IAM ID のアクセス許可の追加および削除 - AWS Identity and Access Management

IAM ID のアクセス許可の追加および削除

アイデンティティ (ユーザー、ユーザーグループ、またはロール) のアクセス許可を定義するにはポリシーを使用します。アクセス許可を追加および削除するには、AWS Management Console、AWS Command Line Interface (AWS CLI)、または AWS API を使用して、ID の IAM ポリシーをアタッチおよびデタッチします。また、同じ方法でポリシーを使用して、エンティティ (ユーザーまたはロール) のみのアクセス許可の境界を設定することもできます。アクセス許可の境界は、エンティティが持つことができる最大のアクセス許可を制御する AWS のアドバンスド機能です。

用語

アクセス許可ポリシーをアイデンティティ (ユーザー、ユーザーグループ、およびロール) に関連付ける場合、管理ポリシーとインラインポリシーのどちらを使用するかで、用語や手順が異なることがあります。

  • アタッチ – 管理ポリシーで使用します。管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチします。ポリシーをアタッチすると、そのポリシー内のアクセス許可が ID に適用されます。

  • デタッチ – 管理ポリシーで使用します。管理ポリシーを IAM アイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチします。ポリシーをデタッチすると、そのアクセス許可がアイデンティティから削除されます。

  • 埋め込み – インラインポリシーで使用します。インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込みます。ポリシーを埋め込むと、そのポリシー内のアクセス許可が ID に適用されます。インラインポリシーはアイデンティティに保存されるため、結果は似ていますが、アタッチされるのではなく埋め込まれます。

    注記

    サービスにリンクされたロールのインラインポリシーは、ロールに依存するサービスにのみ組み込むことができます。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

  • 削除 – インラインポリシーで使用します。インラインポリシーを IAM アイデンティティ (ユーザー、ユーザーグループ、またはロール) から削除します。ポリシーを削除すると、そのアクセス許可がアイデンティティから削除されます。

    注記

    サービスにリンクされたロールのインラインポリシーを削除できるのは、そのロールに依存するサービスに限ります。サービスでこの機能がサポートされているかどうかについては、そのサービスの AWS ドキュメントを参照してください。

これらのアクションはいずれも、コンソール、AWS CLI、または AWS API を使用して実行できます。

詳細情報

ID アクティビティの表示

アイデンティティ (ユーザー、ユーザーグループ、ロール) のアクセス許可を変更する前に、それぞれが直近に行ったサービスレベルのアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス時間情報を使用した AWS のアクセス許可の調整」を参照してください。

IAM ID アクセス許可の追加 (コンソール)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) に追加するには、AWS Management Console を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをアイデンティティのアクセス許可ポリシーとして使用するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーのリストで、アタッチするポリシーの名前の横にあるチェックボックスをオンにします。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [Actions] (アクション) を選択して、[Attach] (アタッチ) を選択します。

  5. ポリシーを添付する ID を 1 つ以上選択します。検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ID を選択したら、[ポリシーのアタッチ] を選択します。

管理ポリシーを使用してアクセス許可の境界を設定するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies (ポリシー)] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開き、[Set boundary (境界の設定)] を選択します。

  5. ポリシーをアクセス許可の境界として使用する対象のユーザーまたはロールを 1 つ以上選択します検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。プリンシパルを選択したら、[Set boundaries (境界の設定)] を選択します。

ユーザーまたはロールのインラインポリシーを埋め込むには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ユーザー] または [ロール] を選択します。

  3. 一覧で、ポリシーを埋め込むユーザーまたはロールの名前を選択します。

  4. [Permissions] タブを選択します。

  5. [Add inline policy] を選択します。

    注記

    IAM でサービスにリンクされたロールにインラインポリシーを埋め込むことはできません。リンクされたサービスでは、ロールのアクセス許可の変更可否が定義されているため、サービスコンソール、API、AWS CLI のいずれかを使用してさらにポリシーを追加できる場合があります。サービスについて、サービスにリンクされたロールのドキュメントを表示するには、「IAM と連携する AWS のサービス」を参照し、該当サービスの「サービスにリンクされたロール」列で「はい」を選択します。

  6. 以下の方法のいずれかを選択してポリシーの作成に必要な手順を表示します。

    • 既存の管理ポリシーのインポート – アカウント内で管理ポリシーをインポートし、ポリシーを編集して特定の要件に合わせてカスタマイズすることができます。管理ポリシーは、AWS 管理ポリシーまたは以前に作成したカスタマー管理ポリシーにすることができます。

    • ビジュアルエディタでのポリシーの作成 – ビジュアルエディタで最初から新しいポリシーを構築することができます。ビジュアルエディタを使用する場合は、JSON 構文を理解する必要はありません。

    • [JSON] タブでのポリシーの作成 – [JSON] タブで、JSON 構文を使用してポリシーを作成することができます。新しい JSON ポリシードキュメントを入力するか、ポリシー例を貼り付けることができます。

  7. インラインポリシーを作成した後は、自動的にユーザーまたはロールに埋め込まれます。

ユーザーグループにインラインポリシーを埋め込むには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ユーザーグループ] をクリックします。

  3. 一覧で、ポリシーを埋め込むユーザーグループの名前を選択します。

  4. [アクセス許可] タブを表示し、[アクセス許可の追加]、[インラインポリシーの作成] の順にクリックします。

  5. 次のいずれかの操作を行います。

  6. ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

1 つ以上のエンティティのアクセス許可の境界を変更するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開きます。境界を変更するユーザーまたはロールの横にあるチェックボックスをオンにし、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用する新しいポリシーを選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。ポリシーを選択したら、[Change boundary (境界の変更)] を選択します。

IAM ID アクセス許可の削除 (コンソール)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) から削除するには、AWS Management Console を使用します。そのためには、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーのリストで、デタッチするポリシーの名前の横にあるチェックボックスをオンにします。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [Actions] (アクション) を選択して、[Detach] (デタッチ) を選択します。

  5. ポリシーをデタッチする ID を選択します。検索ボックスを使用して、アイデンティティのリストをフィルタリングできます。ID を選択したら、[ポリシーのデタッチ] を選択します。

アクセス許可の境界を削除するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、設定するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. ポリシー概要ページで、[Policy usage (ポリシーの使用)] タブを選択し、必要に応じて [Permissions boundaries (アクセス許可の境界)] セクションを開き、[Remove boundary (境界の削除)] を選択します。

  5. アクセス許可の境界を削除することを確定するには、[削除] を選択します。

インラインポリシーを削除するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ユーザーグループ]、[ユーザー]、または [ロール] のいずれかをクリックします。

  3. 一覧で、削除するポリシーを持つユーザーグループ、ユーザー、またはロールの名前を選択します。

  4. [Permissions] タブを選択します。

  5. [ユーザーグループ] の場合は、ポリシーの横にあるチェックボックスをオンにして [削除] をクリックします。[ ユーザー ] または [ ロール] の場合は、[X] ボタンを選択します。

IAM ポリシーの追加 (AWS CLI)

アクセス許可をアイデンティティ (ユーザー、ユーザーグループ、またはロール) に追加するには、AWS CLI を使用します。そのためには、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS CLI)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチするには、以下のいずれかのコマンドを使用します。

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS CLI)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのコマンドを使用します。

インラインポリシーを埋め込むには (AWS CLI)

インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのコマンドを使用します。

IAM ポリシーの削除 (AWS CLI)

AWS CLI を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS CLI)

  1. (オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。

  3. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチするには、以下のいずれかのコマンドを使用します。

アクセス許可の境界を削除するには (AWS CLI)

  1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のコマンドを実行します。

  2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のコマンドを実行します。

  3. (オプション) 管理ポリシーの情報を表示するには、以下のコマンドを実行します。

  4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのコマンドを使用します。

インラインポリシーを削除するには (AWS CLI)

  1. (オプション) アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのコマンドを使用します。

  2. (オプション) アイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのコマンドを使用します。

  3. インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのコマンドを使用します。

IAM ポリシーの追加 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをアタッチするか、アクセス許可の境界としてポリシーを指定します。また、インラインポリシーを埋め込むこともできます。

管理ポリシーをエンティティのアクセス許可ポリシーとして使用するには (AWS API)

  1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチするには、以下のいずれかのオペレーションを呼び出します。

管理ポリシーを使用してアクセス許可の境界を設定するには (AWS API)

  1. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. 管理ポリシーを使用してエンティティ (ユーザーまたはロール) のアクセス許可の境界を設定するには、以下のいずれかのオペレーションを呼び出します。

インラインポリシーを埋め込むには (AWS API)

インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) に埋め込むには、以下のいずれかのオペレーションを呼び出します。

IAM ポリシーの削除 (AWS API)

AWS API を使用して、アクセス許可を制御する管理ポリシーをデタッチするか、アクセス許可の境界として指定されているポリシーを削除します。また、インラインポリシーを削除することもできます。

アクセス許可ポリシーとして使用されている管理ポリシーをデタッチするには (AWS API)

  1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。

    • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:

    • アイデンティティ (ユーザー、ユーザーグループ、またはロール) にアタッチされた管理ポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

  3. 管理ポリシーをアイデンティティ (ユーザー、ユーザーグループ、またはロール) からデタッチするには、以下のいずれかのオペレーションを呼び出します。

アクセス許可の境界を削除するには (AWS API)

  1. (オプション) アクセス許可の境界を設定するために現在使用されている管理ポリシーを確認するには、以下のオペレーションを呼び出します。

  2. (オプション) 管理ポリシーがアクセス許可の境界として使用されているユーザーまたはロールを確認するには、次のオペレーションを呼び出します。

  3. (オプション) 管理ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  4. ユーザーまたはロールからアクセス許可の境界を削除するには、以下のいずれかのオペレーションを呼び出します。

インラインポリシーを削除するには (AWS API)

  1. (オプション) アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされたすべてのインラインポリシーを一覧表示するには、以下のいずれかのオペレーションを呼び出します。

  2. (オプション) アイデンティティ (ユーザー、ユーザーグループ、またはロール) に埋め込まれたインラインポリシードキュメントを取得するには、以下のいずれかのオペレーションを呼び出します。

  3. インラインポリシーをアイデンティティ (ユーザー、ユーザーグループ、または サービスにリンクされたロール以外のロール) から削除するには、以下のいずれかのオペレーションを呼び出します。