翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Identity Center のIAMアイデンティティベースのポリシーの例
このトピックでは、IAMIdentity Center を管理するためのアクセス許可をユーザーとロールに付与するために作成できるIAMポリシーの例を示します。
重要
まず、IAMIdentity Center リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを確認することをお勧めします。詳細については、「IAM Identity Center リソースへのアクセス許可の管理の概要」を参照してください。
このセクションでは、次のトピックを対象としています。
カスタムポリシーの例
このセクションでは、カスタムIAMポリシーを必要とする一般的なユースケースの例を示します。これらのポリシーの例は ID ベースのポリシーであり、プリンシパル要素を指定しません。これは、ID ベースのポリシーでは、権限を取得するプリンシパルを指定しないためです。代わりに、ポリシーをプリンシパルにアタッチします。アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を取得します。でアイデンティティベースのポリシーを作成しIAM、ユーザー、グループ、ロールにアタッチできます。IAM Identity Center でアクセス許可セットを作成するときに、これらのポリシーを IAM Identity Center ユーザーに適用することもできます。
注記
お使いの環境用のポリシーを作成するときにこれらの例を使用し、これらのポリシーを本番環境に展開する前に、肯定的な (「アクセス許可」) テストケースと否定的な (「アクセス拒否」) テストケースの両方をテストしてください。IAM ポリシーのテストの詳細については、「 ユーザーガイド」のIAM「Policy Simulator を使用したIAMポリシーのテストIAM」を参照してください。
トピック
例 1: IAM Identity Center の表示をユーザーに許可する
次のアクセス許可ポリシーは、IAMIdentity Center で設定されたすべての設定とディレクトリ情報を表示できるように、ユーザーに読み取り専用アクセス許可を付与します。
注記
このポリシーは、例示のみを目的として提供されています。本番環境では、 IAM Identity Center の ViewOnlyAccess AWS マネージドポリシーを使用することをお勧めします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
例 2: ユーザーが IAM Identity Center AWS アカウント で へのアクセス許可を管理できるようにする
以下のアクセス権限ポリシーでは、ユーザーが AWS アカウントアカウントのアクセス権限セットを作成、管理、デプロイできる許可を付与しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
注記
、、および "Sid": "AccessToSSOProvisionedRoles"セクションにリストされている追加のアクセス許可は"Sid": "IAMListPermissions"、ユーザーが AWS Organizations 管理アカウントで割り当てを作成できるようにするためにのみ必要です。場合によっては、これらのセクションに iam:UpdateSAMLProvider を追加する必要もあります。
例 3: ユーザーに IAM Identity Center でのアプリケーションの管理を許可する
次のアクセス許可ポリシーは、IAMIdentity Center カタログ内から事前に統合された SaaS アプリケーションなど、IAMIdentity Center でアプリケーションを表示および設定するためのアクセス許可をユーザーに付与します。
注記
以下のポリシー例で使用されている sso:AssociateProfile 操作は、ユーザーおよびグループのアプリケーションへの割り当てを管理するために必要です。また、既存のアクセス許可セット AWS アカウント を使用して、ユーザーにユーザーとグループを割り当てることもできます。ユーザーが IAM Identity Center 内で AWS アカウント アクセスを管理する必要があり、アクセス許可セットを管理するために必要なアクセス許可が必要な場合は、「」を参照してください例 2: ユーザーが IAM Identity Center AWS アカウント で へのアクセス許可を管理できるようにする。
2020 年 10 月時点で、これらの運用の多くは AWS コンソールからのみ利用可能です。この例のポリシーには、リスト、取得、検索などの「読み取り」アクションが含まれており、この場合のコンソールエラーのないオペレーションに関連します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
例 4: Identity Center ディレクトリのユーザーとグループの管理をユーザーに許可する
次のアクセス許可ポリシーは、ユーザーが IAM Identity Center でユーザーとグループを作成、表示、変更、削除できるようにするアクセス許可を付与します。
場合によっては、IAMIdentity Center のユーザーとグループへの直接変更が制限されます。例えば、アクティブディレクトリや、自動プロビジョニングが有効になっている外部の ID プロバイダーが ID ソースとして選択されている場合などです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
IAM Identity Center コンソールを使用するために必要なアクセス許可
ユーザーが IAM Identity Center コンソールをエラーなしで操作するには、追加のアクセス許可が必要です。最小限必要なアクセス許可よりも制限されたIAMポリシーが作成された場合、そのポリシーを持つユーザーに対してコンソールは意図したとおりに機能しません。次の例では、IAMIdentity Center コンソール内でエラーのないオペレーションを確保するために必要となる可能性のある一連のアクセス許可を一覧表示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
