翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM Identity Center の ID ベースのポリシーの例
このトピックでは、IAM Identity Center を管理する権限をユーザーとロールに付与するために作成できる IAM ポリシーの例を紹介します。
**重要**
初めに、IAM Identity Center のリソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[IAM Identity Center リソースへのアクセス権限の管理の概要](iam-auth-access-overview.md)」を参照してください。
このセクションでは、次のトピックを対象としています。
+ [カスタムポリシーの例](#policyexample)
+ [IAM Identity Center コンソールの使用に必要な権限](#requiredpermissionsconsole)
## カスタムポリシーの例
このセクションでは、カスタム IAM ポリシーを必要とする一般的なユースケースの例を示します。これらのポリシーの例は ID ベースのポリシーであり、プリンシパル要素を指定しません。これは、ID ベースのポリシーでは、権限を取得するプリンシパルを指定しないためです。代わりに、ポリシーをプリンシパルにアタッチします。IAM ロールに ID ベースの権限ポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルが許可を得ることになります。IAM で ID ベースのポリシーを作成し、ユーザー、グループ、ロールにアタッチできます。IAM Identity Center でアクセス権限セットを作成するときに、これらのポリシーを IAM Identity Center のユーザーに適用することもできます。
**注記**
お使いの環境用のポリシーを作成するときにこれらの例を使用し、これらのポリシーを本番環境に展開する前に、肯定的な (「アクセス許可」) テストケースと否定的な (「アクセス拒否」) テストケースの両方をテストしてください。IAM ポリシーシミュレーターの詳細については、*「IAM ユーザーガイド」*の[「Testing IAM policies with the IAM policy simulator」](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)(IAM Policy Simulator を使用した IAM ポリシーのテスト) を参照してください。
**Topics**
+ [例 1: ユーザーに IAM Identity Center の表示を許可する](#policyexamplesetupenable)
+ [例 2: IAM Identity Center AWS アカウント で に対するアクセス許可の管理をユーザーに許可する](#policyexamplemanageconnecteddirectory)
+ [例 3: IAM Identity Center でのアプリケーション管理をユーザーに許可する](#policyexamplemanageapplication)
+ [例 4: Identity Center ディレクトリのユーザーとグループの管理をユーザーに許可する](#policyexamplemanageusersgroups)
### 例 1: ユーザーに IAM Identity Center の表示を許可する
次のアクセス権限ポリシーは、ユーザーに読み取り権限を付与し、IAM Identity Center 内で設定されたすべての設定やディレクトリ情報を閲覧できるようにします。
**注記**
このポリシーは、例示のみを目的として提供されています。本番環境では、IAM Identity Center の `ViewOnlyAccess` AWS マネージドポリシーを使用することをお勧めします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"iam:ListPolicies",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListPermissionSets",
"sso:DescribePermissionSet",
"sso:GetInlinePolicyForPermissionSet",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups"
],
"Resource": "*"
}
]
}
```
------
### 例 2: IAM Identity Center AWS アカウント で に対するアクセス許可の管理をユーザーに許可する
以下のアクセス権限ポリシーでは、ユーザーが AWS アカウントアカウントのアクセス権限セットを作成、管理、デプロイできる許可を付与しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AttachManagedPolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:CreatePermissionSet",
"sso:DeleteAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:DeletePermissionSet",
"sso:DetachManagedPolicyFromPermissionSet",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:UpdatePermissionSet"
],
"Resource": "*"
},
{
"Sid": "IAMListPermissions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListPolicies"
],
"Resource": "*"
},
{
"Sid": "AccessToSSOProvisionedRoles",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
}
]
}
```
------
**注記**
、、および `"Sid": "AccessToSSOProvisionedRoles"`セクションにリストされている追加のアクセス許可は`"Sid": "IAMListPermissions"`、ユーザーが AWS Organizations 管理アカウントで割り当てを作成できるようにするためにのみ必要です。場合によっては、これらのセクションに `iam:UpdateSAMLProvider` を追加する必要もあります。
### 例 3: IAM Identity Center でのアプリケーション管理をユーザーに許可する
以下のアクセス権限ポリシーは、IAM Identity Center カタログ内から事前に統合された SaaS アプリケーションを含む IAM Identity Center のアプリケーションをユーザーが表示および設定できるようにするための許可を付与するものです。
**注記**
以下のポリシー例で使用されている `sso:AssociateProfile` 操作は、ユーザーおよびグループのアプリケーションへの割り当てを管理するために必要です。また、既存のアクセス許可セット AWS アカウント を使用して、ユーザーにユーザーとグループを割り当てることもできます。ユーザーが IAM Identity Center 内で AWS アカウント アクセスを管理する必要があり、アクセス許可セットを管理するために必要なアクセス許可が必要な場合は、「」を参照してください[例 2: IAM Identity Center AWS アカウント で に対するアクセス許可の管理をユーザーに許可する](#policyexamplemanageconnecteddirectory)。
2020 年 10 月時点で、これらの運用の多くは AWS コンソールからのみ利用可能です。この例のポリシーには、リスト、取得、検索などの「読み取り」アクションが含まれており、この場合のコンソールエラーのないオペレーションに関連します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:ImportApplicationInstanceServiceProviderMetadata",
"sso:DeleteApplicationInstance",
"sso:DeleteProfile",
"sso:DisassociateProfile",
"sso:GetApplicationTemplate",
"sso:UpdateApplicationInstanceServiceProviderConfiguration",
"sso:UpdateApplicationInstanceDisplayData",
"sso:DeleteManagedApplicationInstance",
"sso:UpdateApplicationInstanceStatus",
"sso:GetManagedApplicationInstance",
"sso:UpdateManagedApplicationInstanceStatus",
"sso:CreateManagedApplicationInstance",
"sso:UpdateApplicationInstanceSecurityConfiguration",
"sso:UpdateApplicationInstanceResponseConfiguration",
"sso:GetApplicationInstance",
"sso:CreateApplicationInstanceCertificate",
"sso:UpdateApplicationInstanceResponseSchemaConfiguration",
"sso:UpdateApplicationInstanceActiveCertificate",
"sso:DeleteApplicationInstanceCertificate",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationTemplates",
"sso:ListApplications",
"sso:ListApplicationInstances",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:ListProfileAssociations",
"sso:ListInstances",
"sso:GetProfile",
"sso:GetSSOStatus",
"sso:GetSsoConfiguration",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
### 例 4: Identity Center ディレクトリのユーザーとグループの管理をユーザーに許可する
以下のアクセス権限ポリシーは、ユーザーが IAM Identity Center でユーザーとグループを作成、表示、修正、削除するための許可を付与します。
場合によっては、IAM Identity Center のユーザーやグループを直接変更することが制限されている場合もあります。例えば、アクティブディレクトリや、自動プロビジョニングが有効になっている外部の ID プロバイダーが ID ソースとして選択されている場合などです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:DisableUser",
"sso-directory:EnableUser",
"sso-directory:SearchGroups",
"sso-directory:DeleteGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:DescribeDirectory",
"sso-directory:UpdateUser",
"sso-directory:ListMembersInGroup",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"sso-directory:RemoveMemberFromGroup",
"sso-directory:DeleteUser",
"sso-directory:DescribeUsers",
"sso-directory:UpdateGroup",
"sso-directory:CreateGroup"
],
"Resource": "*"
}
]
}
```
------
## IAM Identity Center コンソールの使用に必要な権限
ユーザーが IAM Identity Center コンソールをエラーなく使用するためには、追加の権限が必要です。これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成している場合、そのポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。以下の例では、IAM Identity Center コンソール内でエラーのない運用を行うために必要となる権限のセットを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:DescribeAccountAssignmentCreationStatus",
"sso:DescribeAccountAssignmentDeletionStatus",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:DescribeRegisteredRegions",
"sso:GetApplicationInstance",
"sso:GetApplicationTemplate",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetMfaDeviceManagementForDirectory",
"sso:GetPermissionSet",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:ListAccountAssignmentCreationStatus",
"sso:ListAccountAssignmentDeletionStatus",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationInstances",
"sso:ListApplications",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetProvisioningStatus",
"sso:ListPermissionSets",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:ListTagsForResource",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------