IAM ID のアクセス許可の追加および削除

ID (ユーザー、ユーザーグループ、またはロール) のアクセス許可を定義するにはポリシーを使用します。アクセス許可を追加および削除するには、AWS Management Console、AWS Command Line Interface (AWS CLI)、または AWS API を使用して、ID の IAM ポリシーをアタッチおよびデタッチします。また、ポリシーを使用して、同じ方法を使用しているエンティティ (ユーザーまたはロール) のみに許可の境界を設定することもできます。アクセス許可の境界は、エンティティが持つことができる最大のアクセス許可を制御する AWS のアドバンスド機能です。

用語

アクセス許可ポリシーをアイデンティティ (ユーザー、ユーザーグループ、およびロール) に関連付ける場合、管理ポリシーとインラインポリシーのどちらを使用するかで、用語や手順が異なることがあります。

• アタッチ – 管理ポリシーで使用します。管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチします。ポリシーをアタッチすると、そのポリシー内のアクセス許可が ID に適用されます。

• デタッチ – 管理ポリシーで使用します。管理ポリシーを IAM アイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチします。ポリシーをデタッチすると、そのアクセス許可がアイデンティティから削除されます。

• 埋め込み – インラインポリシーで使用します。インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込みます。ポリシーを埋め込むと、そのポリシー内のアクセス許可が ID に適用されます。インラインポリシーはアイデンティティに保存されるため、結果は似ていますが、アタッチされるのではなく埋め込まれます。

  注記

  サービスにリンクされたロールのインラインポリシーは、ロールに依存するサービスにのみ組み込むことができます。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

• 削除 – インラインポリシーで使用します。インラインポリシーを IAM アイデンティティ (ユーザー、ユーザーグループ、またはロール) から削除します。ポリシーを削除すると、そのアクセス許可がアイデンティティから削除されます。

  注記

  サービスにリンクされたロールのインラインポリシーを削除できるのは、そのロールに依存するサービスに限ります。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

これらのアクションはいずれも、コンソール、AWS CLI、または AWS API を使用して実行できます。

詳細情報

• 管理ポリシーとインラインポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。

• アクセス許可の境界の詳細については、「IAM エンティティのアクセス許可境界」を参照してください

• IAM ポリシーの一般情報については、「IAM でのポリシーとアクセス許可」を参照してください。

• IAM ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。

• AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。

ID アクティビティの表示

アイデンティティ (ユーザー、ユーザーグループ、ロール) のアクセス許可を変更する前に、サービスレベルの直近アクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。

IAM ID アクセス許可の追加 (コンソール)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) に追加するには、AWS Management Console を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをアイデンティティのアクセス許可ポリシーとして使用するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーのリストで、アタッチするポリシーの名前の横にあるラジオボックスをオンにします。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [Actions (アクション)] を選択し、[Attach (アタッチ)] を選択します。

5. ポリシーを添付する ID を 1 つ以上選択します。検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ID を選択したら、[ポリシーのアタッチ] を選択します。

管理ポリシーを使用してアクセス許可の境界を設定するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [ポリシー詳細] ページで、[アタッチされたエンティティ] タブを選択し、必要に応じて [アクセス許可の境界としてアタッチ] セクションを開き、[このポリシーをアクセス許可の境界として設定] を選択します。

5. ポリシーをアクセス許可の境界として使用する対象のユーザーまたはロールを 1 つ以上選択します 検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。プリンシパルを選択したら、[アクセス許可の境界を設定] を選択します。

ユーザーまたはロールのインラインポリシーを埋め込むには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. IAM ナビゲーションペインで、[Users] (ユーザー) または [Roles] (ロール) を選択します。

3. 一覧で、ポリシーを埋め込むユーザーまたはロールの名前を選択します。

4. [アクセス許可] タブを選択します。

5. [アクセス許可を追加]、[インラインポリシーを作成] の順に選択します。

   注記

   IAM の「サービスにリンクされたロール」にインラインポリシーを埋め込むことはできません。リンクされたサービスは、ロールの許可を変更できるかどうかを定義するため、サービスコンソール、API、または AWS CLI からポリシーを追加できる場合があります。サービスにリンクされたロールのドキュメントをサービスで表示するには、「IAM と連携する AWS のサービス」を参照の上、お使いのサービスの [Service-Linked Role] 列で [Yes] を選択します。

6. 以下の方法のいずれかを選択してポリシーの作成に必要な手順を表示します。

   • 既存の管理ポリシーのインポート – アカウント内で管理ポリシーをインポートし、ポリシーを編集して特定の要件に合わせてカスタマイズすることができます。管理ポリシーは、AWS 管理ポリシーまたは以前に作成したカスタマー管理ポリシーにすることができます。

   • ビジュアルエディタでのポリシーの作成 – ビジュアルエディタで最初から新しいポリシーを構築することができます。ビジュアルエディタを使用する場合は、JSON 構文を理解する必要はありません。

   • JSON エディターを使用したポリシーの作成 – [JSON] エディタオプションで、JSON 構文を使用してポリシーを作成することができます。新しい JSON ポリシードキュメントを入力するか、ポリシー例を貼り付けることができます。

7. インラインポリシーを作成した後は、自動的にユーザーまたはロールに埋め込まれます。

ユーザーグループのインラインポリシーを埋め込むには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ユーザーグループ] を選択します。

3. 一覧で、ポリシーを埋め込むユーザーグループの名前を選択します。

4. [アクセス許可] タブで、[アクセス許可の追加] を選択してから、インラインポリシーの作成。

5. 以下のいずれかを実行します。

   • [ビジュアル] オプションを選択して、ポリシーを作成します。詳細については、「ビジュアルエディタでのポリシーの作成」を参照してください。

   • [JSON] オプションを選択して、ポリシーを作成します。詳細については、「JSON エディターを使用したポリシーの作成」を参照してください。

6. ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

1 つ以上のエンティティのアクセス許可の境界を変更するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [ポリシー詳細] ページで、[アタッチされたエンティティ] タブを選択し、必要に応じて [アクセス許可の境界としてアタッチ] セクションを開きます。境界を変更するユーザーまたはロールの横にあるチェックボックスを選択し、[変更] を選択します。

5. アクセス許可の境界として使用する新しいポリシーを選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。ポリシーを選択したら、[アクセス許可の境界を設定] を選択します。

IAM ID アクセス許可の削除 (コンソール)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) から削除するには、AWS Management Console を使用します。そのためには、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーのリストで、デタッチするポリシーの名前の横にあるラジオボックスを選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [アクション] を選択して、[削除] を選択します。

5. ポリシーをデタッチする ID を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。ID を選択したら、[ポリシーのデタッチ] を選択します。

アクセス許可の境界を削除するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [ポリシーの概要] ページで、[アタッチされたエンティティ] タブを選択し、必要に応じて [アクセス許可の境界としてアタッチ] セクションを開き、アクセス許可の境界を削除するエンティティを選択します。次に、[境界を削除] を選択します。

5. 境界を削除することを確認し、[境界を削除] を選択します。

インラインポリシーを削除するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ユーザーグループ]、[ユーザー]、または [ロール] を選択します。

3. リストで、削除するポリシーを持つユーザーグループ、ユーザー、またはロールの名前を選択します。

4. [アクセス許可] タブを選択します。

5. ポリシーの横にあるチェックボックスを選択し、[削除] を選択します。

6. 確認ボックスで、[削除] を選択します。

IAM ポリシーの追加（AWS CLI)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) に追加するには、AWS CLI を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS CLI)

1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

   • 管理ポリシーを一覧表示するには: aws iam list-policies

   • 管理ポリシーの詳細情報を取得するには: get-policy

2. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチするには、以下のいずれかのコマンドを使用します。

   • aws iam attach-user-policy

   • aws iam attach-group-policy

   • aws iam attach-role-policy

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS CLI)

1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

   • 管理ポリシーを一覧表示するには: aws iam list-policies

   • 管理ポリシーの詳細情報を取得するには: aws iam get-policy

2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのコマンドを使用します。

   • aws iam put-user-permissions-boundary

   • aws iam put-role-permissions-boundary

インラインポリシーを埋め込むには (AWS CLI)

インラインポリシーを ID (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのコマンドを使用します。

• aws iam put-user-policy

• aws iam put-group-policy

• aws iam put-role-policy

IAM ポリシーの削除 (AWS CLI)

AWS CLI を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS CLI)

1. (オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。

   • 管理ポリシーを一覧表示するには: aws iam list-policies

   • 管理ポリシーの詳細情報を取得するには: aws iam get-policy

2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。

   • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:

     • aws iam list-entities-for-policy

   • アイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチされている管理ポリシーを一覧表示するには、以下のいずれかのコマンドを使用します。

     • aws iam list-attached-user-policies

     • aws iam list-attached-group-policies

     • aws iam list-attached-role-policies

3. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチするには、以下のいずれかのコマンドを使用します。

   • aws iam detach-user-policy

   • aws iam detach-group-policy

   • aws iam detach-role-policy

アクセス許可の境界を削除するには (AWS CLI)

1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のコマンドを実行します。

   • aws iam get-user

   • aws iam get-role

2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のコマンドを実行します。

   • aws iam list-entities-for-policy

3. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

   • 管理ポリシーを一覧表示するには: aws iam list-policies

   • 管理ポリシーの詳細情報を取得するには: aws iam get-policy

4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのコマンドを使用します。

   • aws iam delete-user-permissions-boundary

   • aws iam delete-role-permissions-boundary

インラインポリシーを削除するには (AWS CLI)

1. (オプション) アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのコマンドを使用します。

   • aws iam list-user-policies

   • aws iam list-group-policies

   • aws iam list-role-policies

2. (オプション) アイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのコマンドを使用します。

   • aws iam get-user-policy

   • aws iam get-group-policy

   • aws iam get-role-policy

3. インラインポリシーを ID (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのコマンドを使用します。

   • aws iam delete-user-policy

   • aws iam delete-group-policy

   • aws iam delete-role-policy

IAM ポリシーの追加 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS API)

1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

   • 管理ポリシーを一覧表示するには: ListPolicies

   • 管理ポリシーの詳細情報を取得するには: GetPolicy

2. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチするには、以下のいずれかのオペレーションを呼び出します。

   • AttachUserPolicy

   • AttachGroupPolicy

   • AttachRolePolicy

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS API)

1. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

   • 管理ポリシーを一覧表示するには: ListPolicies

   • 管理ポリシーの詳細情報を取得するには: GetPolicy

2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのオペレーションを呼び出します。

   • PutUserPermissionsBoundary

   • PutRolePermissionsBoundary

インラインポリシーを埋め込むには (AWS API)

インラインポリシーを ID (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのオペレーションを呼び出します。

• PutUserPolicy

• PutGroupPolicy

• PutRolePolicy

IAM ポリシーの削除 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS API)

1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

   • 管理ポリシーを一覧表示するには: ListPolicies

   • 管理ポリシーの詳細情報を取得するには: GetPolicy

2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。

   • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:

     • ListEntitiesForPolicy

   • アイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチされている管理ポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

     • ListAttachedUserPolicies

     • ListAttachedGroupPolicies

     • ListAttachedRolePolicies

3. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチするには、以下のいずれかのオペレーションを呼び出します。

   • DetachUserPolicy

   • DetachGroupPolicy

   • DetachRolePolicy

アクセス許可の境界を削除するには (AWS API)

1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のオペレーションを呼び出します。

   • GetUser

   • GetRole

2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のオペレーションを呼び出します。

   • ListEntitiesForPolicy

3. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

   • 管理ポリシーを一覧表示するには: ListPolicies

   • 管理ポリシーの詳細情報を取得するには: GetPolicy

4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのオペレーションを呼び出します。

   • DeleteUserPermissionsBoundary

   • DeleteRolePermissionsBoundary

インラインポリシーを削除するには (AWS API)

1. (オプション) アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

   • ListUserPolicies

   • ListGroupPolicies

   • ListRolePolicies

2. (オプション) アイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのオペレーションを呼び出します。

   • GetUserPolicy

   • GetGroupPolicy

   • GetRolePolicy

3. インラインポリシーを ID (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのオペレーションを呼び出します。

   • DeleteUserPolicy

   • DeleteGroupPolicy

   • DeleteRolePolicy