メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザーのアクセスキーの管理

Note

ウェブサイトで Amazon 製品を販売するために Product Advertising API を設定しようとして、このトピックを見つけた場合には、以下のトピックを参照してください。

ユーザーが個々の AWS サービスの API を使用し、AWS Command Line Interface(AWS CLI)、Tools for Windows PowerShellAWS SDK、または直接 HTTP 呼び出しを使用して、AWS をプログラムで呼び出すには、ユーザー独自のアクセスキーが必要です。このニーズを満たすために、IAM ユーザーのアクセスキー(アクセスキー ID およびシークレットアクセスキー)を作成、修正、表示、および更新できます。

アクセスキーを作成すると、IAM はアクセスキー ID とシークレットアクセスキーを返します。これらを安全な場所に保存して、ユーザーに提供する必要があります。

Important

AWS アカウントのセキュリティを確保するために、シークレットアクセスキーには、アクセスキーの作成時にのみアクセスできます。シークレットアクセスキーを紛失した場合、関連するユーザーのアクセスキーを削除した後に新しいキーを作成する必要があります。詳細については、「紛失したり忘れたりしたパスワードまたはアクセスキーの取得」を参照してください。

デフォルトでは、アクセスキーを作成したときのステータスは Active です。これは、ユーザーが AWS CLI、Tools for Windows PowerShell、および API 呼び出しにそのアクセスキーを使用できることを意味します。各ユーザーはアクティブなアクセスキーを 2 セット持つことができます。ユーザーのアクセスキーを更新する必要がある場合、これが役に立ちます。ユーザーのアクセスキーを無効にすることができます。これは、API 呼び出しにそのアクセスキーを使用できないことを意味します。キーの更新時にこれを行う場合があります。また、ユーザーの API アクセスを無効にするためにこれを行う場合があります。

アクセスキーはいつでも削除することができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。(新しいキーはいつでも作成できます)。

ユーザーに独自のキーを表示、更新、および管理するためのアクセス権限を付与できます。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。

AWS および IAM で使用する認証情報の詳細については、『アマゾン ウェブ サービス全般のリファレンス』の「一時的セキュリティ認証情報」および「セキュリティ認証情報の種類」を参照してください。

アクセスキーの作成、修正、および表示(AWS マネジメントコンソール)

AWS マネジメントコンソールを使用して IAM ユーザーのアクセスキーを管理することができます。

ユーザーアクセスキーを一覧表示するには

  1. https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールにサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. 対象のユーザー名を選択し、[Security Credentials] タブを選択します。ユーザーのアクセスキーと各キーのステータスが表示されます。

    Note

    ユーザーのアクセスキー ID のみが表示されます。シークレットアクセスキーは、キーの作成時にしか取得できません。

ユーザーアクセスキーを作成、修正、削除するには

  1. https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールにサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. 対象のユーザー名を選択し、[Security Credentials] タブを選択します。

  4. 必要に応じて [Access Keys] セクションを展開し、次のいずれかを実行します。

    • アクセスキーを作成するには、[Create Access Key]、[Download Credentials] の順に選択して、アクセスキー ID とシークレットアクセスキーを CSV ファイルとしてコンピュータに保存します。このファイルは安全な場所に保存してください。このダイアログボックスを閉じた後、シークレットアクセスキーに再度アクセスすることはできません。CSV ファイルをダウンロードしたら、[Close] を選択します。

    • アクティブなアクセスキーを無効にするには、[Make Inactive] を選択します。

    • 非アクティブアクセスキーを再度有効にするには、[Make Active] を選択します。

    • アクセスキーを削除するには、[Delete] を選択し、[Delete] を選択して削除を確認します。

アクセスキーの作成、修正、および表示(AWS CLI、Tools for Windows PowerShell、および AWS API)

AWS CLI、Tools for Windows PowerShell、または AWS API からユーザーのアクセスキーを管理するには、以下のコマンドを使用します。

アクセスキーを作成するには

アクセスキーを無効にする、または再度有効にするには

ユーザーアクセスキーを一覧表示するには

アクセスキーがいつ最後に使用されたかを確認するには

アクセスキーを削除するには:

アクセスキーの更新(AWS CLI、Tools for Windows PowerShell、および AWS API)

セキュリティのベストプラクティスとして、管理者がアカウント内の IAM ユーザーのアクセスキーを定期的に更新(変更)することをお勧めします。必要なアクセス権限があれば、ユーザーは自身のアクセスキーを更新できます。自身のアクセスキー更新アクセス権限をユーザーに付与する方法については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。

アカウントにパスワードポリシーを適用して、すべての IAM ユーザーがパスワードを定期的に更新するように要求することもできます。更新する頻度を選択することも可能です。詳細については、「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。

Important

日常的に AWS ルートアカウントの認証情報を使用している場合にも、定期的に認証情報を更新することをお勧めします。アカウントのパスワードポリシーは AWS ルートアカウントの認証情報には適用されません。IAM ユーザーは AWS ルートアカウントの認証情報を管理できないため、管理者が AWS ルートアカウントの認証情報(ユーザーの認証情報ではない)を使用して AWS ルートアカウントの認証情報を変更する必要があります。AWS での日常作業には、AWS ルートアカウントの認証情報を使用しないことをお勧めします。

次の手順では、アプリケーションを中断することなくアクセスキーを変更する一般的なプロセスを説明しています。これらのステップは、アクセスキーを更新するための AWS CLI、Tools for Windows PowerShell、および AWS API コマンドを示しています。コンソールを使用してこれらのタスクを実行することもできます。詳細については、上記のセクション「アクセスキーの作成、修正、および表示(AWS マネジメントコンソール)」を参照してください。

  1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。このキーは、デフォルトでアクティブになります。この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

  2. すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

  3. 最初のアクセスキーがまだ使用されているかどうかを確認します:

    先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

  4. ステップ 3 で古いキーが使用されていないことがわかっても、最初のアクセスキーはすぐに削除しないことをお勧めします。その代わりに、最初のアクセスキーの状態を Inactive に変更します。

  5. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。このようなアプリケーションまたはツールがある場合、状態を Active に切り替えて、最初のアクセスキーを再度有効にすることができます。次にステップ 2 に戻り、新しいキーを使用するようにこのアプリケーションを更新します。

  6. 一定期間待機して、すべてのアプリケーションとツールが更新されていることを確認した後、最初のアクセスキーを削除できます。

詳細については、以下を参照してください。