AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可 - AWS IAM Identity Center
インラインポリシーAWS マネージドポリシーカスタマー管理ポリシーアクセス許可の境界

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可

カスタムアクセス許可を持つアクセス許可セットを作成し、 AWS Identity and Access Management (IAM) で管理ポリシー AWS とカスタマー管理ポリシーをインラインポリシーと組み合わせることができます。また、権限の境界を含めることで、他のポリシーにより権限セットのユーザーに付与することのできる最大の権限を制限することもできます。

アクセス権限セットの作成方法については、「アクセス許可セットの作成、管理と削除」を参照してください。

アクセス権限セットに適用できるポリシータイプ

インラインポリシー

インラインポリシーをアクセス権限セットに適用します。インラインポリシーは、アクセス許可セットに直接追加する IAMポリシーとしてフォーマットされたテキストのブロックです。ポリシーを貼り付けるか、新しいアクセス許可セットを作成するときに IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。Policy AWS Generator IAMを使用してポリシーを作成することもできます。

インラインポリシーを使用してアクセス許可セットをデプロイすると、IAMIdentity Center はアクセス許可セットを割り当てる AWS アカウント に IAMポリシーを作成します。 IAMIdentity Center は、アクセス許可セットをアカウントに割り当てるときにポリシーを作成します。その後、ポリシーは、ユーザーが引き受け AWS アカウント る のIAMロールにアタッチされます。

インラインポリシーを作成してアクセス許可セットを割り当てると、IAMI AWS アカウント dentity Center によって のポリシーが自動的に設定されます。を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

AWS マネージドポリシー

AWS 管理ポリシーをアクセス許可セットにアタッチできます。 AWS 管理ポリシーは、 が AWS 管理するIAMポリシーです。対照的に、 は、作成して管理するアカウントのIAMポリシーです。 AWS 管理ポリシーカスタマー管理ポリシーは、 の一般的な最小特権のユースケースに対処します AWS アカウント。 AWS 管理ポリシーは、IAMIdentity Center が作成するロールのアクセス許可として、またはアクセス許可の境界として割り当てることができます。

AWS は、 AWS リソースにジョブ固有のアクセス許可を割り当てるジョブAWS 機能の管理ポリシーを維持します。アクセス権限セットに 定義済みの権限 を使用する場合は、職務ポリシーを 1 つ追加できます。カスタム権限 を選択すると、複数の職務ポリシーを追加できます。

には、特定の AWS のサービス と の組み合わせに対する多数の AWS 管理IAMポリシー AWS アカウント も含まれています AWS のサービス。カスタムアクセス許可を使用してアクセス許可セットを作成する場合、アクセス許可セットに割り当てる追加の AWS 管理ポリシーを多数選択できます。

AWS は、すべての AWS アカウント に AWS マネージドポリシーを設定します。 AWS 管理ポリシーを使用してアクセス許可セットをデプロイするには、まず でポリシーを作成する必要はありません AWS アカウント。を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

AWS 管理ポリシーの詳細については、「 IAMユーザーガイド」の「 AWS 管理ポリシー」を参照してください。

カスタマー管理ポリシー

カスタマー管理ポリシーをアクセス権限セットに適用できます。カスタマー管理ポリシーは、ユーザーが作成および管理するアカウント内のIAMポリシーです。対照的に、 AWS マネージドポリシーは が AWS 維持するアカウントのIAMポリシーです。Identity IAM Center が作成するロールのアクセス許可として、またはアクセス許可の境界として、カスタマー管理ポリシーを割り当てることができます。

カスタマー管理ポリシーを使用してアクセス許可セットを作成する場合、IAMIdentity Center AWS アカウント がアクセス許可セットを割り当てる各 で、同じ名前とパスを持つ IAMポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウントに同じパスを指定してください。詳細については、「 IAMユーザーガイド」の「わかりやすい名前とパス」を参照してください。 IAMIdentity Center は、 で作成するIAMロールにIAMポリシーをアタッチします AWS アカウント。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「アクセス許可セットでIAMポリシーを使用する」を参照してください。

詳細については、「 IAMユーザーガイド」の「カスタマー管理ポリシー」を参照してください。

アクセス許可の境界

アクセス権限セットには アクセス許可の境界を適用できます。アクセス許可の境界は、アイデンティティベースのIAMポリシーが IAMプリンシパルに付与できるアクセス許可の上限を設定する AWS 管理ポリシーまたはカスタマー管理ポリシーです。アクセス許可の境界を適用する場合、インラインポリシーカスタマー管理ポリシー、および AWS マネージドポリシーは、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス許可は付与されませんが、 は境界を超えるすべてのアクセス許可IAMを無視するようにします。

カスタマー管理ポリシーをアクセス許可の境界としてアクセス許可セットを作成する場合、IAMIdentity Center AWS アカウント がアクセス許可セットを割り当てる各 に同じ名前の IAMポリシーを作成する必要があります。 IAMIdentity Center は、IAMポリシーをアクセス許可の境界として、 で作成するIAMロールにアタッチします AWS アカウント 。

詳細については、「 IAMユーザーガイド」のIAM「エンティティのアクセス許可の境界」を参照してください。