ジョブ関数の権限セットを作成する - AWS IAM Identity Center
最小特権権のアクセス許可を適用するアクセス許可セットを作成する

ジョブ関数の権限セットを作成する

権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウント に対するアクセスのレベルを定義します。最初に作成するアクセス許可セットは管理許可セットです。IAM Identity Center の ID ソースに関するチュートリアル のいずれかを完了した場合は、管理許可セットは作成済みです。「IAM ユーザーガイド」の「職務機能の AWS マネージドポリシー」のトピックで説明されているように、この手順を使用してアクセス許可セットを作成します。

  1. 以下のいずれかを行って、AWS Management Console にサインインします。

    • 新規の AWS (ルートユーザー) – [ルートユーザー] を選択し、AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

    • すでに使用している AWS (IAM 認証情報) — 管理者権限を持つ IAM 認証情報を使用してサインインします。

  2. IAM Identity Center コンソール を開きます。

  3. IAM Identity Center のナビゲーションペインの [マルチアカウント権限] で、[アクセス権限セット] を選択します。

  4. [Create permission set] (アクセス権限セットの作成) を選択します。

    1. [アクセス権限セットタイプの選択] ページの [アクセス権限セットタイプ] セクションで、[定義済みのアクセス権限セット] を選択します。

    2. [事前定義された許可セットのポリシー] セクションで、次のいずれかを選択します。

      • AdministratorAccess

      • 請求

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. [アクセス権限セットの詳細を指定] ページでは、デフォルト設定のまま [次へ] を選択します。デフォルト設定では、セッションは 1 時間に制限されています。

  6. [確認と作成] ページで、次のことを確認します。

    1. ステップ 1: 権限セットタイプを選択する では、選択した権限セットのタイプを表示します。

    2. ステップ 2: 権限セットの詳細を定義する では、選択した権限セットの名前を表示します。

    3. [Create] (作成) を選択します。

最小特権権のアクセス許可を適用するアクセス許可セットを作成する

最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAM Access Analyzer を実行して、AWS マネージドポリシーを持つプリンシパルをモニタリングできます。どのアクセス許可を使用しているかがわかったら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成します。

IAM Identity Center を使用すると、同じユーザーに複数のアクセス権限セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。そうすれば、常に管理アクセス許可を使用するのではなく、必要な権限のみで AWS アカウント にアクセスできるようになります。

例えば、開発者の場合、IAM アイデンティティセンターで管理ユーザーを作成した後に、PowerUserAccess アクセス許可を付与する新しいアクセス許可セットを作成し、そのアクセス許可セットを自身に割り当てることができます。AdministratorAccess 権限を使用する管理者権限セットとは異なり、PowerUserAccess 権限セットでは IAM ユーザーとグループの管理はできません。AWS アクセスポータルにサインインして AWS アカウントにアクセスする場合、PowerUserAccessではなく、AdministratorAccess アカウントで開発タスクを実行することを選択できます。

次の考慮事項に注意が必要です。

  • より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。

    定義済みの権限 を使用する定義済みのアクセス権限セットでは、使用可能なポリシーのリストから 1 つの AWS マネージドポリシーを選択します。各ポリシーは、AWS サービスやリソースへの特定のアクセスレベル、または一般的な職務に必要な権限を付与します。これらのポリシーそれぞれの詳細については、「AWS職務機能の管理ポリシー」を参照してください。

  • アクセス権限セットのセッション期間を構成して、ユーザーが AWS アカウント にサインインしている時間を制御できます。

    ユーザーが AWS アカウント にフェデレーションし、AWS 管理コンソールまたは AWSコマンドラインインターフェイス (AWSCLI) を使用する場合、IAM Identity Center はアクセス権限セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、AWS がユーザーをセッションからサインアウトするまでにユーザーが AWS アカウント にサインインできる時間を決定する セッション期間 の値は 1 時間に設定されています。最大値は 12 時間まで指定できます。詳細については、「AWS アカウントのセッション期間を設定する」を参照してください。

  • AWS アクセスポータルのセッション期間を設定して、Workforce ユーザーがポータルにサインインする期間を制御することもできます。

    デフォルトでは、Workforce ユーザーが AWS アクセスポータルにサインインしてから再認証が必要になるまでの時間を決定する「最大セッション期間」の値は 8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する」を参照してください。

  • AWS アクセスポータルにサインインするときに、最小特権の権限を付与するロールを選択します。

    作成してユーザーに割り当てた各アクセス許可セットは、AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。

  • IAM Identity Center に他のユーザーを追加し、そのユーザーに既存または新規のアクセス権限セットを割り当てることができます。

    詳細については、「グループに AWS アカウント へのアクセスを割り当てる」を参照してください。