メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザーのアクセス権限の変更

AWS アカウント内の IAM ユーザーのアクセス権限は、グループメンバーシップを変更するか、管理ポリシーをアタッチおよびデタッチすることで変更できます。ユーザーは、次のいずれかの方法でアクセス権限を取得します。

グループのメンバーシップ
  • グループにユーザーを追加または削除します。

  • グループにアタッチされた管理ポリシーを追加、削除、または編集します。このポリシーは、お客様が作成および管理するポリシーでも、AWS が管理するポリシーでもかまいません。

  • グループのインラインポリシーを追加、削除、または編集します。この種類のポリシーは、常にお客様が作成したポリシーです。

ポリシーの直接アタッチ
  • ユーザーに直接アタッチされた管理ポリシーを追加、削除、または編集します。このポリシーは、お客様が作成および管理するポリシーでも、AWS が管理するポリシーでもかまいません。

  • ユーザーのインラインポリシーを追加、削除、または編集します。この種類のポリシーは、常にお客様が作成したポリシーです。

ユーザーのアクセス権限の変更に必要なアクセス権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

新しいユーザーまたは既存のユーザーへのアクセス権限の追加 (コンソール)

次の 3 つの手法のいずれかを使用して、ユーザーに関連付けられたアクセス権限を変更できます。

ユーザーをグループに追加することによるアクセス権限の追加

ユーザーをグループに追加することでアクセス権限をユーザーに追加するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

  3. [Add permissions] を選択し、[Grant permissions] で [Add user to group] を選択します。

  4. ユーザーが参加する各グループのチェックボックスをオンにします。リストには、各グループの名前と、そのグループのメンバーとなった場合にユーザーが受け取るポリシーが表示されます。選択した各グループのアクセス権限は、プロセスを完了するとすぐにユーザーに適用されます。

  5. (オプション) 既存のグループの選択に加えて、[Create group] を選択して新しいグループを定義することができます。

    1. [Group name] に新しいグループの名前を入力します。

      注記

      グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTGROUP というグループと testgroup というグループを作成することはできません。IAM エンティティに関する制限の詳細については、「IAM エンティティにおける制限およびオブジェクト」を参照してください。

    2. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[Create policy] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh] を選択した後、グループにアタッチする新しいポリシーを選択します。詳細については、「新しいポリシーの作成」を参照してください。

    3. [Create group] を選択します。

    4. グループのリストに戻り、新しいグループのチェックボックスをオンにします。

  6. [Next: Review] を選択して、ユーザーに追加するグループメンバーシップのリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

別のユーザーにコピーすることによるアクセス権限の追加

別のユーザーからアクセス権限をコピーしてアクセス権限をユーザーに追加するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

  3. [Add permissions] を選択し、[Grant permissions] で [Copy permissions from existing user] を選択します。リストには、使用可能なユーザーと、そのグループメンバーシップ、アタッチされたポリシーが表示されます。グループまたはポリシーのリスト全体が 1 行に収まらない場合、[and n more] リンクを選択して新しいブラウザタブを開き、ポリシー ([Permissions] タブ) とグループ ([Groups] タブ) のリスト全体を表示できます。

  4. コピーするアクセス権限を持つユーザーの横のラジオボタンをオンにします。

  5. [Next: Review] を選択して、ユーザーに加える変更のリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

ポリシーをユーザーに直接アタッチすることによるアクセス権限の追加

管理ポリシーを直接アタッチすることでユーザーにアクセス権限を追加するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

  3. [Add permissions] を選択し、[Grant permissions] で [Attach existing policies directly to user] を選択します。

  4. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[Create policy] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh] を選択して、ユーザーにアタッチする新しいポリシーのチェックボックスをオンにします。詳細については、「新しいポリシーの作成」を参照してください。

  5. [Next: Review] を選択して、ユーザーにアタッチするポリシーのリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

既存のユーザーからのアクセス権限の削除 (コンソール)

IAM ユーザーのアクセス権限を取り消すには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

    [Permissions] タブに、ユーザーに適用される各ポリシーと、ユーザーがそのポリシーを取得する方法が表示されます。

  3. 既存のポリシーを削除することでアクセス権限を取り消す場合、ポリシーを選択し、ユーザーがそのポリシーを取得している方法を確認します。

    • グループメンバーシップのためにポリシーが適用されている場合、[Remove user from group] を選択します。

      重要

      ユーザーは、1 つのグループのメンバーシップを通じて複数のポリシーを受け取ることができます。グループからユーザーを削除すると、そのユーザーは、グループメンバーシップを通じて受け取ったすべてのポリシーへのアクセスを失います。

    • ポリシーが管理ポリシーの場合、[Detach policy] を選択します。これは、そのポリシー自体やそのポリシーがアタッチされている他のエンティティに影響を与えません。

    • ポリシーがインライン埋め込みポリシーの場合、[Remove policy] を選択します。

ユーザーへのアクセス権限の追加と削除 (AWS API、AWS CLI、Tools for Windows PowerShell)

アクセス権限をプログラムにより追加または削除するには、グループメンバーシップの追加または削除、管理ポリシーのアタッチまたはデタッチ、インラインポリシーの追加または削除のいずれかを行う必要があります。詳細については、次のトピックを参照してください。