このチュートリアルでは、AWS Management Console を使用してカスタマー管理ポリシーを作成し、AWS アカウント のすべての IAM ユーザーにアタッチします。作成するポリシーでは、IAM テストユーザーに、AWS Management Console に直接サインインする読み取り専用アクセス許可を付与します。
このワークフローに 3 つの基本的なステップがあります:
- ステップ 1: ポリシーを作成する
-
デフォルトでは IAM ユーザーにはアクセス許可はありません。ユーザーは許可されるまで、AWS マネジメントコンソールにアクセスしたり、その中のデータを管理したりすることはできません。このステップでは、アタッチされたユーザーにコンソールへのサインインを許可するカスタマー管理ポリシーを作成します。
- ステップ 2: ポリシーのアタッチ
-
ユーザーにポリシーをアタッチする場合、ユーザーはポリシーに関連付けられているすべてのアクセス権限を継承します。このステップでは、テストユーザーに新しいポリシーをアタッチします。
- ステップ 3: ユーザーアクセスのテスト
-
ポリシーがアタッチされると、ユーザーとしてサインインし、ポリシーをテストできます。
前提条件
このチュートリアルのステップを実行するには、以下を持っている必要があります:
-
管理者アクセス許可を持つ IAM ユーザーとしてサインインできる AWS アカウント。
-
以下のような権限またはメンバーシップが割り当てられていないテスト IAM ユーザー。
[ユーザーネーム] グループ アクセス許可 PolicyUser <なし> <なし>
ステップ 1: ポリシーを作成する
このステップで作成するカスタマー管理ポリシーでは、アタッチされたユーザーに、AWS Management Console にサインインして IAM データにアクセスする読み取り専用アクセス許可を付与します。
テストユーザーのポリシーを作成するには
-
管理者権限を持つユーザーを使用して、https://console.aws.amazon.com/iam/
で IAM コンソールにサインインします。 -
ナビゲーションペインで、ポリシー を選択します。
-
コンテンツペインで、[ポリシーの作成] を選択します。
-
[JSON] オプションを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキストを [JSON] ボックスに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
-
ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。
注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual editor] タブで [Review policy] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。
-
[確認および作成] ページで、ポリシー名として「
UsersReadOnlyAccessToIAMConsole
」と入力します。ポリシーによって割り当てられたアクセス許可を確認し、[ポリシーの作成] を選択して作業を保存します。新しいポリシーが管理ポリシーの一覧に表示され、アタッチの準備ができます。
ステップ 2: ポリシーのアタッチ
次に、作成したポリシーをテスト IAM ユーザーにアタッチします。
テストユーザーにポリシーをアタッチするには
-
IAM コンソールのナビゲーションペインから、[ポリシー] を選択します。
-
ポリシーリストの上部にある検索ボックスに、ポリシーが表示されるまで「
UsersReadOnlyAccesstoIAMConsole
」と入力します。次に、リストの [UsersReadOnlyAccessToIAMConsole] の横にあるラジオボタンをオンにします。 -
[Actions] (アクション) ボタンを選択して、[Attach] (アタッチ) を選択します。
-
IAM エンティティでは、ユーザーをフィルタリングするオプションを選択します。
-
検索ボックスで、そのユーザーがリストに表示されるまで「
PolicyUser
」と入力します。次に、リスト内のそのユーザーの横にあるチェックボックスをオンにします。 -
Attach policy] (ポリシーのアタッチ) を選択します。
これで IAM テストユーザーにポリシーがアタッチされました。これは、ユーザーが読み取り専用アクセス許可で IAM コンソールにアクセスできることを意味します。
ステップ 3: ユーザーアクセスのテスト
このチュートリアルでは、テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。
テストユーザーにサインインしてアクセスをテストするには
-
PolicyUser
テストユーザーを使用して、https://console.aws.amazon.com/iam/で IAM コンソールにサインインします。 -
コンソールのページを参照して、新しいユーザーまたはグループを作成します。
PolicyUser
はデータを表示できますが、IAM データを作成したり既存のデータを変更したりできなくなっています。
関連リソース
関連情報については、以下のリソースを参照してください。
[概要]
これで、カスタマー管理ポリシーを作成してアタッチするために必要なすべてのステップが完了しました。その結果、テストアカウントで IAM コンソールにサインインして、ユーザーのエクスペリエンスがどのように表示されるかを確認できます。