IAM Identity Center のAWSマネージドポリシー

チームが必要とする権限のみを提供する IAM カスタマーマネージメントポリシーを作成するには、時間と専門知識が必要です。AWS マネージドポリシーを使用することで、すぐに使用を開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイド の「AWSジョブ機能のマネージドポリシー」を参照してください。

ユーザーセッションを一覧表示したり削除したりできる新しいアクションが、新しい名前スペース identitystore-auth で利用できるようになりました。この名前スペースのアクションに対する追加の権限は、このページで更新されます。カスタム IAM ポリシーを作成するときは、identitystore-auth の後に * を使用しないでください。これは、現在または将来名前スペースに存在するすべてのアクションに適用されるためです。

AWS マネージドポリシー: AWSSSOMasterAccountAdministrator

AWSSSOMasterAccountAdministrator ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、AWS IAM Identity Center 管理者のジョブのロールを遂行するプリンシパルを対象とします。時間の経過とともに、提供されるアクションのリストは、IAM Identity Center の既存の機能と管理者として必要なアクションに一致するように更新されます。

AWSSSOMasterAccountAdministrator ポリシーは IAM ID にアタッチできます。AWSSSOMasterAccountAdministrator ポリシーを ID にアタッチすると、管理者用 AWS IAM Identity Center の許可が付与されます。このポリシーを持つプリンシパルは、 AWS Organizations 管理アカウントおよびすべてのメンバーアカウント内の IAM Identity Center にアクセスできます。このプリンシパルは、IAM Identity Center インスタンス、ユーザー、アクセス権限セット、割り当てを作成する機能を含む、すべての IAM Identity Center の運用を完全に管理することができます。また、プリンシパルは、AWS 組織のメンバーアカウント全体でこれらの割り当てをインスタンス化し、 AWS Directory Service マネージドディレクトリと IAM Identity Center の間の接続を確立することができます。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。

アクセス権限のグループ化

このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSSSOMasterAccountAdministrator」を参照してください。

ポリシーに関する追加情報。

IAM Identity Center が初めて有効になると、IAM Identity Center サービスは AWS Organizations マネージドアカウント (以前のマスターアカウント) にサービスリンクロール を作成し、IAM Identity Center がアカウントのリソースを管理できるようにします。必要なアクションは iam:CreateServiceLinkedRole と iam:PassRole で、以下のスニペットに示されています。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}
         

AWS マネージドポリシー: AWSSSOMemberAccountAdministrator

AWSSSOMemberAccountAdministrator ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、IAM Identity Center 管理者のジョブのロールを遂行するプリンシパルを対象とします。時間の経過とともに、提供されるアクションのリストは、IAM Identity Center の既存の機能と管理者として必要なアクションに一致するように更新されます。

AWSSSOMemberAccountAdministrator ポリシーは IAM ID にアタッチできます。AWSSSOMemberAccountAdministrator ポリシーを ID にアタッチすると、管理者用 AWS IAM Identity Center の許可が付与されます。このポリシーを持つプリンシパルは、 AWS Organizations 管理アカウントおよびすべてのメンバーアカウント内の IAM Identity Center にアクセスできます。このプリンシパルは、ユーザー、アクセス権限セット、および割り当てを作成する機能を含む、すべての IAM Identity Center の運用を完全に管理することができます。また、プリンシパルは、AWS 組織のメンバーアカウント全体でこれらの割り当てをインスタンス化し、 AWS Directory Service マネージドディレクトリと IAM Identity Center の間の接続を確立することができます。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSSSOMemberAccountAdministrator」を参照してください。

ポリシーに関する追加情報。

IAM Identity Center 管理者は、IAM Identity Center ディレクトリストア (sso-directory) でユーザー、グループ、パスワードを管理します。アカウント管理者ロールには、以下のアクションの権限が含まれます。

IAM Identity Center 管理者は、日常業務を行うために、以下の AWS Directory Service アクションに対する限定的な権限が必要です。

これらの権限により、IAM Identity Center の管理者は、既存のディレクトリを特定し、アプリケーションを管理して、IAM Identity Center で使用できるように設定することができます。各アクションの詳細については、「AWS Directory Service API 権限：アクション、リソース、参照する条件」 を参照してください。

IAM Identity Center は、IAM ポリシーを使用して、IAM Identity Center ユーザーにアクセス許可を付与します。IAM Identity Center 管理者は、アクセス権限セットを作成し、それにポリシーをアタッチします。IAM Identity Center 管理者は、作成または更新するアクセス権限セットで使用するポリシーを選択できるように、既存のポリシーを一覧表示するには以下の権限が必要です。安全で機能的な権限を設定するには、IAM Identity Center の管理者が IAM Access Analyzer ポリシー検証を実行する権限を持っている必要があります。

IAM Identity Center の管理者は、日常業務を行うために、以下の AWS Organizations アクションに対する限定的なアクセスが必要です。

これらの権限により、IAM Identity Center の管理者は、組織リソース (アカウント) を操作して、以下のような基本的な IAM Identity Center 管理タスクを行うことができます。

IAM Identity Center での委任管理者の使用の詳細については、「委任された管理」を参照してください。これらの権限が AWS Organizations でどのように使用されるかの詳細については、他の AWS サービスでの AWS Organizations の使用 を参照してください

AWS マネージドポリシー: AWSSSODirectoryAdministrator

AWSSSODirectoryAdministrator ポリシーは IAM ID にアタッチできます。

このポリシーは、IAM Identity Center のユーザーとグループに対する管理権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center のユーザーとグループを更新することができます。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSSSODirectoryAdministrator」を参照してください。

AWS マネージドポリシー: AWSSSOReadOnly

AWSSSOReadOnly ポリシーは IAM ID にアタッチできます。

このポリシーは、ユーザーが IAM Identity Center の情報を閲覧するための読み取り専用の権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center のユーザーやグループを直接表示できません。IAM Identity Center では、このポリシーが適用されたプリンシパルを更新できません。例えば、これらの権限を持つプリンシパルは、IAM Identity Center 設定を閲覧することはできますが、設定値を変更することはできません。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSSSOReadOnly」を参照してください。

AWS マネージドポリシー: AWSSSODirectoryReadOnly

AWSSSODirectoryReadOnly ポリシーは IAM ID にアタッチできます。

このポリシーは、ユーザーが IAM Identity Center のユーザーとグループを閲覧するための読み取り専用の権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center の割り当て、アクセス権限セット、アプリケーション、または設定を表示できません。IAM Identity Center では、このポリシーが適用されたプリンシパルを更新できません。例えば、これらの権限を持つプリンシパルは、IAM Identity Center ユーザーを表示できますが、ユーザー属性の変更や MFA デバイスの割り当てはできません。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSSSODirectoryReadOnly」を参照してください。

AWS マネージドポリシー: AWSIdentitySyncFullAccess

AWSIdentitySyncFullAccess ポリシーは IAM ID にアタッチできます。

このポリシーが適用されたプリンシパルには、同期プロファイルの作成と削除、同期プロファイルと同期ターゲットとの関連付けまたは更新、同期フィルターの作成、一覧表示、削除、同期の開始または停止を行う完全なアクセス権があります。

アクセス許可の詳細

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSIdentitySyncFullAccess」を参照してください。

AWS マネージドポリシー: AWSIdentitySyncReadOnlyAccess

AWSIdentitySyncReadOnlyAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、ユーザーが ID 同期プロファイル、フィルター、およびターゲット設定に関する情報を確認できるようにする読み取り専用の権限を付与します。このポリシーが適用されているプリンシパルは、同期設定を更新できません。例えば、これらのアクセス許可を持つプリンシパルは ID 同期設定を表示できますが、プロファイルやフィルターの値を変更することはできません。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSIdentitySyncReadOnlyAccess」を参照してください。

AWS マネージドポリシー: AWSSSOServiceRolePolicy

AWSSSOServiceRolePolicy ポリシーは IAM ID に適用できません。

このポリシーは、IAM Identity Center がどのユーザーに AWS Organizations 内の特定の AWS アカウント へのシングルサインオンアクセス権を委任および施行できるようにするサービスにリンクされたロールに適用されます。IAM を有効にすると、サービスにリンクされたロールが AWS アカウント 組織内のすべてに作成されます。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。各 AWS アカウント に作成されるサービスにリンクされたロール名は AWSServiceRoleForSSO です。詳細については、「IAM Identity Center のサービスリンクロールの使用」を参照してください。

AWS マネージドポリシー: AWSIAMIdentityCenterAllowListForIdentityContext

IAM アイデンティティセンターID コンテキストでロールを引き受けると、AWS Security Token Service (AWS STS) によって AWSIAMIdentityCenterAllowListForIdentityContext ポリシーが自動的にロールにアタッチされます。

このポリシーは、IAM アイデンティティセンターID コンテキストで引き受けられるロールで信頼できる ID の伝播を使用する場合に許可されるアクションのリストを提供します。このコンテキストで呼び出される他のすべてのアクションはブロックされます。ID コンテキストは ProvidedContext として渡されます。

このポリシーに対するアクセス権限を確認するには、「AWS Managed Policy Reference」の「AWSIAMIdentityCenterAllowListForIdentityContext」を参照してください。

IAM Identity Center は AWS マネージドポリシーを更新します

次の表は、AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について示しています。このページの変更に関する自動通知については、[IAM Identity Center ドキュメントの履歴] ページの RSS フィードを購読してください。