翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM での AWS ユーザーエクスペリエンスのカスタマイズの仕組み
AWS User Experience Customization (UXC) は IAM ポリシーと連携して、UXC API オペレーションへのアクセスを管理します。
IAM を使用して AWS User Experience Customization (User Experience Customization) へのアクセスを管理する前に、User Experience Customization で使用できる IAM 機能について説明します。 AWS 管理ポリシーを使用してユーザーエクスペリエンスのカスタマイズと統合することをお勧めします。詳細については、「 の [AWS 管理ポリシー AWS マネジメントコンソール](security-iam-awsmanpol.md)」を参照してください。
IAM を使用して User Experience Customization へのアクセスを管理する前に、User Experience Customization で使用できる IAM 機能を確認してください。
| IAM 機能 | ユーザーエクスペリエンスのカスタマイズのサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| リソースベースのポリシー | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| ポリシーリソース | いいえ |
| ポリシー条件キー | いいえ |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | はい |
| クロスサービスプリンシパル許可 | いいえ |
| サービスリンクロール | いいえ |
| サービスロール | いいえ |
User Experience Customization およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## ユーザーエクスペリエンスのカスタマイズのためのアイデンティティベースのポリシー
アイデンティティベースのポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
User Experience Customization のアイデンティティベースのポリシーの例を確認するには、[AWS 「User Experience Customization のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## ユーザーエクスペリエンスのカスタマイズのポリシーアクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
すべてのユーザーエクスペリエンスのカスタマイズアクションを確認するには、 [API リファレンス](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/APIReference/Welcome.html)を参照してください。
User Experience Customization のポリシーアクションは、アクションの前に `uxc:` プレフィックスを使用します (例: `uxc:GetAccountCustomizations`)。
単一のステートメントで複数のアクションを指定するには、アクション間をコンマで区切ります。
```
"Action": [
"uxc:GetAccountCustomizations",
"uxc:ListServices"
]
```
User Experience Customization のアイデンティティベースのポリシーの例を確認するには、[AWS 「User Experience Customization のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## ユーザーエクスペリエンスのカスタマイズのポリシーリソース
ユーザーエクスペリエンスのカスタマイズでは、ポリシーリソースはサポートされていません。
## ユーザーエクスペリエンスのカスタマイズでの一時的な認証情報の使用
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## AWS ユーザーエクスペリエンスのカスタマイズアイデンティティとアクセスのトラブルシューティング
以下の情報は、ユーザーエクスペリエンスのカスタマイズと IAM を使用する際に発生する可能性がある一般的な問題の診断と修正に役立ちます。
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `uxc:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: uxc:GetWidget on resource: my-example-widget because no identity-based policy allows the GetWidget action
```
この場合、`uxc:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーを再表示することはできません。シークレットアクセスキーを紛失した場合は、新しいアクセスキーペアを作成する必要があります。
アクセスキーは、アクセスキー ID (例: `AKIAIOSFODNN7EXAMPLE`) とシークレットアクセスキー (例: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) の 2 つで構成されています。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーは安全に管理してください。
**重要**
[正規のユーザー ID を確認する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)ためであっても、アクセスキーを第三者に提供しないでください。これにより、 への永続的なアクセス権をユーザーに付与できます AWS アカウント。
アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、IAM ユーザーに新規アクセスキーを追加する必要があります。アクセスキーは最大 2 つまで持つことができます。既に 2 つある場合は、新規キーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイドの「[アクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。
User Experience Customization へのアクセスを他のユーザーに許可するには、アクセスを必要とするユーザーまたはアプリケーションにアクセス許可を付与する必要があります。 AWS IAM アイデンティティセンター を使用してユーザーとアプリケーションを管理する場合は、アクセスレベルを定義するアクセス許可セットをユーザーまたはグループに割り当てます。アクセス許可セットは、ユーザーまたはアプリケーションに関連付けられている IAM ロールに自動的に IAM ポリシーを作成して割り当てます。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
IAM アイデンティティセンターを使用していない場合は、アクセスを必要としているユーザーまたはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。次に、ユーザーエクスペリエンスのカスタマイズで適切なアクセス許可を付与するポリシーをエンティティにアタッチする必要があります。アクセス許可が付与されたら、ユーザーまたはアプリケーション開発者に認証情報を提供します。これらの認証情報を使用して AWSにアクセスします。IAM ユーザー、グループ、ポリシー、アクセス許可の作成の詳細については、「*IAM ユーザーガイド*」の「[IAM アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。