# IAM チュートリアル: はじめてのカスタマー管理ポリシーの作成とアタッチ
<a name="tutorial_managed-policies"></a>

このチュートリアルでは、AWS マネジメントコンソール を使用して[カスタマー管理ポリシー](access_policies_managed-vs-inline.md#customer-managed-policies)を作成し、AWS アカウント のすべての IAM ユーザーにアタッチします。作成するポリシーでは、IAM テストユーザーに、AWS マネジメントコンソール に直接サインインする読み取り専用アクセス許可を付与します。

このワークフローに 3 つの基本的なステップがあります:

**[ステップ 1: ポリシーを作成する](#step1-create-policy)**  
デフォルトでは IAM ユーザーにはアクセス許可はありません。ユーザーは許可されるまで、AWS マネジメントコンソールにアクセスしたり、その中のデータを管理したりすることはできません。このステップでは、アタッチされたユーザーにコンソールへのサインインを許可するカスタマー管理ポリシーを作成します。

**[ステップ 2: ポリシーのアタッチ](#step2-attach-policy)**  
ユーザーにポリシーをアタッチする場合、ユーザーはポリシーに関連付けられているすべてのアクセス権限を継承します。このステップでは、テストユーザーに新しいポリシーをアタッチします。

**[ステップ 3: ユーザーアクセスのテスト](#step3-test-access)**  
ポリシーがアタッチされると、ユーザーとしてサインインし、ポリシーをテストできます。

## 前提条件
<a name="tutorial-managed-policies-prereqs"></a>

このチュートリアルのステップを実行するには、以下を持っている必要があります:
+ 管理者アクセス許可を持つ IAM ユーザーとしてサインインできる AWS アカウント。
+ 以下のような権限またはメンバーシップが割り当てられていないテスト IAM ユーザー。  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/tutorial_managed-policies.html)

## ステップ 1: ポリシーを作成する
<a name="step1-create-policy"></a>

このステップで作成するカスタマー管理ポリシーでは、アタッチされたユーザーに、AWS マネジメントコンソール にサインインして IAM データにアクセスする読み取り専用アクセス許可を付与します。

**テストユーザーのポリシーを作成するには**

1. 管理者権限を持つユーザーを使用して、[https：//console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)で IAM コンソールにサインインします。

1. ナビゲーションペインで、**ポリシー** を選択してください。

1. コンテンツペインで、[**ポリシーの作成**] を選択します。

1. [**JSON**] オプションを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキストを **[JSON]** ボックスに貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [ {
           "Effect": "Allow",
           "Action": [
               "iam:GenerateCredentialReport",
               "iam:Get*",
               "iam:List*"
           ],
           "Resource": "*"
       } ]
   }
   ```

------

1.  [ポリシーの検証](access_policies_policy-validator.md)中に生成されたセキュリティ警告、エラー、または一般警告をすべて解決してから、**[次へ]** を選択します。
**注記**  
いつでも [**Visual**] と [**JSON**] エディタオプションを切り替えることができます。ただし、[**Visual editor**] タブで [**Review policy**] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。

1. **[確認および作成]** ページで、ポリシー名として「**UsersReadOnlyAccessToIAMConsole**」と入力します。ポリシーによって割り当てられたアクセス許可を確認し、[**ポリシーの作成**] を選択して作業を保存します。

   新しいポリシーが管理ポリシーの一覧に表示され､アタッチの準備ができます。

## ステップ 2: ポリシーのアタッチ
<a name="step2-attach-policy"></a>

次に、作成したポリシーをテスト IAM ユーザーにアタッチします。

**テストユーザーにポリシーをアタッチするには**

1. IAM コンソールのナビゲーションペインから、[**ポリシー**] を選択します。

1. ポリシーリストの上部にある検索ボックスに、ポリシーが表示されるまで「**UsersReadOnlyAccesstoIAMConsole**」と入力します。次に、リストの [**UsersReadOnlyAccessToIAMConsole**] の横にあるラジオボタンをオンにします。

1. **[Actions]** (アクション) ボタンを選択して、**[Attach]** (アタッチ) を選択します。

1. IAM エンティティでは、**ユーザー**をフィルタリングするオプションを選択します。

1. 検索ボックスで、そのユーザーがリストに表示されるまで「**PolicyUser**」と入力します。次に、リスト内のそのユーザーの横にあるチェックボックスをオンにします。

1. **[Attach policy]** (ポリシーのアタッチ) を選択します。

これで IAM テストユーザーにポリシーがアタッチされました。これは、ユーザーが読み取り専用アクセス許可で IAM コンソールにアクセスできることを意味します。

## ステップ 3: ユーザーアクセスのテスト
<a name="step3-test-access"></a>

このチュートリアルでは、テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。

**テストユーザーにサインインしてアクセスをテストするには**

1. `PolicyUser` テストユーザーを使用して、[https：//console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)で IAM コンソールにサインインします。

1. コンソールのページを参照して、新しいユーザーまたはグループを作成します。`PolicyUser` はデータを表示できますが、IAM データを作成したり既存のデータを変更したりできなくなっています。

## 関連リソース
<a name="tutorial-managed-policies-addl-resources"></a>

関連情報については、以下のリソースを参照してください。
+ [管理ポリシーとインラインポリシー](access_policies_managed-vs-inline.md)
+ [AWS マネジメントコンソール への IAM ユーザーアクセスを制御する](console_controlling-access.md)

## 概要
<a name="tutorial-managed-policies-summary"></a>

これで、カスタマー管理ポリシーを作成してアタッチするために必要なすべてのステップが完了しました。その結果、テストアカウントで IAM コンソールにサインインして、ユーザーのエクスペリエンスがどのように表示されるかを確認できます。