翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IAM Identity Center の マネージドポリシー
チームが必要とする権限のみを提供する [IAM カスタマーマネージメントポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)を作成するには、時間と専門知識が必要です。管理 AWS ポリシーを使用すると、すぐに開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS マネージドポリシーの詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能ポリシーのリストと説明については、*IAM ユーザーガイド* の「[AWS ジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
ユーザーセッションを一覧表示したり削除したりできる新しいアクションが、新しい名前スペース `identitystore-auth` で利用できるようになりました。この名前スペースのアクションに対する追加の権限は、このページで更新されます。カスタム IAM ポリシーを作成するときは、`identitystore-auth` の後に `*` を使用しないでください。これは、現在または将来名前スペースに存在するすべてのアクションに適用されるためです。
## AWS マネージドポリシー: AWSSSOMasterAccountAdministrator
`AWSSSOMasterAccountAdministrator` ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、 AWS IAM アイデンティティセンター 管理者のジョブロールを実行するプリンシパルを対象としています。時間の経過とともに、提供されるアクションのリストは、IAM Identity Center の既存の機能と管理者として必要なアクションに一致するように更新されます。
`AWSSSOMasterAccountAdministrator` ポリシーを IAM アイデンティティにアタッチできます。`AWSSSOMasterAccountAdministrator` ポリシーを ID にアタッチすると、管理 AWS IAM アイデンティティセンター アクセス許可が付与されます。このポリシーを持つプリンシパルは、 AWS Organizations 管理アカウントとすべてのメンバーアカウント内の IAM Identity Center にアクセスできます。このプリンシパルは、IAM Identity Center インスタンス、ユーザー、アクセス権限セット、割り当てを作成する機能を含む、すべての IAM Identity Center の運用を完全に管理することができます。プリンシパルは、 AWS 組織メンバーアカウント全体でこれらの割り当てをインスタンス化し、 AWS Directory Service マネージドディレクトリと IAM アイデンティティセンター間の接続を確立することもできます。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。
このポリシーには、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS Key Management Service アクセス許可も含まれています。
**アクセス権限のグループ化**
このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。
+ `AWSSSOMasterAccountAdministrator` – IAM Identity Center が `AWSServiceRoleforSSO` という名前の [サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) を IAM Identity Center に渡すことを許可します。これにより、後でそのロールを引き受けて、代わりにアクションを実行できるようになります。これは、ユーザーやアプリケーションが IAM Identity Center を有効にするときに必要です。詳細については、「[へのアクセスを設定する AWS アカウント](manage-your-accounts.md)」を参照してください。
+ `AWSSSOMemberAccountAdministrator` – IAM Identity Center がマルチアカウント AWS 環境でアカウント管理者アクションを実行できるようにします。詳細については、「[AWS マネージドポリシー: AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator)」を参照してください。
+ `AWSSSOManageDelegatedAdministrator` — IAM Identity Center が組織の委任管理者を登録および登録解除できるようにします。
+ `AllowKMSKeyUseViaService` および `AllowKMSKeyDiscovery` – IAM Identity Center インスタンスで使用されるカスタマーマネージドキーの AWS Key Management Service オペレーションを許可します。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSSSOMasterAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMasterAccountAdministrator.html)」を参照してください。
### ポリシーに関する追加情報。
IAM Identity Center が初めて有効になると、IAM Identity Center サービスは AWS Organizations 管理アカウント (以前のマスターアカウント) に[サービスにリンクされたロール](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-service-linked-roles.html)を作成し、IAM Identity Center がアカウントのリソースを管理できるようにします。このアクションには `iam:CreateServiceLinkedRole` と `iam:PassRole` が必要です。
## AWS マネージドポリシー: AWSSSOMemberAccountAdministrator
`AWSSSOMemberAccountAdministrator` ポリシーは、プリンシパルに必要な管理上のアクションを提供するものです。このポリシーは、IAM Identity Center 管理者のジョブのロールを遂行するプリンシパルを対象とします。時間の経過とともに、提供されるアクションのリストは、IAM Identity Center の既存の機能と管理者として必要なアクションに一致するように更新されます。
`AWSSSOMemberAccountAdministrator` ポリシーを IAM アイデンティティにアタッチできます。`AWSSSOMemberAccountAdministrator` ポリシーを ID にアタッチすると、管理 AWS IAM アイデンティティセンター アクセス許可が付与されます。このポリシーを持つプリンシパルは、 AWS Organizations 管理アカウントとすべてのメンバーアカウント内の IAM Identity Center にアクセスできます。このプリンシパルは、ユーザー、アクセス権限セット、および割り当てを作成する機能を含む、すべての IAM Identity Center の運用を完全に管理することができます。プリンシパルは、 AWS 組織メンバーアカウント全体でこれらの割り当てをインスタンス化し、 AWS Directory Service マネージドディレクトリと IAM アイデンティティセンター間の接続を確立することもできます。新しい管理機能がリリースされると、アカウント管理者にはこれらの権限が自動的に付与されます。
このポリシーには、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS Key Management Service アクセス許可も含まれています。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSSSOMemberAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMemberAccountAdministrator.html)」を参照してください。
### ポリシーに関する追加情報。
IAM Identity Center 管理者は、IAM Identity Center ディレクトリストア (sso-directory) でユーザー、グループ、パスワードを管理します。アカウント管理者ロールには、以下のアクションの権限が含まれます。
+ `"sso:*"`
+ `"sso-directory:*"`
IAM Identity Center 管理者は、毎日のタスクを実行するために、以下の Directory Service アクションに対する制限されたアクセス許可が必要です。
+ `"ds:DescribeTrusts"`
+ `"ds:UnauthorizeApplication"`
+ `"ds:DescribeDirectories"`
+ `"ds:AuthorizeApplication"`
+ `“ds:CreateAlias”`
これらの権限により、IAM Identity Center の管理者は、既存のディレクトリを特定し、アプリケーションを管理して、IAM Identity Center で使用できるように設定することができます。各アクションの詳細については、[「Directory Service API 権限:アクション、リソース、参照する条件」](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html) を参照してください。
IAM Identity Center は、IAM ポリシーを使用して、IAM Identity Center ユーザーにアクセス許可を付与します。IAM Identity Center 管理者は、アクセス権限セットを作成し、それにポリシーをアタッチします。IAM Identity Center 管理者は、作成または更新するアクセス権限セットで使用するポリシーを選択できるように、既存のポリシーを一覧表示するには以下の権限が必要です。安全で機能的な権限を設定するには、IAM Identity Center の管理者が IAM Access Analyzer ポリシー検証を実行する権限を持っている必要があります。
+ `"iam:ListPolicies"`
+ `"access-analyzer:ValidatePolicy"`
IAM Identity Center 管理者は、毎日のタスクを実行するために、以下の AWS Organizations アクションへの制限付きアクセスが必要です。
+ `"organizations:EnableAWSServiceAccess"`
+ `"organizations:ListRoots"`
+ `"organizations:ListAccounts"`
+ `"organizations:ListOrganizationalUnitsForParent"`
+ `"organizations:ListAccountsForParent"`
+ `"organizations:DescribeOrganization"`
+ `"organizations:ListChildren"`
+ `"organizations:DescribeAccount"`
+ `"organizations:ListParents"`
+ `"organizations:ListDelegatedAdministrators"`
+ `"organizations:RegisterDelegatedAdministrator"`
+ `"organizations:DeregisterDelegatedAdministrator"`
これらの権限により、IAM Identity Center の管理者は、組織リソース (アカウント) を操作して、以下のような基本的な IAM Identity Center 管理タスクを行うことができます。
+ 組織に属する管理アカウントの特定
+ 組織に属するメンバーアカウントの識別
+ アカウントの AWS サービスアクセスの有効化
+ 代理管理者の設定と管理
IAM Identity Center での委任管理者の使用の詳細については、「[委任された管理](delegated-admin.md)」を参照してください。これらのアクセス許可を で使用する方法の詳細については AWS Organizations、[「 を他の AWS サービス AWS Organizations で使用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
## AWS マネージドポリシー: AWSSSODirectoryAdministrator
`AWSSSODirectoryAdministrator` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、IAM Identity Center のユーザーとグループに対する管理権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center のユーザーとグループを更新することができます。このポリシーには、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS Key Management Service アクセス許可も含まれています。
このポリシーには、以下のアクセス許可が含まれています。
+ **IAM アイデンティティセンターディレクトリ** - IAM アイデンティティセンターディレクトリオペレーションへの完全な管理アクセス。
+ **ID ストア** - ID ストアのオペレーションと認証への完全な管理アクセス。
+ **IAM アイデンティティセンター** - ディレクトリの関連付けを一覧表示するアクセス許可。
+ **AWS Key Management Service** - IAM アイデンティティセンターインスタンスで使用されるカスタマーマネージドキーの復号、キーの説明、データキーの生成を行うアクセス許可。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSSSODirectoryAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryAdministrator.html)」を参照してください。
## AWS マネージドポリシー: AWSSSOReadOnly
`AWSSSOReadOnly` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが IAM Identity Center の情報を閲覧するための読み取り専用の権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center のユーザーやグループを直接表示できません。IAM Identity Center では、このポリシーが適用されたプリンシパルを更新できません。例えば、これらの権限を持つプリンシパルは、IAM Identity Center 設定を閲覧することはできますが、設定値を変更することはできません。
このポリシーには、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS Key Management Service アクセス許可も含まれています。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSSSOReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOReadOnly.html)」を参照してください。
## AWS マネージドポリシー: AWSSSODirectoryReadOnly
`AWSSSODirectoryReadOnly` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが IAM Identity Center のユーザーとグループを閲覧するための読み取り専用の権限を付与します。このポリシーが適用されたプリンシパルは、IAM Identity Center の割り当て、アクセス権限セット、アプリケーション、または設定を表示できません。IAM Identity Center では、このポリシーが適用されたプリンシパルを更新できません。例えば、これらのアクセス許可を持つプリンシパルは、IAM アイデンティティセンターユーザーを表示できますが、ユーザー属性の変更や MFA デバイスの割り当てはできません。
このポリシーには、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS Key Management Service アクセス許可も含まれています。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSSSODirectoryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryReadOnly.html)」を参照してください。
## AWS マネージドポリシー: AWSIdentitySyncFullAccess
`AWSIdentitySyncFullAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーが適用されたプリンシパルには、同期プロファイルの作成と削除、同期プロファイルと同期ターゲットとの関連付けまたは更新、同期フィルターの作成、一覧表示、削除、同期の開始または停止を行う完全なアクセス権があります。
**アクセス許可の詳細**
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSIdentitySyncFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AWSIdentitySyncReadOnlyAccess
`AWSIdentitySyncReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが ID 同期プロファイル、フィルター、およびターゲット設定に関する情報を確認できるようにする読み取り専用の権限を付与します。このポリシーが適用されているプリンシパルは、同期設定を更新できません。例えば、これらのアクセス許可を持つプリンシパルは ID 同期設定を表示できますが、プロファイルやフィルターの値を変更することはできません。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSIdentitySyncReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AWSSSOServiceRolePolicy
`AWSSSOServiceRolePolicy` ポリシーを IAM アイデンティティにアタッチできません。
このポリシーは、IAM Identity Center が特定の へのシングルサインオンアクセス権を持つユーザーを委任して強制できるようにするサービスにリンクされたロールにアタッチ AWS アカウント されます AWS Organizations。IAM を有効にすると、サービスにリンクされたロールが組織 AWS アカウント 内のすべての に作成されます。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。各 で作成されるサービスにリンクされたロール AWS アカウント の名前は です`AWSServiceRoleForSSO`。詳細については、「[IAM Identity Center のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシー: AWSIAMIdentityCenterAllowListForIdentityContext
IAM Identity Center アイデンティティコンテキストを使用してロールを引き受けると、 AWS Security Token Service (AWS STS) は自動的に`AWSIAMIdentityCenterAllowListForIdentityContext`ポリシーをロールにアタッチします。
このポリシーは、IAM アイデンティティセンターID コンテキストで引き受けられるロールで信頼できる ID の伝播を使用する場合に許可されるアクションのリストを提供します。このコンテキストで呼び出される他のすべてのアクションはブロックされます。ID コンテキストは `ProvidedContext` として渡されます。
このポリシーに対するアクセス権限を確認するには、「*AWS Managed Policy Reference*」の「[AWSIAMIdentityCenterAllowListForIdentityContext](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIAMIdentityCenterAllowListForIdentityContext.html)」を参照してください。
## AWS マネージドポリシー: AWSIdentityCenterExternalManagementPolicy
`AWSIdentityCenterExternalManagementPolicy` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、外部プロバイダーから IAM Identity Center ユーザーを管理するためのアクセスを提供します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[AWSIdentityCenterExternalManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentityCenterExternalManagementPolicy.html)」を参照してください。
## IAM Identity Center の AWS マネージドポリシーの更新
次の表は、このサービスがこれらの変更の追跡を開始してからの IAM Identity Center の AWS マネージドポリシーの更新を示しています。このページの変更に関する自動通知については、[IAM Identity Center ドキュメントの履歴] ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | マネージドポリシーを更新して、プロビジョニングテナントの ARN を変更しました。 | 2025 年 12 月 5 日 |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | このポリシーは、外部プロバイダーから IAM Identity Center ユーザーを管理するためのアクセスを提供します。 | 2025 年 11 月 21 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator)、[AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator)、[AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly)、[AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator)、[AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | マネージドポリシーを更新し、暗号化にカスタマーマネージドキーを使用する IAM Identity Center インスタンスに必要な AWS KMS アクセス許可を追加しました。 | 2025 年 9 月 17 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | このポリシーには、`identity-sync:DeleteSyncProfile` を呼び出すための新しいアクセス許可が含まれるようになりました。 | 2025 年 2 月 11 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `qapps:ListQAppSessionData`および `qapps:ExportQAppSessionData`アクションが含まれるようになりました。 | 2024 年 10 月 2 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | IAM アイデンティティセンターに、DeleteSyncProfile 権限を付与する新しいアクションが追加され、このポリシーを使用して同期プロファイルを削除できるようになりました。これは DeleteInstance API に関連するアクションです。 | 2024 年 9 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `s3:ListCallerAccessGrants`アクションが含まれるようになりました。 | 2024 年 9 月 4 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには`aoss:APIAccessAll`、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `es:ESHttpHead` `es:ESHttpPost``es:ESHttpDelete`、、、`es:ESHttpPatch`、、および `es:ESHttpGet``es:ESHttpPut`アクションが含まれるようになりました。 | 2024 年 7 月 12 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには`qapps:PredictQApp`、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `qapps:UpdateQAppSessionMetadata`、、、`qapps:ImportDocument``qapps:AssociateLibraryItemReview``qapps:DisassociateLibraryItemReview``qapps:GetQAppSession`、`qapps:UpdateQAppSession``qapps:GetQAppSessionMetadata`、、、 `qapps:TagResource`アクションが含まれるようになりました。 | 2024 年 6 月 27 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、Amazon EMR で信頼できる ID の伝播をサポートするための `elasticmapreduce:AddJobFlowSteps`、`elasticmapreduce:DescribeCluster`、`elasticmapreduce:CancelSteps`、`elasticmapreduce:DescribeStep` および `elasticmapreduce:ListSteps` アクションが含まれるようになりました。 | 2024 年 5 月 17 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、`qapps:CreateQApp`、、`qapps:PredictProblemStatementFromConversation`、`qapps:PredictQAppFromProblemStatement``qapps:CopyQApp`、`qapps:GetQApp``qapps:ListQApps`、、`qapps:UpdateQApp``qapps:DeleteQApp`、`qapps:AssociateQAppWithUser`、、`qapps:DisassociateQAppFromUser`、`qapps:ImportDocumentToQApp``qapps:ImportDocumentToQAppSession`、`qapps:CreateLibraryItem`、、、`qapps:GetLibraryItem`、`qapps:UpdateLibraryItem``qapps:CreateLibraryItemReview``qapps:ListLibraryItems``qapps:CreateSubscriptionToken``qapps:StartQAppSession`、、、、および `qapps:StopQAppSession`アクションが含まれ、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートするようになりました。 | 2024 年 4 月 30 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする アクション`signin:CreateTrustedIdentityPropagationApplicationForConsole`と `signin:ListTrustedIdentityPropagationApplicationsForConsole`アクションが含まれるようになりました。 | 2024 年 4 月 26 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする アクション`signin:CreateTrustedIdentityPropagationApplicationForConsole`と `signin:ListTrustedIdentityPropagationApplicationsForConsole`アクションが含まれるようになりました。 | 2024 年 4 月 26 日 |
| [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `signin:ListTrustedIdentityPropagationApplicationsForConsole`アクションが含まれるようになりました。 | 2024 年 4 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `qbusiness:PutFeedback`アクションが含まれるようになりました。 | 2024 年 4 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには`q:StartConversation`、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `q:StartTroubleshootingResolutionExplanation`、、、`q:SendMessage``q:ListConversations``q:GetConversation``q:StartTroubleshootingAnalysis`、`q:GetTroubleshootingResults`、、および ` q:UpdateTroubleshootingCommandResult`アクションが含まれるようになりました。 | 2024 年 4 月 24 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `sts:SetContext`アクションが含まれるようになりました。 | 2024 年 4 月 19 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには`qbusiness:Chat`、これらのセッションをサポートする AWS マネージドアプリケーションの ID 拡張コンソールセッションをサポートする `qbusiness:ChatSync`` qbusiness:ListMessages`、`qbusiness:ListConversations`、、、および `qbusiness:DeleteConversation`アクションが含まれるようになりました。 | 2024 年 4 月 11 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーには現在 `s3:GetAccessGrantsInstanceForPrefix` および `s3:GetDataAccess` アクションが含まれます。 | 2023 年 11 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | このポリシーは、IAM アイデンティティセンターID コンテキストで引き受けられるロールで信頼できる ID の伝播を使用する場合に許可されるアクションのリストを提供します。 | 2023 年 11 月 15 日 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | このポリシーには、ユーザーがセッションを一覧表示して取得できるようにする新たな権限を付与された新しい名前スペース `identitystore-auth` が含まれました。 | 2023 年 2 月 21 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | このポリシーにより、管理アカウントに対して `[UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html)` アクションを実行できるようになりました。 | 2022 年 10 月 20 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | このポリシーには、管理者がユーザーのセッションを一覧表示したり削除したりできるようにする新しい権限を持つ新しいネームスペース `identitystore-auth` が含まれるようになりました。 | 2022 年 10 月 20 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | このポリシーには、管理者がユーザーのセッションを一覧表示したり削除したりできるようにする新しい権限を持つ新しいネームスペース `identitystore-auth` が含まれるようになりました。 | 2022 年 10 月 20 日 |
| [AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | このポリシーには、管理者がユーザーのセッションを一覧表示したり削除したりできるようにする新しい権限を持つ新しいネームスペース `identitystore-auth` が含まれるようになりました。 | 2022 年 10 月 20 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | このポリシーには、 を呼び出すための新しいアクセス許可が含まれるようになりました`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` AWS Organizations。このポリシーには、`[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` および `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)` を呼び出すためのアクセス許可 `AWSSSOManageDelegatedAdministrator` を含むアクセス許可のサブセットも含まれるようになりました。 | 2022 年 8 月 16 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | このポリシーには、 を呼び出すための新しいアクセス許可が含まれるようになりました`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` AWS Organizations。このポリシーには、`[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` および `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)` を呼び出すためのアクセス許可 `AWSSSOManageDelegatedAdministrator` を含むアクセス許可のサブセットも含まれるようになりました。 | 2022 年 8 月 16 日 |
| [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | このポリシーには、 を呼び出すための新しいアクセス許可が含まれるようになりました`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` AWS Organizations。 | 2022 年 8 月 11 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | このポリシーには、`[DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)` 内の `[PutRolePermisionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)` を呼び出すための新しいアクセス許可が含まれるようになりました。 | 2022 年 7 月 14 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | このポリシーには、 AWS Organizations内の [ListAWSServiceAccessForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAWSServiceAccessForOrganization.html) and [ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html) を呼び出すための新しいアクセス権が含まれました。 | 2022 年 5 月 11 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator)
[AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator)
[AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | プリンシパルが検証のためにポリシー チェックを使用できるようにする IAM Access Analyzer 権限を追加します。 | 2022 年 4 月 28 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | このポリシーにより、IAM ID Center ID Store のすべてのサービスアクションが許可されるようになりました。
IAM ID センター ID Store サービスで使用できるアクションについては、[IAM Identity Center Identity Store API Reference](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) を参照してください。 | 2022 年 3 月 29 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | このポリシーにより、IAM ID Center ID Store のすべてのサービスアクションが許可されるようになりました。 | 2022 年 3 月 29 日 |
| [AWSSSODirectoryAdministrator](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | このポリシーにより、IAM ID Center ID Store のすべてのサービスアクションが許可されるようになりました。 | 2022 年 3 月 29 日 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | このポリシーは、IAM Identity Center Identity Store サービスの読み取りアクションへのアクセスを許可するようになりました。このアクセスは、IAM Identity Center Identity Store サービスからユーザーとグループの情報を取得するために必要です。 | 2022 年 3 月 29 日 |
| [AWSIdentitySyncFullAccess](#security-iam-awsmanpol-AWSIdentitySyncFullAccess) | このポリシーは、ID 同期許可への全アクセスを許可します。 | 2022 年 3 月 3 日 |
| [AWSIdentitySyncReadOnlyAccess](#security-iam-awsmanpol-AWSIdentitySyncReadOnlyAccess) | このポリシーは、プリンシパルが ID 同期設定を閲覧するための読み取り専用の権限を付与します。 | 2022 年 3 月 3 日 |
| [AWSSSOReadOnly](#security-iam-awsmanpol-AWSSSOReadOnly) | このポリシーは、プリンシパルがすべての IAM Identity Center 構成設定を閲覧できる読み取り専用の権限を付与します。 | 2021 年 8 月 4 日 |
| IAM Identity Center が変更の追跡を開始 | IAM Identity Center が AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 8 月 4 日 |