翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# リソースポリシー、Amazon EKS クラスター設定マップ、および AWS KMS キーポリシーでのアクセス許可セットの参照
<a name="referencingpermissionsets"></a>

アクセス許可セットを AWS アカウントに割り当てると、IAM Identity Center は で始まる名前のロールを作成します`AWSReservedSSO_`。

 ロールのフルネームと Amazon リソースネーム (ARN) は、次の形式を使用します。


| 名前 | ARN | 
| --- | --- | 
| AWSReservedSSO\_{{permission-set-name\_unique-suffix}} | arn:aws:iam::{{aws-account-ID}}:role/aws-reserved/sso.amazonaws.com/{{aws-region}}/AWSReservedSSO\_{{permission-set-name\_unique-suffix}} | 

IAM アイデンティティセンターの ID ソースが us-east-1 でホストされている場合、ARN に {{aws-region}} は含まれません。ロールのフルネームと ARN は、次の形式を使用します。


| 名前 | ARN | 
| --- | --- | 
| AWSReservedSSO\_{{permission-set-name\_unique-suffix}} | arn:aws:iam::{{aws-account-ID}}:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\_{{permission-set-name\_unique-suffix}} | 

たとえば、データベース管理者に AWS アカウントアクセスを許可するアクセス許可セットを作成すると、対応するロールが次の名前と ARN で作成されます。


| 名前 | ARN | 
| --- | --- | 
| AWSReservedSSO\_DatabaseAdministrator\_1234567890abcdef  | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\_DatabaseAdministrator\_1234567890abcdef | 

 AWS アカウントでこのアクセス許可セットへのすべての割り当てを削除すると、IAM Identity Center が作成した対応するロールも削除されます。後で同じ権限セットに新しい割り当てを行うと、IAM Identity Center はその権限セット用の新しいロールを作成します。新しいロールの名前と ARN には、異なる固有のサフィックスが含まれます。この例では、ユニークなサフィックスは「**abcdef0123456789**」です。


| 名前 | ARN | 
| --- | --- | 
| AWSReservedSSO\_DatabaseAdministrator\_abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\_DatabaseAdministrator\_abcdef0123456789 | 

ロールの新しい名前と ARN のサフィックスが変更されると、元の名前と ARN を参照するすべてのポリシーが古くなり、対応する権限セットを使用する個人のアクセスが中断されます。たとえば、以下の設定で元の ARN が参照されている場合、ロールの ARN を変更すると、権限セットのユーザのアクセスが中断されます。
+ クラスターアクセスに `aws-auth ConfigMap` を使用する場合、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内の `aws-auth ConfigMap` ファイル。
+  AWS Key Management Service (AWS KMS) キーのリソースベースのポリシー。このポリシーはキーポリシーとも呼ばれます。

**注記**  
[Amazon EKS アクセスエントリ](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html)を使用して、Amazon EKS クラスターへのアクセスを管理することをお勧めします。これにより、IAM 権限を使用して、Amazon EKS クラスターにアクセスできるプリンシパルを管理できます。Amazon EKS アクセスエントリを使用することで、Amazon EKS 権限を持つ IAM プリンシパルを使用して、 サポートに連絡せずにクラスターへのアクセスを回復できます。

ほとんどの AWS サービスのリソースベースのポリシーを更新して、アクセス許可セットに対応するロールの新しい ARN を参照できますが、ARN が変更され AWS KMS た場合は、Amazon EKS の IAM で作成するバックアップロールが必要です。Amazon EKS では、バックアップ IAM ロールが `aws-auth ConfigMap` に存在している必要があります。の場合 AWS KMS、キーポリシーに存在する必要があります。`aws-auth ConfigMap` またはキー AWS KMS ポリシーを更新するアクセス許可を持つバックアップ IAM ロールがない場合は、 サポート に連絡してそれらのリソースへのアクセスを回復してください。

## アクセスが中断されないようにするための推奨事項
<a name="avoid-access-disruptions"></a>

権限セットに対応するロールの ARN の変更によるアクセスの中断を避けるため、次のことを行うことをお勧めします。
+ **少なくとも 1 つの権限セット割り当てを維持します。**

  Amazon EKS `aws-auth ConfigMap`の で参照するロール、 のキーポリシー、または他の のリソースベースのポリシーを含む AWS アカウントで AWS KMS、この割り当てを維持します AWS のサービス。

  たとえば、アクセス`EKSAccess`許可セットを作成し、 AWS アカウント から対応するロール ARN を参照する場合`111122223333`、そのアカウントのアクセス許可セットに管理グループを完全に割り当てます。この割り当ては永続的であるため、IAM Identity Center は対応するロールを削除せず、名前を変更するリスクがなくなります。管理グループは、権限昇格のリスクなしにいつでもアクセスできます。
+ **`aws-auth ConfigMap`および を使用する Amazon EKS クラスターの場合 AWS KMS: IAM で作成されたロールを含めます。**

  Amazon EKS クラスターの または AWS KMS キーのキーポリシーでアクセス許可セット`aws-auth ConfigMap`のロール ARNs を参照する場合は、IAM で作成するロールを少なくとも 1 つ含めることをお勧めします。ロールでは、Amazon EKS クラスターへのアクセスまたは AWS KMS キーポリシーの管理を許可する必要があります。権限セットがこのロールを引き受けることができる必要があります。これにより、アクセス許可セットのロール ARN が変更された場合、 `aws-auth ConfigMap`または AWS KMS キーポリシーの ARN への参照を更新できます。次のセクションでは、IAM で作成されたロールの信頼ポリシーを作成する方法の例を示します。このロールは `AdministratorAccess` 権限セットによってのみ引き受けることができます。

## カスタム信頼ポリシーの例
<a name="custom-trust-policy-example"></a>

以下は、IAM で作成されたロールへの `AdministratorAccess` 権限セットを提供するカスタム信頼ポリシーの例です。この基盤を構成する主な要素には以下が含まれます。
+ この信頼ポリシーの Principal 要素は、 AWS アカウントプリンシパルを指定します。このポリシーでは、`sts:AssumeRole`アクセス許可`111122223333`を持つ AWS アカウントのプリンシパルが、IAM で作成されたロールを引き受けることができます。
+ このトラストポリシーの `Condition element` は、IAM で作成されたロールを引き受けるプリンシパルの追加要件を指定します。このポリシーでは、以下のロール ARN を持つ権限セットがロールを引き受けることができます。

  ```
  arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
  ```
**注記**  
この `Condition` 要素には `ArnLike` 条件演算子が含まれ、権限セットロール ARN の末尾には固有のサフィックスではなくワイルドカードが使用されます。つまり、ポリシーは、権限セットのロール ARN が変更された場合でも、権限セットが IAM で作成されたロールを引き継ぐことを許可します。

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "ArnLike": {
            "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
          }
        }
      }
    ]
  }
  ```

------

  このようなポリシーに IAM で作成したロールを含めると、アクセス許可セットまたはアクセス許可セットへのすべての割り当てが誤って削除および再作成された場合に AWS KMS keys、Amazon EKS クラスターまたは他の AWS リソースへの緊急アクセスが可能になります。