翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center の ID ベースのポリシーの例
このトピックでは、IAM Identity Center を管理する権限をユーザーとロールに付与するために作成できる IAM ポリシーの例を紹介します。
このセクションでは、次のトピックを対象としています。
カスタムポリシーの例
このセクションでは、カスタム IAM ポリシーを必要とする一般的なユースケースの例を示します。これらのポリシーの例は ID ベースのポリシーであり、プリンシパル要素を指定しません。これは、アイデンティティベースのポリシーでは、アクセス許可を取得するプリンシパルを指定しないためです。代わりに、ポリシーをプリンシパルにアタッチします。IAM ロールに ID ベースの権限ポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルが許可を得ることになります。IAM で ID ベースのポリシーを作成し、ユーザー、グループ、ロールにアタッチできます。IAM Identity Center でアクセス権限セットを作成するときに、これらのポリシーを IAM Identity Center のユーザーに適用することもできます。
例 1: ユーザーに IAM Identity Center の表示を許可する
次のアクセス権限ポリシーは、ユーザーに読み取り権限を付与し、IAM Identity Center 内で設定されたすべての設定やディレクトリ情報を閲覧できるようにします。
このポリシーは、例示のみを目的として提供されています。本番環境では、IAM Identity Center の ViewOnlyAccess AWS マネージドポリシーを使用することをお勧めします。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"iam:ListPolicies",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListPermissionSets",
"sso:DescribePermissionSet",
"sso:GetInlinePolicyForPermissionSet",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups"
],
"Resource": "*"
}
]
}
例 2: IAM Identity Center AWS アカウント で に対するアクセス許可の管理をユーザーに許可する
以下のアクセス権限ポリシーでは、ユーザーが AWS アカウントアカウントのアクセス権限セットを作成、管理、デプロイできる許可を付与しています。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AttachManagedPolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:CreatePermissionSet",
"sso:DeleteAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:DeletePermissionSet",
"sso:DetachManagedPolicyFromPermissionSet",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:UpdatePermissionSet"
],
"Resource": "*"
},
{
"Sid": "IAMListPermissions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListPolicies"
],
"Resource": "*"
},
{
"Sid": "AccessToSSOProvisionedRoles",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
}
]
}
、、および "Sid": "AccessToSSOProvisionedRoles"セクションにリストされている追加のアクセス許可は"Sid": "IAMListPermissions"、ユーザーが AWS Organizations 管理アカウントで割り当てを作成できるようにするためにのみ必要です。場合によっては、これらのセクションに iam:UpdateSAMLProvider を追加する必要もあります。
例 3: IAM Identity Center でのアプリケーション管理をユーザーに許可する
以下のアクセス権限ポリシーは、IAM Identity Center カタログ内から事前に統合された SaaS アプリケーションを含む IAM Identity Center のアプリケーションをユーザーが表示および設定できるようにするための許可を付与するものです。
以下のポリシー例で使用されている sso:AssociateProfile 操作は、ユーザーおよびグループのアプリケーションへの割り当てを管理するために必要です。また、既存のアクセス許可セット AWS アカウント を使用して、ユーザーにユーザーとグループを割り当てることもできます。ユーザーが IAM Identity Center 内で AWS アカウント アクセスを管理する必要があり、アクセス許可セットを管理するために必要なアクセス許可が必要な場合は、「」を参照してください例 2: IAM Identity Center AWS アカウント で に対するアクセス許可の管理をユーザーに許可する。
2020 年 10 月時点で、これらの運用の多くは AWS
コンソールからのみ利用可能です。この例のポリシーには、リスト、取得、検索などの「読み取り」アクションが含まれており、この場合のコンソールエラーのないオペレーションに関連します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:ImportApplicationInstanceServiceProviderMetadata",
"sso:DeleteApplicationInstance",
"sso:DeleteProfile",
"sso:DisassociateProfile",
"sso:GetApplicationTemplate",
"sso:UpdateApplicationInstanceServiceProviderConfiguration",
"sso:UpdateApplicationInstanceDisplayData",
"sso:DeleteManagedApplicationInstance",
"sso:UpdateApplicationInstanceStatus",
"sso:GetManagedApplicationInstance",
"sso:UpdateManagedApplicationInstanceStatus",
"sso:CreateManagedApplicationInstance",
"sso:UpdateApplicationInstanceSecurityConfiguration",
"sso:UpdateApplicationInstanceResponseConfiguration",
"sso:GetApplicationInstance",
"sso:CreateApplicationInstanceCertificate",
"sso:UpdateApplicationInstanceResponseSchemaConfiguration",
"sso:UpdateApplicationInstanceActiveCertificate",
"sso:DeleteApplicationInstanceCertificate",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationTemplates",
"sso:ListApplications",
"sso:ListApplicationInstances",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:ListProfileAssociations",
"sso:ListInstances",
"sso:GetProfile",
"sso:GetSSOStatus",
"sso:GetSsoConfiguration",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
例 4: Identity Center ディレクトリのユーザーとグループの管理をユーザーに許可する
以下のアクセス権限ポリシーは、ユーザーが IAM Identity Center でユーザーとグループを作成、表示、修正、削除するための許可を付与します。
場合によっては、IAM Identity Center のユーザーやグループを直接変更することが制限されている場合もあります。例えば、アクティブディレクトリや、自動プロビジョニングが有効になっている外部の ID プロバイダーが ID ソースとして選択されている場合などです。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:DisableUser",
"sso-directory:EnableUser",
"sso-directory:SearchGroups",
"sso-directory:DeleteGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:DescribeDirectory",
"sso-directory:UpdateUser",
"sso-directory:ListMembersInGroup",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"sso-directory:RemoveMemberFromGroup",
"sso-directory:DeleteUser",
"sso-directory:DescribeUsers",
"sso-directory:UpdateGroup",
"sso-directory:CreateGroup"
],
"Resource": "*"
}
]
}
IAM Identity Center コンソールの使用に必要な権限
ユーザーが IAM Identity Center コンソールをエラーなく使用するためには、追加の権限が必要です。最低限必要なアクセス許可よりも制限の厳しい IAM ポリシーが作成された場合、コンソールはそのポリシーを持つユーザーに対して意図したとおりに機能しません。以下の例では、IAM Identity Center コンソール内でエラーのない運用を行うために必要となる権限のセットを示しています。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:DescribeAccountAssignmentCreationStatus",
"sso:DescribeAccountAssignmentDeletionStatus",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:DescribePermissionsPolicies",
"sso:DescribeRegisteredRegions",
"sso:GetApplicationInstance",
"sso:GetApplicationTemplate",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetMfaDeviceManagementForDirectory",
"sso:GetPermissionSet",
"sso:GetPermissionsPolicy",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:ListAccountAssignmentCreationStatus",
"sso:ListAccountAssignmentDeletionStatus",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationInstances",
"sso:ListApplications",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetProvisioningStatus",
"sso:ListPermissionSets",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:ListTagsForResource",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
