翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Managed Microsoft AD ユーザーとグループに IAM ロールを持つ AWS リソースへのアクセス権を付与する
AWS Directory Service は、 AWS Managed Microsoft AD ユーザーとグループに Amazon EC2 コンソールへのアクセス AWS などの のサービスやリソースへのアクセスを許可する機能を提供します。「」で説明されているように、ディレクトリを管理するためのアクセス権を IAM ユーザーに付与するのと同様に[アイデンティティベースのポリシー (IAM ポリシー)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)、ディレクトリ内のユーザーが Amazon EC2 などの他の AWS リソースにアクセスできるようにするには、IAM ロールとポリシーをそれらのユーザーとグループに割り当てる必要があります。詳細については、「IAM ユーザーガイド」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」を参照してください。
へのアクセスをユーザーに付与する方法については AWS マネジメントコンソール、「」を参照してください[AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md)。
**Topics**
+ [新しい IAM ロールの作成](create_role.md)
+ [既存の IAM ロールの信頼関係を編集する](edit_trust.md)
+ [既存の IAM ロールにユーザーまたはグループを割り当てる](assign_role.md)
+ [ロールに割り当てられたユーザーとグループの表示](view_role_details.md)
+ [IAM ロールからユーザーまたはグループを削除する](remove_role_users.md)
+ [での AWS マネージドポリシーの使用 Directory Service](ms_ad_managed_policies.md)
# 新しい IAM ロールの作成
で使用する新しい IAM ロールを作成する必要がある場合は Directory Service、IAM コンソールを使用して作成する必要があります。ロールが作成されたら、 Directory Service コンソールでそのロールを表示する前に、そのロールとの信頼関係を設定する必要があります。詳細については、「[既存の IAM ロールの信頼関係を編集する](edit_trust.md)」を参照してください。
**注記**
このタスクを実行するユーザーには、以下の IAM アクションを実行するためのアクセス許可が付与されている必要があります。詳細については、「[アイデンティティベースのポリシー (IAM ポリシー)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)」を参照してください。
iam:PassRole
iam:GetRole
iam:CreateRole
iam:PutRolePolicy
**IAM コンソールで新しいロールを作成するには**
1. IAM コンソールのナビゲーションペインで **[Roles]** (ロール) をクリックします。詳細については、*IAM ユーザーガイド* の [Creating a role (AWS マネジメントコンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
1. **[Create role]** (ロールの作成) を選択します。
1. **[Choose the service that will use this role]** (このロールを使用するサービスを選択) で、**[Directory Service]** (ディレクトリサービス)、**[Next]** (次へ) の順に選択します。
1. ディレクトリユーザーに適用するポリシー (**AmazonEC2FullAccess** など) の横にあるチェックボックスをオンにして、**[Next]** (次へ) をクリックします。
1. 必要に応じてタグをロールに追加した上で、**[Next]** (次へ) をクリックします。
1. **[Role name]** ロール名を入力し、オプションで **[Description]** (説明) を入力した後、**[Create role]** (ロールを作成) をクリックします。
**例: AWS マネジメントコンソール へのアクセスを有効にするためのロールを作成する**
次のチェックリストは、特定の AWS Managed Microsoft AD ユーザーに Amazon EC2 コンソールへのアクセスを許可する新しい IAM ロールを作成するために完了する必要があるタスクの例を示しています。
1. 上記の手順に従い、IAM コンソールを使用してロールを作成します。ポリシーが要求されたら、「**AmazonEC2FullAccess**」を選択します。
1. [既存の IAM ロールの信頼関係を編集する](edit_trust.md) の手順に従い作成したロールを編集した後、必要な信頼関係情報をポリシードキュメントに追加します。このステップは、次のステップ AWS マネジメントコンソール で へのアクセスを有効にした直後にロールを表示するために必要です。
1. [AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md) の手順に従って、 AWS マネジメントコンソールへの一般的なアクセスを設定します。
1. [既存の IAM ロールにユーザーまたはグループを割り当てる](assign_role.md) の手順に従って、EC2 リソースへのフルアクセスを必要とするユーザーを新しいロールに追加します。
# 既存の IAM ロールの信頼関係を編集する
既存の IAM ロールを Directory Service ユーザーとグループに割り当てることができます。ただし、これを行うには、ロールに との信頼関係が必要です Directory Service。 Directory Service を使用して の手順を使用してロールを作成すると[新しい IAM ロールの作成](create_role.md)、この信頼関係が自動的に設定されます。
**注記**
ユーザーがこの信頼関係を確立する必要があるのは、 Directory Serviceによって作成されない IAM ロールに対してのみです。
**への既存の IAM ロールの信頼関係を確立するには Directory Service**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. IAM コンソールのナビゲーションペインの **[Access management]** で、**[Roles]** を選択します。
コンソールには、アカウントにあるロールが表示されます。
1. 変更するロールの名前を選択した後、詳細ページの **[Trust relationships]** タブを開きます。
1. **[Edit trust policy]** (信頼ポリシーを編集) を選択します。
1. **[Policy Document]** の下に以下の内容を貼り付けた後、**[Update policy]** をクリックします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
このポリシードキュメントは、 AWS CLIを使用して更新することも可能です。詳細については、「*AWS CLI コマンドリファレンス*」の「[update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html)」を参照してください。
# 既存の IAM ロールにユーザーまたはグループを割り当てる
Managed Microsoft AD ユーザーまたはグループに既存の IAM AWS ロールを割り当てることができます。そのため、次の手順を完了していることを確認してください。
**前提条件**
+ [AWS Managed Microsoft AD を作成します](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ 「[IAM ユーザーを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)」または「[IAM グループを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)」。
+ 信頼関係を持つ[ロールを作成します](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service。既存の IAM ロールの場合、[既存のロールの信頼関係を編集](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)する必要があります。
**重要**
ディレクトリ内のネストされたグループの AWS Managed Microsoft AD ユーザーのアクセスはサポートされていません。親グループのメンバーにはコンソールへのアクセス権限がありますが、子グループのメンバーによるアクセスは無効です。
**AWS Managed Microsoft AD ユーザーまたはグループを既存の IAM ロールに割り当てるには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) のナビゲーションペインの **[Active Directory]** で、**[Directories]** を選択します。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Application management]** (アプリケーション管理) タブを開きます。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、割り当てを行うリージョンを選択した上で、**[Application management]** (アプリケーション管理) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
1. **[AWS マネジメントコンソール]** セクションまで下にスクロールして、**[アクション]** と **[有効にする]** を選択します。
1. **[コンソールアクセスの委任]** セクションで、ユーザーに割り当てる既存の IAM ロールの IAM ロール名を選択します。
1. **[Selected role]** (選択されたロール) ページの **[Manage users and groups for this role]** (このロールのユーザーとグループの管理) で、**[Add]** (追加) をクリックします。
1. **[Add users and groups to role]** (ロールへのユーザーとグループの追加) ページの **[Select Active Directory Forest]** (Active Directory フォレストの選択) で、 AWS Managed Microsoft AD フォレスト (このフォレスト) またはオンプレミスフォレスト (信頼されたフォレスト) の内、 AWS マネジメントコンソールへのアクセスが必要なアカウントが含まれている方を選択します。信頼されたフォレストの設定方法の詳細については、「[チュートリアル: AWS Managed Microsoft AD とセルフマネージド Active Directory ドメインの間に信頼関係を作成する](ms_ad_tutorial_setup_trust.md)」を参照してください。
1. [**Specify which users or groups to add (追加するユーザーまたはグループを指定)**] で、[**Find by user (ユーザーで検索)**] または [**Find by group (グループで検索)**] のいずれかを選択し、ユーザーまたはグループの名前を入力します。可能性のある結果のリストから、追加するユーザーまたはグループを選択します。
1. **[Add]** (追加) をクリックして、ユーザーとグループのロールへの割り当てを完了します。
# ロールに割り当てられたユーザーとグループの表示
IAM ロールに割り当てられた AWS Managed Microsoft AD ユーザーとグループを表示するには、次の手順を実行します。
**前提条件**
+ [AWS Managed Microsoft AD を作成します](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ 「[IAM ユーザーを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)」または「[IAM グループを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)」。
+ 信頼関係を持つ[ロールを作成します](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service。既存の IAM ロールの場合、[既存のロールの信頼関係を編集](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)する必要があります。
+ [既存の IAM ロールにユーザーまたはグループを割り当てる](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html)。
**IAM ロールに割り当てられた AWS Managed Microsoft AD ユーザーとグループを表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) のナビゲーションペインの **[Active Directory]** で、**[Directories]** を選択します。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、割り当てを表示するリージョンを選択した上で、**[Application management]** (アプリケーション管理) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Application management]** (アプリケーション管理) タブを開きます。
1. **[AWS マネジメントコンソール]** セクションまで下にスクロールします。**[ステータス]** は **[有効]** にする必要があります。そうでない場合は、**[アクション]** で **[有効にする]** を選択します。詳細については、「[AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md)」を参照してください。
**注記**
AWS マネジメントコンソール が無効になっている場合、グループやユーザーは表示されません。
1. **[コンソールアクセスの委任]** セクションで表示したい IAM ロールのハイパーリンクを選択します。または、**[IAM でポリシーを表示]** を選択して、IAM コンソールで IAM ポリシーを表示できます。
1. **[選択されたロール]** ページの **[このロールのユーザーとグループの管理]** セクションで、対象の IAM ロールに割り当てられたユーザーとグループを確認できます。
# IAM ロールからユーザーまたはグループを削除する
Managed AWS Microsoft AD ユーザーまたはグループを IAM ロールから削除するには、次の手順を実行します。
**ユーザーまたはグループから IAM ロールを削除するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) を選択します。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、割り当てを削除するリージョンを選択した上で、**[Application management]** (アプリケーション管理) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
1. **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Application management]** (アプリケーション管理) タブを開きます。
1. **AWS マネジメントコンソール** セクションで、ユーザーとグループを削除したい IAM ロールを選択する。
1. **[Selected role]** (選択されたロール) ページの **[Manage users and groups for this role]** (このロールのユーザーとグループの管理) で、ロールを削除するユーザーまたはグループを選択し、**[Remove]** (削除) を選択します。このロールは指定されたユーザーおよびグループから削除されますが、アカウントからは削除されません。
**注記**
ロールを削除する場合は、「[ロールまたはインスタンスプロファイルの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。
# での AWS マネージドポリシーの使用 Directory Service
Directory Service では、Amazon EC2 コンソールへのアクセスなど、 AWS のサービスとリソースへのアクセス権をユーザーとグループに付与するために、次の AWS マネージドポリシーが用意されています。これらのポリシーを確認するには、 AWS マネジメントコンソール にログインする必要があります。
+ [読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [パワーユーザーアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Directory Service Data へのフルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Directory Service Data 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Amazon Cloud Directory フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Amazon Cloud Directory 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Amazon EC2 フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Amazon EC2 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Amazon VPC フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Amazon VPC 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Amazon RDS フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Amazon RDS 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Amazon DynamoDB フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Amazon DynamoDB 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Amazon S3 フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Amazon S3 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Amazon CloudWatch フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Amazon CloudWatch 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Amazon CloudWatch Logs フルアクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Amazon CloudWatch Logs 読み取り専用アクセス](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)
独自のポリシーを作成する方法の詳細については、*「IAM ユーザーガイド*」の[AWS 「リソースを管理するためのポリシーの例](https://docs.aws.amazon.com/console/iam/example-policies)」を参照してください。