IAM Identity Center のサービスリンクロールの使用 - AWS IAM アイデンティティセンター
IAM Identity Center のサービスリンクロールの権限IAM Identity Center のサービスリンクロールの作成IAM Identity Center のサービスリンクロールの編集IAM Identity Center のサービスリンクロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center のサービスリンクロールの使用

AWS IAM アイデンティティセンター は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、IAM Identity Center に直接リンクされた特殊なタイプの IAM ロールです。これは IAM Identity Center によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。詳細については、「IAM アイデンティティセンターのサービスリンクロールについて」を参照してください。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がないため、IAM Identity Center の設定が簡単になります。サービスリンクロールの許可は IAM Identity Center が定義し、特に定義されない限り、IAM Identity Center のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスリンクロールをサポートする他のサービスについては、IAM と連携するAWS のサービスを参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

IAM Identity Center のサービスリンクロールの権限

IAM Identity Center は、AWSServiceRoleForSSO という名前のサービスにリンクされたロールを使用して、ユーザーに代わって IAM ロール、ポリシー、SAML IdP などの AWS リソースを管理するアクセス許可を IAM Identity Center に付与します。

AWSServiceRoleForSSO サービスリンクロールは、ロールの引き受けに以下のサービスを信頼します。

  • IAM アイデンティティセンター(サービスプレフィックス: sso)

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターは「/aws-reserved/sso.amazonaws.com/」パスにあり、名前のプレフィックスが「AWSReservedSSO_」であるロールで以下のことを実行することができます。

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターは名前のプレフィックスが「AWSSSO_」である SAML プロバイダーで以下のことを実行することができます。

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターはすべての組織で以下のことを実行することができます。

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターはすべての IAM ロール (*) で以下のことを実行することができます。

  • iam:listRoles

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターは「arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO」で以下のことを実行することができます。

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーでは、IAM アイデンティティセンターは「arn:aws:identity-sync:*:*:profile/*」で以下を完了できます。

  • identity-sync:DeleteSyncProfile

AWSSSOServiceRolePolicy サービスリンクロールのアクセス許可ポリシーの更新の詳細については、「IAM Identity Center の AWS マネージドポリシーの更新」を参照してください。

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"IAMRoleProvisioningActions",
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:DeleteRolePermissionsBoundary",
            "iam:PutRolePermissionsBoundary",
            "iam:PutRolePolicy",
            "iam:UpdateRole",
            "iam:UpdateRoleDescription",
            "iam:UpdateAssumeRolePolicy"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ],
         "Condition":{
            "StringNotEquals":{
               "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
            }
         }
      },
      {
         "Sid":"IAMRoleReadActions",
         "Effect":"Allow",
         "Action":[
            "iam:GetRole",
            "iam:ListRoles"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"IAMRoleCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy",
            "iam:ListRolePolicies",
            "iam:ListAttachedRolePolicies"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ]
      },
      {
         "Sid":"IAMSLRCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteServiceLinkedRole",
            "iam:GetServiceLinkedRoleDeletionStatus",
            "iam:DeleteRole",
            "iam:GetRole"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
         ]
      },
      {
        "Sid": "IAMSAMLProviderCreationAction",
        "Effect": "Allow",
        "Action": [
          "iam:CreateSAMLProvider"
      ],
      "Resource": [
         "arn:aws:iam::*:saml-provider/AWSSSO_*"
       ],
      "Condition": {
         "StringNotEquals": {
            "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
          }
        }
      },
      {
        "Sid": "IAMSAMLProviderUpdateAction",
        "Effect": "Allow",
        "Action": [
          "iam:UpdateSAMLProvider"
        ],
        "Resource": [
           "arn:aws:iam::*:saml-provider/AWSSSO_*"
        ]
      }, 
      {
         "Sid":"IAMSAMLProviderCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteSAMLProvider",
            "iam:GetSAMLProvider"
         ],
         "Resource":[
            "arn:aws:iam::*:saml-provider/AWSSSO_*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListDelegatedAdministrators"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowUnauthAppForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:UnauthorizeApplication"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:DescribeDirectories",
            "ds:DescribeTrusts"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeAndListOperationsOnIdentitySource",
         "Effect":"Allow",
         "Action":[
            "identitystore:DescribeUser",
            "identitystore:DescribeGroup",
            "identitystore:ListGroups",
            "identitystore:ListUsers"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDeleteSyncProfile",
         "Effect":"Allow",
         "Action":[
            "identity-sync:DeleteSyncProfile"
         ],
         "Resource":[
            "arn:aws:identity-sync:*:*:profile/*"
         ]
      }
   ]    
}

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

IAM Identity Center のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。有効にすると、IAM Identity Center は AWS Organizations の組織内のすべてのアカウントにサービスにリンクされたロールを作成します。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。

メモ

  • AWS Organizations 管理アカウントにサインインしている場合、サービスにリンクされたロールではなく、現在サインインしているロールを使用します。これにより、権限の昇格を防ぐことができます。

  • IAM Identity Center が AWS Organizations 管理アカウントで IAM オペレーションを実行すると、すべてのオペレーションは IAM プリンシパルの認証情報を使用して行われます。これにより、CloudTrail のログから、管理アカウントのすべての権限変更を誰が行ったかがわかります。

重要

サービスリンクロールのサポートを開始した 2017 年 12 月 7 日以前に IAM Identity Center サービスを利用していた場合、IAM Identity Center はお客様のアカウントに AWSServiceRoleForSSO ロールを作成しています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。

IAM Identity Center のサービスリンクロールの編集

IAM Identity Center では、サービスリンクロール AWSServiceRoleForSSO を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

IAM Identity Center のサービスリンクロールの削除

AWSServiceRoleForSSO ロールを手動で削除する必要はありません。 AWS アカウント が AWS 組織から削除されると、IAM Identity Center は自動的にリソースをクリーンアップし、そこからサービスにリンクされたロールを削除します AWS アカウント。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに IAM Identity Center サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForSSO が使用する IAM Identity Center リソースを削除するには

  1. AWS アカウントへのアクセス権を持つすべてのユーザーとグループの AWS アカウントへのユーザーおよびグループのアクセスを削除する

  2. AWS アカウントに関連付けられている IAM アイデンティティセンターでアクセス許可セットを削除する

サービスリンクロールを IAM で手動削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForSSO サービスにリンクされたロールを削除します。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Deleting a Service-Linked Role」(サービスにリンクされたロールの削除) を参照してください。