メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザーの管理

Amazon Web Services には、AWS アカウントの IAM ユーザーを管理するための複数のツールが用意されています。

IAM ユーザーの一覧表示

AWS アカウントまたは特定の IAM グループの IAM ユーザーを一覧表示したり、ユーザーが属する全グループを一覧表示したりすることができます。ユーザーの一覧表示に必要な権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

アカウントのすべてのユーザーを一覧表示するには

特定のグループのユーザーを一覧表示するには

ユーザーが所属しているすべてのグループを一覧表示するには

IAM ユーザーの名前の変更

ユーザーの名前またはパスを変更するには、AWS CLI、Tools for Windows PowerShell、または AWS API を使用する必要があります。コンソールに、ユーザーの名前を変更するためのオプションはありません。ユーザーの名前の変更に必要なアクセス権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

ユーザーの名前またはパスを変更すると、以下のことが起こります。

  • ユーザーにアタッチされているポリシーは、新しい名前のユーザーにそのままアタッチされています。

  • ユーザーは名前が変わるだけで、所属するグループは変わりません。

  • ユーザーの一意の ID は変更されません。一意の ID の詳細については、「一意の ID」を参照してください。

  • ユーザーをプリンシパル(このユーザーにはアクセス権が付与されます)として参照しているリソースやロールのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。例えば、Amazon SQS 内のキューベースのポリシー、または Amazon S3 内のリソースベースのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。

IAM は、ユーザーをリソースとして参照しているポリシーを、自動的に更新しません。新しい名前またはパスを使用するには、手動で更新する必要があります。例えば、Bob というユーザーに自身の認証情報の管理を許可するポリシーがアタッチされているとします。名前を Bob から Robert に変更する場合、管理者はそのポリシーを更新して、次のリソースを

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Bob

次のように変更する必要があります。

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Robert

パスを変更する場合も同様です。管理者は、ユーザーの新しいパスを反映するようにポリシーを更新する必要があります。

ユーザーの名前を変更するには

IAM ユーザーの削除

従業員が退職した場合などには、アカウントから IAM ユーザーを削除することがあります。ユーザーが一時的に休職する場合は、AWS アカウントからユーザーを完全に削除する代わりに、そのユーザーの認証情報を無効にすることができます。この方法では、休職中のみこのユーザーから AWS アカウントのリソースへのアクセスを防ぎ、後でユーザーを再度有効化することができます。

認証情報の無効化の詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。ユーザーの削除に必要なアクセス権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

IAM ユーザーの削除(AWS マネジメントコンソール)

AWS マネジメントコンソールを使用して IAM ユーザーを削除すると、IAM によって次の情報が自動で削除されます。

  • ユーザー

  • すべてのグループメンバシップ(つまり、ユーザーは、メンバーとして所属していたすべての IAM グループから削除されます)

  • ユーザーのパスワード

  • ユーザーのアクセスキー

  • ユーザーに組み込まれていたすべてのインラインポリシー(グループのアクセス権限を通じてユーザーに適用されているポリシーは影響を受けません)

    注記

    ユーザーを削除すると、このユーザーにアタッチされていた管理ポリシーはすべて、ユーザーからデタッチされます。ユーザーを削除しても、管理ポリシーは削除されません。

  • 関連する MFA デバイス

AWS マネジメントコンソールを使用して IAM ユーザーを削除するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Users] を選択し、ユーザー名または行そのものではなく、削除するユーザー名の横にあるチェックボックスをオンにします。

  3. ページの上部で、[Delete user] を選択します。

  4. 確認ダイアログボックスでは、データを確認する前にサービスが最後にアクセスしたデータをロードするのを待ちます。ダイアログボックスに、選択されたユーザーごとに最後にいつ AWS サービスにアクセスしたかが表示されます。過去 30 日以内にアクティブであったユーザーを削除しようとする場合は、追加でチェックボックスを選択して、アクティブユーザーの削除を確認する必要があります。先に進む場合は、[Yes, Delete] を選択します。

IAM ユーザーの削除(AWS CLI および Tools for Windows PowerShell)

AWS CLI または Tools for Windows PowerShell を使用してユーザーを削除する場合、AWS マネジメントコンソールの場合とは異なり、ユーザーにアタッチされている項目を削除する必要があります。この手順では、そのプロセスについて説明します。PowerShell の完全なコードスニペットについては、「Remove-IAMUser」の例を参照してください。

AWS CLI を使用してアカウントからユーザーを削除するには

  1. ユーザーのキーと証明書を削除します。これにより、ユーザーは AWS アカウントのリソースにアクセスできなくなります。認証情報を削除すると、完全に削除され、復元できないことに注意してください。

    aws iam delete-access-key および aws iam delete-signing-certificate

  2. ユーザーのパスワード(使用していた場合)を削除します.

    aws iam delete-login-profile

  3. ユーザーの MFA デバイス(使用していた場合)を無効にします.

    aws iam deactivate-mfa-device

  4. ユーザーにアタッチされているポリシーがあれば、すべてデタッチします。

    aws iam list-attached-user-policies(ユーザーにアタッチされているポリシーの一覧表示)および aws iam detach-user-policy(ポリシーのデタッチ)

  5. ユーザーが所属していたグループのリストを取得し、これらのグループからユーザーを削除します。

    aws iam list-groups-for-user および aws iam remove-user-from-group

  6. ユーザーを削除します。

    aws iam delete-user

Tools for Windows PowerShell を使用してアカウントからユーザーを削除するには

  1. ユーザーのキーと証明書を削除します。これにより、ユーザーは AWS アカウントのリソースにアクセスできなくなります。認証情報を削除すると、完全に削除され、復元できないことに注意してください。

    Remove-IAMAccessKey および Remove-IAMSigningCertificate

  2. ユーザーのパスワード(使用していた場合)を削除します.

    Remove-IAMLoginProfile

  3. ユーザーの MFA デバイス(使用していた場合)を無効にします.

    Disable-IAMMFADevice

  4. ユーザーにアタッチされているポリシーがあれば、すべてデタッチします。

    Get-IAMAttachedUserPolicies(ユーザーにアタッチされているポリシーの一覧表示)および Remove-IAMUserPolicy(ポリシーのデタッチ)

  5. ユーザーが所属していたグループのリストを取得し、これらのグループからユーザーを削除します。

    Get-IAMGroupForUser および Remove-IAMUserFromGroup.

  6. ユーザーを削除します。

    Remove-IAMUser