一時委任をリクエストする - AWS Identity and Access Management
アクセス許可のシミュレーション機能 – ベータ版次のステップ

一時委任をリクエストする

一時委任のリクエストが行えるのは、サポートされている Amazon または AWS パートナーの製品からのみです。一時委任をサポートしているワークフローの最中に、ユーザーは、必要な AWS リソースをユーザーのアカウントで設定するための一時的な制限付きアクセス許可を製品プロバイダーに付与するよう求められます。このように自動化されたアプローチをとることで、ユーザーが手動でリソースを設定する手間を省きより簡素化されたエクスペリエンスを実現しています。

委任リクエストの詳細、例えば製品プロバイダーが必要とする特定の IAM ロール、ポリシー、AWS サービスなどは、アクセスを許可する前に確認できます。ユーザーは、必要なアクセス許可を持っている場合はリクエストを自分で承認することもできますし、アカウント管理者にリクエストを転送して承認をもらうこともできます。製品プロバイダーのアクセス許可には時間制限があり、必要に応じてモニタリングしたり取り消したりすることができます。

一時委任をリクエストするには

  1. AWS アカウントとの統合を必要としている、Amazon または AWS パートナーのサポートされている製品のコンソールを開きます。

  2. [IAM 一時委任を使用してデプロイ] を選択します。この選択肢の表記はサポートされている製品によって異なる場合があります。詳細は、製品プロバイダーのドキュメントを参照してください。

    注記

    AWS マネジメントコンソールにまだサインインしていなかった場合、AWS サインインページに新しいウィンドウが開きます。AWS アカウントにサインインしてから、製品コンソールから一時委任のリクエストを行うとよいでしょう。ご自身のユーザータイプとアクセスしようとしている AWS リソースに基づいてサインインする方法の詳細については、「AWS サインインユーザーガイド」を参照してください。

  3. リクエストの詳細を読み、製品プロバイダーの製品名と AWS アカウントを確認します。また、製品プロバイダーがユーザーに代わってアクションを実行する際に使用する AWS ID も確認します。

  4. [アクセスの詳細] で、このリクエストを承認することにより一時的に委任されるアクセス許可の内容を確認します。

    • [アクセス許可の概要] には AI が生成した概要が記されており、アクセス可能な AWS サービスのカテゴリと、各サービスで実行できるアクションのタイプを理解するのに役立ちます。

    • [JSON を表示] を選択すると、製品プロバイダーが AWS アカウントにデプロイする必要のある特定のアクセス許可をアクセスの範囲やリソースの制限も含めて確認できます。

    • 製品プロバイダーが一時委任リクエストの一環として IAM ロールを作成する場合は、アクセス許可の境界をロールにアタッチする必要があります。この IAM ロールには、リクエストされたアクセス期間が過ぎた後もリソースとアクションにアクセスできる権限が含まれています。アクセス許可の境界を確認するには [詳細を表示] を選択します。アクセス許可の境界は、ロールに付与できるアクセス許可の上限を定義します。製品プロバイダーは、ロールの作成時に、実際のアクセス許可を定義する追加のポリシーをロールに適用します。これらのポリシーは、製品プロバイダーの定義方法に応じてアクセス許可の境界よりも焦点が狭く見えたり広く見えたりする場合があります。しかし、アクセス許可の境界を定義すれば、ロールの実際のアクセス許可は、ロールにアタッチされたポリシーに関係なく、リクエストの承認中に表示されるアクセス許可を超えることはありません。アクセス許可の境界の詳細については、「アクセス許可の境界」を参照してください

  5. アクセス許可のシミュレーション結果を確認します。アクセス許可のシミュレーション機能では、自分の ID のアクセス許可が、リクエストに含まれるアクセス許可に対して自動評価されます。この分析に基づき、現在使用している ID でリクエストを承認するか、リクエストを管理者に転送するか、いずれかが推奨事項として表示されます。詳細については、「アクセス許可のシミュレーション機能 – ベータ版」を参照してください。

  6. ダイアログで、次の手順を選択します。

    • 自分の ID に、製品プロバイダーに自分でオンボーディングを実行することを許可するための十分な権限がある場合は、[アクセスを許可] を選択します。これを選ぶと、アクセスを許可するとすぐに、製品プロバイダーのアクセス期間が開始します。

    • 自分の ID に、製品プロバイダーに自分でオンボーディングを実行することを許可するための十分な権限がない場合は、[承認をリクエスト] を選択します。次に、[承認リクエストを作成] を選択します。これを選ぶと、一時委任をリクエストするリンクが生成されてアカウント管理者に共有できます。管理者は AWS マネジメントコンソールにアクセスするか [一時委任リクエストを確認] のアクセスリンクを使用してリクエストを承認し、リクエストしたユーザーに一時的なアクセス許可を共有します。

注記

製品プロバイダーにアクセスを許可するには、委任リクエスト (AcceptDelegationRequest) の受け付けと、交換トークン (SendDelegatedToken) の発行、という 2 つのアクションが必要になります。AWS マネジメントコンソールは、リクエストが承認されると両方のアクションを自動的に実行します。ユーザーが AWS CLI または API を使用している場合は、両方のアクションをユーザーが個別に実行する必要があります。

アクセス許可のシミュレーション機能 – ベータ版

一時委任のリクエストを受け取ったら、ユーザーは自分で承認するか、アカウント管理者に転送して承認を受けるかのいずれかを実行できます。製品プロバイダーにアクセス許可を委任できるのは、ユーザーが、一時委任リクエストに含まれるサービスとアクションにアクセスできる場合のみです。ユーザーがリクエストされたサービスとアクションにアクセスできない場合、製品プロバイダーは、たとえリクエストに含まれていたとしてもそれらのアクセス許可を付与されません。

例えば、一時委任のリクエストに Amazon S3 バケットの作成、Amazon EC2 でのインスタンスの起動と停止、IAM ロールの割り当ての許可が含まれていたとします。このリクエストを承認する ID は、Amazon EC2 でのインスタンスの起動と停止、および IAM ロールの割り当ては行えますが、Amazon S3 バケットを作成する権限は持っていません。この ID がリクエストを承認した場合、製品プロバイダーは、これらのアクセス許可が一時委任のリクエストに含まれていたとしても、Amazon S3 バケットを作成することはできません。

委任できるアクセス許可はユーザーが既に所有している許可のみであるため、リクエストされたアクセス許可を自分が持っているかどうかを承認前に確認することが非常に重要です。アクセス許可のシミュレーション機能 (ベータ版) を使うと、自分が現在持っているアクセス許可とリクエストに含まれる許可とを比較して確認できます。そこで、現在使用している ID でリクエストを承認できるか、それとも管理者に転送する必要があるかが示されます。この分析で、ユーザーに必要なアクセス許可があることを確認できない場合、リクエストは承認のため管理者に転送されます。この評価はシミュレーションされたアクセス許可の分析に基づくもので、実際の AWS 環境とは異なる可能性もあるため、リクエストされたアクセス許可を慎重に確認してから先に進みます。

次のステップ

一時委任のリクエストを行ったら、リクエストのプロセス全体を管理およびモニタリングできます。一時的なアクセス許可の追跡、承認、管理には、次の手順が役立ちます。