翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS 管理ポリシーとカスタマー管理ポリシーのカスタムアクセス許可
<a name="permissionsetcustom"></a>

**カスタムアクセス許可**を使用してアクセス許可セットを作成し、 AWS Identity and Access Management (IAM) で使用している AWS 管理ポリシーとカスタマー管理ポリシーをインラインポリシーと組み合わせることができます。また、権限の境界を含めることで、他のポリシーにより権限セットのユーザーに付与することのできる最大の権限を制限することもできます。

アクセス権限セットの作成方法については、「[アクセス許可セットの作成、管理と削除](permissionsets.md)」を参照してください。

**アクセス権限セットに適用できるポリシータイプ**

**Topics**
+ [インラインポリシー](#permissionsetsinlineconcept)
+ [AWS マネージドポリシー](#permissionsetsampconcept)
+ [カスタマー管理ポリシー](#permissionsetscmpconcept)
+ [アクセス許可の境界](#permissionsetsboundaryconcept)

## インラインポリシー
<a name="permissionsetsinlineconcept"></a>

*インラインポリシー*をアクセス権限セットに適用します。インラインポリシーは IAM ポリシーとしてフォーマットされたテキストブロックで、アクセス権限セットに直接追加します。新しいアクセス権限セットを作成するときに、ポリシーを貼り付けるか、IAM Identity Center コンソールのポリシー作成ツールを使用して新しいポリシーを生成できます。[AWS ポリシージェネレーター](https://awspolicygen.s3.amazonaws.com/policygen.html) を使用して IAM ポリシーを作成することもできます。

インラインポリシーを使用してアクセス許可セットをデプロイすると、IAM Identity Center はアクセス許可セットを割り当てる AWS アカウント に IAM ポリシーを作成します。IAM Identity Center は、アクセス権限セットをアカウントに割り当てるとポリシーを作成します。その後、ポリシーは、ユーザーが引き受け AWS アカウント る の IAM ロールにアタッチされます。

インラインポリシーを作成してアクセス許可セットを割り当てると、IAM Identity Center によって のポリシー AWS アカウント が自動的に設定されます。を使用してアクセス許可セットを構築する場合は[カスタマー管理ポリシー](#permissionsetscmpconcept)、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

## AWS マネージドポリシー
<a name="permissionsetsampconcept"></a>

*AWS 管理ポリシー*をアクセス許可セットにアタッチできます。 AWS 管理ポリシーは、 が AWS 管理する IAM ポリシーです。対照的に、 [カスタマー管理ポリシー](#permissionsetscmpconcept) は、作成して管理するアカウントの IAM ポリシーです。 AWS 管理ポリシーは、 の一般的な最小特権のユースケースに対処します AWS アカウント。 AWS 管理ポリシーは、IAM Identity Center が作成するロールのアクセス許可として、またはアクセス[許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)として割り当てることができます。

AWS は、 AWS リソースにジョブ固有のアクセス許可を割り当てるジョブ[AWS 機能の管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)を維持します。アクセス権限セットに **定義済みの権限** を使用する場合は、職務ポリシーを 1 つ追加できます。**カスタム権限** を選択すると、複数の職務ポリシーを追加できます。

には、特定の AWS のサービス と の組み合わせに対する多数の AWS マネージド IAM ポリシー AWS アカウント も含まれています AWS のサービス。**カスタムアクセス許可を使用してアクセス許可**セットを作成する場合、アクセス許可セットに割り当てる多くの追加の AWS 管理ポリシーから選択できます。

AWS は、すべての AWS アカウント に AWS 管理ポリシーを入力します。 AWS 管理ポリシーを使用してアクセス許可セットをデプロイするには、最初に でポリシーを作成する必要はありません AWS アカウント。を使用してアクセス許可セットを構築する場合は[カスタマー管理ポリシー](#permissionsetscmpconcept)、アクセス許可セットを割り当てる前に、 AWS アカウント 自分自身でポリシーを作成する必要があります。

 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## カスタマー管理ポリシー
<a name="permissionsetscmpconcept"></a>

*カスタマー管理ポリシー*をアクセス許可セットに適用できます。カスタマー管理ポリシーは、アカウント内で顧客が作成および維持する IAM ポリシーです。対照的に、 [AWS マネージドポリシー](#permissionsetsampconcept)は が AWS 維持するアカウントの IAM ポリシーです。カスタマー管理ポリシーは、IAM アイデンティティセンターが作成するロールのアクセス許可として、または [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) として割り当てることができます。

カスタマー管理ポリシーを使用してアクセス許可セットを作成する場合は、IAM Identity Center AWS アカウント がアクセス許可セットを割り当てる各 に同じ名前とパスを持つ IAM ポリシーを作成する必要があります。カスタムパスを指定する場合は、必ず各 AWS アカウントに同じパスを指定してください。詳細については、「*IAM ユーザーガイド*」の「[親しみやすい名前とパス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names)」を参照してください。IAM Identity Center は、作成した IAM ポリシーを、 AWS アカウントで作成した IAM ロールにアタッチします。ベストプラクティスとして、アクセス権限セットを割り当てる各アカウントのポリシーに同じアクセス権限を適用します。詳細については、「[権限セットに IAM ポリシーを使用する](howtocmp.md)」を参照してください。

**注記**  
カスタマー管理ポリシーがアクセス許可セットにアタッチされている場合、ポリシーの名前では大文字と小文字は区別されません。

詳細については、IAM ユーザーガイドの「[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)」を参照してください。

## アクセス許可の境界
<a name="permissionsetsboundaryconcept"></a>

アクセス許可セットには* アクセス許可の境界*を適用できます。アクセス許可の境界は、アイデンティティベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定する AWS マネージドまたはカスタマーマネージド IAM ポリシーです。アクセス許可の境界を適用する場合、[インラインポリシー](#permissionsetsinlineconcept)、[カスタマー管理ポリシー](#permissionsetscmpconcept)、および [AWS マネージドポリシー](#permissionsetsampconcept)は、そのアクセス許可の境界によって付与されるアクセス権限を超えるアクセス権限を付与することはできません。アクセス許可の境界ではアクセス権限は付与されませんが、その代わりに IAM が境界を超えるすべてのアクセス権限を無視するようになります。

カスタマー管理ポリシーをアアクセス許可の境界として使用して権限セットを作成する場合、IAM Identity Center が権限セットを割り当てる各 AWS アカウント に同じ名前の IAM ポリシーを作成する必要があります。IAM Identity Center は、IAM ポリシーをアクセス許可の境界として AWS アカウント で作成する IAM ロールに適用します。

詳細については、IAM ユーザーガイド の [IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を参照してください。