Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

一時的なセキュリティ認証情報を作成するためのアクセス権限の付与

PDF
RSS
フォーカスモード
一時的なセキュリティ認証情報を作成するためのアクセス権限の付与 - AWS Identity and Access Management

デフォルトで、IAM ユーザーには、フェデレーティッドユーザーおよびロールの一時的なセキュリティ認証情報を作成するアクセス許可がありません。ユーザーに上記の権限を提供するポリシーを使用する必要があります。ユーザーに直接アクセス権限を付与できますが、アクセス権限はグループに付与することを強くお勧めします。これによって、アクセス権限の管理が容易になります。ユーザーがアクセス権限に関連付けられているタスクを実行する必要がなくなった場合には、そのユーザーをグループから削除するだけです。他のユーザーがそのタスクを実行する必要がある場合には、そのユーザーをグループに追加して、アクセス権限を付与します。

フェデレーテッドユーザーまたはロールの一時的なセキュリティ認証情報を作成するアクセス許可を IAM グループに付与するには、次の権限の少なくとも 1 つを付与するポリシーをアタッチします。

  • IAM ロールにアクセスするフェデレーティッドユーザーには、 AWS STS AssumeRole に対するアクセス許可を付与します。

  • ロールを必要としないフェデレーティッドユーザーには、AWS STS GetFederationToken に対するアクセス許可を付与します。

AssumeRole および GetFederationToken の API オペレーションの違いの詳細については、「一時的なセキュリティ認証情報をリクエストする」を参照してください。

また、IAM ユーザーは、一時的なセキュリティ認証情報を作成するために GetSessionToken を呼び出すこともできます。ユーザーが GetSessionToken を呼び出すためには、アクセス権限を必要としません。このオペレーションの目的は、MFA を使用してユーザーを認証することです。認証を制御するためにポリシーを使用することはできません。つまり、IAM ユーザーが GetSessionToken を呼び出して、一時的な認証情報を作成することを回避することはできません。

例 ロールを引き受けるアクセス許可を付与するポリシー

以下のポリシーの例では、AWS アカウント 123123123123UpdateApp ロールに対して AssumeRole を呼び出すアクセス許可が与えられます。AssumeRole を使用する場合、フェデレーティッドユーザーの代わりにセキュリティ認証情報を作成するユーザー (またはアプリケーション) は、ロールのアクセス許可ポリシーに指定されていないあらゆるアクセス許可を委任することができません。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123123123123:role/UpdateAPP"
  }]
}
例 フェデレーティッドユーザーの一時的なセキュリティ認証情報を作成するアクセス権限を付与するポリシーの例

次のポリシーの例では、GetFederationToken にアクセスできるアクセス許可が付与されます。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": "*"
  }]
}
重要

GetFederationToken を使用して、IAM ユーザーにアクセス権限を与えてフェデレーティッドユーザーの一時的なセキュリティ認証情報を作成する場合は、この権限によってユーザーは自身の権限を委任できるようになることに注意してください。IAM ユーザーや AWS アカウント へのアクセス許可の委任については、「アクセス権を委任するポリシーの例」を参照してください。一時的なセキュリティ認証情報のアクセス許可を制御する方法の詳細については、「一時的なセキュリティ認証情報のアクセス許可」を参照してください。

例 フェデレーティッドユーザーの一時的セキュリティ認証情報を作成するユーザーを限定するアクセス許可を付与するポリシーの例

IAM ユーザーが GetFederationToken 呼び出しをできるようにする場合、IAM ユーザーに委任できる権限を制限することがベストプラクティスです。たとえば、次のポリシーは、名前が Manager で始まるフェデレーティッドユーザーの場合にのみ、IAM ユーザーに一時的なセキュリティ認証情報の作成を許可する方法を示しています。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"]
  }]
}

Related resources

AWS Identity and Access Management API リファレンス
AWS Identity and Access Management の AWS CLI コマンド
SDK とツール 

Related resources

AWS Identity and Access Management API リファレンス
AWS Identity and Access Management の AWS CLI コマンド
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.