AWS Identity and Access Management
ユーザーガイド

IAM ID のアクセス許可の追加および削除

ID (ユーザー、グループ、またはロール) のアクセス許可を定義するにはポリシーを使用します。アクセス許可を追加および削除するには、AWS マネジメントコンソール、AWS Command Line Interface (AWS CLI)、または AWS API を使用して、ID の IAM ポリシーをアタッチおよびデタッチします。また、同じ方法でポリシーを使用して、エンティティ (ユーザーまたはロール) のみのアクセス許可の境界を設定することもできます。アクセス許可の境界は、エンティティが持つことができる最大のアクセス許可を制御する AWS のアドバンスド機能です。

用語

アクセス許可ポリシーをアイデンティティ (ユーザー、グループ、およびロール) に関連付ける場合、管理ポリシーとインラインポリシーのどちらを使用するかで、用語や手順が異なることがあります。

  • アタッチ – 管理ポリシーで使用します。管理ポリシーをアイデンティティ (ユーザー、グループ、またはロール) にアタッチします。ポリシーをアタッチすると、そのポリシー内のアクセス許可が ID に適用されます。

  • デタッチ – 管理ポリシーで使用します。管理ポリシーをエンティティ (ユーザー、グループ、またはロール) からデタッチします。ポリシーをデタッチすると、そのアクセス許可がプリンシパルエンティティから削除されます。

  • 埋め込み – インラインポリシーで使用します。インラインポリシーをアイデンティティ (ユーザー、グループ、またはロール) に埋め込みます。ポリシーを埋め込むと、そのポリシー内のアクセス許可が ID に適用されます。インラインポリシーはアイデンティティに保存されるため、結果は似ていますが、アタッチされるのではなく埋め込まれます。

    注記

    サービスにリンクされたロールのインラインポリシーは、ロールに依存するサービスにのみ組み込むことができます。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

  • 削除 – インラインポリシーで使用します。インラインポリシーをエンティティ (ユーザー、グループ、またはロール) から削除します。ポリシーを削除すると、そのアクセス許可がプリンシパルエンティティから削除されます。

    注記

    サービスにリンクされたロールのインラインポリシーを削除できるのは、そのロールに依存するサービスに限ります。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

これらのアクションはいずれも、コンソール、AWS CLI、または AWS API を使用して実行できます。

詳細情報

ID アクティビティの表示

アイデンティティ (ユーザー、グループ、ロール) のアクセス許可を変更する前に、サービスレベルの直近アクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。サービスの最終アクセス時間データの表示の詳細については、「サービスの最終アクセス時間データを使用したアクセス許可の制限」を参照してください。

IAM ID アクセス許可の追加 (コンソール)

アクセス許可をアイデンティティ (ユーザー、グループ、またはロール) に追加するには、AWS マネジメントコンソール を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをアイデンティティのアクセス許可ポリシーとして使用するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーのリストで、アタッチするポリシーの名前の横にあるチェックボックスをオンにします。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [Policy actions] を選択して、[Attach] を選択します。

  5. ポリシーを添付する ID を 1 つ以上選択します。[Filter] メニューと検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ID を選択したら、[ポリシーのアタッチ] を選択します。

管理ポリシーを使用してアクセス許可の境界を設定するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies (ポリシー)] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開き、[Set boundary (境界の設定)] を選択します。

  5. ポリシーをアクセス許可の境界として使用する対象のユーザーまたはロールを 1 つ以上選択します[Filter] メニューと検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。プリンシパルを選択したら、[Set boundaries (境界の設定)] を選択します。

ユーザーまたはロールのインラインポリシーを埋め込むには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ユーザー] または [ロール] を選択します。

  3. 一覧で、ポリシーを埋め込むユーザーまたはロールの名前を選択します。

  4. [Permissions] タブを選択します。

  5. ページ下部までスクロールし、[インラインポリシーの追加] を選択します。

    注記

    IAM でサービスにリンクされたロールにインラインポリシーを埋め込むことはできません。リンクされたサービスでは、ロールのアクセス許可の変更可否が定義されているため、サービスコンソール、API、AWS CLI のいずれかを使用してさらにポリシーを追加できる場合があります。サービスについて、サービスにリンクされたロールのドキュメントを表示するには、「IAM と連携する AWS のサービス」を参照し、該当サービスの「サービスにリンクされたロール」列で「はい」を選択します。

  6. 以下の方法のいずれかを選択してポリシーの作成に必要な手順を表示します。

    • 既存の管理ポリシーのインポート – アカウント内で管理ポリシーをインポートし、ポリシーを編集して特定の要件に合わせてカスタマイズすることができます。管理ポリシーは、AWS 管理ポリシーまたは以前に作成したカスタマー管理ポリシーにすることができます。

    • ビジュアルエディタでのポリシーの作成 – ビジュアルエディタで最初から新しいポリシーを構築することができます。ビジュアルエディタを使用する場合は、JSON 構文を理解する必要はありません。

    • [JSON] タブでのポリシーの作成 – [JSON] タブで、JSON 構文を使用してポリシーを作成することができます。新しい JSON ポリシードキュメントを入力するか、ポリシー例を貼り付けることができます。

  7. インラインポリシーを作成した後は、自動的にユーザーまたはロールに埋め込まれます。

グループのインラインポリシーを埋め込むには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ Groups] を選択します。

  3. 一覧で、ポリシーを埋め込むグループの名前を選択します。

  4. [Permissions (アクセス許可)] タブを選択し、必要であれば [インラインポリシー] セクションを展開します。

  5. [セキュリティグループの作成] を選択します。[グループ] に既存のポリシーがない場合は、[ここをクリック] を選択して新しいインラインポリシーを作成します。

  6. [ポリシージェネレーター] または [カスタムポリシー] を選択し、[Select (選択)] を選択します。

  7. 次のいずれかを行ってください。

    • [カスタムポリシー] を選択した場合は、ポリシーの名前を指定し、ポリシードキュメントを作成します。 Policy Validator によって、構文エラーがある場合はレポートされます。

    • ポリシージェネレーターを使用してポリシーを作成する場合は、適切な [効果]、[AWS のサービス]、および [アクション] オプションを選択します。Amazon リソースネーム (ARN) (該当する場合) を入力して、必要に応じて条件を追加します。続いて、[ステートメントを追加] を選択します。ステートメントはいくつでもポリシーに追加できます。ステートメントの追加が完了したら、[次のステップ] を選択します。

  8. ポリシーが完成したら、[ポリシーの適用] を選択します。

1 つ以上のエンティティのアクセス許可の境界を変更するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開きます。境界を変更するユーザーまたはロールの横にあるチェックボックスをオンにし、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用する新しいポリシーを選択します。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。ポリシーを選択したら、[Change boundary (境界の変更)] を選択します。

IAM ID アクセス許可の削除 (コンソール)

アクセス許可をアイデンティティ (ユーザー、グループ、またはロール) から削除するには、AWS マネジメントコンソール を使用します。そのためには、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーのリストで、デタッチするポリシーの名前の横にあるチェックボックスをオンにします。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [ポリシーアクション]、[デタッチ] の順に選択します。

  5. ポリシーをデタッチする ID を選択します。[フィルタ] メニューと検索ボックスを使用して、ID のリストをフィルタ処理できます。ID を選択したら、[ポリシーのデタッチ] を選択します。

アクセス許可の境界を削除するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開き、[Remove boundary (境界の削除)] を選択します。

  5. アクセス許可の境界を削除することを確定するには、[削除] を選択します。

インラインポリシーを削除するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[グループ]、[ユーザー]、または [ロール] を選択します。

  3. リストで、削除するポリシーを持つグループ、ユーザー、またはロールの名前を選択します。

  4. [Permissions] タブを選択します。[グループ] を選択した場合は、必要に応じて [インラインポリシー] セクションを展開します。

  5. [グループ] で、[ポリシーの削除] を選択します。[ ユーザー ] または [ ロール] の場合は、[X] ボタンを選択します。

IAM ポリシーの追加 (AWS CLI)

アクセス許可をアイデンティティ (ユーザー、グループ、またはロール) に追加するには、AWS CLI を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS CLI)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. 管理ポリシーをアイデンティティ (ユーザー、グループ、またはロール) にアタッチするには、以下のいずれかのコマンドを使用します。

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS CLI)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのコマンドを使用します。

インラインポリシーを埋め込むには (AWS CLI)

インラインポリシーを ID (ユーザー、グループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのコマンドを使用します。

IAM ポリシーの削除 (AWS CLI)

AWS CLI を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS CLI)

  1. (オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。

  3. 管理ポリシーをアイデンティティ (ユーザー、グループ、またはロール) からデタッチするには、以下のいずれかのコマンドを使用します。

アクセス許可の境界を削除するには (AWS CLI)

  1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のコマンドを実行します。

  2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のコマンドを実行します。

  3. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのコマンドを使用します。

インラインポリシーを削除するには (AWS CLI)

  1. (オプション) アイデンティティ (ユーザー、グループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのコマンドを使用します。

  2. (オプション) アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのコマンドを使用します。

  3. インラインポリシーを ID (ユーザー、グループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのコマンドを使用します。

IAM ポリシーの追加 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS API)

  1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. 管理ポリシーをアイデンティティ (ユーザー、グループ、またはロール) にアタッチするには、以下のいずれかのオペレーションを呼び出します。

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS API)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのオペレーションを呼び出します。

インラインポリシーを埋め込むには (AWS API)

インラインポリシーを ID (ユーザー、グループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのオペレーションを呼び出します。

IAM ポリシーの削除 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS API)

  1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。

    • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、グループ、およびロール) を一覧表示する場合:

    • アイデンティティ (ユーザー、グループ、またはロール) にアタッチされている管理ポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

  3. 管理ポリシーをアイデンティティ (ユーザー、グループ、またはロール) からデタッチするには、以下のいずれかのオペレーションを呼び出します。

アクセス許可の境界を削除するには (AWS API)

  1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のオペレーションを呼び出します。

  2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のオペレーションを呼び出します。

  3. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのオペレーションを呼び出します。

インラインポリシーを削除するには (AWS API)

  1. (オプション) アイデンティティ (ユーザー、グループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

  2. (オプション) アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのオペレーションを呼び出します。

  3. インラインポリシーを ID (ユーザー、グループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのオペレーションを呼び出します。