IAM Identity Center リソースへのアクセス権限の管理の概要 - AWS IAM Identity Center
IAM Identity Center リソースと運用リソース所有権についてリソースへのアクセスの管理ポリシー要素の指定 : アクション、効果、リソース、プリンシパルポリシーでの条件の指定

IAM Identity Center リソースへのアクセス権限の管理の概要

すべての AWS リソースは AWS アカウント によって所有され、リソースの作成またはアクセスの許可は、許可ポリシーによって管理されます。アクセスを提供するには、アカウント管理者は、IAM ID (つまり、ユーザー、グループ、ロール) に権限ポリシーを追加します。一部のサービス (AWS Lambda など) は、アクセス権限ポリシーをリソースに追加することができます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

IAM Identity Center リソースと運用

IAM Identity Center で、主なリソースはアプリケーションのインスタンス、プロファイル、アクセス権限セットです。

リソース所有権について

リソース所有者は、リソースを作成した AWS アカウント です。つまり、リソース所有者とは、リソースの作成リクエストを認証する プリンシパルエンティティ (アカウント、ユーザー、または IAM ロール) の AWS アカウント です。次の例は、この仕組みを示しています。

  • AWS アカウントのルートユーザー がアプリケーションのインスタンスやアクセス権限セットなどの IAM Identity Center リソースを作成する場合、AWS アカウント はそのリソースの所有者です。

  • AWS アカウントにユーザーを作成し、そのユーザーに IAM Identity Center を作成する権限を付与すると、そのユーザーは IAM Identity Center リソースを作成できます。ただし、そのリソースを所有しているのは、ユーザーが属する AWS アカウントです。

  • IAM Identity Center リソースを作成するためのアクセス権限を持つ AWS アカウントに IAM ロールを作成すると、ロールを引き受けるすべてのユーザーが IAM Identity Center リソースを作成できます。ロールが属する AWS アカウント は、IAM Identity Center リソースを所有しています。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、IAM Identity Center のコンテキストでの IAM の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「What is IAM?」(IAM とは?) を参照してください。IAM ポリシー構文の詳細と説明については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。

IAM ID にアタッチされているポリシーは、ID ベース のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされているポリシーは、リソースベース のポリシーと呼ばれます。IAM Identity Center では、ID ベースのポリシー (IAM ポリシー) のみがサポートされます。

ID ベースのポリシー (IAM ポリシー)

IAM ID にアクセス権限を追加できます。例えば、次のオペレーションを実行できます。

  • AWS アカウント のユーザーまたはグループにアクセス権限ポリシーをアタッチする - アカウント管理者は、特定のユーザーに関連付けられる権限ポリシーを使用して、そのユーザーに IAM Identity Center リソース (新しいアプリケーションなど) を追加するためのアクセス権限を付与できます。

  • アクセス権限ポリシーをロールにアタッチする (クロスアカウントの許可を付与) - ID ベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントの権限を付与することができます。

    IAM を使用したアクセス許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

次のアクセス権限ポリシーは、List で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、アプリケーションインスタンスやアクセス権限セットなどの IAM Identity Center リソースに関する情報を表示します。Resource 要素内のワイルドカード文字 (*) は、アカウントによって所有されるすべての IAM Identity Center リソースに対してそれらのアクションが許可されることを示します。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

IAM Identity Center で ID ベースのポリシーを使用する場合の詳細については、 IAM Identity Center の ID ベースのポリシーの例 を参照してください。ユーザー、グループ、ロール、アクセス権限の詳細については、「IAM ユーザーガイド」の「ID (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Simple Storage Service (Amazon S3) などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。IAM Identity Center では、リソースベースのポリシーはサポートされていません。

ポリシー要素の指定 : アクション、効果、リソース、プリンシパル

IAM Identity Center のリソースごとに (「IAM Identity Center リソースと運用」参照)、このサービスは、一連の API オペレーションを定義します。こうした API 操作の権限を付与するために、IAM Identity Center はポリシーに特定できる一連のアクションを定義します。API オペレーションを実行する場合には、複数のアクションに対するアクセス許可が必要になることがあります。

以下は、基本的なポリシーの要素です。

  • リソース – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。

  • アクション - アクションのキーワードを使用して、許可または拒否するリソースの操作を識別します。例えば、sso:DescribePermissionsPolicies 権限では、AM Identity Center DescribePermissionsPolicies の操作を行うためのユーザー権限が与えられています。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。IAM Identity Center では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と説明の詳細はこちら IAM ユーザーガイドAWS IAM ポリシーリファレンス

ポリシーでの条件の指定

アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーを有効にするために必要な条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。IAM Identity Center に固有の条件キーはありません。ただし、AWS の条件キーを必要に応じて使用できます。AWS キーの完全なリストについては、「IAM ユーザーガイド」の「利用可能なグローバル条件キー」を参照してください。