翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS 自動 IAM プロビジョニングアクセス許可の境界チェック
AMS アクセス許可の境界チェックは、AMS が提供するデフォルトのアクセス許可の境界ポリシーに準拠するのに役立ちます。このポリシーは、AMS 自動 IAM プロビジョニングによって拒否されたアクションのリストです。これらの制限されたアクションを含むプロビジョニングポリシーには、追加の明示的なリスク承諾が必要です。ポリシーをここでダウンロードします: boundary-policy.zip。
お客様が定義したアクセス許可の境界ポリシーチェックを使用して、AMS アクセス許可の境界ポリシーのデフォルトを超える拒否アクションをカスタマイズします。次の変更タイプを使用して AMS 自動 IAM プロビジョニングにオンボードする場合: 管理 | マネージドアカウント | 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング | 有効化 (レビューが必要) (ct-1706xvvk6j9hf) 追加の制限付きアクションを指定するカスタム拒否アクションのリストを含めることができます。
拒否アクションのリストは、次の変更タイプを使用して更新できます: 管理 | マネージドアカウント | 読み取り/書き込みアクセス許可による自動 IAM プロビジョニング | カスタム拒否リストの更新 (ct-2r9xvd3sdsic0)。この変更タイプAWSManagedServicesIAMProvisionAdminRoleを実行するには、専用の IAM ロールを使用する必要があります。
注記
更新ごとに拒否アクションの包括的なリストを指定する必要があります。前のリストは新しいリストに置き換えられます。
拒否アクションのリストには、拒否するアクションのみを含める必要があります。許可アクションはサポートされていません。
拒否アクションのリストは、 という名前の IAM 管理ポリシーとしてアカウント内にあります
AWSManagedServicesIAMProvisionCustomerBoundaryPolicy。ポリシーはどのロールにもアタッチしないでください。AMS 自動 IAM プロビジョニングで拒否されたアクションを示すために使用されるアクセス許可の境界という用語は、IAM アクセス許可の境界とは異なるコンテキスト上の意味を持ちます。IAM アクセス許可の境界は、ポリシーが実行時に IAM エンティティに付与できるアクセス許可の上限を設定します。IAM アクセス許可の境界の詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「ポリシータイプ」を参照してください。AMS 自動 IAM プロビジョニングのアクセス許可の境界により、アクションの拒否リストなど、特定のアクセス許可のセットを含む IAM ポリシーをプロビジョニングできなくなります。
