AWS マネージドポリシーとカスタマーマネージドポリシーのカスタム権限 - AWS IAM Identity Center
インラインポリシーAWS マネージドポリシーカスタマー管理ポリシーアクセス許可の境界

AWS マネージドポリシーとカスタマーマネージドポリシーのカスタム権限

[カスタム権限] 機能を使用して、AWS Identity and Access Management (IAM) にある任意の AWS マネージドポリシーやカスタマーマネージドポリシーをインラインポリシーと組み合わせてカスタム権限セットを作成することができます。また、権限の境界を含めることで、他のポリシーにより権限セットのユーザーに付与することのできる最大の権限を制限することもできます。

アクセス権限セットの作成方法については、「アクセス許可セットの作成、管理と削除」を参照してください。

アクセス権限セットに適用できるポリシータイプ

インラインポリシー

インラインポリシーをアクセス権限セットに適用します。インラインポリシーは IAM ポリシーとしてフォーマットされたテキストブロックで、アクセス権限セットに直接追加します。新しいアクセス権限セットを作成するときに、ポリシーを貼り付けるか、IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。AWSポリシージェネレーター を使用して IAM ポリシーを作成することもできます。

インラインポリシーを使用してアクセス権限セットをデプロイすると、IAM Identity Center はアクセス権限セットを割り当てた AWS アカウント に IAM ポリシーを作成します。IAM Identity Center は、アクセス権限セットをアカウントに割り当てるとポリシーを作成します。そのポリシーは、ユーザーが引き受ける AWS アカウント の IAM ロールに適用されます。

インラインポリシーを作成してアクセス権限セットを割り当てると、IAM Identity Center によって AWS アカウント にポリシーが構成されます。カスタマー管理ポリシー でアクセス権限セットを作成する場合は、アクセス権限セットを割り当てる前に AWS アカウント ご自分でポリシーを作成する必要があります。

AWS マネージドポリシー

AWSマネージドポリシーをアクセス権限セットに適用できます。 AWSマネージドポリシーは、AWS 管理を行う IAM ポリシーです。これとは対照的に、カスタマー管理ポリシー は、アカウント内の IAM ポリシーは自分で作成して管理するものです。 AWS マネージドポリシーは、AWS アカウント の一般的な最小特権のユースケースに対応しています。AWS マネージドポリシーは、IAM Identity Center が作成するロールのアクセス権限として、または アクセス許可の境界 として割り当てることができます。

AWS は、AWSリソースにジョブ固有のアクセス権限を割り当てる AWS職務機能の管理ポリシー を管理します。アクセス権限セットに 定義済みの権限 を使用する場合は、職務ポリシーを 1 つ追加できます。カスタム権限 を選択すると、複数の職務ポリシーを追加できます。

AWS アカウント には、特定の AWS のサービス および AWS のサービス の組み合わせに対する AWS 管理の IAM ポリシーも多数含まれています。カスタム権限 を持つアクセス権限セットを作成すると、多数の追加の AWS マネージドポリシーの中からアクセス権限セットに割り当てる管理ポリシーを選択できます。

AWS はすべての AWS アカウント に AWS マネージドポリシーを設定します。AWS マネージドポリシーを含むアクセス権限セットをデプロイするには、最初に AWS アカウント でポリシーを作成する必要はありません。カスタマー管理ポリシー でアクセス権限セットを作成する場合は、アクセス権限セットを割り当てる前に AWS アカウント ご自分でポリシーを作成する必要があります。

AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWSマネージドポリシー」を参照してください。

カスタマー管理ポリシー

カスタマー管理ポリシーをアクセス権限セットに適用できます。カスタマー管理ポリシーは、アカウント内で顧客が作成および維持する IAM ポリシーです。これとは対照的に、AWS マネージドポリシー は、アカウント内の IAM ポリシーは AWS 維持されます。カスタマー管理ポリシーは、IAM Identity Center が作成するロールのアクセス権限として、または アクセス許可の境界 として割り当てることができます。

カスタマー管理ポリシーを使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前とパスの IAM ポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウント に同じパスを指定してください。詳細については、「IAM ユーザーガイド」の「親しみやすい名前とパス」を参照してください。IAM Identity Center は、作成した IAM ポリシーを、AWS アカウント で作成した IAM ロールにアタッチします。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「権限セットに IAM ポリシーを使用する」を参照してください。

詳細については、IAM ユーザーガイドの「カスタマー管理ポリシー」を参照してください。

アクセス許可の境界

アクセス権限セットには アクセス許可の境界を適用できます。アクセス許可の境界は、ID ベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定する、AWS 管理または顧客管理の IAM ポリシーです。アクセス許可の境界を適用する場合、インラインポリシーカスタマー管理ポリシー、および AWS マネージドポリシーは、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス権限は付与されませんが、その代わりに IAM が境界を超えるすべてのアクセス権限を無視するようになります。

カスタマー管理ポリシーをアアクセス許可の境界として使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前の IAM ポリシーを作成する必要があります。IAM Identity Center は、IAM ポリシーをアクセス許可の境界として AWS アカウント で作成する IAM ロールに適用します。

詳細については、IAM ユーザーガイド の IAM エンティティのアクセス許可の境界を参照してください。