翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # アクセス許可セットの作成、管理と削除 アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。IAM Identity Center でのアクセス許可セットの使用方法の詳細については、[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md) を参照してください。 **注記** IAM アイデンティティセンターコンソールでアクセス許可セットを作成できます。 アクセス許可セットを作成するときは、次の考慮事項に留意してください。 + **組織インスタンス** アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。 + **あらかじめ定義されたアクセス許可セットから始める** 事前定義されたアクセス許可を使用する[事前定義されたアクセス許可](permissionsetpredefined.md)セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通のジョブ関数のアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「[AWS 職務機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。 + **管理セッションの期間を妥当な作業期間に制限する** ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソール または AWS コマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッションの期間を制御します。ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、**[セッション期間]** は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「[のセッション期間を設定する AWS アカウント](howtosessionduration.md)」を参照してください。 + **ワークフォースユーザーポータルのセッション期間を制限する** ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、**最大セッション期間**の値です。これは、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる期間を決定するもので、8 時間です。最大値は 90 日まで指定できます。詳細については、「[IAM アイデンティティセンターでセッション期間を設定する](configure-user-session.md)」を参照してください。 + **最小特権アクセス許可を与えるロールを使用する** 作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (`AdministratorAccess` ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。 **注記** [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) を使用してアクセス許可セットを作成して割り当て、それらのアクセス許可セットにユーザーを割り当てることもできます。 **Topics** + [アクセス権限セットを作成します。](howtocreatepermissionset.md) + [権限セットを表示および変更する](howtoviewandchangepermissionset.md) + [権限セット管理の委任](permissionsetdelegation.md) + [権限セットに IAM ポリシーを使用する](howtocmp.md) + [IAM アイデンティティセンターでアクセス許可セットを削除する](howtoremovepermissionset.md) + [IAM アイデンティティセンターで権限セットを削除する](howtodeletepermissionset.md)