翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center の マネージドポリシー

必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するには、 を使用できます。 AWS マネージドポリシー。これらのポリシーは一般的なユースケースを対象としており、 で利用できます。 AWS アカウント。 の詳細については、「」を参照してください。 AWS 管理ポリシー、「」を参照してください。 AWSIAM ユーザーガイドの マネージドポリシー。

AWS サービスによるメンテナンスと更新 AWS マネージドポリシー。のアクセス許可は変更できません AWS マネージドポリシー。サービスが にアクセス許可を追加することがある AWS 新機能をサポートする マネージドポリシー。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは を更新する可能性が最も高い AWS 新しい機能が起動されたとき、または新しいオペレーションが利用可能になったときの マネージドポリシー。サービスは からアクセス許可を削除しません AWS ポリシーの更新によって既存のアクセス許可が損なわれないように、 管理ポリシー。

さらに、 AWS は、複数の サービスにまたがる職務機能の マネージドポリシーをサポートします。例えば、 ReadOnlyAccess AWS マネージドポリシーは、すべての への読み取り専用アクセスを提供します。 AWS サービスとリソース。サービスが新機能を起動すると、 AWS は、新しいオペレーションとリソースの読み取り専用アクセス許可を追加します。職務機能ポリシーのリストと説明については、「」を参照してください。 AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。

ユーザーセッションを一覧表示したり削除したりできる新しいアクションが、新しい名前スペース identitystore-auth で利用できるようになりました。この名前スペースのアクションに対する追加の権限は、このページで更新されます。カスタムIAMポリシーを作成するときは、現在または将来の名前空間に存在するすべてのアクションに適用されるidentitystore-authため、 の*後に を使用しないでください。

AWS マネージドポリシー： AWSSSOMasterAccountAdministrator

AWSSSOMasterAccountAdministrator ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、 のジョブロールを実行するプリンシパルを対象としています。 AWS IAM Identity Center 管理者。時間の経過とともに、提供されたアクションのリストは、IAMIdentity Center の既存の機能と管理者として必要なアクションと一致するように更新されます。

IAM ID にAWSSSOMasterAccountAdministratorポリシーをアタッチできます。AWSSSOMasterAccountAdministrator ポリシーを ID にアタッチすると、管理権限が付与されます。 AWS IAM Identity Center アクセス許可。このポリシーを持つプリンシパルは、 内の IAM Identity Center にアクセスできます。 AWS Organizations 管理アカウントとすべてのメンバーアカウント。このプリンシパルは、IAMIdentity Center インスタンス、ユーザー、アクセス許可セット、割り当てを作成する機能など、すべての IAM Identity Center オペレーションを完全に管理できます。プリンシパルは、 全体でこれらの割り当てをインスタンス化することもできます。 AWS 組織メンバーアカウントと 間の接続を確立する AWS Directory Service マネージドディレクトリと IAM Identity Center。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。

アクセス権限のグループ化

このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSSSOMasterAccountAdministrator。 AWS マネージドポリシーリファレンス 。

ポリシーに関する追加情報。

IAM Identity Center が初めて有効になると、IAMIdentity Center サービスは にサービスにリンクされたロールを作成します。 AWS Organizations 管理アカウント (以前のマスターアカウント）。これにより、IAMIdentity Center はアカウント内のリソースを管理できます。必要なアクションは iam:CreateServiceLinkedRole と iam:PassRole で、以下のスニペットに示されています。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid": "AWSSSOCreateSLR",
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "sso.amazonaws.com"
            }
         }
      },
      {
         "Sid":"AWSSSOMasterAccountAdministrator",
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition":{
             "StringLike":{
               "iam:PassedToService":"sso.amazonaws.com"
             }
         }
      },
   ]
}

AWS マネージドポリシー： AWSSSOMemberAccountAdministrator

AWSSSOMemberAccountAdministrator ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、IAMIdentity Center 管理者のジョブロールを実行するプリンシパルを対象としています。時間の経過とともに、提供されたアクションのリストは、IAMIdentity Center の既存の機能と、管理者として必要なアクションと一致するように更新されます。

IAM ID にAWSSSOMemberAccountAdministratorポリシーをアタッチできます。AWSSSOMemberAccountAdministrator ポリシーを ID にアタッチすると、管理権限が付与されます。 AWS IAM Identity Center アクセス許可。このポリシーを持つプリンシパルは、 内の IAM Identity Center にアクセスできます。 AWS Organizations 管理アカウントとすべてのメンバーアカウント。このプリンシパルは、ユーザー、アクセス許可セット、割り当てを作成する機能など、すべての IAM Identity Center オペレーションを完全に管理できます。プリンシパルは、 全体でこれらの割り当てをインスタンス化することもできます。 AWS 組織メンバーアカウントと 間の接続を確立する AWS Directory Service マネージドディレクトリと IAM Identity Center。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSSSOMemberAccountAdministrator。 AWS マネージドポリシーリファレンス 。

ポリシーに関する追加情報。

IAM Identity Center 管理者は、Identity Center ディレクトリストア (sso-directory) でユーザー、グループ、パスワードを管理します。アカウント管理者ロールには、以下のアクションの権限が含まれます。

IAM Identity Center の管理者には、以下に対する限定的なアクセス許可が必要です AWS Directory Service 毎日のタスクを実行する アクション。

これらのアクセス許可により、IAMIdentity Center 管理者は既存のディレクトリを識別し、アプリケーションを管理して、IAMIdentity Center で使用するように設定できます。これらの各アクションの詳細については、「」を参照してください。 AWS Directory Service API アクセス許可: アクション、リソース、および条件は を参照します。

IAM Identity Center はIAM、ポリシーを使用して IAM Identity Center ユーザーに許可を付与します。IAM Identity Center 管理者は、アクセス許可セットを作成し、ポリシーをアタッチします。IAM Identity Center 管理者は、作成または更新するアクセス許可セットで使用するポリシーを選択できるように、既存のポリシーを一覧表示するアクセス許可を持っている必要があります。安全で機能的なアクセス許可を設定するには、IAMIdentity Center 管理者が Access Analyzer IAM ポリシー検証を実行するアクセス許可を持っている必要があります。

IAM Identity Center 管理者には、以下への制限付きアクセスが必要です AWS Organizations 日常的なタスクを実行する アクション：

これらのアクセス許可により、IAMIdentity Center 管理者は、次のような基本的な IAM Identity Center 管理タスクのために組織リソース (アカウント) を操作できます。

IAM Identity Center での委任管理者の使用の詳細については、「」を参照してください委任された管理。これらのアクセス許可を で使用する方法の詳細については、「」を参照してください。 AWS Organizations「 の使用」を参照してください。 AWS Organizations を他の と使用 AWS のサービス。

AWS マネージドポリシー: AWSSSODirectoryAdministrator

IAM ID にAWSSSODirectoryAdministratorポリシーをアタッチできます。

このポリシーは、IAMIdentity Center ユーザーおよびグループに対する管理アクセス許可を付与します。このポリシーがアタッチされたプリンシパルは、IAMIdentity Center のユーザーとグループを更新できます。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSSSODirectoryAdministrator。 AWS マネージドポリシーリファレンス 。

AWS マネージドポリシー: AWSSSOReadOnly

IAM ID にAWSSSOReadOnlyポリシーをアタッチできます。

このポリシーは、ユーザーが IAM Identity Center で情報を表示できるようにする読み取り専用アクセス許可を付与します。このポリシーがアタッチされているプリンシパルは、IAMIdentity Center ユーザーまたはグループを直接表示できません。このポリシーがアタッチされているプリンシパルは、IAMIdentity Center で更新を行うことはできません。例えば、これらのアクセス許可を持つプリンシパルは IAM Identity Center の設定を表示できますが、設定値を変更することはできません。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSSSOReadOnly。 AWS マネージドポリシーリファレンス 。

AWS マネージドポリシー: AWSSSODirectoryReadOnly

IAM ID にAWSSSODirectoryReadOnlyポリシーをアタッチできます。

このポリシーは、ユーザーが IAM Identity Center でユーザーとグループを表示できるようにする読み取り専用アクセス許可を付与します。このポリシーがアタッチされているプリンシパルは、IAMIdentity Center の割り当て、アクセス許可セット、アプリケーション、または設定を表示できません。このポリシーがアタッチされているプリンシパルは、 IAM Identity Center で更新を行うことはできません。例えば、これらのアクセス許可を持つプリンシパルは IAM Identity Center ユーザーを表示できますが、ユーザー属性を変更したり、MFAデバイスを割り当てたりすることはできません。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSSSODirectoryReadOnly。 AWS マネージドポリシーリファレンス 。

AWS マネージドポリシー: AWSIdentitySyncFullAccess

IAM ID にAWSIdentitySyncFullAccessポリシーをアタッチできます。

このポリシーが適用されたプリンシパルには、同期プロファイルの作成と削除、同期プロファイルと同期ターゲットとの関連付けまたは更新、同期フィルターの作成、一覧表示、削除、同期の開始または停止を行う完全なアクセス権があります。

アクセス許可の詳細

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSIdentitySyncFullAccess。 AWS マネージドポリシーリファレンス 。

AWS マネージドポリシー： AWSIdentitySyncReadOnlyAccess

IAM ID にAWSIdentitySyncReadOnlyAccessポリシーをアタッチできます。

このポリシーは、ユーザーが ID 同期プロファイル、フィルター、およびターゲット設定に関する情報を確認できるようにする読み取り専用の権限を付与します。このポリシーが適用されているプリンシパルは、同期設定を更新できません。例えば、これらのアクセス許可を持つプリンシパルは ID 同期設定を表示できますが、プロファイルやフィルターの値を変更することはできません。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSIdentitySyncReadOnlyAccess。 AWS マネージドポリシーリファレンス 。

AWS マネージドポリシー: AWSSSOServiceRolePolicy

ID にAWSSSOServiceRolePolicyポリシーをIAMアタッチすることはできません。

このポリシーは、IAMIdentity Center が特定の へのシングルサインオンアクセス権を持つユーザーを委任して強制できるようにするサービスにリンクされたロールにアタッチされます。 AWS アカウント in AWS Organizations。 を有効にするとIAM、すべての にサービスにリンクされたロールが作成されます。 AWS アカウント 組織内の 。IAM Identity Center は、その後組織に追加されるすべてのアカウントに同じサービスにリンクされたロールも作成します。このロールにより、IAMIdentity Center はユーザーに代わって各アカウントのリソースにアクセスできます。各 で作成されるサービスにリンクされたロール AWS アカウント は という名前ですAWSServiceRoleForSSO。詳細については、「IAM Identity Center のサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシー： AWSIAMIdentityCenterAllowListForIdentityContext

IAM Identity Center アイデンティティコンテキストでロールを引き受けるときは、 AWS Security Token Service (AWS STS) は、AWSIAMIdentityCenterAllowListForIdentityContextポリシーをロールに自動的にアタッチします。

このポリシーは、Identity Center アイデンティティコンテキストで引き受けられたロールで信頼できるIAMアイデンティティ伝達を使用する場合に許可されるアクションのリストを提供します。このコンテキストで呼び出される他のすべてのアクションはブロックされます。ID コンテキストは ProvidedContext として渡されます。

このポリシーのアクセス許可を表示するには、「」の「」を参照してくださいAWSIAMIdentityCenterAllowListForIdentityContext。 AWS マネージドポリシーリファレンス 。

IAM Identity Center の への更新 AWS 管理ポリシー

次の表に、 の更新を示します。 AWS IAM Identity Center の マネージドポリシーは、このサービスがこれらの変更の追跡を開始してからです。このページの変更に関する自動アラートについては、IAMIdentity Center ドキュメント履歴ページのRSSフィードにサブスクライブしてください。