ジョブ関数の権限セットを作成する - AWS IAM Identity Center
最小特権権のアクセス許可を適用するアクセス許可セットを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ジョブ関数の権限セットを作成する

権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウントに対するアクセスのレベルを定義します。最初に作成するアクセス許可セットは管理許可セットです。IAM Identity Center アイデンティティソースのチュートリアル のいずれかを完了した場合は、管理許可セットは作成済みです。「IAM ユーザーガイド」の「職務機能のAWS マネージドポリシー」のトピックで説明されているように、この手順を使用してアクセス許可セットを作成します。

  1. 以下のいずれかを行って、 AWS Management Consoleにサインインします。

    • 新規 AWS (ルートユーザー)ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

    • 既に AWS (IAM 認証情報) を使用 – 管理者権限を持つ IAM 認証情報を使用してサインインします。

  2. IAM Identity Center コンソール を開きます。

  3. IAM Identity Center のナビゲーションペインの [マルチアカウント権限] で、[アクセス権限セット] を選択します。

  4. [Create permission set] (アクセス権限セットの作成) を選択します。

    1. [アクセス権限セットタイプの選択] ページの [アクセス権限セットタイプ] セクションで、[定義済みのアクセス権限セット] を選択します。

    2. [事前定義された許可セットのポリシー] セクションで、次のいずれかを選択します。

      • AdministratorAccess

      • 請求

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. [アクセス権限セットの詳細を指定] ページでは、デフォルト設定のまま [次へ] を選択します。デフォルト設定では、セッションは 1 時間に制限されています。

  6. [確認と作成] ページで、次のことを確認します。

    1. ステップ 1: 権限セットタイプを選択する では、選択した権限セットのタイプを表示します。

    2. ステップ 2: 権限セットの詳細を定義する では、選択した権限セットの名前を表示します。

    3. [Create] (作成) を選択します。

最小特権権のアクセス許可を適用するアクセス許可セットを作成する

最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAM Access Analyzer を実行して、 AWS マネージドポリシーを持つプリンシパルをモニタリングできます。どのアクセス許可を使用しているかがわかったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成します。

IAM Identity Center を使用すると、同じユーザーに複数のアクセス権限セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。これにより、常に管理アクセス許可を使用するのではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。

例えば、開発者の場合、IAM アイデンティティセンターで管理ユーザーを作成した後に、PowerUserAccess アクセス許可を付与する新しいアクセス許可セットを作成し、そのアクセス許可セットを自身に割り当てることができます。AdministratorAccess 権限を使用する管理者権限セットとは異なり、PowerUserAccess 権限セットでは IAM ユーザーとグループの管理はできません。 AWS アクセスポータルにサインインして AWS アカウントにアクセスする場合、 PowerUserAccessではなく を選択してアカウントで開発タスクAdministratorAccessを実行できます。

次の考慮事項に注意が必要です。

  • より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。

    事前定義されたアクセス許可を使用する事前定義されたアクセス許可セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通の職務機能に対するアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。

  • アクセス権限セットのセッション期間を構成して、ユーザーが AWS アカウントにサインインしている時間を制御できます。

    ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソールまたは コマンドラインインターフェイス (AWS CLI) AWS を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、 セッションから AWS ユーザーをサインアウト AWS アカウント するまでにユーザーが にサインインできる時間を決定するセッション期間の値は 1 時間に設定されます。最大値は 12 時間まで指定できます。詳細については、「AWS アカウントのセッション期間を設定する」を参照してください。

  • AWS アクセスポータルセッション期間を設定して、ワークフォースユーザーがポータルにサインインする期間を制御することもできます。

    デフォルトでは、最大セッション期間 の値は、ワークフォースユーザーが再認証する必要がある前に AWS アクセスポータルにサインインできる時間の長さを決定する 8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する」を参照してください。

  • AWS アクセスポータルにサインインするときは、最小特権のアクセス許可を付与するロールを選択します。

    作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。

  • IAM Identity Center に他のユーザーを追加し、そのユーザーに既存または新規のアクセス権限セットを割り当てることができます。

    詳細については、「グループに AWS アカウント アクセス権を割り当てる」を参照してください。