アクセス権限セットを作成します。 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセス権限セットを作成します。

この手順を使用して、1 つの AWS 管理ポリシーを使用する定義済みの権限セット、または最大 10 個の AWS 管理ポリシーまたはカスタマー管理ポリシーとインラインポリシーを使用するカスタム権限セットを作成します。IAM の「Service Quotas コンソール」で、ポリシーの最大数 10 への調整をリクエストできます。

IAM Identity Center コンソールで権限セットを作成できます。

アクセス権限セットを作成するには

  1. IAM Identity Center コンソール を開きます。

  2. [マルチアカウント権限] で、[権限セット] を選択します。

  3. [Create permission set] (アクセス権限セットの作成) を選択します。

  4. [権限セットタイプの選択] ページの [権限セットタイプ] で、権限セットタイプを選択します。

  5. 権限セットタイプに基づいて、権限セットに使用したいポリシーを 1 つ以上選択します。

    • 定義済み権限セット

      1. 事前定義されたアクセス許可セットのポリシー で、リスト内の IAM ジョブ関数ポリシーまたは共通アクセス許可ポリシーのいずれかを選択し、次へ を選択します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS ジョブ機能の管理ポリシー」および「AWS マネージドポリシー」を参照してください。

      2. ステップ 6 に進み、権限セットの詳細の指定ページを完了します。

    • カスタム権限セット

      1. [次へ] をクリックします。

      2. ポリシーとアクセス許可の境界を指定ページで、新しいアクセス許可セットに適用する IAM ポリシーのタイプを選択します。デフォルトでは、最大 10 個の [AWS 管理ポリシー] と [顧客管理ポリシー] を任意に組み合わせて権限セットに追加できます。このクォータは IAM によって設定されます。これを増やすには、権限セットを割り当てたい各 AWS アカウント で、Service Quotas コンソールの「IAM ロールにアタッチされている IAM クォータ管理ポリシー」の追加をリクエストします。

        • AWS 管理ポリシーを展開して、IAM からポリシーを追加して、 AWS 構築および維持します。詳細については、「AWS マネージドポリシー」を参照してください。

          1. [AWS 権限セット] でユーザーに適用する管理ポリシーを検索して選択します。

          2. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。

        • [顧客管理ポリシー] を展開して、作成して管理するポリシーを IAM から追加します。詳細については、「カスタマー管理ポリシー」を参照してください。

          1. [ポリシーを追加] を選択し、権限セットに追加するポリシーの名前を入力します。権限セットを割り当てる各アカウントで、入力した名前でポリシーを作成します。ベストプラクティスとして、各アカウントのポリシーに同じ権限を割り当ててください。

          2. [もっと追加する] を選択して別のポリシーを追加します。

          3. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、権限セットの詳細の指定ページを完了します。

        • インラインポリシーを展開して、カスタム JSON 形式のポリシーテキストを追加します。インラインポリシーは既存の IAM リソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントに作成した IAM リソースにポリシーを追加します。詳細については、「インラインポリシー」を参照してください。

          1. インタラクティブエディタ内の目的のアクションとリソースをインラインポリシーに追加します。追加のステートメントは、新しいステートメントを追加 で追加できます。

          2. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、アクセス許可セットの詳細の指定ページを完了します。

        • アクセス許可の境界を展開して、 AWS 管理またはカスタマー管理の IAM ポリシーを、アクセス許可セット内の他のポリシーが割り当てることができる最大アクセス許可として追加します。詳細については、「アクセス許可の境界」を参照してください。

          1. [アクセス許可の境界を使用する] を選択して、アクセス許可の上限を設定します。

          2. [AWS 管理ポリシー] を選択し、IAM からポリシーを設定し、「AWS」がアクセス許可の境界として構築・維持します。[カスタマー管理ポリシー] を選択して、[お客様] が IAM から作成して維持するポリシーをアクセス許可の境界として設定します。

          3. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、[次へ] を選択します。ステップ 6 に進み、権限セットの詳細の指定ページを完了します。

  6. [権限セットの詳細指定] ページで、以下を実行します。

    1. [権限セット名] に、IAM Identity Center でこの権限セットを識別するための名前を入力します。このアクセス許可セットに指定した名前は、利用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 を選択し AWS アカウント、ロールを選択します。

    2. (オプション) 説明を入力することもできます。説明は、 AWS アクセスポータルではなく、IAM Identity Center コンソールにのみ表示されます。

    3. (オプション) Session duration (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、「セッション期間の設定」を参照してください。

    4. (オプション) Relay state (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、「リレーステートの設定」を参照してください。

      注記

      リレーステート URL は AWS Management Console内にある必要があります。例:

      https://console.aws.amazon.com/ec2/

    5. [タグ (オプション)] を拡張して [タグの追加] を選択し、[キー][値 (オプション)] () の値を指定します。

      タグの詳細については、「AWS IAM Identity Center リソースのタグ付け」を参照してください。

    6. [次へ] をクリックします。

  7. [確認と作成] ページで、選択した内容を確認し、[作成] を選択します。

  8. デフォルトでは、アクセス許可セットを作成すると、アクセス許可セットはプロビジョニングされません (どの でも使用されます AWS アカウント)。でアクセス許可セットをプロビジョニングするには AWS アカウント、アカウント内のユーザーとグループに IAM Identity Center アクセスを割り当ててから、アクセス許可セットをそれらのユーザーとグループに適用する必要があります。詳細については、「へのシングルサインオンアクセス AWS アカウント」を参照してください。