翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 読み取り/書き込みアクセス許可による自動 IAM プロビジョニング \$1 有効 (マネージドオートメーション)
この CT の送信に使用されたアカウントで、読み取り/書き込みアクセス許可を持つ自動 IAM プロビジョニングを有効にします。有効にすると、そのアカウントで新しいロール「AWSManagedServicesIAMProvisionAdminRole」が作成されます。さらに、3 つの関連する変更タイプ (ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq、ct-17cj84y7632o6) を使用して、読み取り/書き込みアクセス許可を持つ自動 IAM プロビジョニングを使用して IAM ロールとポリシーを作成、更新、または削除できます。これには、IAM と AMS の事前定義されたルールセットを含む自動レビュープロセスが使用されます。を使用する前に、IAM ルールをよく理解しておくことをお勧めします。アカウントで自動 IAM プロビジョニングが有効になっていることを確認するには、そのアカウントの IAM コンソールで IAM ロールAWSManagedServicesIAMProvisionAdminRole」を探します。
**完全分類:** 管理 \$1 マネージドアカウント \$1 読み取り/書き込みアクセス許可による自動 IAM プロビジョニング \$1 有効化 (マネージドオートメーション)
## 変更タイプの詳細
****
| | |
| --- |--- |
| 変更タイプ ID | ct-1706xvvk6j9hf |
| 現在のバージョン | 1.0 |
| 予想される実行期間 | 240 分 |
| AWS の承認 | 必須 |
| お客様の承認 | 送信者の場合は必須ではありません |
| 実行モード | 手動 |
## 追加情報
### IAM エンティティまたはポリシーを作成する
#### コンソールを使用した IAM エンティティまたはポリシーの作成
![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/ctref/images/guiIamEntityCreateCT.png)
仕組み:
1. **RFC **の作成ページに移動します。AMS コンソールの左側のナビゲーションペインで**RFCs** をクリックして RFCsリストページを開き、**RFC の作成**をクリックします。
1. デフォルトの変更タイプ参照ビューで一般的な**変更タイプ** (CT) を選択するか、**カテゴリ別選択ビューで CT **を選択します。
+ **変更タイプ別に参照**: **クイック作成**エリアで一般的な CT をクリックすると、すぐに **RFC の実行**ページを開くことができます。クイック作成で古い CT バージョンを選択することはできません。
CTs をソートするには、**カード**ビューまたは**テーブル**ビューで**すべての変更タイプ**領域を使用します。どちらのビューでも、CT を選択し、**RFC **の作成をクリックして **RFC の実行**ページを開きます。必要に応じて、RFC **の作成ボタンの横に古いバージョンで**作成オプションが表示されます。 ****
+ **カテゴリ別に選択**: カテゴリ、サブカテゴリ、項目、オペレーションを選択すると、CT 詳細ボックスが開き、必要に応じて**古いバージョンで作成する**オプションが表示されます。**RFC の作成**をクリックして、**RFC の実行**ページを開きます。
1. **RFC の実行**ページで、CT 名エリアを開き、CT の詳細ボックスを表示します。**件名**は必須です (**変更タイプの参照**ビューで CT を選択した場合は入力されます)。**追加設定**エリアを開き、RFC に関する情報を追加します。
**実行設定**領域で、使用可能なドロップダウンリストを使用するか、必要なパラメータの値を入力します。オプションの実行パラメータを設定するには、**追加の設定**領域を開きます。
1. 完了したら、**実行** をクリックします。エラーがない場合、**RFC が正常に作成された**ページに、送信された RFC の詳細と最初の**実行出力**が表示されます。
1. **Run parameters** エリアを開き、送信した設定を確認します。ページを更新して RFC 実行ステータスを更新します。必要に応じて、RFC をキャンセルするか、ページ上部のオプションを使用してコピーを作成します。
#### CLI を使用した IAM エンティティまたはポリシーの作成
仕組み:
1. インライン作成 (すべての RFC と実行パラメータを含む`create-rfc`コマンドを発行) またはテンプレート作成 (2 つの JSON ファイルを作成します。1 つは RFC パラメータ用、もう 1 つは実行パラメータ用) のいずれかを使用し、2 つのファイルを入力として`create-rfc`コマンドを発行します。どちらの方法もここで説明します。
1. 返された RFC ID を使用して RFC: `aws amscm submit-rfc --rfc-id ID` コマンドを送信します。
RFC: `aws amscm get-rfc --rfc-id ID` コマンドをモニタリングします。
変更タイプのバージョンを確認するには、次のコマンドを使用します。
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注記**
変更タイプのスキーマの一部であるかどうかにかかわらず、任意の RFC で任意の`CreateRfc`パラメータを使用できます。たとえば、RFC ステータスが変更されたときに通知を受け取るには、リクエストの RFC パラメータ部分 (実行パラメータではなく) `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`にこの行を追加します。すべての CreateRfc パラメータのリストについては、[AMS 変更管理 API リファレンス](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)を参照してください。
*インライン作成*:
インラインで指定された実行パラメータ (インラインで実行パラメータを指定する場合は引用符をエスケープ) を指定して create RFC コマンドを発行し、返された RFC ID を送信します。たとえば、コンテンツを次のような内容に置き換えることができます。
```
aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "Create role or policy" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"us-east-1","Parameters":{"ValidateOnly":"No"},"RoleDetails":{"Roles":[{"RoleName":"RoleTest01","Description":"This is a test role","AssumeRolePolicyDocument":"{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"Version":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}'
```
*テンプレートの作成*:
1. この変更タイプの実行パラメータ JSON スキーマをファイルに出力します。例では CreateIamResourceParams.json:
```
aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json
```
1. CreateIamResourceParams ファイルを変更して保存します。この例では、ポリシードキュメントをインラインで貼り付けた IAM ロールを作成します。
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"Description": "This is a test role",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
},
"ManagedPolicyArns": [
"arn:aws:iam::123456789012:policy/policy01",
"arn:aws:iam::123456789012:policy/policy02"
],
"Path": "/",
"MaxSessionDuration": "7200",
"PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
"InstanceProfile": "No"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllQueueActions",
"Effect": "Allow",
"Action": "sqs:ListQueues",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:tagKeys": [
"temporary"
]
}
}
}
]
}
}
]
}
}
```
1. RFC テンプレート JSON ファイルを CreateIamResourceRfc.json:
```
aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json
```
1. CreateIamResourceRfc.json ファイルを変更して保存します。たとえば、コンテンツを次のような内容に置き換えることができます。
```
{
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-1n9gfnog5x7fl",
"Title": "Create entity or policy (read-write permissions)"
}
```
1. CreateIamResourceRfc ファイルと CreateIamResourceParams ファイルを指定して、RFC を作成します。
```
aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json
```
レスポンスで新しい RFC の ID を受け取り、それを使用して RFC を送信およびモニタリングできます。送信するまで、RFC は編集状態のままであり、開始されません。
#### ヒント
+ IAM ロールがアカウントでプロビジョニングされたら、ロールとロールにアタッチするポリシードキュメントに応じて、フェデレーションソリューションでロールをオンボードする必要がある場合があります。
+ 詳細については AWS Identity and Access Management、[AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)」および[「 管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」を参照してください。AMS アクセス許可の詳細については、[「IAM リソースのデプロイ](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html)」を参照してください。
## 実行入力パラメータ
実行入力パラメータの詳細については、「」を参照してください[変更タイプ ct-1706xvvk6j9hf のスキーマ](schemas.md#ct-1706xvvk6j9hf-schema-section)。
## 例: 必須パラメータ
```
Example not available.
```
## 例: すべてのパラメータ
```
{
"SAMLIdentityProviderArns": ["arn:aws:iam::123456789012:saml-provider/customer-saml"],
"IamEntityArns": ["arn:aws:iam::123456789012:role/test-role-one", "arn:aws:iam::123456789012:role/test-role-two"],
"CustomerCustomDenyActionsList1": "ec2:Create*,ec2:Delete*,sso-admin:*,resource-explorer-2:*",
"Priority": "High"
}
```