AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可 - AWS IAM Identity Center
インラインポリシーAWS 管理ポリシーカスタマー管理ポリシーアクセス許可の境界

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可

カスタムアクセス許可を使用してアクセス許可セットを作成し、 AWS Identity and Access Management (IAM) にある AWS 管理ポリシーとカスタマー管理ポリシーをインラインポリシーと組み合わせることができます。また、権限の境界を含めることで、他のポリシーにより権限セットのユーザーに付与することのできる最大の権限を制限することもできます。

アクセス権限セットの作成方法については、「アクセス許可セットの作成、管理と削除」を参照してください。

アクセス権限セットに適用できるポリシータイプ

インラインポリシー

インラインポリシーをアクセス権限セットに適用します。インラインポリシーは IAM ポリシーとしてフォーマットされたテキストブロックで、アクセス権限セットに直接追加します。新しいアクセス権限セットを作成するときに、ポリシーを貼り付けるか、IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。AWS ポリシージェネレーター を使用して IAM ポリシーを作成することもできます。

インラインポリシーを使用してアクセス許可セットをデプロイすると、IAM Identity Center はアクセス許可セットを割り当てる AWS アカウント に IAM ポリシーを作成します。IAM Identity Center は、アクセス権限セットをアカウントに割り当てるとポリシーを作成します。その後、ポリシーは、ユーザーが引き受け AWS アカウント る の IAM ロールにアタッチされます。

インラインポリシーを作成してアクセス許可セットを割り当てると、IAM Identity Center によって のポリシー AWS アカウント が自動的に設定されます。を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

AWS 管理ポリシー

AWS 管理ポリシーをアクセス許可セットにアタッチできます。 AWS 管理ポリシーは、 が AWS 管理する IAM ポリシーです。対照的に、 は、作成して管理するアカウントの IAM ポリシーです。 AWS 管理ポリシーカスタマー管理ポリシーは、 の一般的な最小特権のユースケースに対処します AWS アカウント。 AWS 管理ポリシーは、IAM Identity Center が作成するロールのアクセス許可として、またはアクセス許可の境界として割り当てることができます。

AWS は、 AWS リソースにジョブ固有のアクセス許可を割り当てるジョブAWS 機能の管理ポリシーを維持します。アクセス権限セットに 定義済みの権限 を使用する場合は、職務ポリシーを 1 つ追加できます。カスタム権限 を選択すると、複数の職務ポリシーを追加できます。

には、特定の AWS のサービス と の組み合わせに対する多数の AWS マネージド IAM ポリシー AWS アカウント も含まれています AWS のサービス。カスタムアクセス許可を使用してアクセス許可セットを作成する場合、アクセス許可セットに割り当てる多くの追加の AWS 管理ポリシーから選択できます。

AWS は、すべての AWS アカウント に AWS 管理ポリシーを設定します。 AWS 管理ポリシーを使用してアクセス許可セットをデプロイするには、最初に でポリシーを作成する必要はありません AWS アカウント。を使用してアクセス許可セットを構築する場合はカスタマー管理ポリシー、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。

カスタマー管理ポリシー

カスタマー管理ポリシーをアクセス権限セットに適用できます。カスタマー管理ポリシーは、アカウント内で顧客が作成および維持する IAM ポリシーです。対照的に、 AWS 管理ポリシーは が AWS 管理するアカウントの IAM ポリシーです。カスタマー管理ポリシーは、IAM Identity Center が作成するロールのアクセス許可として、またはアクセス許可の境界として割り当てることができます。

カスタマー管理ポリシーを使用してアクセス許可セットを作成する場合、IAM Identity Center AWS アカウント がアクセス許可セットを割り当てる各 に同じ名前とパスを持つ IAM ポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウントに同じパスを指定してください。詳細については、「IAM ユーザーガイド」の「親しみやすい名前とパス」を参照してください。IAM Identity Center は、作成した IAM ポリシーを、 AWS アカウントで作成した IAM ロールにアタッチします。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「権限セットに IAM ポリシーを使用する」を参照してください。

注記

カスタマー管理ポリシーがアクセス許可セットにアタッチされている場合、ポリシーの名前では大文字と小文字が区別されません。

詳細については、IAM ユーザーガイドの「カスタマー管理ポリシー」を参照してください。

アクセス許可の境界

アクセス権限セットには アクセス許可の境界を適用できます。アクセス許可の境界は、アイデンティティベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定する AWS マネージドまたはカスタマーマネージドの IAM ポリシーです。アクセス許可の境界を適用すると、インラインポリシー、、および はカスタマー管理ポリシー、アクセス許可の境界が付与するアクセス許可を超えるアクセス許可を付与AWS 管理ポリシーすることはできません。アクセス許可の境界ではアクセス権限は付与されませんが、その代わりに IAM が境界を超えるすべてのアクセス権限を無視するようになります。

カスタマー管理ポリシーをアアクセス許可の境界として使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前の IAM ポリシーを作成する必要があります。IAM Identity Center は、IAM ポリシーをアクセス許可の境界として AWS アカウント で作成する IAM ロールに適用します。

詳細については、IAM ユーザーガイド の IAM エンティティのアクセス許可の境界を参照してください。