メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザーのアクセス権限の変更

AWS アカウント内の IAM ユーザーのアクセス権限は、グループメンバーシップを変更するか、管理ポリシーをアタッチおよびデタッチすることで変更できます。ユーザーは、次のいずれかの方法でアクセス権限を取得します。

グループのメンバーシップ
  • グループにユーザーを追加または削除します。

  • グループにアタッチされた管理ポリシーを追加、削除、または編集します。このポリシーは、お客様が作成および管理するポリシーでも、AWS が管理するポリシーでもかまいません。

  • グループのインラインポリシーを追加、削除、または編集します。この種類のポリシーは、常にお客様が作成したポリシーです。

ポリシーの直接アタッチ
  • ユーザーに直接アタッチされた管理ポリシーを追加、削除、または編集します。このポリシーは、お客様が作成および管理するポリシーでも、AWS が管理するポリシーでもかまいません。

  • ユーザーのインラインポリシーを追加、削除、または編集します。この種類のポリシーは、常にお客様が作成したポリシーです。

ユーザーのアクセス権限の変更に必要なアクセス権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

新しいユーザーまたは既存のユーザーへのアクセス権限の追加 (コンソール)

次の 3 つの手法のいずれかを使用して、ユーザーに関連付けられたアクセス権限を変更できます。

ユーザーをグループに追加することによるアクセス権限の追加

ユーザーをグループに追加することでアクセス権限をユーザーに追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. コンソールの [Groups] 列で、ユーザーの現在のグループメンバーシップを確認します。必要に応じて、次の手順を実行して、その列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定のシンボル (  設定アイコン ) を選択します。

    2. [Manage Columns] ダイアログボックスで、[Groups] 列を選択します。必要に応じて、ユーザーテーブルに表示しない列見出しのチェックボックスをオフにすることもできます。

    3. [Close] を選択して、ユーザーのリストに戻ります。

    [Groups] 列に、ユーザーが属するグループが表示されます。フィールドには、グループ名を 2 つまで表示することができます。ユーザーが 3 つ以上のグループのメンバーの場合は、最初の 2 つのグループ (アルファベット順) と、追加のグループメンバーシップ数が表示されます。たとえば、ユーザーが、グループ A、グループ B、グループ C、グループ D に所属している場合、フィールドには [Group A, Group B + 2 more] という値が表示されます。ユーザーが所属している合計グループ数を表示するには、[Group count] 列をユーザーのテーブルに追加します。

  4. 変更するアクセス許可を持つユーザーの名前を選択します。

  5. [Permissions] タブを選択し、続いて [Add permissions] を選択します。[Grant permissions] で、[Add user to group] を選択します。

  6. ユーザーが参加する各グループのチェックボックスをオンにします。リストには、各グループの名前と、そのグループのメンバーとなった場合にユーザーが受け取るポリシーが表示されます。選択した各グループのアクセス権限は、プロセスを完了するとすぐにユーザーに適用されます。

  7. (オプション) 既存のグループの選択に加えて、[Create group] を選択して新しいグループを定義することができます。

    1. [Group name] に新しいグループの名前を入力します。

      注記

      グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTGROUP というグループと testgroup というグループを作成することはできません。IAM エンティティに関する制限の詳細については、「IAM エンティティおよびオブジェクトの制限」を参照してください。

    2. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[Create policy] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh] を選択した後、グループにアタッチする新しいポリシーを選択します。詳細については、「新しいポリシーの作成」を参照してください。

    3. [Create group] を選択します。

    4. グループのリストに戻り、新しいグループのチェックボックスをオンにします。

  8. [Next: Review] を選択して、ユーザーに追加するグループメンバーシップのリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

別のユーザーにコピーすることによるアクセス権限の追加

別のユーザーからアクセス権限をコピーしてアクセス権限をユーザーに追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

  3. [Add permissions] を選択し、[Grant permissions] で [Copy permissions from existing user] を選択します。リストには、使用可能なユーザーと、そのグループメンバーシップ、アタッチされたポリシーが表示されます。グループやポリシーの完全なリストが 1 行に収まらない場合は、 および n 個以上のリンクを選択できます。これを行うこと、新しいブラウザタブを開き、ポリシー ([Permissions] タブ)、グループ ([Groups] タブ) の詳細なリストが表示されます。

  4. コピーするアクセス権限を持つユーザーの横のラジオボタンをオンにします。

  5. [Next: Review] を選択して、ユーザーに加える変更のリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

ポリシーをユーザーに直接アタッチすることによるアクセス権限の追加

管理ポリシーを直接アタッチすることでユーザーにアクセス権限を追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

  3. [Add permissions] を選択し、[Grant permissions] で [Attach existing policies directly to user] を選択します。

  4. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[Create policy] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh] を選択して、ユーザーにアタッチする新しいポリシーのチェックボックスをオンにします。詳細については、「新しいポリシーの作成」を参照してください。

  5. [Next: Review] を選択して、ユーザーにアタッチするポリシーのリストを表示します。次に、[Add permissions] を選択します。

新しいアクセス権限は、すぐにユーザーに適用されます。

既存のユーザーからのアクセス権限の削除 (コンソール)

IAM ユーザーのアクセス権限を取り消すには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択して、変更するアクセス権限を持つユーザーの名前を選択し、[Permissions] タブを選択します。

    [Permissions] タブに、ユーザーに適用される各ポリシーと、ユーザーがそのポリシーを取得する方法が表示されます。

  3. 既存のポリシーを削除してアクセス許可を取り消す場合は、[Policy type] を表示して、ユーザーがそのポリシーを取得する方法を理解してから、[X] を選択してポリシーを削除します。

    • グループメンバーシップのためにポリシーが適用されている場合、[X] を選択して、ユーザーをそのグループから削除します。1 つのグループから複数のポリシーをアタッチしている可能性があるため、グループからユーザーを削除すると、削除されたユーザーはそのグループメンバーシップで受け取ったすべてのポリシーにアクセスできなくなります。

    • ポリシーがユーザーに直接アタッチされた管理ポリシーの場合、[X] を選択して、ユーザーへのポリシーのアタッチを解除します。これは、そのポリシー自体やそのポリシーがアタッチされている他のエンティティに影響を与えません。

    • ポリシーがインライン埋め込みポリシーの場合、[X] を選択して、IAM からポリシーを削除します。ユーザーに直接アタッチされたインラインポリシーは、そのユーザーにのみ存在します。

ユーザーへのアクセス権限の追加と削除 (AWS API、AWS CLI、Tools for Windows PowerShell)

アクセス権限をプログラムにより追加または削除するには、グループメンバーシップの追加または削除、管理ポリシーのアタッチまたはデタッチ、インラインポリシーの追加または削除のいずれかを行う必要があります。詳細については、次のトピックを参照してください。