AWS Management Console (IAM)の前提条件
AWS Management Console (IAM)には、以下の前提条件があります。
※ID管理が〇になっている項目は、ID管理の機能の前提条件になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ(ログインログ・ログアウトログ・suログ・ログイン失敗ログ)で出力するレポートの前提条件になります。
No | 条件 | 対象機能 |
ID | ログ |
1 | ID管理用、ログ収集用のアカウントとして、以下の権限を保有しているアカウントを用意する事。
ID管理用:IAMFullAccess
ログ収集用:AWSCloudTrail_ReadOnlyAccess
AWSAccountManagementReadOnlyAccess | 〇 | 〇 |
| 2 | ID管理用、ログ収集用のアカウント(上記No1のアカウント)に対してより厳密に権限を設定する場合、ID管理、ログ収集で使用する以下のアクションを許可してください。 ■ID管理で使用するアクション
iam:CreateLoginProfile
iam:GetAccountSummary (ターゲットに対して接続テストを行う場合)
iam:GetLoginProfile
iam:ListUsers (ターゲットからアカウント情報を同期する場合)
iam:UpdateLoginProfile 以下はワンタイム特権ID貸出を利用する場合、追加で使用するアクションです。
iam:AddUserToGroup
iam:CreateUser
iam:DeactivateMFADevice
iam:DeleteAccessKey
iam:DeleteLoginProfile
iam:DeleteSigningCertificate
iam:DeleteUser
iam:DetachUserPolicy
iam:ListAccessKeys
iam:ListAttachedUserPolicies
iam:ListGroupsForUser
iam:ListMFADevices
iam:ListSigningCertificates
iam:RemoveUserFromGroup ■ログ収集で使用するアクション
cloudtrail:LookupEvents
account:ListRegions ( account:ListRegionsが許可されない場合、AWS側の有効なリージョン一覧が取得できないためログ収集対象リージョンを選択する画面には無効に設定されているリージョンも選択肢に表示されます。無効に設定されているリージョンを選択するとログ収集は異常終了します。) | 〇
| 〇
|
3 | 以下のAWS アカウントで管理されている環境は管理出来ません。 - AWS GovCloud アカウント
- Amazon AWS アカウント (中国)
| 〇 | 〇 |
