ジョブ関数のアクセス許可セットを作成する - AWS IAM Identity Center
最小特権権のアクセス許可を適用するアクセス許可セットを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ジョブ関数のアクセス許可セットを作成する

アクセス許可セットは IAM Identity Center に保存され、ユーザーとグループが に対して持つアクセスレベルを定義します。 AWS アカウント。 最初に作成するアクセス許可セットは、管理アクセス許可セットです。IAM Identity Center 入門チュートリアル のいずれかを完了した場合は、管理許可セットは作成済みです。この手順を使用して、「」の説明に従ってアクセス許可セットを作成します。 AWSIAM ユーザーガイドのジョブ機能に関する マネージドポリシーのトピック。

  1. 次のいずれかを実行して にサインインします。 AWS Management Console.

    • への新規 AWS (ルートユーザー)ルートユーザーを選択し、 を入力して、アカウント所有者としてサインインします。 AWS アカウント E メールアドレス。次のページでパスワードを入力します。

    • 既に を使用している AWS (IAM 認証情報) — 管理者権限を持つ IAM認証情報を使用してサインインします。

  2. IAM Identity Center コンソール を開きます。

  3. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、アクセス許可セット を選択します。

  4. [Create permission set] (アクセス権限セットの作成) を選択します。

    1. [アクセス権限セットタイプの選択] ページの [アクセス権限セットタイプ] セクションで、[定義済みのアクセス権限セット] を選択します。

    2. [事前定義された許可セットのポリシー] セクションで、次のいずれかを選択します。

      • AdministratorAccess

      • 請求

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. [アクセス権限セットの詳細を指定] ページでは、デフォルト設定のまま [次へ] を選択します。デフォルト設定では、セッションは 1 時間に制限されています。

  6. [確認と作成] ページで、次のことを確認します。

    1. ステップ 1: アクセス許可セットタイプ を選択する では、選択したアクセス許可セットのタイプが表示されます。

    2. ステップ 2: アクセス許可セットの詳細を定義する の場合、 は選択したアクセス許可セットの名前を表示します。

    3. [Create] (作成) を選択します。

最小特権権のアクセス許可を適用するアクセス許可セットを作成する

最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAMAccess Analyzer を実行して でプリンシパルをモニタリングします。 AWS マネージドポリシー。どのアクセス許可を使用しているかがわかったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成します。

IAM Identity Center では、同じユーザーに複数のアクセス許可セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。これにより、ユーザーは にアクセスできます。 AWS アカウント 管理アクセス許可を常に使用するのではなく、必要なアクセス許可のみを持つ 。

例えば、デベロッパーの場合、IAMIdentity Center で管理ユーザーを作成した後、アクセス許可を付与する新しいPowerUserAccessアクセス許可セットを作成し、そのアクセス許可セットを自分に割り当てることができます。アクセス許可を使用する管理AdministratorAccessアクセス許可セットとは異なり、アクセスPowerUserAccess 許可セットではIAMユーザーとグループの管理が許可されません。にサインインするとき AWS にアクセスするための アクセスポータル AWS アカウントでは、 PowerUserAccessではなく を選択してAdministratorAccess、アカウントで開発タスクを実行できます。

次の考慮事項に注意が必要です。

  • より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。

    事前定義済みのアクセス許可を使用する事前定義済みのアクセス許可セットでは、1 つの を選択します。 AWS 利用可能なポリシーのリストからの マネージドポリシー。各ポリシーは、 に特定のレベルのアクセス権を付与します。 AWS のサービスとリソース、または共通の職務機能に対するアクセス許可。これらのポリシーの詳細については、「」を参照してください。 AWS ジョブ機能 の マネージドポリシー

  • アクセス許可セットのセッション期間を設定して、ユーザーが にサインインする期間を制御できます。 AWS アカウント.

    ユーザーが にフェデレーションする場合 AWS アカウント および を使用する AWS マネジメントコンソールまたは AWS コマンドラインインターフェイス (AWS CLI)、IAMIdentity Center は、アクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、セッション期間 の値は、ユーザーが にサインインできる期間を決定します。 AWS アカウント より前 AWS はセッションからユーザーをサインアウトし、 は 1 時間に設定されます。最大値は 12 時間まで指定できます。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。

  • また、 AWS アクセスポータルのセッション期間。ワークフォースユーザーがポータルにサインインする期間を制御します。

    デフォルトでは、最大セッション期間 の値は、ワークフォースユーザーが にサインインできる期間を決定します。 AWS アクセスポータルは、再認証が必要になる前に 8 時間です。最大値は 90 日まで指定できます。詳細については、「のセッション期間を設定する AWS アクセスポータルと IAM Identity Center 統合アプリケーション」を参照してください。

  • にサインインするとき AWS アクセスポータルで、最小特権のアクセス許可を付与するロールを選択します。

    作成してユーザーに割り当てる各アクセス許可セットは、 で使用可能なロールとして表示されます。 AWS アクセスポータル。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。

  • IAM Identity Center に他のユーザーを追加し、それらのユーザーに既存または新規のアクセス許可セットを割り当てることができます。

    詳細については、「Assign AWS アカウント グループの アクセス」を参照してください。