アクセス許可セットの作成、管理と削除

あらかじめ定義されたアクセス許可セットから始める

事前定義されたアクセス許可を使用する事前定義されたアクセス許可セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通の職務機能に対するアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「AWS 職務機能の管理ポリシー」を参照してください。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。

管理セッションの期間を妥当な作業期間に制限する

ユーザーが にフェデレーション AWS アカウント し、 AWS Management Console または コマンドラインインターフェイス (AWS CLI) を使用する場合、 IAM Identity Center AWS はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、[セッション期間] は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。

ワークフォースユーザーポータルのセッション期間を制限する

ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、最大セッション期間の値です。これは、ワークフォースユーザーが再認証する必要がある前に AWS アクセスポータルにサインインできる時間の長さを決定するもので、8 時間です。最大値は 90 日まで指定できます。詳細については、「AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する」を参照してください。

最小特権アクセス許可を与えるロールを使用する

作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (AdministratorAccess ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。