翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# へのアクセスを設定する AWS アカウント
AWS IAM アイデンティティセンター は と統合されているため AWS Organizations、各アカウントを手動で設定 AWS アカウント することなく、複数の にわたるアクセス許可を一元管理できます。アクセス許可を定義し、これらのアクセス許可をワークフォースユーザーに割り当てて、IAM Identity Center の[組織インスタンス](organization-instances-identity-center.md) AWS アカウント を使用して特定の へのアクセスを制御できます。IAM アイデンティティセンターの[アカウントインスタンス](account-instances-identity-center.md)は、アカウントアクセスをサポートしていません。
## AWS アカウント タイプ
AWS アカウント には 2 つのタイプがあります AWS Organizations。
+ **管理アカウント** - 組織の作成 AWS アカウント に使用される 。
+ **メンバーアカウント** - 組織 AWS アカウント に属する残りの 。
AWS アカウント タイプの詳細については、「 *AWS Organizations ユーザーガイド*」の[AWS Organizations 「用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。
IAM アイデンティティセンターの「*委任管理者*」としてメンバーアカウントを登録することもできます。このアカウントのユーザーは、ほとんどの IAM Identity Center 管理タスクを実行できます。詳細については、「[委任された管理](delegated-admin.md)」を参照してください。
次の表は、タスクとアカウントタイプごとに、IAM Identity Center 管理タスクをアカウント内のユーザーが実行できるかどうかを示しています。
****
| IAM Identity Center 管理タスク | メンバーアカウント | 委任された管理者アカウント | 管理アカウント |
| --- | --- | --- | --- |
| ユーザーまたはグループの読み取り (グループ自体とグループのメンバーシップの読み取り) | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| ユーザーまたはグループを追加、編集、削除する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png)はい\$1 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| ユーザーアクセスの有効化または無効化 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| 受信属性を有効化、無効化、管理する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| ID ソースの変更または管理 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| カスタマーマネージドアプリケーションの作成、編集、削除 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| AWS マネージドアプリケーションの作成、編集、または削除 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| MFA を設定 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| 管理アカウントにプロビジョニングされていない権限セットを管理する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| 管理アカウントにプロビジョニングされた権限セットを管理する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| IAM Identity Center を有効にする | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| IAM Identity Center 設定を削除する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| 管理アカウントのユーザーアクセスを有効または無効にします。 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| メンバーアカウントを委任管理者として登録または登録解除する | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
\$1 管理アカウントへのユーザーとグループの割り当てに関する委任管理のベストプラクティスを参照してください。
## AWS アカウント アクセスの割り当て
「*アクセス許可セット*」を使用すると、組織内のユーザーやグループに AWS アカウントへのアクセスを割り当てる方法を簡素化することができます。権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウントに対するアクセスのレベルを定義します。1 つのアクセス許可セットを作成し、組織 AWS アカウント 内の複数の に割り当てることができます。同じユーザに複数の権限セットを割り当てることもできます。
アクセス権限セットの詳細については、「[アクセス許可セットの作成、管理と削除](permissionsets.md)」を参照してください。
**注記**
また、ユーザーにアプリケーションへのシングルサインオンアクセスを割り当てることもできます。詳細については、「[アプリケーションへのアクセスを設定する](manage-your-applications.md)」を参照してください。
## エンドユーザーエクスペリエンス
*AWS アクセスポータル*は、IAM Identity Center ユーザーに、割り当てられたすべての AWS アカウント およびアプリケーションへのシングルサインオンアクセスをウェブポータル経由で提供します。 AWS アクセスポータルは[AWS マネジメントコンソール](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html)、 AWS リソースを管理するためのサービスコンソールのコレクションである とは異なります。
アクセス許可セットを作成すると、アクセス許可セットに指定した名前が、使用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 を選択して AWS アカウントから、ロールを選択します。ロールを選択すると、 を使用して AWS サービスにアクセス AWS マネジメントコンソール したり、一時的な認証情報を取得してプログラムで AWS サービスにアクセスしたりできます。
を開く AWS マネジメントコンソール か、一時的な認証情報を取得してプログラムで にアクセスするには AWS 、ユーザーは次のステップを実行します。
1. ユーザーはブラウザウィンドウを開き、指定したサインイン URL を使用して AWS アクセスポータルに移動します。
1. ディレクトリ認証情報を使用して、 AWS アクセスポータルにサインインします。
1. 認証後、 AWS アクセスポータルページで**アカウント**タブを選択すると、 AWS アカウント アクセスできる のリストが表示されます。
1. ユーザーは、 AWS アカウント 使用する を選択します。
1. の名前の下に AWS アカウント、ユーザーが割り当てられるアクセス許可セットが使用可能なロールとして表示されます。たとえば、アクセス`PowerUser`許可セット`john_stiles`にユーザーを割り当てた場合、ロールは AWS アクセスポータルに と表示されます`PowerUser/john_stiles`。複数のアクセス権限セットが割り当てられている場合は、使用する ロールを選択する。ユーザーはロールを選択して AWS マネジメントコンソールにアクセスできます。
1. アクセスポータルユーザーは、 ロールに加えて、 AWS アクセス**キー**を選択することで、コマンドラインまたはプログラムによるアクセスの一時的な認証情報を取得できます。
ワークフォースユーザーに提供できるステップバイステップガイドについては、[AWS アクセスポータルのセットアップと使用](using-the-portal.md) と [AWS CLI AWS SDKs の IAM Identity Center ユーザー認証情報の取得](howtogetcredentials.md) を参照してください。
## アクセスの強制と制限
IAM Identity Center を有効にすると、IAM Identity Center はサービスにリンクされたロールを作成します。サービスコントロールポリシーを使用することもできます。
### アクセス権の委任と強制
*サービスにリンクされたロール*は、 AWS サービスに直接リンクされた IAM ロールの一種です。IAM Identity Center を有効にすると、IAM Identity Center は組織 AWS アカウント 内の各 にサービスにリンクされたロールを作成できます。このロールは、IAM Identity Center が組織 AWS アカウント 内の特定の へのシングルサインオンアクセス権を持つユーザーを委任して適用できるようにする事前定義されたアクセス許可を提供します AWS Organizations。このロールを使用するには、アカウントへのアクセス権を持つユーザーを 1 人以上割り当てる必要があります。詳細については、「[IAM アイデンティティセンターのサービスリンクロールについて](slrconcept.md)」および「[IAM Identity Center のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
### メンバーアカウントからのアイデンティティストアへのアクセスを制限する
IAM Identity Center で使用される Identity Store サービスの場合、メンバーアカウントにアクセスできるユーザーは、「**読み取り**」権限を必要とする API アクションを使用できます。メンバーアカウントは、「**sso-directory**」および「**identitystore**」ネームスペースの両方に対して「**読み取り**」アクションにアクセスできます。詳細については、*「サービス認可リファレンス*」の[AWS IAM アイデンティティセンター 「ディレクトリのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html)」および[AWS 「ID ストアのアクション、リソース、および条件キー](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html)」を参照してください。
メンバーアカウントのユーザーが Identity Store で API 操作を使用できないようにするには、「[サービスコントロールポリシー (SCP) をアタッチ](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」できます。SCP は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。次の SCP の例では、メンバーアカウントのユーザーがアイデンティティストア内のあらゆる API オペレーションにアクセスできないようにします。
```
{
"Sid": "ExplicitlyBlockIdentityStoreAccess",
"Effect": "Deny",
"Action": ["identitystore:*", "sso-directory:*"],
"Resource": "*"
}
```
**注記**
AWS マネージドアプリケーションが IAM アイデンティティセンターと適切に機能するようにするには、アプリケーションをデプロイ AWS アカウント した にこの SCP を適用しないようにする必要があります。また、委任管理を使用する場合は、この SCP を委任管理アカウントに適用しないでください。詳細については、「[ベストプラクティス](delegated-admin.md#delegated-admin-best-practices)」を参照してください。
詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
# 委任された管理
委任管理により、登録済みのメンバーアカウントに割り当てられたユーザーが IAM Identity Center の大部分の管理タスクを簡単に実行できます。IAM Identity Center を有効にすると、IAM Identity Center インスタンスは AWS Organizations デフォルトで の管理アカウントに作成されます。これは当初、IAM Identity Center が組織のすべてのメンバーアカウントにわたってロールをプロビジョニング、プロビジョニング解除、更新できるようにするために設計されたものです。IAM Identity Center インスタンスは常に管理アカウントに存在する必要がありますが、IAM Identity Center の管理を のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウント外から IAM Identity Center を管理する機能を拡張できます。
委任管理を有効にすると、次の利点があります。
+ 管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑え、セキュリティ上の懸念を軽減します。
+ 特定の管理者が、アプリケーションや組織のメンバーアカウントにユーザーやグループを割り当てることができます。
IAM Identity Center の仕組みの詳細については AWS Organizations、「」を参照してください[へのアクセスを設定する AWS アカウント](manage-your-accounts.md)。追加情報や、委任管理の設定方法を示す企業シナリオの例を確認するには、「*AWS セキュリティブログ*」の「[IAM アイデンティティセンター委任管理入門](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/)」を参照してください。
**Topics**
+ [ベストプラクティス](#delegated-admin-best-practices)
+ [前提条件](#delegated-admin-prereqs)
+ [メンバーアカウントを作成する](delegated-admin-how-to-register.md)
+ [メンバーアカウントを登録解除する](delegated-admin-how-to-deregister.md)
+ [委任管理者として登録されているメンバーアカウントが表示されます。](delegated-admin-how-to-view-member-account.md)
## ベストプラクティス
委任管理を設定する前に考慮すべきいくつかのベストプラクティスを以下に示します。
+ **管理アカウントへの最小権限の付与** — 管理アカウントは特権の高いアカウントであり、最小権限の原則に従うため、管理アカウントへのアクセスをできるだけ少数のユーザーに制限することを強くお勧めします。委任管理者機能は、管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑えることを目的としています。また、[一時的な昇格されたアクセス](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html)を使用して、必要な場合にのみこのアクセスを許可することもできます。
+ **管理アカウント専用のアクセス許可セット** – 管理アカウント専用のアクセス許可セットを使用します。セキュリティ上の理由から、管理アカウントへのアクセスに使用されるアクセス許可セットは、管理アカウントの IAM アイデンティティセンター管理者のみが変更できます。委任管理者は、管理アカウントでプロビジョニングされたアクセス許可セットを変更することはできません。
+ **ユーザーのみを (グループではなく) 管理アカウントのアクセス許可セットに割り当てる** – 管理アカウントには特別な権限があるため、コンソールまたは AWS Command Line Interface (CLI) でこのアカウントへのアクセスを割り当てるときは注意が必要です。管理アカウントにアクセスできるアクセス許可セットにグループを割り当てると、それらのグループのメンバーシップを変更するアクセス許可を持つすべてのユーザーは、それらのグループとの間でユーザーを追加または削除できるため、管理アカウントにアクセスできるユーザーに影響します。これは、ID プロバイダー (IdP) 管理者、Microsoft Active Directory Domain Service (AD DS) 管理者、IAM アイデンティティセンター管理者など、ID ソースを制御できるすべてのグループ管理者です。したがって、管理アカウントでアクセスを許可するアクセス許可セットにユーザーを直接割り当て、グループを回避する必要があります。グループを使用して管理アカウントへのアクセスを管理する場合は、IdP に適切なコントロールが設定されていることを確認し、それらのグループを変更できるユーザーを制限し、それらのグループへの変更 (または管理アカウントのユーザーの認証情報への変更) を必要に応じてログに記録して確認します。
+ **Active Directory ロケーションを検討** — IAM Identity Center のアイデンティティソースとして Active Directory を使用する予定の場合は、IAM Identity Center の委任管理者機能を有効にしたメンバーアカウント内のディレクトリを探してください。IAM アイデンティティセンター ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM アイデンティティセンター委任管理者メンバーアカウントに存在している必要があります。Active Directory を管理アカウントに配置する場合は、委任された管理者に必要なアクセス許可がないため、管理アカウントでセットアップを実行する必要があります。
### 外部 ID ソースを使用して委任管理アカウントの IAM アイデンティティセンター ID ストアアクションを制限する
IdP や などの外部 ID ソースを使用する場合は Directory Service、IAM Identity Center 管理者が委任された管理アカウント内から実行できる ID ストアアクションを制限するポリシーを実装する必要があります。書き込みおよび削除オペレーションは慎重に検討する必要があります。一般的に、外部 ID ソースは、ユーザーとその属性、およびグループメンバーシップの信頼できるソースです。ID ストア API または コンソールを使用してこれらを変更すると、通常の同期サイクル中に変更が上書きされます。これらのオペレーションは、信頼できる ID ソースの排他的な制御に任せることをお勧めします。これにより、グループメンバーシップコントロールを IdP 管理者に任せるのではなく、IAM アイデンティティセンター管理者がグループメンバーシップを変更して、グループが割り当てたアクセス許可セットまたはアプリケーションへのアクセスを許可することも防止されます。また、委任管理アカウントから SCIM ベアラートークンを作成できるユーザーも保護する必要があります。これにより、メンバーアカウントの管理者が SCIM クライアントを介してグループとユーザーを変更できるようになる可能性があるためです。
委任管理者アカウントからの書き込みまたは削除オペレーションが適切である場合があります。例えば、メンバーを追加せずにグループを作成し、IdP 管理者がグループを作成するのを待たずにアクセス許可セットに割り当てることができます。IdP 管理者がグループをプロビジョニングし、IdP 同期プロセスがグループメンバーを確立するまで、その割り当てには誰もアクセスできません。また、IdP 同期プロセスがユーザーまたはグループによるアクセスの削除を待てない間にサインインまたは認可を防ぐには、ユーザーまたはグループを削除することをお勧めします。ただし、このアクセス許可を悪用すると、ユーザーにとって破壊的になる可能性があります。ID ストアのアクセス許可を割り当てるときは、最小特権の原則を使用する必要があります。サービスコントロールポリシー (SCP) を使用して、委任管理アカウント管理者が許可する ID ストアアクションをコントロールできます。
以下の SCP の例では、Identity Store API と を使用してグループにユーザーを割り当てることを禁止しています。これは AWS マネジメントコンソール、ID ソースが外部である場合に推奨されます。これは、外部 IdP Directory Service との間のユーザー同期 (SCIM 経由) には影響しません。
**注記**
外部 ID ソースを使用していても、組織はユーザーとグループのプロビジョニングのために ID ストア API に完全または部分的に依存する可能性があります。したがって、この SCP をアクティブ化する前に、ユーザープロビジョニングプロセスがこの ID ストア API オペレーションを使用していないことを確認する必要があります。また、グループメンバーシップの管理を特定のグループに制限する方法については、次のセクションを参照してください。
```
{
"Version": "2012-10-17",
"Statement": [
{ "Effect": "Deny",
"Action": ["identitystore:CreateGroupMembership"],
"Resource": [ "*" ] }
]
}
```
管理アカウントへのアクセスを許可するグループのみにユーザーを追加しないようにするには、グループ ARN を使用してこれらの特定のグループを `arn:${Partition}:identitystore:::group/${GroupId}` の形式で参照できます。Identity Store で使用できるこのリソースタイプとその他のリソースタイプは、*「サービス認可リファレンス*」の[AWS 「Identity Store で定義されるリソースタイプ](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html#awsodemtotustpre-resoruces-for-iam-policies)」に記載されています。SCP に追加の ID ストア API を含めることを検討することもできます。詳細については、 「ID ストア API リファレンス」の「[アクション](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)」を参照してください。
SCP に次のポリシーステートメントを追加することで、委任された管理者による SCIM ベアラートークンの作成を防ぐことができます。これは両方の外部 ID ソースに適用できます。
**注記**
委任管理者が SCIM でユーザープロビジョニングを設定したり、定期的な SCIM ベアラートークンローテーションを実行したりする必要がある場合は、委任管理者がこれらのタスクを完了できるように、この API へのアクセスを一時的に許可する必要があります。
```
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ]
}
```
### ローカルマネージドユーザーの委任管理アカウントで IAM アイデンティティセンター ID ストアアクションを制限する
外部 IdP や を使用するのではなく、IAM Identity Center でユーザーとグループを直接作成する場合は Directory Service、ユーザーの作成、パスワードのリセット、グループのメンバーシップの制御を行えるユーザーに対して予防措置を講じる必要があります。これらのアクションにより、管理者は、サインインできるユーザーと、グループのメンバーシップを通じてアクセスできるユーザーに大きな権限が与えられます。これらのポリシーは、SCP としてではなく、IAM アイデンティティセンター管理者に使用するアクセス許可セット内のインラインポリシーとして実装するのが最適です。次のインラインポリシーの例には、2 つの目的があります。まず、特定のグループにユーザーを追加しないようにします。これを使用して、委任管理者が管理アカウントへのアクセスを許可するグループにユーザーを追加しないようにできます。次に、SCIM ベアラートークンの発行を防ぎます。
```
{
"Version": "2012-10-17",
"Statement": [
{ "Effect": "Deny",
"Action": ["identitystore:CreateGroupMembership"],
"Resource": [ arn:${Partition}:identitystore:::group/${GroupId1},
arn:${Partition}:identitystore:::group/${GroupId2}
]
}
],
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ] }
]
}
```
### IAM アイデンティティセンター設定管理を PermissionSet 管理から分離する
外部 ID ソースの変更、SCIM トークン管理、セッションタイムアウト設定などの管理タスクをタスクから分離して、管理アカウントから個別の管理者アクセス許可セットを作成して、アクセス許可セットを作成、変更、割り当てます。
### SCIM ベアラートークンの発行を制限する
SCIM ベアラートークンを使用すると、IAM アイデンティティセンターの ID ソースが Okta や Entra ID などの外部 IdP である場合、外部 ID ソースは SCIM プロトコルを介してユーザー、グループ、グループメンバーシップをプロビジョニングできます。次の SCP を設定して、委任された管理者による SCIM ベアラートークンの作成を防ぐことができます。委任管理者が SCIM でユーザープロビジョニングを設定したり、定期的な SCIM ベアラートークンローテーションを実行したりする必要がある場合は、委任管理者がこれらのタスクを完了できるように、この API へのアクセスを一時的に許可する必要があります。
```
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ]
}
```
### アクセス許可セットタグとアカウントリストを使用して、特定のアカウントの管理を委任する
IAM アイデンティティセンター管理者に割り当てるアクセス許可セットを作成して、アクセス許可セットを作成できるユーザーと、どのアクセス許可セットをどのアカウントに割り当てることができるかを委任できます。これは、アクセス許可セットにタグ付けし、管理者に割り当てるアクセス許可セットでポリシー条件を使用することによって行われます。たとえば、ユーザーが特定の方法でタグ付けされたアクセス許可セットを作成できるようにするアクセス許可セットを作成できます。また、管理者が特定のアカウントに特定のタグが付いたアクセス許可セットの割り当てができるようにするポリシーを作成することもできます。これにより、管理者に委任された管理アカウントに対するアクセスと権限を変更する権限を与えることなく、アカウントに対する管理を委任できます。例えば、委任管理アカウントでのみ使用するアクセス許可セットにタグを付けることで、特定のユーザーにのみ、委任管理アカウントに影響するアクセス許可セットと割り当てを変更するアクセス許可を付与するポリシーを指定できます。また、委任管理アカウント以外のアカウントのリストを管理するアクセス許可を他のユーザーに付与することもできます。詳細については、 「*AWS セキュリティブログ*」の「[AWS IAM アイデンティティセンターでのアクセス許可セットの管理とアカウント割り当ての委任](https://aws.amazon.com/blogs/security/delegating-permission-set-management-and-account-assignment-in-aws-iam-identity-center/)」を参照してください。
## 前提条件
アカウントを委任管理者として登録する前に、まず次の環境を展開する必要があります。
+ AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効化および設定する必要があります。
+ ID ソースが Active Directory に設定されている場合は、[IAM Identity Center の構成可能な AD 同期](provision-users-from-ad-configurable-ADsync.md) 機能を有効にする必要があります。
# メンバーアカウントを作成する
委任管理を設定するには、まず組織のメンバーアカウントを委任管理者として登録する必要があります。そのメンバーアカウント内の十分な権限を持つユーザーは、IAM Identity Center への管理アクセス権を持ちます。メンバーアカウントが委任管理用に正常に登録されると、そのメンバーアカウントは「*委任管理者アカウント*」と呼ばれます。委任管理者アカウントが実行できるタスクの詳細については、[AWS アカウント タイプ](manage-your-accounts.md#account-types) を参照してください。
IAM Identity Center では、一度に 1 つのメンバーアカウントのみを委任管理者として登録できます。メンバーアカウントは、管理アカウントの認証情報を使用してサインインしている場合にのみ登録できます。
AWS 組織内の特定のメンバーアカウントを委任管理者として登録して、IAM Identity Center への管理者アクセス権を付与するには、次の手順に従います。
**重要**
この操作により、IAM Identity Center の管理アクセスが、このメンバーアカウントの管理者ユーザーに委任されます。この委任された管理者アカウントに対して十分な権限を持つすべてのユーザーは、以下を除くすべての IAM Identity Center 管理タスクをアカウントから実行できます。
IAM Identity Center を有効にする
IAM Identity Center 設定を削除する
管理アカウントにプロビジョニングされた権限セットの管理
他のメンバーアカウントを委任管理者として登録または登録解除する
管理アカウントでのユーザーアクセスの有効化または無効化
委任管理者はグループメンバーシップを編集できます。
**メンバーアカウントを登録する**
1. の管理アカウントの認証情報 AWS マネジメントコンソール を使用して にサインインします AWS Organizations。[委任管理者の登録](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) API を実行するには、管理アカウントの認証情報が必要です。
1. IAM Identity Center が有効になっているリージョンを選択し、「[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)」を開きます。
1. **[設定]** を選択し、**[管理]** タブを選択します。
1. [**** の委任管理者]セクションで、[**登録**] を選択します。
1. **委任管理者の登録**ページで、登録 AWS アカウント する を選択し、**アカウントの登録**を選択します。
# メンバーアカウントを登録解除する
メンバーアカウントは、管理アカウントの認証情報を使用してサインインした場合にのみ、登録解除できます。
以下の手順を使用して、以前に委任管理者として指定された AWS 組織のメンバーアカウントを登録解除することで、IAM Identity Center から管理アクセスを削除します。
**重要**
アカウントの登録を解除すると、すべての管理者ユーザーがそのアカウントから IAM Identity Center を管理できなくなります。その結果、このアカウントから IAM Identity Center ID、アクセス管理、認証、またはアプリケーションアクセスを管理できなくなります。このオペレーションは、IAM Identity Center で設定されたアクセス許可や割り当てには影響しないため、エンドユーザーは AWS 引き続きアクセスポータル内 AWS アカウント からアプリや にアクセスできます。
**メンバーアカウントを登録解除する**
1. の管理アカウントの認証情報 AWS マネジメントコンソール を使用して にサインインします AWS Organizations。[委任管理者の登録解除](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) API を実行するには、管理アカウントの認証情報が必要です。
1. IAM Identity Center が有効になっているリージョンを選択し、[[IAM Identity Center コンソール]](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択し、**[管理]** タブを選択します。
1. [**委任管理者**]セクションで、[**登録解除**] を選択します。
1. **[アカウントの登録解除]** ダイアログボックスでセキュリティ上の影響を確認し、メンバーアカウントの名前を入力して内容がわかっていることを確認します。
1. **[アカウントの登録解除]** を選択します。
# 委任管理者として登録されているメンバーアカウントが表示されます。
IAM Identity Center の委任管理者として設定 AWS Organizations されている のメンバーアカウントを確認するには、次の手順に従います。
**登録済みのメンバーアカウントを表示するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択します。
1. **[詳細]** セクションで、**[委任管理者]** の下にある登録済みアカウント名を探します。この情報は、**[管理]** タブを選択し、**[委任管理者]** セクションで表示することでも確認できます。
# の一時的な昇格アクセス AWS アカウント
へのすべてのアクセスには、ある程度の権限 AWS アカウント が必要です。本番環境などの設定変更等、機密性の高い操作には、影響のおよぶ範囲や度合いを考慮して、特別な対応が必要になります。一時的な昇格アクセス (ジャストインタイムアクセスとも呼ばれる) は、特定のタスクを指定された期間に実行するための権限を要求、承認、および追跡する方法です。一時的な昇格アクセスは、権限セットや多要素認証など、他の形式のアクセス制御を補完します。
**注記**
ビジネス継続性を確保するために、 [AWS マネジメントコンソールへの緊急アクセスを設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html)ことをお勧めします。
さまざまなお客様のニーズに対応するため、 は AWS Security Competency partners のソリューションと AWS IAM アイデンティティセンター 統合されます。 は、これらのソリューションが一時的な昇格されたアクセス要件の一般的なセットに対応していること AWS を検証します。各パートナーソリューションを詳しく検討したうえで、事業内容、クラウド環境のアーキテクチャ、予算など、お客様固有のニーズや優先事項に最も適したソリューションをお選びください。
検証済みのソリューションには、[Apono Access Management Platform](https://www.apono.io/)、[CyberArk Secure Cloud Access](https://www.cyberark.com/products/secure-cloud-access/)、[Okta Access Requests](https://help.okta.com/en-us/Content/Topics/identity-governance/access-requests/ar-overview.htm)、[Tenable](https://ermetic.com/solution/just-in-time/) (以前は Ermetic) などがあります。
パートナーは、 パートナーセンター AWS のセキュリティコンピテンシーアプリケーションを使用してソリューションを指名できます。詳細については、[AWS セキュリティコンピテンシーパートナー](https://aws.amazon.com/security/partner-solutions/) を参照してください。
**注記**
リソースベース、Amazon Elastic Kubernetes Service、または を使用している場合は AWS Key Management Service、just-in-timeソリューションを選択する前に、[「リソースポリシーでのアクセス許可セットの参照」、「Amazon EKS クラスター設定マップ」、 AWS KMS 「キーポリシー](https://docs.aws.amazon.com/singlesignon/latest/userguide/referencingpermissionsets.html)」を参照してください。
# へのシングルサインオンアクセス AWS アカウント
接続されたディレクトリのユーザーアクセス許可は、[一般的な職務](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) AWS Organizations 機能に基づいて、 の管理アカウントまたは組織内のメンバーアカウントに割り当てることができます。または、特定のセキュリティ要件を満たすようにカスタムのアクセス権限を使用することもできます。例えば、データベース管理者には、開発用アカウントでは Amazon RDS に対する広範なアクセス権限を付与しますが、本番稼働用アカウントではそれらのアクセス権限を制限します。IAM Identity Center によって、 AWS アカウント で必要なすべてのユーザーアクセス権限が自動的に設定されます。
**注記**
AWS Organizations 管理アカウントで操作するためのアクセス許可をユーザーまたはグループに付与する必要がある場合があります。高い特権を持つアカウントであるため、追加のセキュリティ制限により、この設定を行う前に、[IAMFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ポリシーまたは同等の権限を持つことが必要です。これらの追加のセキュリティ制限は、 AWS 組織内のメンバーアカウントでは必要ありません。
**Topics**
+ [ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md)
+ [へのユーザーおよびグループのアクセスを削除する AWS アカウント](howtoremoveaccess.md)
+ [権限セットによって作成されたアクティブな IAM ロールセッションを取り消す](revoke-user-permissions.md)
+ [マスターアカウントでユーザーとグループにシングルサインオン・アクセスを割り当てる権限を委任する](howtodelegatessoaccess.md)
# ユーザーまたはグループのアクセスを に割り当てる AWS アカウント
接続先ディレクトリのユーザーとグループにシングルサインオン・アクセスを割り当て、アクセス権限セットによってそれらのユーザーとグループのアクセスレベルを決定するには、以下の手順を実行します。
既存のユーザーやグループ向けのアクセスを確認するには、「[権限セットを表示および変更する](howtoviewandchangepermissionset.md)」を参照してください。
**注記**
アクセス権限の管理をシンプルにするために、個々のユーザーではなくグループに直接アクセスを割り当てることをお勧めします。グループを使用すると、個々のユーザーにこれらのアクセス権限を適用するのではなく、ユーザーグループに対してアクセス権限を付与または拒否できます。ユーザーが別の組織に異動した場合、そのユーザーを別のグループに移動するだけで、新しい組織に必要なアクセス権限がそのユーザーに自動的に付与されます。
**ユーザーまたはグループアクセスを に割り当てるには AWS アカウント**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**
次のステップに進む前に、IAM Identity Center コンソールで、 AWS Managed Microsoft AD ディレクトリが存在するリージョンを使用していることを確認してください。
1. ナビゲーションペインの [**マルチアカウント権限**] で、**AWS アカウント** を選択します。
1. **AWS アカウント** ページには、組織のツリービューリストが表示されます。アクセスを割り当てる AWS アカウント の横にあるチェックボックスをオンにします。IAM アイデンティティセンターの管理アクセスを設定する場合は、管理アカウントの横にあるチェックボックスをオンにします。
**注記**
ユーザーとグループにシングルサインオンアクセスを割り当てる場合、アクセス許可セットごとに AWS アカウント 一度に最大 10 を選択できます。ユーザーとグループの同じセット AWS アカウント に 10 個以上を割り当てるには、追加のアカウントで必要に応じてこの手順を繰り返します。プロンプトが表示されたら、同じユーザー、グループ、権限セットを選択します。
1. **[ユーザーまたはグループの割り当て]** を選択します。
1. **ステップ 1: ユーザーとグループの選択**では、**[ユーザーとグループを「*AWS-account-name*」に割り当てる]** ページで、次の操作を行います。
1. **[ユーザー]** タブで、シングルサインオン・アクセスを許可するユーザーを 1 人以上選択します。
結果をフィルタリングするには、検索ボックスに目的のユーザーの名前を入力します。
1. **[グループ]** タブで、シングルサインオン・アクセスを許可するグループを 1 つ以上選択します。
結果をフィルターする場合は、検索ボックスに目的のグループの名前を入力します。
1. 選択したユーザーとグループを表示するには、**[選択したユーザーとグループ]** の横にある横向きの三角形を選択します。
1. 正しいユーザーとグループが選択されたことを確認したら、**[次へ]** を選択します。
1. **ステップ 2: アクセス許可セットの選択** では、**[アクセス許可セットを「*AWS-account-name*」に割り当てる]** ページで、次の操作を行います。
1. 1 つまたは複数の権限セットを選択します。必要に応じて、新しい権限セットを作成して選択できます。
+ 1 つ以上の既存の権限セットを選択するには、**[権限セット]** で、前のステップで選択したユーザーとグループに適用する権限セットを選択します。
+ 1 つ以上の新しい権限セットを作成するには、**[権限セットの作成]** を選択し、[アクセス権限セットを作成します。](howtocreatepermissionset.md) の手順に従います。適用する権限セットを作成したら、IAM Identity Center コンソールで「**AWS アカウント**」に戻り、**[ステップ 2: 権限セットを選択する]** が表示されるまで指示に従います。このステップに到達したら、作成した新しい権限セットを選択し、この手順の次のステップに進みます。
1. 正しい権限セットが選択されていることを確認したら、**[次へ]** を選択します。
1. **ステップ 3: 確認と送信**では、**[「*AWS-account-name*」への割り当てを確認と送信]** ページで、次の操作を行います。
1. 選択したユーザ、グループ、権限セットを確認します。
1. 正しいユーザ、グループ、権限セットが選択されていることを確認したら、**[提出]** を選択します。
**考慮事項**
+ ユーザーとグループへの割り当てプロセスが完了するまでに数分かかることがあります。プロセスが正常に完了するまで、このページを開いたままにしておきます。
+
**注記**
AWS Organizations 管理アカウントで操作するためのアクセス許可をユーザーまたはグループに付与する必要がある場合があります。高い特権を持つアカウントであるため、追加のセキュリティ制限により、この設定を行う前に、[IAMFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ポリシーまたは同等の権限を持つことが必要です。これらの追加のセキュリティ制限は、 AWS 組織内のメンバーアカウントでは必要ありません。
1. 以下のいずれかに当てはまる場合は、[ユーザーに MFA を求める](mfa-getting-started.md) の手順に従って IAM Identity Center の MFA を有効にしてください。
+ ID ソースとしてデフォルトの Identity Center ディレクトリを使用しています。
+ Active Directory の AWS Managed Microsoft AD ディレクトリまたはセルフマネージドディレクトリを ID ソースとして使用しており、 で RADIUS MFA を使用していない AWS Directory Service。
**注記**
外部 ID プロバイダーを使用している場合は、IAM アイデンティティセンターではなく外部 IdP が MFA 設定を管理することに注意してください。IAM Identity Center の MFA は、外部 IIdPs による使用はサポートされていません。
管理ユーザーのアカウントへのアクセス権をセットアップすると、対応する IAM ロールが IAM Identity Center により作成されます。このロールは、IAM Identity Center によって制御され、関連する に作成され AWS アカウント、アクセス許可セットで指定されたポリシーがロールにアタッチされます。
または、[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) を使用してアクセス権限セットを作成して割り当て、それらのアクセス権限セットにユーザを割り当てることもできます。ユーザーは、[AWS アクセスポータルにサインイン](howtosignin.md) するか、[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html) コマンドを使用できます。
# へのユーザーおよびグループのアクセスを削除する AWS アカウント
接続されたディレクトリ内の AWS アカウント 1 つ以上のユーザーとグループの へのシングルサインオンアクセスを削除するには、この手順を使用します。または、[delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLIを使用することもできます。
**注記**
IAM アイデンティティセンターユーザーまたはグループのプロビジョニングを解除する必要がある場合は、まずユーザーとグループから[アクセス許可セットの割り当てをすべて削除](howtoremovepermissionset.md)してから、ユーザーとグループを削除する必要があります。
**へのユーザーおよびグループのアクセスを削除するには AWS アカウント**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. ナビゲーションペインの [**マルチアカウントのアクセス許可**] で、[**AWS アカウント**] を選択します。
1. [**AWS アカウント**] ページには、組織のツリービューリストが表示されます。シングルサインオンアクセスを削除するユーザーとグループ AWS アカウント を含む の名前を選択します。
1. **の概要**ページの**「割り当てられたユーザーとグループ** AWS アカウント」で、1 つ以上のユーザーまたはグループの名前を選択し、**「アクセスの削除**」を選択します。
1. **[アクセス許可の削除]** ダイアログで、ユーザーまたはグループの名前が正しいことを確認し、**[アクセス許可の削除]** を選択します。
# 権限セットによって作成されたアクティブな IAM ロールセッションを取り消す
IAM アイデンティティセンターユーザーのアクティブな権限セットセッションを取り消す一般的な手順は次のとおりです。この手順では、認証情報を侵害したユーザー、またはシステム内に存在する悪質な行為者のすべてのアクセス権を削除することを前提としています。前提条件として、[権限セットによって作成されたアクティブな IAM ロールセッションを取り消す準備をする](prereqs-revoking-user-permissions.md#prepare-to-revoke-session) のガイダンスに従っている必要があります。「すべてを拒否する」ポリシーがサービスコントロールポリシー (SCP) 内に存在することを前提としています。
**注記**
AWS では、コンソールのみのオペレーションを除くすべてのステップを処理するオートメーションを構築することをお勧めします。
1. **アクセス権を取り消す必要があるユーザーのユーザー ID を取得します。**ID ストア API を使用して、ユーザー名でユーザーを検索できます。
1. **拒否ポリシーを更新して、サービスコントロールポリシー (SCP) のステップ 1 のユーザー ID を追加します。**このステップを完了すると、ターゲットユーザーはアクセス権を失い、ポリシーの影響下にあるすべてのロールでアクションを実行できなくなります。
1. **そのユーザーに対するすべての権限セットの割り当てを削除します。**アクセス権がグループメンバーシップを介して割り当てられている場合は、すべてのグループとすべての直接権限セットの割り当てからユーザーを削除します。このステップにより、ユーザーは追加の IAM ロールを引き受けることができなくなります。ユーザーがアクティブな AWS アクセスポータルセッションを持っていて、ユーザーを無効にすると、アクセスを削除するまで新しいロールを引き受け続けることができます。
1. **ID プロバイダー (IdP) または Microsoft Active Directory を ID ソースとして使用する場合は、ID ソース内でユーザーを無効にします。**ユーザーを無効にすると、追加の AWS アクセスポータルセッションが作成されなくなります。IdP または Microsoft Active Directory API ドキュメントを使用して、このステップを自動化する方法について説明します。ID ソースとして IAM アイデンティティセンターディレクトリを使用している場合は、ユーザーアクセスをまだ無効にしないでください。ステップ 6 でユーザーアクセスを無効にします。
1. **IAM アイデンティティセンターコンソールで、ユーザーを検索し、アクティブなセッションを削除します。**
1. **[ユーザー]** を選択します。
1. アクティブなセッションを削除したいユーザーを選択します。
1. ユーザー詳細ページで、**[アクティブセッション]** タブを選択します。
1. 削除するセッションの横にあるチェックボックスを選択して、**[セッションを削除]** を選択します。
ユーザーセッションを削除すると、ユーザーはすぐに AWS アクセスポータルにアクセスできなくなります。[セッション期間](authconcept.md)についての詳細をご確認ください。
1. **IAM アイデンティティセンターコンソールでユーザーアクセスを無効化します。**
1. **[ユーザー]** を選択します。
1. アクセスを無効化したいユーザーを選択します。
1. ユーザー詳細ページで、**[一般情報]** を展開し、**[ユーザーアクセスを無効にする]** ボタンを選択して、ユーザーが今後ログインできないようにします。
1. **拒否ポリシーは少なくとも 12 時間保持すること。**そうでないと、アクティブな IAM ロールセッションを持つユーザーであれば IAM ロールのアクションを復元できてしまいます。12 時間経過すると、アクティブなセッションはすべて失効するため、ユーザーは IAM ロールに再度アクセスできなくなります。
**重要**
ユーザーセッションを停止する前にユーザーアクセスを無効すると (ステップ 5 を実施する前にステップ 6 を完了した場合)、IAM アイデンティティセンターコンソールからユーザーセッションを停する操作ができなくなります。ユーザーセッションを停止する前に誤って先にユーザーアクセスを無効にしてしまった場合は、ユーザーをいったん有効にしてセッションを停止してから、アクセスを再度無効にすることができます。
これにより、もしパスワードが侵害されたのであれば、ユーザーの認証情報を変更して[割り当てを復元](useraccess.md)することができます。
# マスターアカウントでユーザーとグループにシングルサインオン・アクセスを割り当てる権限を委任する
IAM Identity Center コンソールを使用して、管理アカウントへのシングルサインオン・アクセスを割り当てるのは特権的アクションです。デフォルトでは、 AWS アカウントのルートユーザー または 管理ポリシー**AWSSSOMasterAccountAdministrator**と **IAMFullAccess** AWS 管理ポリシーがアタッチされているユーザーのみが、管理アカウントにシングルサインオンアクセスを割り当てることができます。**AWSSSOMasterAccountAdministrator** および **IAMFullAccess**ポリシーは、 AWS Organizations 組織内の管理アカウントへのシングルサインオンアクセスを管理します。
または、 AWS CLI を使用して、アクセス許可セットの作成、ポリシーのアタッチ、割り当てを行うことができます。各ステップのコマンドを以下に示します。
+ アクセス許可セットを作成するには: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ アクセス許可セットにアタッチ AWS Managed Policyするには: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ カスタマー管理ポリシーをアクセス許可セットにアタッチするには: [attach-customer-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ アクセス許可セットをプリンシパルに割り当てるには: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)
ディレクトリ内のユーザーへのシングルサインオン・アクセスを管理するためにアクセス権限を委任するには、次の手順を実行します。
**ディレクトリ内のユーザーへのシングルサインオン・アクセスを管理するためのアクセス権限を付与するには**
1. 管理アカウントのルートユーザーまたは管理アカウントに IAM 管理者権限を持つ別の IAM ユーザーとして IAM Identity Center コンソールにサインインします。
1. [アクセス権限セットを作成します。](howtocreatepermissionset.md) の手順に従って権限セットを作成し、次の操作を行います。
1. **[新しい権限セットの作成]** ページで **[カスタム権限セットの作成]** チェックボックスをオンにし、**[次へ:詳細]** を選択します。
1. **[新しい権限セットの作成]** ページで、カスタム権限セットの名前と、必要に応じて説明を指定します。必要に応じて、セッション期間を変更し、リレーステート URL を指定します。
**注記**
リレーステート URL には、 AWS マネジメントコンソールに含まれている URL を指定する必要があります。例えば、次のようになります。
**https://console.aws.amazon.com/ec2/**
詳細については、「[にすばやくアクセスできるようにリレー状態を設定する AWS マネジメントコンソール](howtopermrelaystate.md)」を参照してください。
1. **[どのポリシーを権限セットに含めたいですか?]** で、**[ AWS 管理ポリシーを添付する]** チェックボックスを選択します。
1. IAM ポリシーのリストで、**AWSSSOMasterAccountAdministrator **ポリシーと **IAMFullAccess** AWS 管理ポリシーの両方を選択します。これらのポリシーは、将来的にこのアクセス権限セットへのアクセスが割り当てられるすべてのユーザーとグループにアクセス権限を付与します。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. **[Add tags (optional)]** (タグの追加 (オプション)) で **[Key]** (キー) と **[Value (optional)]** (値 (オプション)) の値を指定して、**[Next: Review]** (次へ: レビュー) を選択します。タグの詳細については、[AWS IAM アイデンティティセンター リソースのタグ付け](tagging.md)を参照してください。
1. 選択した値を確認したら、**[Create]** (作成) を選択します。
1. [ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md) の手順に従って、作成した権限セットに適切なユーザーとグループを割り当てます。
1. 割り当てられたユーザーに以下を周知すること: ユーザーが AWS アクセスポータルにサインインして**[アカウント]** タブを選択した時、委任権限による認証を受けるには適切なロール名を選択する必要があります。
# アクセス許可セット AWS アカウント を使用して を管理する
アクセス権限セットは、1 つまたは複数の [[IAM policies]](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) (IAM ポリシー) のコレクションの定義を作成および維持するテンプレートです。アクセス許可セットは、組織内のユーザーとグループの AWS アカウント アクセスの割り当てを簡素化します。たとえば、 AWS RDS、DynamoDB、Aurora サービスを管理するポリシーを含む*データベース管理者*権限セットを作成し、その単一の権限セットを使用して、データベース管理者の [AWS Organization](https://aws.amazon.com/organizations/) AWS アカウント 内のターゲットのリストへのアクセスを許可できます。
IAM Identity Center は、アクセス許可セット AWS アカウント を使用して 1 つ以上のユーザーまたはグループにアクセスを割り当てます。アクセス権限セットを割り当てると、IAM Identity Center は、対応する IAM Identity Center 制御の IAM ロールを各アカウントに作成し、アクセス権限セットで指定されたポリシーをそれらのロールに適用します。IAM Identity Center はロールを管理し、IAM Identity Center ユーザーポータルまたは AWS CLI を使用して、定義した承認されたユーザーがロールを引き受けることを許可します。 アクセス権限セットを変更すると、IAM Identity Center は、対応する IAM ポリシーとロールがそれに応じて更新されることを保証します。
アクセス許可セットには、[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)、[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)、[インラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)、および[AWS 職務機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)を追加できます。[アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)として、 AWS マネージドポリシーまたはカスタマー管理ポリシーを割り当てることもできます。
アクセス権限セットを作成するには、「[アクセス許可セットの作成、管理と削除](permissionsets.md)」を参照してください。
## 最小特権権のアクセス許可を適用するアクセス許可セットを作成する
最小特権のアクセス許可を適用するというベストプラクティスに従うには、管理権許可セットを作成した後に、より制限の厳しいアクセス許可セットを作成して 1 人以上のユーザーに割り当てます。前の手順で作成したアクセス許可セットは、ユーザが必要とするリソースへのアクセス量を評価するための出発点となります。最小特権のアクセス許可に切り替えるには、IAM Access Analyzer を実行して、 AWS 管理ポリシーを持つプリンシパルをモニタリングできます。どのアクセス許可を使用しているかを学習したら、カスタムポリシーを作成するか、チームに必要なアクセス許可のみを持つポリシーを生成できます。
IAM Identity Center を使用すると、同じユーザーに複数のアクセス権限セットを割り当てることができます。管理ユーザーには、より制限の厳しいアクセス許可セットを追加で割り当てる必要もあります。これにより、常に管理アクセス許可を使用するのではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。
例えば、開発者の場合、IAM アイデンティティセンターで管理ユーザーを作成した後に、`PowerUserAccess` アクセス許可を付与する新しいアクセス許可セットを作成し、そのアクセス許可セットを自身に割り当てることができます。`AdministratorAccess` 権限を使用する管理者権限セットとは異なり、`PowerUserAccess ` 権限セットでは IAM ユーザーとグループの管理はできません。 AWS アクセスポータルにサインインして AWS アカウントにアクセスすると、 `PowerUserAccess` ではなく を選択してアカウントで開発タスク`AdministratorAccess`を実行できます。
次の考慮事項に注意が必要です。
+ **より制限の厳しいアクセス権限セットをすぐに作成するには、カスタムアクセス権限セットではなく定義済みのアクセス権限セットを使用してください。**
事前定義されたアクセス許可を使用する[事前定義されたアクセス許可](permissionsetpredefined.md)セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスおよびリソースへの特定のレベルのアクセス、または共通のジョブ関数のアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「[AWS 職務機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
+ **アクセス権限セットのセッション期間を構成して、ユーザーが AWS アカウントにサインインしている時間を制御できます。**
ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソールまたは コマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center AWS はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、**ユーザーがセッション**から AWS サインアウト AWS アカウント するまでにユーザーが にサインインできる時間を決定するセッション期間の値は 1 時間に設定されます。最大値は 12 時間まで指定できます。詳細については、「[のセッション期間を設定する AWS アカウント](howtosessionduration.md)」を参照してください。
+ ** AWS アクセスポータルセッション期間を設定して、ワークフォースユーザーがポータルにサインインする期間を制御することもできます。**
デフォルトでは、**最大セッション期間** の値は、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる期間を決定し、8 時間です。最大値は 90 日まで指定できます。詳細については、「[IAM アイデンティティセンターでセッション期間を設定する](configure-user-session.md)」を参照してください。
+ ** AWS アクセスポータルにサインインするときは、最小特権のアクセス許可を付与するロールを選択します。 **
作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (`AdministratorAccess` ではなく) 選択してください。
+ **IAM Identity Center に他のユーザーを追加し、そのユーザーに既存または新規のアクセス権限セットを割り当てることができます。**
詳細については、「[ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md)」を参照してください。
**Topics**
+ [最小特権権のアクセス許可を適用するアクセス許可セットを作成する](#get-started-create-permission-set-to-grant-least-privilege-permissions)
+ [AWS 管理ポリシーの事前定義されたアクセス許可](permissionsetpredefined.md)
+ [AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可](permissionsetcustom.md)
+ [アクセス許可セットの作成、管理と削除](permissionsets.md)
+ [アクセス権限セットのプロパティを構成する](permproperties.md)
# AWS 管理ポリシーの事前定義されたアクセス許可
AWS 管理ポリシーを使用して事前定義されたアクセス許可セットを作成できます。
事前定義されたアクセス許可を持つアクセス許可セットを作成するときは、 AWS 管理ポリシーのリストから 1 つのポリシーを選択します。使用可能なポリシーの中で、**共通権限ポリシー** と**職務機能ポリシー** から選択できます。
**共通のアクセス許可ポリシー**
全体のリソースにアクセスできるようにする AWS 管理ポリシーのリストから選択します AWS アカウント。以下のいずれかのポリシーを追加できます。
+ AdministratorAccess
+ PowerUserAccess
+ ReadOnlyAccess
+ ViewOnlyAccess
**職務機能ポリシー**
組織内のジョブに関連する AWS アカウント 可能性のある のリソースにアクセスできるようにする AWS マネージドポリシーのリストから選択します。以下のいずれかのポリシーを追加できます。
+ Billing
+ DataScientist
+ DatabaseAdministrator
+ NetworkAdministrator
+ SecurityAudit
+ SupportUser
+ SystemAdministrator
使用可能な共通権限ポリシーとジョブ機能ポリシーの詳細については、「*AWS Identity and Access Management ユーザーガイド*」の 「[AWS 職務機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
アクセス権限セットの作成方法については、「[アクセス許可セットの作成、管理と削除](permissionsets.md)」を参照してください。
# AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可
**カスタムアクセス許可**を使用してアクセス許可セットを作成し、 AWS Identity and Access Management (IAM) で使用している AWS 管理ポリシーとカスタマー管理ポリシーをインラインポリシーと組み合わせることができます。また、権限の境界を含めることで、他のポリシーにより権限セットのユーザーに付与することのできる最大の権限を制限することもできます。
アクセス権限セットの作成方法については、「[アクセス許可セットの作成、管理と削除](permissionsets.md)」を参照してください。
**アクセス権限セットに適用できるポリシータイプ**
**Topics**
+ [インラインポリシー](#permissionsetsinlineconcept)
+ [AWS マネージドポリシー](#permissionsetsampconcept)
+ [カスタマー管理ポリシー](#permissionsetscmpconcept)
+ [アクセス許可の境界](#permissionsetsboundaryconcept)
## インラインポリシー
*インラインポリシー*をアクセス権限セットに適用します。インラインポリシーは IAM ポリシーとしてフォーマットされたテキストブロックで、アクセス権限セットに直接追加します。新しいアクセス権限セットを作成するときに、ポリシーを貼り付けるか、IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。[AWS ポリシージェネレーター](https://awspolicygen.s3.amazonaws.com/policygen.html) を使用して IAM ポリシーを作成することもできます。
インラインポリシーを使用してアクセス許可セットをデプロイすると、IAM Identity Center はアクセス許可セットを割り当てる AWS アカウント に IAM ポリシーを作成します。IAM Identity Center は、アクセス権限セットをアカウントに割り当てるとポリシーを作成します。その後、ポリシーは、ユーザーが引き受け AWS アカウント る の IAM ロールにアタッチされます。
インラインポリシーを作成してアクセス許可セットを割り当てると、IAM Identity Center によって のポリシー AWS アカウント が自動的に設定されます。を使用してアクセス許可セットを構築する場合[カスタマー管理ポリシー](#permissionsetscmpconcept)、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。
## AWS マネージドポリシー
*AWS 管理ポリシー*をアクセス許可セットにアタッチできます。 AWS 管理ポリシーは、 が AWS 管理する IAM ポリシーです。対照的に、 は、作成して管理するアカウントの IAM ポリシーです。 AWS 管理ポリシー[カスタマー管理ポリシー](#permissionsetscmpconcept)は、 の一般的な最小特権のユースケースに対処します AWS アカウント。 AWS 管理ポリシーは、IAM Identity Center が作成するロールのアクセス許可として、または[アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)として割り当てることができます。
AWS は、 AWS リソースにジョブ固有のアクセス許可を割り当てるジョブ[AWS 機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)を維持します。アクセス権限セットに **定義済みの権限** を使用する場合は、職務ポリシーを 1 つ追加できます。**カスタム権限** を選択すると、複数の職務ポリシーを追加できます。
には、特定の AWS のサービス と の組み合わせに対する多数の AWS マネージド IAM ポリシー AWS アカウント も含まれています AWS のサービス。**カスタムアクセス許可を使用してアクセス許可**セットを作成する場合、アクセス許可セットに割り当てる多くの追加の AWS 管理ポリシーから選択できます。
AWS は、すべての AWS アカウント に AWS 管理ポリシーを入力します。 AWS 管理ポリシーを使用してアクセス許可セットをデプロイするには、最初に でポリシーを作成する必要はありません AWS アカウント。を使用してアクセス許可セットを構築する場合は[カスタマー管理ポリシー](#permissionsetscmpconcept)、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。
AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## カスタマー管理ポリシー
*カスタマー管理ポリシー*をアクセス許可セットに適用できます。カスタマー管理ポリシーは、アカウント内で顧客が作成および維持する IAM ポリシーです。対照的に、 [AWS マネージドポリシー](#permissionsetsampconcept)は が AWS 維持するアカウントの IAM ポリシーです。カスタマー管理ポリシーは、IAM アイデンティティセンターが作成するロールのアクセス許可として、または [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) として割り当てることができます。
カスタマー管理ポリシーを使用してアクセス許可セットを作成する場合、IAM Identity Center AWS アカウント がアクセス許可セットを割り当てる各 に同じ名前とパスを持つ IAM ポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウントに同じパスを指定してください。詳細については、「*IAM ユーザーガイド*」の「[親しみやすい名前とパス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names)」を参照してください。IAM Identity Center は、作成した IAM ポリシーを、 AWS アカウントで作成した IAM ロールにアタッチします。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「[権限セットに IAM ポリシーを使用する](howtocmp.md)」を参照してください。
**注記**
カスタマー管理ポリシーがアクセス許可セットにアタッチされている場合、ポリシーの名前では大文字と小文字は区別されません。
詳細については、IAM ユーザーガイドの「[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)」を参照してください。
## アクセス許可の境界
アクセス許可セットには* アクセス許可の境界*を適用できます。アクセス許可の境界は、アイデンティティベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定する AWS マネージドまたはカスタマーマネージド IAM ポリシーです。アクセス許可の境界を適用する場合、[インラインポリシー](#permissionsetsinlineconcept)、[カスタマー管理ポリシー](#permissionsetscmpconcept)、および [AWS マネージドポリシー](#permissionsetsampconcept)は、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス権限は付与されませんが、その代わりに IAM が境界を超えるすべてのアクセス権限を無視するようになります。
カスタマー管理ポリシーをアアクセス許可の境界として使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前の IAM ポリシーを作成する必要があります。IAM Identity Center は、IAM ポリシーをアクセス許可の境界として AWS アカウント で作成する IAM ロールに適用します。
詳細については、IAM ユーザーガイド の [IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を参照してください。
# アクセス許可セットの作成、管理と削除
アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。IAM Identity Center でのアクセス許可セットの使用方法の詳細については、[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md) を参照してください。
**注記**
IAM アイデンティティセンターコンソールでアクセス許可セットを作成できます。
アクセス許可セットを作成するときは、次の考慮事項に留意してください。
+ **組織インスタンス**
アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
+ **あらかじめ定義されたアクセス許可セットから始める**
事前定義されたアクセス許可を使用する[事前定義されたアクセス許可](permissionsetpredefined.md)セットでは、使用可能なポリシーのリストから 1 つの AWS 管理ポリシーを選択します。各ポリシーは、 AWS サービスやリソースへの特定のレベルのアクセス、または共通の職務機能に対するアクセス許可を付与します。これらのポリシーそれぞれの詳細については、「[AWS 職務機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。使用状況データを収集したら、アクセス許可セットをより制限の厳しいものに調整できます。
+ **管理セッションの期間を妥当な作業期間に制限する**
ユーザーが にフェデレーション AWS アカウント し、 AWS マネジメントコンソール または AWS コマンドラインインターフェイス (AWS CLI) を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。ユーザーセッションがセッション時間に達すると、コンソールからサインアウトされ、再度サインインするよう求められます。セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。デフォルトでは、**[セッション期間]** は 1 時間です。最大値は 12 時間まで指定できます。詳細については、「[のセッション期間を設定する AWS アカウント](howtosessionduration.md)」を参照してください。
+ **ワークフォースユーザーポータルのセッション期間を制限する**
ワークフォースユーザーはポータルセッションを使用してロールを選択し、アプリケーションにアクセスします。デフォルトでは、**最大セッション期間**の値です。これは、ワークフォースユーザーが再認証される前に AWS アクセスポータルにサインインできる時間の長さを決定し、8 時間です。最大値は 90 日まで指定できます。詳細については、「[IAM アイデンティティセンターでセッション期間を設定する](configure-user-session.md)」を参照してください。
+ **最小特権アクセス許可を与えるロールを使用する**
作成してユーザーに割り当てる各アクセス許可セットは、 AWS アクセスポータルで使用可能なロールとして表示されます。そのユーザーとしてポータルにサインインするときは、アカウント内のタスクの実行に使用できる最も制限の厳しいアクセス権限セットに対応するロールを (`AdministratorAccess` ではなく) 選択してください。ユーザー招待を送信する前に、アクセス許可セットをテストして必要なアクセス許可が提供されていることを確認してください。
**注記**
[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) を使用してアクセス許可セットを作成して割り当て、それらのアクセス許可セットにユーザーを割り当てることもできます。
**Topics**
+ [アクセス権限セットを作成します。](howtocreatepermissionset.md)
+ [権限セットを表示および変更する](howtoviewandchangepermissionset.md)
+ [権限セット管理の委任](permissionsetdelegation.md)
+ [権限セットに IAM ポリシーを使用する](howtocmp.md)
+ [IAM アイデンティティセンターでアクセス許可セットを削除する](howtoremovepermissionset.md)
+ [IAM アイデンティティセンターで権限セットを削除する](howtodeletepermissionset.md)
# アクセス権限セットを作成します。
この手順を使用して、1 つの AWS 管理ポリシーを使用する定義済みの権限セット、または最大 10 個の AWS 管理ポリシーまたはカスタマー管理ポリシーとインラインポリシーを使用するカスタム権限セットを作成します。IAM の [Service Quotas コンソール](https://console.aws.amazon.com/servicequotas) で、ポリシーの最大数 10 への調整をリクエストできます。IAM Identity Center コンソールで権限セットを作成できます。
**注記**
アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
**アクセス権限セットを作成するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[権限セットタイプの選択]** ページの **[権限セットタイプ]** で、権限セットタイプを選択します。
1. 権限セットタイプに基づいて、権限セットに使用したいポリシーを 1 つ以上選択します。
+ **定義済み権限セット**
1. **[事前定義された許可セットのポリシー]** で、リスト内の IAM **Job 機能ポリシー**または **[共通権限ポリシー]** のいずれかを選択し、**[次へ]** を選択します。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[AWS ジョブ機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」および「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
1. ステップ 6 に進み、**[権限セットの詳細を指定する]** ページの設定を完了します。
+ **カスタム権限セット**
1. [**次へ**] を選択します。
1. **[ポリシーとアクセス許可の境界を指定する]** ページで、新しい権限セットに適用する IAM ポリシーの種類を選択します。デフォルトでは、最大 10 個の **[AWS 管理ポリシー]** と **[顧客管理ポリシー]** を任意に組み合わせて権限セットに追加できます。このクォータは IAM によって設定されます。これを増やすには、アクセス許可セットを割り当てたい各 AWS アカウント で、Service Quotas コンソールの「*IAM ロールにアタッチされている IAM クォータ管理ポリシー*」の追加をリクエストします。
+ **AWS マネージドポリシー**を展開して、 が AWS 構築および維持する IAM からのポリシーを追加します。詳細については、「[AWS マネージドポリシー](permissionsetcustom.md#permissionsetsampconcept)」を参照してください。
1. **[AWS 権限セット]** でユーザーに適用する管理ポリシーを検索して選択します。
1. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、**[次へ]** を選択します。ステップ 6 に進み、**[権限セットの詳細を指定する]** ページの設定を完了します。
+ **[顧客管理ポリシー]** を展開して、作成して管理するポリシーを IAM から追加します。詳細については、「[カスタマー管理ポリシー](permissionsetcustom.md#permissionsetscmpconcept)」を参照してください。
1. **[ポリシーを追加]** を選択し、権限セットに追加するポリシーの名前を入力します。権限セットを割り当てる各アカウントで、入力した名前でポリシーを作成します。ベストプラクティスとして、各アカウントのポリシーに同じ権限を割り当ててください。
1. **[もっと追加する]** を選択して別のポリシーを追加します。
1. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、**[次へ]** を選択します。ステップ 6 に進み、**[権限セットの詳細を指定する]** ページの設定を完了します。
+ **[インラインポリシー]** を展開して、カスタム JSON 形式のポリシーテキストを追加します。インラインポリシーは既存の IAM リソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントに作成した IAM リソースにポリシーを追加します。詳細については、「[インラインポリシー](permissionsetcustom.md#permissionsetsinlineconcept)」を参照してください。
1. インタラクティブエディタ内の必要なアクションとリソースをインラインポリシーに追加します。**[新しいステートメントを追加]** を使用して、ステートメントを追加できます。
1. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、**[次へ]** を選択します。ステップ 6 に進み、**[権限セットの詳細を指定する]** ページの設定を完了します。
+ アクセス**許可の境界**を展開して、 AWS 管理またはカスタマー管理の IAM ポリシーを、アクセス許可セット内の他のポリシーが割り当てることができる最大アクセス許可として追加します。詳細については、「[アクセス許可の境界](permissionsetcustom.md#permissionsetsboundaryconcept)」を参照してください。
1. **[アクセス許可の境界を使用する]** を選択して、アクセス許可の上限を設定します。
1. **[AWS 管理ポリシー]** を選択し、IAM からポリシーを設定し、*AWS* がアクセス許可の境界として構築・維持します。**[カスタマー管理ポリシー]** を選択して、*[お客様]* が IAM から作成して維持するポリシーをアクセス許可の境界として設定します。
1. 別の種類のポリシーを追加する場合は、そのコンテナを選択して選択します。適用するポリシーをすべて選択したら、**[次へ]** を選択します。ステップ 6 に進み、**[権限セットの詳細を指定する]** ページの設定を完了します。
1. **[権限セットの詳細指定]** ページで、以下を実行します。
1. **[権限セット名]** に、IAM Identity Center でこの権限セットを識別するための名前を入力します。このアクセス許可セットに指定した名前は、利用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 を選択し AWS アカウント、ロールを選択します。
**注記**
アクセス許可セット名は、IAM アイデンティティセンターインスタンス内で一意である必要があります。
1. (オプション) 説明を入力することもできます。説明は、 AWS アクセスポータルではなく、IAM Identity Center コンソールにのみ表示されます。
1. (オプション) **Session duration** (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、「[のセッション期間を設定する AWS アカウント](howtosessionduration.md)」を参照してください。
1. (オプション) **Relay state** (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、「[にすばやくアクセスできるようにリレー状態を設定する AWS マネジメントコンソール](howtopermrelaystate.md)」を参照してください。
**注記**
リレーステート URL は AWS マネジメントコンソール内にある必要があります。例えば、次のようになります。
**https://console.aws.amazon.com/ec2/**
1. **[タグ (オプション)]** を拡張して [**タグの追加**] を選択し、**[キー]** と **[値 (オプション)]** () の値を指定します。
タグの詳細については[AWS IAM アイデンティティセンター リソースのタグ付け](tagging.md)を参照してください。
1. [**次へ**] を選択します。
1. **[確認と作成]** ページで、選択した内容を確認し、**[作成]** を選択します。
1. デフォルトでは、アクセス許可セットを作成すると、アクセス許可セットはプロビジョニングされません (どの でも使用されます AWS アカウント)。でアクセス許可セットをプロビジョニングするには AWS アカウント、アカウントのユーザーとグループに IAM Identity Center アクセスを割り当て、それらのユーザーとグループにアクセス許可セットを適用する必要があります。詳細については、「[ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md)」を参照してください。
# 権限セットを表示および変更する
アクセス許可セットを使用して、ユーザーに AWS アカウントへのアクセスを許可できます。 AWS IAM アイデンティティセンター コンソールを使用して、アクセス許可セットを表示および変更できます。IAM アイデンティティセンターコンソールでアクセス許可セットを作成できます。IAM アイデンティティセンターでの権限セットの使用方法の詳細については、[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md) を参照してください。
アクセス許可セットは、ユーザーにアプリケーションへのアクセスを管理するためには必要はありません。
**注記**
アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
## アクセス許可セットの割り当てを表示する
この手順を使用して、 AWS IAM アイデンティティセンター コンソールに適用されたアクセス許可セットを表示します。
------
#### [ All AWS アカウント where a permission set is provisioned ]
アクセス許可セットのすべての割り当てを表示するには、次の手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[マルチアカウント権限]** で、**[権限セット]** を選択します。
1. **[権限セット]** ページで、見たい権限セットを選択します。
1. 選択したアクセス許可セットページで、**[アカウント]** タブに、アクセス許可セットが使用されているアカウントが表示されます。アカウントを選択すると、アカウント内でアクセス許可セットがどのようにプロビジョニングされるかを確認できます。ポリシーを[削除](howtoremovepermissionset.md)、編集、およびアクセス許可セットにアタッチできます。
------
#### [ All permission sets for an AWS アカウント ]
アクセス許可セットのすべての割り当てを表示するには、次の手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[マルチアカウント権限]** で、[**AWS アカウント**] を選択します。プロビジョニングされたアクセス許可セットを表示するアカウントを選択します。
1. 選択した AWS アカウント ページに移動したら、**アクセス許可セット**タブで、選択した に割り当てられたさまざまなアクセス許可セットを表示できます AWS アカウント。アクセス許可セットのハイパーリンクを選択すると、アクセス許可セットの詳細を確認できます。
------
#### [ All applied permission sets to users and groups ]
ユーザーまたはグループに割り当てられたすべてのアクセス許可セットを表示するには、次の手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **ダッシュボード**でユーザーまたはグループを選択して、IAM アイデンティティセンターのユーザーまたはグループを表示します。
1. **[ユーザー]** ページで、適用されたアクセス許可セットを表示するユーザーを選択します。次に、**[AWS アカウントアクセス]** セクションの **AWS アカウント** タブと AWS アカウント を選択します。選択したユーザーに適用されたアクセス許可セットと AWS アカウント を表示できます。
1. **[グループ]** ページで、適用されたアクセス許可セットを表示するグループを選択します。次に、 **[AWS アカウント アクセス** セクションの **AWS アカウント** タブと AWS アカウント を選択します。選択したグループに適用されたアクセス許可セットと AWS アカウント を表示できます。
------
## 権限セットを変更する
IAM アイデンティティセンターコンソールを使用してユーザーから[アクセス許可セット](permissionsetsconcept.md)を削除するには、この手順を使用します。グループにアクセス許可を追加したり、グループからアクセス許可を削除したりできます。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[マルチアカウント権限]** で、[** AWS アカウント**] を選択します。
1. [**AWS アカウント**] ページに、組織のツリービューリストが表示されます。権限セットを変更したい AWS アカウント の名前を選択します。
1. AWS アカウントの **[概要]** ページで、**[割り当てられたユーザーとグループ]** にある、権限セットを変更するユーザー名またはグループ名を選択します。次に、**[権限セットの変更]** を選択します。
1. 権限セットに必要な変更を加え、**[変更の保存]** を選択します。
1. **[権限セット]** タブに移動し、もっとも最近に変更された権限セットを選択し、**[更新]** を選択します。
1. **[権限の更新]** ページで、**[更新]** を選択します。
# 権限セット管理の委任
IAM Identity Center では、IAM Identity Center リソースの [Amazon リソースネーム (ARN) ](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)を参照する [IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)を作成することで、アカウントのアクセス権限セットや割り当ての管理を委任することができます。例えば、特定のタグが付いたアクセス権限セットの特定のアカウントでの割り当てを、異なる管理者が管理できるようなポリシーを作成することができます。
**注記**
アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
このようなポリシーを作成するには、以下の方法があります。
+ (推奨) IAM Identity Center で[権限セット](permissionsets.md)を作成し、それぞれに異なるポリシーを設定して、アクセス権限セットを異なるユーザーまたはグループに割り当てます。これにより、選択した [IAM Identity Center アイデンティティソース](manage-your-identity-source.md)を使用してサインインしたユーザーの管理権限を管理することができます。
+ IAM でカスタムポリシーを作成し、管理者が想定する IAM ロールにアタッチします。ロールについては、割り当てられた IAM Identity Center 管理権限を取得するための「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」を参照してください。
**重要**
IAM Identity Center リソースの ARN は、大文字と小文字を区別します。
以下は、IAM Identity Center 権限セットとアカウントリソースタイプを参照する適切なケースです。
| リソースタイプ | ARN | コンテキストキー |
| --- | --- | --- |
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 |
| アカウント | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | 該当しません |
# 権限セットに IAM ポリシーを使用する
[アクセス権限セットを作成します。](howtocreatepermissionset.md) では、カスタマー管理ポリシーや権限境界などのポリシーを権限セットに追加する方法を学習しました。カスタマーが管理するポリシーと権限を権限セットに追加すると、IAM Identity Center はどの AWS アカウントでもポリシーを作成しません。その代わりに、権限セットを割り当てたい各アカウントで事前にそれらのポリシーを作成し、権限セットの名前とパスの指定に一致させる必要があります。組織 AWS アカウント 内の にアクセス許可セットを割り当てると、IAM Identity Center は [AWS Identity and Access Management (IAM) ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を作成し、[IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)をそのロールにアタッチします。
**考慮事項**
+ アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
+ IAM ポリシーを使用して権限セットを割り当てる前に、メンバーアカウントを準備する必要があります。メンバーアカウントの IAM ポリシー名は、管理アカウントのポリシー名と一致している必要があります。ポリシーがメンバーアカウントに存在しない場合、IAM Identity Center は権限セットを割り当てることができません。
**注記**
カスタマー管理ポリシーがアクセス許可セットにアタッチされている場合、ポリシーの名前では大文字と小文字は区別されません。
+ ポリシーによって付与されるアクセス許可は、アカウント間で完全に一致する必要はありません。
# IAM ポリシーを権限セットに割り当てる
1. アクセス許可セットを割り当てる各 AWS アカウント に IAM ポリシーを作成します。
1. IAM ポリシーにアクセス許可を割り当てます。アカウントごとに異なるアクセス許可を割り当てることができます。一貫した操作性を実現するには、各ポリシーで同じ権限を設定し、維持してください。Stack AWS CloudFormation StackSets などのオートメーションリソースを使用して、各メンバーアカウントで同じ名前とアクセス許可を持つ IAM ポリシーのコピーを作成できます。CloudFormation StackSets の詳細については、 *AWS CloudFormation ユーザーガイド*の[AWS CloudFormation StackSets の使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)」を参照してください。
1. 管理アカウントに権限セットを作成し、**[カスタマー管理ポリシー]** または **[アクセス許可の境界]** に IAM ポリシーを追加します。権限セットの作成方法の詳細については、[アクセス権限セットを作成します。](howtocreatepermissionset.md) を参照してください。
1. 準備したインラインポリシー、 AWS 管理ポリシー、その他の IAM ポリシーを追加します。
1. 権限セットを作成して割り当てます。
# IAM アイデンティティセンターでアクセス許可セットを削除する
IAM アイデンティティセンターコンソールで、IAM アイデンティティセンターユーザーとグループからアクセス許可セットを削除できます。 AWS アカウントからアクセス許可セットを削除することもできます。IAM アイデンティティセンターでの権限セットの使用方法の詳細については、[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md) を参照してください。
**注記**
アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
------
#### [ Remove permission set from a user ]
**ユーザーからアクセス許可セットを削除するには**
IAM アイデンティティセンターコンソールを使用してユーザーからアクセス許可セットを削除するには、この手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[IAM アイデンティティセンター]** で、**[ユーザー]**を選択します。
1. アクセス許可セットを削除するユーザーのユーザー名を選択します。
1. [ユーザーの詳細] ページで、**AWS アカウント** タブを選択します。**AWS アカウント アクセス**で、 AWS アカウントを選択します。
1. 右側のペインに、選択したユーザーに適用されたアクセス許可が表示されます。削除するアクセス許可セットを選択します。**[アカウントアクセスの詳細]** で、**[削除]** を選択します。
1. このアクセス許可セットを削除するかどうかを確認するダイアログボックスが表示されます。**[削除]** を選択します。
![\[AWS アカウント IAM Identity Center コンソールの IAM Identity Center ユーザーの タブ。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)
------
#### [ Remove permission set from a group ]
**グループからアクセス許可セットを削除するには**
IAM アイデンティティセンターコンソールを使用してグループからアクセス許可セットを削除するには、この手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[マルチアカウント許可]** で、[**AWS アカウント**] を選択します。管理アカウントへのリンクを選択します。
![\[AWS アカウント IAM Identity Center コンソールの タブ。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)
1. **[割り当てられたユーザーとグループ]** タブで、アクセス許可セットを削除するグループを選択し、**[アクセス許可セットの変更]** を選択します。
1. **[アクセス許可セットの変更]** ページで、削除するアクセス許可セットをクリアし、**[変更の保存]** を選択します。
------
#### [ Remove permission set from an AWS アカウント ]
IAM アイデンティティセンターコンソールを使用して AWS アカウント からアクセス許可セットを削除するには、この手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で AWS IAM アイデンティティセンター コンソールを開きます。
1. **[マルチアカウント許可]** で、[**AWS アカウント**] を選択します。アクセス許可セットを削除する AWS アカウント の名前を選択します。
1. AWS アカウントの **[概要]** ページで **[アクセス許可セット]** タブを選択します。削除するアクセス許可セットを選択します。次に、[**削除**] を選択します。
1. **[権限セットの削除]** ダイアログボックスで、正しい権限セットが選択されていることを確認し、**Delete** と入力して削除を確認し、**[アクセス権の削除]** を選択します。
------
# IAM アイデンティティセンターで権限セットを削除する
IAM アイデンティティセンターからアクセス許可セットを削除する前に、アクセス許可セットを使用するすべての AWS アカウント からそれを[削除する](howtoremovepermissionset.md)必要があります。既存のユーザーやグループ向けのアクセスを確認するには、「[権限セットを表示および変更する](howtoviewandchangepermissionset.md)」を参照してください。
**考慮事項**
+ アクセス許可セットを使用するには、IAM アイデンティティセンターの組織インスタンスを使用する必要があります。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
+ アクティブな権限セットセッションを取り消す場合は、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。
+ 削除する前に、削除するユーザーまたはグループからアクセス許可セットとアプリケーションの割り当てを削除する必要があります。それ以外の場合は、IAM アイデンティティセンターに未割り当ての未使用のアクセス許可セットとアプリケーションがあります。
次の手順に従って、1 つ以上のアクセス許可セットを削除し、組織 AWS アカウント 内のどの でも使用できなくなります。
**重要**
このアクセス許可セットが割り当てられているすべてのユーザーとグループは、 AWS アカウント 使用しているものに関係なく、サインインできなくなります。既存のユーザーやグループ向けのアクセスを確認するには、「[権限セットを表示および変更する](howtoviewandchangepermissionset.md)」を参照してください。
**からアクセス許可セットを削除するには AWS アカウント**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. 削除するアクセス権限セットを選択してから、**[削除]** を選択します。
1. **[権限セットの削除]** ダイアログボックスで、権限セットの名前を入力して削除を確認し、**[削除]** を選択します。名前は、大文字と小文字が区別されます。
# アクセス権限セットのプロパティを構成する
IAM アイデンティティセンターでは、管理者は以下の構成および管理タスクを行うことで、ユーザーアクセスとセッション期間をコントロールできます。
| タスク | 詳細情報 |
| --- | --- |
| 管理者は、IAM Identity Center を介して AWS リソースにアクセスするときに、ユーザーセッションの最大期間を設定できます。 | [のセッション期間を設定する AWS アカウント](howtosessionduration.md) |
| 管理者は、IAM アイデンティティセンターを通じて正常に認証された後に表示されるランディングページの内容をカスタマイズできます。 | [にすばやくアクセスできるようにリレー状態を設定する AWS マネジメントコンソール](howtopermrelaystate.md) |
| アクセス許可が取り消されたときに、ユーザーが AWS リソースにアクセスできなくなるようにします。 | [拒否ポリシーを使用してアクティブなユーザーの権限を取り消す](prereqs-revoking-user-permissions.md) |
# のセッション期間を設定する AWS アカウント
[権限セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)毎に、ユーザーが AWS アカウントアカウントにサインインできる期間を制御するためのセッション期間を指定できます。指定された期間が経過すると、 はセッションからユーザー AWS に署名します。
新しいアクセス権限セットを作成すると、デフォルトでセッションの継続時間が 1 時間 (秒単位) に設定されます。セッション時間は、最短で 1 時間、最長で 12 時間まで設定できます。IAM Identity Center では、権限セットごとに割り当てられたアカウントに IAM ロールが自動的に作成され、これらのロールは最大セッション時間が 12 時間になるように構成されています。
ユーザーが AWS アカウント コンソールにフェデレーションする場合 AWS Command Line Interface 、または (AWS CLI) を使用する場合、IAM Identity Center はアクセス許可セットのセッション期間設定を使用してセッション期間を制御します。デフォルトでは、IAM Identity Center によって生成された権限セットの IAM ロールは、IAM Identity Center ユーザーのみが引き受けることができます。これにより、IAM Identity Center 権限セットで指定されたセッション期間が適用されます。
**重要**
セキュリティのベストプラクティスとして、ロールを実行するために必要な長さを超えるセッション期間を設定しないことをお勧めします。
権限セットが作成された後、更新して、新しいセッションの有効期間を適用できます。特定の権限セットのセッション期間の長さを変更するには、次の手順を実行します。
**セッション期間を設定するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. セッション継続時間を変更する権限セットの名前を選択します。
1. 権限セットの詳細ページの **[一般設定]** セクションの見出しの右側で、**[編集]** を選択します。
1. **[一般権限セット設定の編集]** ページで、**[セッション期間]** に新しい値を選択します。
1. アクセス許可セットが のいずれかにプロビジョニングされている場合 AWS アカウント、アカウントの名前が の下に表示され**AWS アカウント 、自動的に再プロビジョニング**されます。アクセス許可セットのセッション期間値が更新されると、アクセス許可セット AWS アカウント を使用するすべての が再プロビジョニングされます。つまり、この設定の新しい値は、 アクセス許可セットを使用するすべての AWS アカウント に適用されます。
1. **[Save changes]** (変更の保存) をクリックします。
1. [**AWS アカウント**] ページの上部に通知が表示されます。
+ 権限セットが 1 つまたは複数の AWS アカウントにプロビジョニングされている場合、通知は、 AWS アカウント が正常に再ビジョニングされ、更新された権限セットがアカウントに適用されたことを確認します。
+ アクセス許可セットが にプロビジョニングされていない場合 AWS アカウント、通知はアクセス許可セットの設定が更新されたことを確認します。
# にすばやくアクセスできるようにリレー状態を設定する AWS マネジメントコンソール
デフォルトでは、ユーザーが AWS アクセスポータルにサインインし、アカウントを選択し、割り当てられたアクセス許可セットから が AWS 作成するロールを選択すると、IAM Identity Center はユーザーのブラウザを にリダイレクトします AWS マネジメントコンソール。リレーステートを別のコンソール URL に設定することで、この動作を変更できます。
リレーステートを設定すると、ユーザーは自分の役割に最も適したコンソールにすばやくアクセスできるようになります。たとえば、Amazon EC2 コンソール URL (**https://console.aws.amazon.com/ec2/**) にリレー状態を設定して、ユーザーが Amazon EC2 管理者ロールを選択したときにユーザーをそのコンソールにリダイレクトできます。デフォルトの URL またはリレーステート URL へのリダイレクト中、IAM Identity Center は、ユーザーが最後に AWS リージョン 使用した のコンソールエンドポイントにユーザーのブラウザをルーティングします。たとえば、ユーザーが欧州 (ストックホルム) リージョン (eu-north-1) で最後のコンソールセッションを終了した場合、ユーザーはそのリージョンの Amazon EC2 コンソールにリダイレクトされます。
![\[AWS マネジメントコンソールでリレーステートを設定するためのワークフロー図。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/permission_sets_relay_state_newest.png)
ユーザーを特定の AWS リージョンのコンソールにリダイレクトするように IAM Identity Center を設定するには、URL の一部にリージョン指定を含めます。たとえば、ユーザーを米国東部 (オハイオ) リージョン(us-east-2)の Amazon EC2 コンソールにリダイレクトするには、そのリージョン(**https://us-east-2.console.aws.amazon.com/ec2/**)の Amazon EC2 コンソールの URL を指定します。米国西部(オレゴン)リージョン(us-west-2)リージョンで IAM Identity Center を有効にし、そのリージョンにユーザを誘導する場合は、**https://us-west-2.console.aws.amazon.com** を指定します。
## リレーステートを設定する
特定の権限セットのリレーステート URL を変更するには、次の手順を実行します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. 新しいリレーステート URL を指定するアクセス権限セットの名前を選択します。
1. 権限セットの詳細ページの **[一般設定]** セクションの見出しの右側で、**[編集]** を選択します。
1. **「一般的なアクセス許可セット設定の編集**」ページの**「リレー状態**」に、いずれかの AWS サービスのコンソール URL を入力します。例えば、次のようになります。
**https://console.aws.amazon.com/ec2/**
**注記**
リレーステート URL は AWS マネジメントコンソール内にある必要があります。
1. アクセス許可セットが のいずれかにプロビジョニングされている場合 AWS アカウント、アカウントの名前は の下に表示され**AWS アカウント 、自動的に再プロビジョニング**されます。アクセス許可セットのリレーステート URL が更新されると、アクセス許可セット AWS アカウント を使用するすべての が再プロビジョニングされます。つまり、この設定の新しい値は、 アクセス許可セットを使用するすべての AWS アカウント に適用されます。
1. **[Save changes]** (変更の保存) をクリックします。
1. **[AWS 組織]** ページの上部に通知が表示されます。
+ 権限セットが 1 つまたは複数の AWS アカウントにプロビジョニングされている場合、通知は、 AWS アカウント が正常に再ビジョニングされ、更新された権限セットがアカウントに適用されたことを確認します。
+ 権限セットが AWS アカウントでプロビジョニングされていない場合、通知により権限セットの設定が更新されたことが確認されます。
**注記**
AWS API、 AWS SDK、または AWS Command Line Interface() を使用して、このプロセスを自動化できますAWS CLI。詳細については、以下を参照してください。
[[IAM Identity Center API リファレンス]](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) の `CreatePermissionSet` または `UpdatePermissionSet` アクション
[*AWS CLI コマンドリファレンス*] の [https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin](https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin) セクションにある `create-permission-set` または `update-permission-set` コマンド。
# 拒否ポリシーを使用してアクティブなユーザーの権限を取り消す
ユーザーがアクセス許可セットをアクティブに使用している AWS アカウント 間は、IAM Identity Center ユーザーの へのアクセスを取り消す必要がある場合があります。ユーザーを指定しない拒否ポリシーを事前に実装しておくことで、ユーザーがアクティブな IAM ロールセッションを使用する機能を削除できます。必要に応じて、拒否ポリシーを更新し、アクセスをブロックするユーザーを指定することができます。このトピックでは、拒否ポリシーを作成する方法と、ポリシーをデプロイする方法に関する注意事項について説明します。
## 権限セットによって作成されたアクティブな IAM ロールセッションを取り消す準備をする
サービスコントロールポリシーを使用して特定のユーザーに対して「すべてを拒否する」ポリシーを適用することで、ユーザーがアクティブに使用している IAM ロールでアクションを実行できないようにすることができます。また、パスワードを変更するまで、ユーザーが権限セットを使用することを禁止できます。これにより、盗まれた認証情報を不正使用している攻撃者を排除できます。広範囲にわたってアクセスを拒否し、ユーザーが権限セットに再参加したり他の権限セットに参加しようとする行為も阻止したい場合は、すべてのユーザーアクセスを削除してアクティブな AWS アクセスポータルセッションを停止し、かつユーザーのサインインを無効にする必要があるかもしれません。より広範なアクセス取り消しのための追加アクションと併せて拒否ポリシーを発動する方法については、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。
### 拒否ポリシー
IAM アイデンティティセンターアイデンティティストア内のユーザー `UserID` と一致する条件を持つ拒否ポリシーを使用することで、そのユーザーがアクティブに使用中の IAM ロールによるさらなるアクション実行を阻止することができます。こうしたポリシーの使用により、拒否ポリシーのデプロイ時に同じ権限セットを使用している他のユーザーへの影響を回避できます。このポリシーは、アクセスを取り消すユーザー ID で更新される `"identitystore:userId"` のプレースホルダーユーザー ID として、「*`Add user ID here`*」を使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"identitystore:userId": "Add user ID here"
}
}
}
]
}
```
------
`“aws:userId”` などの別の条件キーを使用することもできますが、`“identitystore:userId”` は 1 人のユーザーに関連付けられるグローバルに一意の値であるため、より確実です。条件内での `“aws:userId”` の使用は、ユーザー属性が ID のソースから同期される方法に影響を受けるため、ユーザーのユーザー名または E メールアドレスが変更された場合に属性が変化する可能性があります。
IAM アイデンティティセンターコンソールから **[ユーザー]** に移動し、名前でユーザーを検索して **[一般情報]** セクションを展開し、ユーザー ID をコピーすることで、ユーザーの `identitystore:userId` を確認することができます。また、ユーザー ID を検索しながら、ユーザーの AWS アクセスポータルセッションを停止し、同じセクションでサインインアクセスを無効にするのも便利です。ID ストア API に対するクエリによりユーザーのユーザー ID を取得することで、拒否ポリシーを作成するプロセスを自動化できます。
### 拒否ポリシーをデプロイする
など、有効でないプレースホルダーユーザー ID を使用して`Add user ID here`、 AWS アカウント ユーザーにアタッチしたサービスコントロールポリシー (SCP) を使用して拒否ポリシーを事前にデプロイできます。このアプローチはシンプルかつすばやく影響が発揮されるため、お勧めの方法です。拒否ポリシーを使用してユーザーのアクセス権を取り消す場合、ポリシーを編集して、プレースホルダーユーザー ID をアクセス権を取り消したいユーザーのユーザー ID に置き換えます。これにより、SCP をアタッチしたすべてのアカウントの権限セットで、ユーザーがアクションを起こすことを防ぐことができます。そのユーザーがアクティブな AWS アクセスポータルセッションを使用して異なるアカウントに移動し、異なるロールを引き受けようとしても、そのようなアクションはブロックされます。ユーザーのアクセスが SCP によって完全にブロックされると、サインイン、割り当ての取り消し、必要に応じて AWS アクセスポータルセッションを停止する機能を無効にできます。
SCP を使用する代わりに、権限セットのインラインポリシーと、ユーザーがアクセスできる権限セットで使用されるカスタマー管理ポリシーに拒否ポリシーを含めることもできます。
複数のユーザーのアクセスを取り消す必要がある場合は、以下のような条件ブロックの値のリストを使用できます。
```
"Condition": {
"StringEquals": {
"identitystore:userId": [" user1 userId", "user2 userId"...]
}
}
```
**重要**
どのような方法を使用する場合でも、併せてその他の是正措置を講じ、そのユーザーのユーザー ID を拒否ポリシー内に少なくとも 12 時間保持する必要があります。12 時間後にはユーザーが引き受けていたロールはすべて失効しているため、拒否ポリシーからユーザー ID を削除できます。
# リソースポリシー、Amazon EKS クラスター設定マップ、および AWS KMS キーポリシーでのアクセス許可セットの参照
アクセス許可セットを AWS アカウントに割り当てると、IAM Identity Center は で始まる名前のロールを作成します`AWSReservedSSO_`。
ロールのフルネームと Amazon リソースネーム (ARN) は、次の形式を使用します。
| 名前 | ARN |
| --- | --- |
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO\$1permission-set-name\$1unique-suffix |
IAM アイデンティティセンターの ID ソースが us-east-1 でホストされている場合、ARN に *aws-region* は含まれません。ロールのフルネームと ARN は、次の形式を使用します。
| 名前 | ARN |
| --- | --- |
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\$1permission-set-name\$1unique-suffix |
たとえば、データベース管理者に AWS アカウントアクセスを許可するアクセス許可セットを作成すると、対応するロールが次の名前と ARN で作成されます。
| 名前 | ARN |
| --- | --- |
| AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef |
AWS アカウントでこのアクセス許可セットへのすべての割り当てを削除すると、IAM Identity Center が作成した対応するロールも削除されます。後で同じ権限セットに新しい割り当てを行うと、IAM Identity Center はその権限セット用の新しいロールを作成します。新しいロールの名前と ARN には、異なる固有のサフィックスが含まれます。この例では、ユニークなサフィックスは「**abcdef0123456789**」です。
| 名前 | ARN |
| --- | --- |
| AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 |
ロールの新しい名前と ARN のサフィックスが変更されると、元の名前と ARN を参照するすべてのポリシーが古くなり、対応する権限セットを使用する個人のアクセスが中断されます。たとえば、以下の設定で元の ARN が参照されている場合、ロールの ARN を変更すると、権限セットのユーザのアクセスが中断されます。
+ クラスターアクセスに `aws-auth ConfigMap` を使用する場合、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内の `aws-auth ConfigMap` ファイル。
+ AWS Key Management Service (AWS KMS) キーのリソースベースのポリシー。このポリシーはキーポリシーとも呼ばれます。
**注記**
[Amazon EKS アクセスエントリ](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html)を使用して、Amazon EKS クラスターへのアクセスを管理することをお勧めします。これにより、IAM 権限を使用して、Amazon EKS クラスターにアクセスできるプリンシパルを管理できます。Amazon EKS アクセスエントリを使用することで、Amazon EKS 権限を持つ IAM プリンシパルを使用して、 サポートに連絡せずにクラスターへのアクセスを回復できます。
ほとんどの AWS サービスのリソースベースのポリシーを更新して、アクセス許可セットに対応するロールの新しい ARN を参照することはできますが、Amazon EKS の IAM で作成したバックアップロールと、ARN が変更され AWS KMS た場合はバックアップロールが必要です。Amazon EKS では、バックアップ IAM ロールが `aws-auth ConfigMap` に存在している必要があります。の場合 AWS KMS、キーポリシーに存在する必要があります。`aws-auth ConfigMap` またはキー AWS KMS ポリシーを更新するアクセス許可を持つバックアップ IAM ロールがない場合は、 サポート に連絡してそれらのリソースへのアクセスを回復してください。
## アクセスが中断されないようにするための推奨事項
権限セットに対応するロールの ARN の変更によるアクセスの中断を避けるため、次のことを行うことをお勧めします。
+ **少なくとも 1 つの権限セット割り当てを維持します。**
Amazon EKS `aws-auth ConfigMap`の で参照するロール、 のキーポリシー、または他の のリソースベースのポリシーを含む AWS アカウントで AWS KMS、この割り当てを維持します AWS のサービス。
たとえば、アクセス`EKSAccess`許可セットを作成し、 AWS アカウント から対応するロール ARN を参照する場合`111122223333`、そのアカウントのアクセス許可セットに管理グループを完全に割り当てます。この割り当ては永続的であるため、IAM Identity Center は対応するロールを削除せず、名前を変更するリスクがなくなります。管理グループは、権限昇格のリスクなしにいつでもアクセスできます。
+ **`aws-auth ConfigMap`および を使用する Amazon EKS クラスターの場合 AWS KMS: IAM で作成されたロールを含めます。**
Amazon EKS クラスターの または AWS KMS キーのキーポリシーでアクセス許可セット`aws-auth ConfigMap`のロール ARNs を参照する場合は、IAM で作成するロールを少なくとも 1 つ含めることをお勧めします。ロールでは、Amazon EKS クラスターへのアクセスまたは AWS KMS キーポリシーの管理を許可する必要があります。権限セットがこのロールを引き受けることができる必要があります。これにより、アクセス許可セットのロール ARN が変更された場合、 `aws-auth ConfigMap`または AWS KMS キーポリシーで ARN への参照を更新できます。次のセクションでは、IAM で作成されたロールの信頼ポリシーを作成する方法の例を示します。このロールは `AdministratorAccess` 権限セットによってのみ引き受けることができます。
## カスタム信頼ポリシーの例
以下は、IAM で作成されたロールへの `AdministratorAccess` 権限セットを提供するカスタム信頼ポリシーの例です。この基盤を構成する主な要素には以下が含まれます。
+ この信頼ポリシーの Principal 要素は、 AWS アカウントプリンシパルを指定します。このポリシーでは、`sts:AssumeRole`アクセス許可`111122223333`を持つ AWS アカウントのプリンシパルが、IAM で作成されたロールを引き受けることができます。
+ このトラストポリシーの `Condition element` は、IAM で作成されたロールを引き受けるプリンシパルの追加要件を指定します。このポリシーでは、以下のロール ARN を持つ権限セットがロールを引き受けることができます。
```
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
```
**注記**
この `Condition` 要素には `ArnLike` 条件演算子が含まれ、権限セットロール ARN の末尾には固有のサフィックスではなくワイルドカードが使用されます。つまり、ポリシーは、権限セットのロール ARN が変更された場合でも、権限セットが IAM で作成されたロールを引き継ぐことを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
}
}
}
]
}
```
------
このようなポリシーに IAM で作成したロールを含めると、アクセス許可セットまたはアクセス許可セットへのすべての割り当てが誤って削除および再作成された場合に AWS KMS keys、Amazon EKS クラスターまたは他の AWS リソースへの緊急アクセスが可能になります。
# 属性ベースのアクセスコントロール
属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。IAM Identity Center を使用して、任意の IAM Identity Center ID ソースからのユーザー属性 AWS アカウント を使用して、複数の のリソースへのアクセス AWS を管理できます。では AWS、これらの属性はタグと呼ばれます。でユーザー属性をタグとして使用する AWS と、 できめ細かなアクセス許可を作成するプロセスが簡素化 AWS され、タグが一致する AWS リソースにのみワークフォースがアクセスできるようになります。
例えば、2 つの異なるチームに所属する開発者ボブとサリーを IAM Identity Center で同じアクセス権限セットに割り当て、アクセスコントロールにチーム名属性を選択することができます。Bob と Sally が にサインインすると AWS アカウント、IAM Identity Center は AWS セッションでチーム名属性を送信するため、Bob と Sally はチーム名属性が AWS プロジェクトリソースのチーム名タグと一致する場合にのみプロジェクトリソースにアクセスできます。将来、Bob が Sally のチームに移った場合、コーポレートディレクトリのチーム名属性を更新するだけで、Bob のアクセスを変更することができます。次回、ボブがサインインすると、 AWSでの権限の更新を必要とせず、自動的に新しいチームのプロジェクトリソースにアクセスできるようになります。
このアプローチは、IAM Identity Center で作成したり、管理しなければならない個別のパーミッションの数を減らすのにも役立ちます。これは、同じアクセス権限セットに関連付けられたユーザーが、その属性に基づいて独自の権限を持つことができるようになったためです。これらのユーザー属性を IAM Identity Center アクセス許可セットとリソースベースのポリシーで使用して、 AWS リソースに ABAC を実装し、大規模なアクセス許可管理を簡素化できます。
## 利点
IAM Identity Center で ABAC を使用すると、以下のようなメリットがあります。
+ **ABAC では必要なアクセス許可セットの数が少ない** - 職務ごとに異なるポリシーを作成する必要がないため、アクセス許可セットの数も少なくて済みます。これにより、許可管理の複雑さを軽減できます。
+ **ABAC を使用することで、チームは変化し、急速に成長することができる** - リソースの作成時に適切なタグが付けられれば、属性に基づいて新しいリソースの権限が自動的に付与されます。
+ **ABAC で社内ディレクトリの従業員属性を利用する** - IAM Identity Center で構成された任意の ID ソースから既存の従業員属性を使用して、 AWSでのアクセスコントロールの決定を行うことができます。
+ **リソースにアクセスしているユーザーを追跡**する – セキュリティ管理者は、 のユーザー属性を確認して、 のユーザーアクティビティを追跡することで AWS CloudTrail 、セッションのアイデンティティを簡単に判断できます AWS。
IAM Identity Center コンソールを使って ABAC を設定する方法については、「[アクセスコントロールの属性](attributesforaccesscontrol.md)」を参照してください。IAM アイデンティティセンター API を使って ABAC を有効にして設定する方法については、「*IAM アイデンティティセンター API リファレンスガイド*」の「[CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)」を参照してください。
**Topics**
+ [利点](#abac-benefits)
+ [チェックリスト: IAM Identity Center AWS を使用した での ABAC の設定](abac-checklist.md)
+ [アクセスコントロールの属性](attributesforaccesscontrol.md)
# チェックリスト: IAM Identity Center AWS を使用した での ABAC の設定
このチェックリストには、 AWS リソースを準備し、ABAC アクセス用の IAM Identity Center を設定するために必要な設定作業が含まれています。このチェックリストのタスクを順番に行います。リファレンスリンクからトピックに移動した場合は、このトピックに戻って、チェックリストの残りのタスクを引き続き行うことができます。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/abac-checklist.html)
これらのステップを完了すると、シングルサインオン AWS アカウント を使用して にフェデレーションするユーザーは、一致する属性に基づいて AWS リソースにアクセスできます。
# アクセスコントロールの属性
[**アクセスコントロールの属性**] は、IAM Identity Center コンソールのページ名で、リソースへのアクセスコントロールをするためのポリシーで使用するユーザー属性を選択します。ユーザーの ID ソースの既存の属性 AWS に基づいて、 のワークロードにユーザーを割り当てることができます。
例えば、部署名に基づいて S3 バケットへのアクセスを割り当てたいとします。**[Attributes for access control]** (アクセスコントロールの属性)では、属性ベースのアクセスコントロール (ABAC) で使用する **Department** (部署) ユーザー属性を選択します。IAM Identity Center 権限セットでは、**部署 **属性が、S3 バケットに割り当てた部門タグと一致した場合にのみ、ユーザーにアクセスを許可するポリシーを書き込みます。IAM Identity Center は、アクセスされるアカウントに、ユーザーの部門属性を渡します。そして、その属性は、ポリシーに基づいてアクセスを決定するために使用されます。ABAC の詳細については、「[属性ベースのアクセスコントロール](abac.md)」を参照してください。
## 開始方法
アクセスコントロールの属性設定をどのように始めるかは、使用している ID ソースによって異なります。選択した ID ソースにかかわらず、属性を選択した後、アクセス権限セットのポリシーを作成または編集する必要があります。これらのポリシーは、ユーザーの ID に AWS リソースへのアクセスを許可する必要があります。
### IAM Identity Center を ID ソースとして使用する際の属性を選択する
IAM Identity Center を ID ソースとして設定する場合、まずユーザーを追加し、その属性を設定します。次に、**[Attributes for access control]** (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。最後に、**AWS アカウント**のページに移動して、ABAC の属性を使用するための権限セットを作成または編集します。
### を ID ソース AWS Managed Microsoft AD として使用する場合の属性の選択
を ID ソース AWS Managed Microsoft AD として IAM アイデンティティセンターを設定するときは、まず Active Directory の一連の属性を IAM アイデンティティセンターのユーザー属性にマッピングします。次に、**[Attributes for access control]** (アクセスコントロールの属性) のページに移動します。次に、アクティブディレクトリからマッピングされた既存の SSO 属性のセットに基づいて、ABAC 構成で使用する属性を選択します。最後に、アクセス権限セットに含まれるアクセスコントロール属性を用いて、 AWS リソースへのアクセスをユーザー ID に許可する ABAC ルールを作成します。IAM Identity Center のユーザー属性と AWS Managed Microsoft AD ディレクトリのユーザー属性のデフォルトマッピングのリストについては、「」を参照してください[IAM アイデンティティセンターと Microsoft AD の間のデフォルトのマッピング](attributemappingsconcept.md#defaultattributemappings)。
### 外部 ID プロバイダーを ID ソースとして使用する際の属性を選択する
外部 ID プロバイダー (IdP) を ID ソースとして IAM Identity Center を構成する場合、ABAC で属性を使用する方法は 2 つあります。
+ SAML アサーションを通じて属性を送信するように IdP を設定することができます。この場合、IAM Identity Center はポリシー評価のために IdP から属性名と値を渡します。
**注記**
SAML アサーションの属性は、**[Attributes for access control] **(アクセスコントロールの属性) ページには表示されません。これらの属性を事前に把握しておき、ポリシー作成時にアクセスコントロールルールに追加する必要があります。属性の外部 IdP を信頼する場合、ユーザーが AWS アカウントにフェデレーションする際に、これらの属性が常に渡されます。同じ属性が SAML および SCIM を通じて IAM アイデンティティセンターに来る場合は、SCIM の属性値がアクセスコントロールの決定において優先されます。
+ どの属性を使用するかは、IAM Identity Center コンソールの [**アクセスコントロールの属性**] ページから設定できます。ここで選択した属性値は、アサーションを介して IdP から取得された値と一致する属性値に置き換えます。SCIM の使用状況に応じて、次のことを考慮してください。
+ SCIM を使用している場合、IdP は属性値を自動的に IAM Identity Center に同期させます。アクセスコントロールに必要な追加の属性は、SCIM 属性のリストに存在しない可能性があります。その場合、IdP の IT 管理者と協力して、必要な `https://aws.amazon.com/SAML/Attributes/AccessControl:` プレフィックスを使用した SAML アサーションを介して IAM Identity Center にそのような属性を送信することを検討してください。SAML アサーションの送信のために IdP 側でアクセス制御用のユーザー属性を構成する方法については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を確認してください。
+ SCIM を使用しない場合は、IAM Identity Center を ID ソースとして使用する場合と同様に、手動でユーザーを追加し、属性を設定する必要があります。次に、**[Attributes for access control]** (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。
IAM Identity Center のユーザー属性から外部 IdP のユーザー属性まで、サポートされている属性の完全なリストについては、「[サポートされている外部 ID プロバイダ属性](attributemappingsconcept.md#supportedidpattributes)」を参照してください。
IAM Identity Center で ABAC を使い始めるには、以下のトピックを参照してください。
**Topics**
+ [開始方法](#abac-getting-started)
+ [アクセスコントロールのための属性の有効化と設定](configure-abac.md)
+ [IAM Identity Center を使用して ABAC の権限セットを作成する](configure-abac-policies.md)
# アクセスコントロールのための属性の有効化と設定
属性ベースのアクセス制御 (ABAC) を使用するには、まず IAM アイデンティティセンターコンソールの**[設定]** ページまたは [IAM アイデンティティセンター API](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) で有効にする必要があります。ID ソースに関係なく、ABAC で使用するように ID ストアのユーザー属性をいつでも設定できます。コンソールで、**[設定]** ページの **[アクセスコントロールの属性]** タブに移動することで、これを行うことができます。ID ソースとして外部 ID プロバイダー (IdP) を使用する場合は、SAML アサーションで外部 IdP から属性を受信するオプションもあります。この場合、目的の属性を送信するように外部 IdP を設定する必要があります。SAML アサーションの属性が IAM アイデンティティセンターの ABAC 属性としても定義されている場合、IAM アイデンティティセンターは、 AWS アカウントへのサインイン時の[セッションタグ](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html)としてアイデンティティストアから値を送信します。
**注記**
IAM Identity Center コンソールの [**アクセスコントロールの属性**] ページから、外部 IdP によって構成および送信された属性を表示することはできません。外部 IdP からの SAML アサーションでアクセスコントロール属性を渡している場合は、ユーザーがフェデレーションを行う際に、その属性が AWS アカウント に直接送信されます。その属性は IAM Identity Center でのマッピングには利用できません。
**Topics**
+ [アクセスコントロールの属性を有効にする](enable-abac.md)
+ [アクセス制御用の属性を選択する](configure-abac-attributes.md)
+ [アクセスコントロールの属性を無効にする](disable-abac.md)
# アクセスコントロールの属性を有効にする
IAM Identity Center コンソールを使用してアクセス属性 (ABAC) コントロール機能を有効にする場合は、次の手順で行います。
**注記**
既存の権限セットがあり、IAM Identity Center インスタンスで ABAC を有効にする予定の場合、まず、追加のセキュリティ制限により、最初に `iam:UpdateAssumeRolePolicy` ポリシーを設定する必要があります。アカウントにアクセス権限セットを作成していない場合は、これらの追加のセキュリティ制限は必要ありません。
IAM Identity Center インスタンスが 2020 年 12 月より前に作成され、そのインスタンスで ABAC を有効にする場合は、アカウントでアクセス許可セットが作成されているかどうかにかかわらず、IAM Identity Center 管理ロールに関連付けられた`iam:UpdateAssumeRolePolicy`ポリシーが必要です。
**アクセスコントロールの属性を有効にする**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択します。
1. [**設定**] ページで、[**アクセス制御情報の属性**] ボックスを探し、[**有効化**] を選択します。次の手順に進み、設定します。
# アクセス制御用の属性を選択する
ABAC 構成向け属性設定は、次の手順で行います。
**IAM Identity Center コンソールを使って属性を選択するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択します。
1. **[設定]** ページで **[アクセス制御用の属性]** タブを選択し、**[属性の管理]** を選択します。
1. **[アクセス許可の属性]** ページで、**[属性を追加]** を選択し、**[キー]** と **[値]** の詳細を入力します。ここでは、ID ソースから送られてくる属性を、IAM Identity Center がセッションタグとして渡す属性にマッピングします。
![\[IAM アイデンティティセンターコンソールのキー値の詳細。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/abac_key_value.png)
**キー**は、ポリシーで使用するための属性に付ける名前を表します。これは任意の名前で構いませんが、アクセスコントロールのために作成したポリシーでは、その正確な名前を指定する必要があります。例えば、Okta (外部の IdP) を ID ソースとして使用しており、組織のコストセンターのデータをセッションタグとして渡す必要があるとします。**キー**には、**CostCenter** のような名前をキーネームとして入力します。重要なのは、ここでどのような名前を設定しても、`aws:PrincipalTag 条件キー` (つまり `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`) で、全く同じ名前を設定する必要があります。
**注記**
キーには単一値の属性 (例: **Manager**) を使用します。IAM Identity Center は ABAC の複数値属性 (例: **Manager, IT Systems**) をサポートしていません。
**値**は、設定された ID ソースから取得される属性のコンテンツを表します。ここでは、[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md) にリストされている適切な ID ソーステーブルから任意の値を入力できます。例えば、上記の例では、サポートされている IdP 属性リストを確認して最も近い属性である **`${path:enterprise.costCenter}`** を特定し、それを**値**フィールドに入力します。上記のスクリーンショットを参考にしてください。SAML アサーションで属性を渡すオプションを使用しない限り、このリスト以外の外部 IdP の属性値を ABAC に使用することはできません。
1. **[Save changes]** (変更の保存) をクリックします。
アクセスコントロール属性のマッピング設定できたので、ABAC 設定プロセスを完了させます。そのためには、ABAC ルールを作成し、権限セットやリソースベースのポリシーに追加します。これは、ユーザー ID に AWS リソースへのアクセスを許可するために必要です。詳細については、「[IAM Identity Center を使用して ABAC の権限セットを作成する](configure-abac-policies.md)」を参照してください。
# アクセスコントロールの属性を無効にする
次の手順で、ABAC 機能を無効にし、設定されていた属性マッピングをすべて削除します。
**アクセスコントロールの属性を無効にする**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**設定**] を選択します。
1. **[設定]** ページで **[アクセス制御用の属性]** タブを選択し、**[属性の管理]** を選択します。
1. **[アクセスコントロールの属性の管理]** ページで、**[無効]** を選択します。
1. **[アクセスコントロールの属性を無効にする]** ダイアログウィンドウで情報を確認し、準備ができたら **DISABLE** と入力し、**[確認]** を選択します。
**重要**
このステップでは、外部 ID ソースプロバイダーからの SAML アサーションに属性が存在するかどうかに関係なく、 AWS アカウント へのフェデレーション時にすべての属性を削除し、アクセスコントロールの属性の使用を停止します。
# IAM Identity Center を使用して ABAC の権限セットを作成する
設定した属性値に基づいて AWS リソースにアクセスできるユーザーを決定するアクセス権限ポリシーを作成できます。ABAC を有効にして属性を指定すると、IAM Identity Center は認証されたユーザーの属性値を IAM に渡し、ポリシー評価で使用できるようにします。
## aws:PrincipalTag 条件キー
アクセスコントロール属性は、アクセスコントロールルールを作成するための `aws:PrincipalTag` 条件キーを使って、アクセス権限セットに使用することができます。例えば、次のポリシーでは、組織内のすべてのリソースに、それぞれのコストセンターをタグ付けすることができます。また、開発者にコストセンターのリソースへのアクセスを許可する単一のアクセス権限セットを使用することもできます。これで、開発者が SSO とコストセンター属性を使ってアカウントに連携すると、それぞれのコストセンターのリソースにしかアクセスできなくなります。チームがプロジェクトに開発者やリソースを追加しても、リソースに正しいコストセンターをタグ付けするだけで済みます。次に、デベロッパーが AWS フェデレーションするときに、セッションでコストセンター情報を渡します AWS アカウント。その結果、組織がコストセンターに新しいリソースや開発者を追加しても、開発者は権限の更新を必要とせずに、コストセンターに整合したリソースを管理することができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
}
}
}
]
}
```
------
詳細については、「*IAM ユーザーガイド*」の[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) および「[EC2: 一致するプリンシパルタグとリソースタグに基づいてインスタンスを開始または停止する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html)」を参照してください。
ポリシーの条件に無効な属性が含まれている場合、ポリシーの条件は失敗し、アクセスは拒否されます。詳細については、「[ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します](troubleshooting.md#issue8)」を参照してください。
# IAM アイデンティティセンターのサービスリンクロールについて
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role)は、IAM Identity Center が、組織内の特定の AWS アカウント へのシングルサインオン・アクセスを持つユーザーを AWS Organizationsに委譲し、実施できるようにするための事前定義された権限を提供します。このサービスは、組織 AWS アカウント 内のすべての でサービスにリンクされたロールをプロビジョニングすることで、この機能を有効にします。その後、このサービスでは、IAM Identity Center などの他の AWS サービスがこれらのロールを活用してサービス関連のタスクを実行できます。詳細については、[「AWS Organizations およびサービスにリンクされたロール」](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs) を参照してください。
IAM Identity Center を有効にすると、IAM Identity Center は AWS Organizationsの組織内のすべてのアカウントにサ ービスにリンクされたロールを作成します。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。詳細については、「[へのアクセスを設定する AWS アカウント](manage-your-accounts.md)」を参照してください。
各 で作成されるサービスにリンクされたロール AWS アカウント の名前は です`AWSServiceRoleForSSO`。詳細については、「[IAM Identity Center のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
**注意事項**
AWS Organizations 管理アカウントにサインインしている場合、サービスにリンクされたロールではなく、現在サインインしているロールを使用します。これにより、権限の昇格を防ぐことができます。
IAM Identity Center が AWS Organizations 管理アカウントで IAM オペレーションを実行すると、すべてのオペレーションは IAM プリンシパルの認証情報を使用して行われます。これにより、CloudTrail のログから、管理アカウントのすべての権限変更を誰が行ったかがわかります。