。MFA は、オンラインアカウントやクラウドサービスといった機密性が高いリソースへのアクセスを保護する際のベストプラクティスとして広く導入されています。AWS は、ルートユーザー、IAM ユーザー、IAM アイデンティティセンター内のユーザー、ビルダー ID、フェデレーションユーザーで MFA をサポートしています。セキュリティを強化するために、ユーザーがリソースにアクセスしたり特定のアクションを実行したりする前に MFA の設定を要求するポリシーを作成し、これらのポリシーを IAM ロールにアタッチできます。IAM Identity Center は、デフォルトで MFA がオンになっているように事前に設定されています。そのため、IAM Identity Center のすべてのユーザーは、ユーザー名とパスワードに加えて MFA でサインインする必要があります。
**注記**
すべての AWS アカウントタイプ (スタンドアロン、管理、メンバーアカウント) では、ルートユーザーに MFA を設定する必要があります。MFA がまだ有効になっていない場合、ユーザーは AWS マネジメントコンソールにアクセスする最初のサインイン試行から 35 日以内に MFA を登録する必要があります。
詳細については、「[IAM Identity Center で MFA を設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html)」と「[IAM の AWS 多要素認証](id_credentials_mfa.md)」を参照してください。
# 最小特権アクセス許可に備える
最小特権のアクセス許可の使用は、IAM のベストプラクティスの推奨事項です。最小特権アクセス許可のコンセプトは、タスクを実行するにあたり必要となるアクセス権限のみをユーザーに付与することです。設定したら、最小特権アクセス許可をどのようにサポートするかを検討してください。ルートユーザー、管理ユーザー、および緊急アクセス IAM ユーザーに、日常のタスクには必要ない強力なアクセス許可が設定されています。AWS について学び、さまざまなサービスをテストしている間は、IAM Identity Center で、異なるシナリオで使用できる、より少ないアクセス許可を持つ少なくとも 1 人の追加ユーザーを作成することをお勧めします。IAM ポリシーを使用して、特定の条件下で特定のリソースに対して実行できるアクションを定義し、より少ない特権アカウントでそれらのリソースに接続することができます。
IAM Identity Center を使用している場合は、IAM Identity Center の許可セットを使用して開始することを検討してください。詳細については、IAM Identity Center ユーザーガイドの「[権限セットの作成](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」を参照してください。
IAM Identity Center を使用しない場合は、IAM ロールを使用してさまざまな IAM エンティティにアクセス許可を定義します。詳細については[IAM ロールの作成](id_roles_create.md)を参照してください。
IAM ロールと IAM Identity Center 許可セットはどちらも、職務に基づく AWS 管理ポリシーを使用できます。これらのポリシーによって付与される許可の詳細については、「[AWSジョブ機能の 管理ポリシー](access_policies_job-functions.md)」を参照してください。
**重要**
AWS 管理ポリシーは、すべての AWS のユーザーが使用できるため、特定のユースケースに対して最小特権のアクセス許可が付与されない場合があることに留意してください。セットアップが完了したら、IAM Access Analyzer を使用して、AWS CloudTrail に記録しているアクセスアクティビティに基づいて、最小特権ポリシーを生成することをお勧めします。ポリシー生成の詳細については、「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
使い始めるときは、AWS マネージドポリシーを使用してアクセス許可を付与することをお勧めします。アクティビティの事前定義されたサンプル期間 (90 日間など) が経過したら、ユーザーとワークロードがアクセスしたサービスを確認できます。その後、AWS マネージドポリシーを置き換えるアクセス許可を減らした新しいカスタマー管理ポリシーを作成できます。新しいポリシーには、サンプル期間中にアクセスされたサービスのみを含める必要があります。AWS マネージドポリシーを削除して作成した新しいカスタマー管理ポリシーをアタッチするように、アクセス許可を更新します。
# AWS アカウントの最終アクセス時間情報を確認する
IAM のサービス最終アクセス情報を表示するには、IAM コンソール、AWS CLI、または AWS API を使用します。データ、必要なアクセス許可、トラブルシューティング、およびサポートされているリージョンに関する重要な情報については、「[最終アクセス情報を使用して AWS のアクセス許可を調整する](access_policies_last-accessed.md)」を参照してください。
IAM では、次の各タイプのリソースに関する情報を表示できます。いずれの場合も、情報には、指定された報告期間に許可されたサービスが含まれます。
+ **IAM ユーザー** – ユーザーが許可された各サービスへのアクセスを最後に試みた時間を表示します。
+ **IAM グループ** – IAM グループメンバーが許可された各サービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたメンバーの合計数も表示されます。
+ **IAM ロール** – 許可された各サービスにアクセスする際に、ユーザーが最後にロールを使用した時間を表示します。
+ **ポリシー** – ユーザーまたはロールが許可された各サービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたエンティティの合計数も表示されます。
**注記**
IAM のリソースに関するアクセス情報を表示する前に、情報のレポート期間、レポート対象のエンティティ、評価対象のポリシータイプをご確認ください。詳細については、[最終アクセス情報についての主要事項](access_policies_last-accessed.md#access_policies_last-accessed-know)を参照してください。
最終アクセス時間情報の詳細については、「[最終アクセス情報を使用して AWS のアクセス許可を調整する](access_policies_last-accessed.md)」を参照してください。
## AWS アカウントの最終アクセス時間情報を表示するには
------
#### [ Console ]
1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで、[**ユーザーグループ**]、[**ユーザー**]、[**ロール**]、または [**ポリシー**] を選択します。
1. 任意のユーザー、ユーザーグループ、ロール、またはポリシーの名前をクリックして、その**[概要]** ページを開き、**[最終アクセス]** タブを選択します。選択したリソースに基づき、次の情報を表示します。
+ **ユーザーグループ** – ユーザーグループメンバー (ユーザー) がアクセスできるサービスのリストを表示します。また、メンバーが最後にサービスにアクセスした日時、使用したユーザーグループポリシー、リクエストを行ったユーザーグループメンバーも表示できます。ポリシーの名前を選択して、ポリシーが管理ポリシーかインラインユーザーグループポリシーかを確認します。ユーザーグループメンバーの名前を選択して、ユーザーグループのすべてのメンバーと、サービスへの最終アクセス時間を選択します。
+ **ユーザー** – ユーザーがアクセスできるサービスのリストを表示します。また、最後にサービスにアクセスした日時と現在ユーザーに関連付けられているポリシーも表示できます。ポリシーの名前を選択して、そのポリシーが管理ポリシー、インラインユーザーポリシー、ユーザーグループのインラインポリシーのいずれであるかを確認します。
+ **ロール** – ロールでアクセスできるサービス、サービスへのロールの最終アクセス時間、および使用したポリシーのリストを表示します。ポリシーの名前を選択して、ポリシーが管理ポリシーかインラインロールポリシーかを確認します。
+ **ポリシー** – ポリシーで許可されたアクションを含むサービスのリストを表示します。また、サービスにアクセスするために最後にポリシーが使用された日時と、ポリシーを使用したエンティティ (ユーザーまたはロール) も表示できます。**最終アクセス日**には、別のポリシーを通じてこのポリシーへのアクセスが許可された日付も含まれます。エンティティの名前を選択して、このポリシーがアタッチされているエンティティや、サービスへの最終アクセス時間を確認します。
1. テーブルの **[サービス]** 列で、[アクションの最終アクセス情報を含むサービス](access_policies_last-accessed-action-last-accessed.md)の名前のいずれかを選択し、IAM エンティティがアクセスしようとした管理アクションのリストを表示します。AWS リージョン と、ユーザーが最後にアクションを実行しようとした日時を示すタイムスタンプを表示できます。
1. **[最終アクセス日]** の列は、[アクションの最終アクセス情報を含むサービスとサービスの管理アクションに表示されます](access_policies_last-accessed-action-last-accessed.md)。この列で返される可能性のある次の結果を確認します。これらの結果は、サービスやアクションが許可されているかどうか、アクセスされたかどうか、および最終アクセス情報が AWS によって追跡されているかどうかによって異なります。
**<数値> 日前**
追跡期間中にサービスまたはアクションが使用されてから経過した日数。サービスの追跡期間は、過去 400 日間です。Amazon S3 アクションの追跡期間は、2020 年 4 月 12 日に開始しました。Amazon EC2 IAM および Lambda アクションの追跡期間は、2021 年 4 月 7 日に開始しました。その他すべてのサービスの追跡期間は 2023 年 5 月 23 日に開始されました。各 AWS リージョン の追跡開始日の詳細については、「[AWS が最終アクセス情報を追跡する場所](access_policies_last-accessed.md#last-accessed_tracking-period)」を参照してください。
**追跡期間内にアクセスがない**
追跡対象のサービスまたはアクションが、追跡期間中にエンティティによって使用されていません。
リストに表示されないアクションに対するアクセス許可を持っている可能性があります。これは、アクションの追跡情報が現在 AWS に含められていない場合に発生することがあります。追跡情報がないことだけに基づいてアクセス許可を決定しないでください。代わりに、この情報を使用して、最小限の権限を付与するという全体的な戦略を通知し、サポートすることをお勧めします。ポリシーをチェックして、アクセスレベルが適切であることを確認します。
------
#### [ AWS CLI ]
AWS CLI を使用すると、AWS サービスと Amazon S3、Amazon EC2、IAM、Lambda アクションへのアクセスを試行するために AWS アカウントの IAM リソースが最後に使用された時刻に関する情報を取得できます。IAM リソースには、ユーザー、ユーザーグループ、ロール、またはポリシーを選択できます。
+ AWS アカウント内の IAM リソースのレポートを生成します。レポートで必要な IAM がリクエストに含まれている必要があります。 リソース (ユーザー、ユーザーグループ、ロール、またはポリシー) の ARN がリクエストに含まれている必要があります。レポートで生成する粒度レベルを指定して、いずれかのサービス、またはサービスとアクションの両方のアクセスの詳細を表示できます。リクエストにより `job-id` が返されます。これを使用して、`get-service-last-accessed-details` および `get-service-last-accessed-details-with-entities` オペレーションを使用して、ジョブが完了するまで、`job-status` をモニタリングできます。
+ [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)
1. 前のステップの `job-id` パラメータを使用して、レポートに関する詳細を取得します。
+ [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)
このオペレーションでは、`generate-service-last-accessed-details` オペレーションでリクエストしたリソースのタイプと粒度レベルに基づき、次の情報が返されます。
+ **ユーザー** – 指定したユーザーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ユーザーが最後に試行した日時とユーザーの ARN を返します。
+ **ユーザーグループ** — 指定したユーザーグループのメンバーがアクセスできるサービスのリストを返します。このユーザーグループにアタッチされたポリシーを使用して、サービスのリストを返します。サービスごとに、オペレーションは、ユーザーグループメンバーが最後に試行した日時を返します。また、そのユーザーの ARN と、サービスにアクセスしようとしたユーザーグループメンバーの合計数も返ります。[GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) オペレーションを使用して、すべてのメンバーのリストを取得します。
+ **ロール** – 指定したロールがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ロールが最後に試行した日時とロールの ARN を返します。
+ **ポリシー** – 指定されたポリシーがアクセスを許可するサービスのリストを返します。各サービスについて、オペレーションは、エンティティ (ユーザーまたはロール) が最後にポリシーを使用してサービスにアクセスしようとした日時を返します。また、そのエンティティの ARN とアクセスを試みたエンティティの合計数も返ります。
1. 特定のサービスにアクセスするためにユーザーグループまたはポリシーのアクセス許可を使用したエンティティについて説明します。このオペレーションは、各エンティティの ARN、ID、名前、パス、タイプ (ユーザーまたはロール)、および最後にサービスにアクセスしようとしたエンティティのリストを返します。このオペレーションは、ユーザーとロールに対しても使用できますが、そのエンティティに関する情報のみが返ります。
+ [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)
1. 特定のサービスにアクセスする際にアイデンティティ (ユーザー、ユーザーグループ、またはロール) が使用したアイデンティティベースのポリシーについて説明します。アイデンティティとサービスを指定すると、このオペレーションは、アイデンティティが指定されたサービスにアクセスするために使用できるアクセス許可ポリシーのリストを返します。このオペレーションは、ポリシーの現在の状態を示し、生成されたレポートには依存しません。また、他のポリシータイプ (例: リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、セッションポリシー) は返されません。詳細については「[ポリシータイプ](access_policies.md#access_policy-types)」または「[単一のアカウント内のリクエストのポリシー評価](reference_policies_evaluation-logic_policy-eval-basics.md)」を参照してください。
+ [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)
------
#### [ API ]
AWS APIを使用して、IAMリソースが AWS サービスおよび Amazon S3、Amazon EC2、IAM、Lambda アクションへのアクセスを試行するために最後に使用された時刻に関する情報を取得できます。IAM リソースには、ユーザー、ユーザーグループ、ロール、またはポリシーを選択できます。レポートで生成する粒度レベルを指定して、いずれかのサービス、またはサービスとアクションの両方の詳細を表示できます。
1. レポートを生成します。レポートで必要な IAM リソース (ユーザー、グループ、ロール、またはポリシー) の ARN がリクエストに含まれている必要があります。`JobId` が返ります。これを使用して、`GetServiceLastAccessedDetails` および `GetServiceLastAccessedDetailsWithEntities` オペレーションを使用して、ジョブが完了するまで、`JobStatus` をモニタリングできます。
+ [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)
1. 前のステップの `JobId` パラメータを使用して、レポートに関する詳細を取得します。
+ [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)
このオペレーションでは、`GenerateServiceLastAccessedDetails` オペレーションでリクエストしたリソースのタイプと粒度レベルに基づき、次の情報が返されます。
+ **ユーザー** – 指定したユーザーがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ユーザーが最後に試行した日時とユーザーの ARN を返します。
+ **ユーザーグループ** — 指定したユーザーグループのメンバーがアクセスできるサービスのリストを返します。このユーザーグループにアタッチされたポリシーを使用して、サービスのリストを返します。サービスごとに、オペレーションは、ユーザーグループメンバーが最後に試行した日時を返します。また、そのユーザーの ARN と、サービスにアクセスしようとしたユーザーグループメンバーの合計数も返ります。[GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) オペレーションを使用して、すべてのメンバーのリストを取得します。
+ **ロール** – 指定したロールがアクセスできるサービスのリストを返します。サービスごとに、オペレーションは、ロールが最後に試行した日時とロールの ARN を返します。
+ **ポリシー** – 指定されたポリシーがアクセスを許可するサービスのリストを返します。各サービスについて、オペレーションは、エンティティ (ユーザーまたはロール) が最後にポリシーを使用してサービスにアクセスしようとした日時を返します。また、そのエンティティの ARN とアクセスを試みたエンティティの合計数も返ります。
1. 特定のサービスにアクセスするためにユーザーグループまたはポリシーのアクセス許可を使用したエンティティについて説明します。このオペレーションは、各エンティティの ARN、ID、名前、パス、タイプ (ユーザーまたはロール)、および最後にサービスにアクセスしようとしたエンティティのリストを返します。このオペレーションは、ユーザーとロールに対しても使用できますが、そのエンティティに関する情報のみが返ります。
+ [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)
1. 特定のサービスにアクセスする際にアイデンティティ (ユーザー、ユーザーグループ、またはロール) が使用したアイデンティティベースのポリシーについて説明します。アイデンティティとサービスを指定すると、このオペレーションは、アイデンティティが指定されたサービスにアクセスするために使用できるアクセス許可ポリシーのリストを返します。このオペレーションは、ポリシーの現在の状態を示し、生成されたレポートには依存しません。また、他のポリシータイプ (例: リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、セッションポリシー) は返されません。詳細については「[ポリシータイプ](access_policies.md#access_policy-types)」または「[単一のアカウント内のリクエストのポリシー評価](reference_policies_evaluation-logic_policy-eval-basics.md)」を参照してください。
+ [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)
------
# アクセスアクティビティに基づいてポリシーを生成する
AWS CloudTrail に記録された IAM ユーザーまたは IAM ロールのアクセスアクティビティを使用すると、IAM Access Analyzer はカスタマー管理ポリシーを生成して、特定のユーザーとロールが必要とするサービスに対してのみアクセスを許可できます。
IAM Access Analyzer が IAM ポリシーを生成したとき、ポリシーをさらにカスタマイズするための情報を返します。ポリシーが生成されたとき、次の 2 つのカテゴリの情報を返すことができます。
+ **アクションレベルの情報を持つポリシー** – Amazon EC2 など一部の AWS サービスでは、IAM Access Analyzer によって、CloudTrail イベント内のアクションを識別し、生成されたポリシーで使用されるアクションを一覧表示することができます。サポートされているサービスのリストについては、「[IAM Access Analyzer のポリシー生成サービス](access-analyzer-policy-generation-action-last-accessed-support.md)」を参照してください。一部のサービスでは、IAM Access Analyzer によって、生成されたポリシーにサービスのアクションを追加するように求められます。
+ **サービスレベル情報を持つポリシー– **IAM Access Analyzer は[最終アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)情報を使用して、最近使用したすべてのサービスを含むポリシーテンプレートを作成します。AWS マネジメントコンソール を使用する場合、サービスを確認し、ポリシーを完了するためのアクションを追加するよう求められます。
## アクセスアクティビティに基づいてポリシーを生成するには
以下の手順では、ロールに付与されるアクセス許可をユーザーの使用状況に合わせて削減します。ユーザーを選択するときは、使用状況がロールの特徴をよく表しているユーザーを選択してください。お客様がよく使用する手順は、テストユーザーアカウントを **PowerUser** アクセス許可付きで設定し、特定のタスクセットを短期間実行して、そうしたタスクを実行するためにはどのようなアクセス権が必要になるかを確認するというものです。
------
#### [ Console ]
1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで、**[ユーザー]** を選択し、ユーザー名を選択してユーザーの詳細ページに移動します。
1. **[アクセス許可]** タブの [CloudTrail イベントに基づいてポリシーを生成] セクションで、**[ポリシーを生成]** を選択します。
1. **[ポリシーを生成]** ページで、次の項目を設定します。
+ **[期間を選択]** で、**[過去 7 日間]** を選択します。
+ **CloudTrail 証跡を分析する**には、このユーザーのアクティビティが記録されるリージョンと証跡を選択します。
+ **[新しいサービスロールの作成と使用]** を選択します。
1. **[ポリシーの生成]** を選択し、ロールが作成されるまで待ちます。**[ポリシーの生成が進行中]** の通知メッセージが表示されるまで、コンソールページを更新したり、コンソールページから移動したりしないでください。
1. ポリシーが生成されたら、そのポリシーを確認し、必要に応じてリソースのアカウント ID と ARN でカスタマイズする必要があります。また、自動生成されたポリシーには、ポリシーを完了するために必要なアクションレベルの情報が含まれないことがあります。詳細については、「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
例えば、Amazon EC2 および Amazon S3 アクションのみ許可するように、`Allow` 効果と `NotAction` 要素を含む最初のステートメントを編集します。そのためには、`FullAccessToSomeServices` ID を含むステートメントと置き換えます。新しいポリシーは、次のサンプルポリシーのようになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessToSomeServices",
"Effect": "Allow",
"Action": [
"ec2:*",
"s3:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:DeleteServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
1. [最小限の特権を認める](best-practices.md#grant-least-privilege)ベストプラクティスをサポートするには、[ポリシーの検証](access_policies_policy-validator.md)中に返されたすべてのエラー、警告、または提案を確認して修正します。
1. ポリシーのアクセス許可を特定のアクションやリソースに制限するには、CloudTrail の [**イベント履歴**] でイベントを確認します。ここでは、ユーザーがアクセスした特定のアクションおよびリソースに関する詳細情報を表示できます。詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html)の *CloudTrail Console での CloudTrail イベントの表示*を参照してください。
1. ポリシーを確認して検証したら、わかりやすい名前を付けて保存します。
1. **[ロール]** ページに移動し、新しいポリシーで許可されたタスクを実行する場合に引き受けるロールを選択します。
1. **[アクセス許可]** タブで、**[アクセス許可を追加]**、**[ポリシーをアタッチ]** の順に選択します。
1. **[アクセス許可ポリシーのアタッチ]** ページの **[その他の許可ポリシー]** リストで、作成したポリシーを選択し、**[ポリシーをアタッチ]** を選択します。
1. **[ロール]** 詳細ページに戻ります。ロールにアタッチされたポリシーが 2 つあります。**PowerUserAccess** など以前からある AWS マネージドポリシーと、自分で作成した新しいポリシーです。AWS マネージドポリシーのチェックボックスをオンにし、**[削除]** を選択します。削除の確認を求めるメッセージが表示されたら、**[削除]** を選択します。
作成した新たなポリシーにより、このロールを引き受ける IAM ユーザー、SAML および OIDC のフェデレーティッドプリンシパル、ワークロードのアクセス権が減少されました。
------
#### [ AWS CLI ]
次のコマンドを使用して、AWS CLI を使用したポリシーを生成できます。
**ポリシーを生成するには**
+ [aws accessanalyzer start-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html)
**生成されたポリシーを表示するには**
+ [aws accessanalyzer get-generated-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html)
**ポリシー生成要求を取り消すには**
+ [aws accessanalyzer cancel-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html)
**ポリシー生成要求のリストを表示するには**
+ [aws accessanalyzer list-policy-generations](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html)
------
#### [ API ]
以下のオペレーションを使用して、AWS API を使用したポリシーの生成ができます。
**ポリシーを生成するには**
+ [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html)
**生成されたポリシーを表示するには**
+ [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html)
**ポリシー生成要求を取り消すには**
+ [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html)
**ポリシー生成要求のリストを表示するには**
+ [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html)
------
# 検索を使用して IAM リソースを探す
アクセス検出結果を調べる場合、IAM コンソールの検索ページを使用すると、他の方法よりも迅速に IAM リソースを見つけることができます。部分的なリソース名または ARN を使用してリソースを検索できます。
------
#### [ Console ]
IAM コンソールの検索機能では、以下のいずれかを見つけることができます。
+ 検索キーワードに一致する IAM エンティティ名 (ユーザー、グループ、ロール、ID プロバイダー、およびポリシーが対象)
+ 検索キーワードに一致するタスク
IAM コンソール検索機能では、IAM Access に関する情報は返されません。
検索結果のすべての行は、有効なリンクです。たとえば、検索結果でユーザー名を選択すると、ユーザーの詳細ページに移動することができます。または、[**ユーザーの作成**] などのアクションリンクを選択して、[**ユーザーの作成**] ページに移動できます。
**注記**
アクセスキーの検索では、検索ボックスに完全なアクセスキー ID を入力する必要があります。検索結果には、そのキーに関連付けられたユーザーが表示されます。ここからは、そのユーザーのページに直接移動してユーザーのアクセスキーを管理することができます。
IAM コンソールの [**Search (検索)**] ページを使用して、そのアカウントに関連する項目を見つけます。
**IAM コンソールで項目を検索するには**
1. AWS サインインユーザーガイドの「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。**
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで、**[検索]** を選択します。
1. [**検索**] ボックスに検索キーワードを入力します。
1. 検索結果リストのリンクを選択すると、コンソールの該当する部分に移動します。
次のアイコンにより、検索によって見つかった項目のタイプがわかります。
****
| アイコン | 説明 |
| --- | --- |
| ![\[a portrait outline on gray background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_user.png) | IAM ユーザー |
| ![\[multiple portrait outlines on a blue background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_group.png) | IAM グループ |
| ![\[a magic wand icon on a navy background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_role.png) | IAM ロール |
| ![\[a document icon on an organe background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_policy.png) | IAM ポリシー |
| ![\[a white start on an organe background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_action.png) | "ユーザーの作成"、"ポリシーのアタッチ" などのタスク |
| ![\[a white X on a red background\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/search_delete.png) | キーワード delete の結果 |
**サンプルの検索語句**
IAM 検索で次の語句を使用できます。斜体の用語は、検索する実際の IAM ユーザー、グループ、ロール、アクセスキー、ポリシー、または ID プロバイダーの名前と置き換えます。
+ ***user\$1name*** または ***group\$1name* ** または ***role\$1name*** または ***policy\$1name*** または ***identity\$1provider\$1name***
+ ***access\$1key***
+ **add user *user\$1name* to groups**、または **add users to group *group\$1name***
+ **remove user *user\$1name* from groups**
+ **delete *user\$1name*** または **delete *group\$1name***、あるいは **delete *role\$1name***、あるいは **delete *policy\$1name***、あるいは **delete *identity\$1provider\$1name***
+ **manage access keys *user\$1name***
+ **manage signing certificates *user\$1name***
+ **users**
+ **manage MFA for *user\$1name***
+ **manage password for *user\$1name***
+ **create role**
+ **password policy**
+ **edit trust policy for role *role\$1name***
+ **show policy document for role *role\$1name***
+ **attach policy to *role\$1name***
+ **create managed policy**
+ **create user**
+ **create group**
+ **attach policy to *group\$1name***
+ **attach entities to *policy\$1name***
+ **detach entities from *policy\$1name***
------