IAM ポリシーの編集

ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。ポリシーは JSON ドキュメントとして AWS に格納され、IAM の アイデンティティベースのポリシー としてプリンシパルに添付されます。IAM ユーザーグループ、ユーザー、ロールなどのプリンシパル (またはアイデンティティ) に、アイデンティティベースのポリシーをアタッチできます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。IAM でカスタマー管理ポリシーとインラインポリシーを編集できます。AWS 管理ポリシーは編集できません。AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM クォータおよび AWS STS クォータ、名前の要件、および文字の制限」を参照してください。

ポリシーアクセスの確認

ポリシーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。

カスタマー管理ポリシーの編集 (コンソール)

カスタマー管理ポリシーを編集して、ポリシーで定義されたアクセス許可を変更することができます。カスタマー管理ポリシーは最大 5 つのバージョンを持つことができます。これは､管理ポリシーのバージョンを 5 つ以上にする必要がある場合は、AWS Management Console より、削除するバージョンを指定するよう求められるため､重要です｡ ポリシーを編集する前に、デフォルトのバージョンを変更したり、ポリシーのバージョンを削除したりすることもできます。バージョンの詳細については、「IAM ポリシーのバージョニング」を参照してください。

カスタマー管理ポリシーを編集するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーの一覧で、編集するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [アクセス許可] タブを選択し、[編集] を選択します。

5. 以下のいずれかを実行します。

   • [ビジュアル] オプションを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。変更が完了したら、[次へ] を選択して続行します。

   • [JSON] オプションを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。

     注記

     いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

6. [確認して保存] ページで、このポリシーで定義されているアクセス許可を確認し、[変更を保存] を選択して作業を保存します。

7. 最大 5 つのバージョンの管理ポリシーがすでにある場合は、[変更を保存] を選択すると、ダイアログボックスが表示されます。新しいバージョンを保存するには、ポリシーの最も古い非デフォルトバージョンが削除され、この新しいバージョンに置き換えられます。オプションで、新しいバージョンをポリシーのデフォルトバージョンとして設定できます。

   [ポリシーを保存] を選択して、新しいバージョンのポリシーを保存します。

カスタマー管理ポリシーのデフォルトバージョンを設定するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. ポリシーのリストで、デフォルトバージョンを設定するポリシーのポリシー名を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [ポリシーのバージョン] タブを選択します。デフォルトのバージョンとして設定するバージョンの横にあるチェックボックスをオンにし、[デフォルトとして設定] を選択します。

カスタマー管理ポリシーのバージョンを削除するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択します。

3. 削除するバージョンのカスタマー管理ポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

4. [ポリシーのバージョン] タブを選択します。削除するバージョンの横にあるチェックボックスをオンにします。その後、[Delete] (削除) をクリックします。

5. バージョンを削除することを確認し、[Delete (削除)] を選択します。

インラインポリシーの編集 (コンソール)

インラインポリシーは AWS Management Console から編集できます。

ユーザー、ユーザーグループ、ロールのインラインポリシーを編集するには (コンソール)

1. ナビゲーションペインで、[ユーザー]、[ユーザーグループ]、または [ロール] を選択します。

2. ポリシーを修正するユーザー、ユーザーグループ、またはロールの名前を選択します。次に [Permissions (アクセス許可)] タブを選択し、ポリシーを展開します。

3. インラインポリシーを編集するには、[ポリシーの編集] を選択します。

4. 以下のいずれかを実行します。

   • [ビジュアル] オプションを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。変更が完了したら、[次へ] を選択して続行します。

   • [JSON] オプションを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。現在アタッチされているエンティティには影響を与えず変更を保存するには、[デフォルトのバージョンとして設定] チェックボックスをオフにします。

   注記

   いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

5. [確認] ページで、ポリシーの概要を確認してから、[変更を保存] を選択して作業を保存します。

カスタマー管理ポリシーの編集 (AWS CLI)

カスタマー管理ポリシーは AWS Command Line Interface (AWS CLI) で編集できます。

注記

マネージド ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。

カスタマー管理ポリシーを編集するには (AWS CLI)

1. (オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。

   • 管理ポリシーを一覧表示するには: list-policies

   • 管理ポリシーの詳細情報を取得するには: get-policy

2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。

   • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:

     • list-entities-for-policy

   • アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされた管理ポリシーを一覧表示する場合:

     • list-attached-user-policies

     • list-attached-group-policies

     • list-attached-role-policies

3. カスタマー管理ポリシーを編集するには、次のコマンドを実行します。

   • create-policy-version

4. (オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer コマンドを実行します。

   • ポリシーの検証

カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS CLI)

1. (オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。

   • list-policies

2. カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のコマンドを実行します。

   • set-default-policy-version

カスタマー管理ポリシーのバージョンを削除するには (AWS CLI)

1. (オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。

   • list-policies

2. カスタマー管理ポリシーを削除するには、次のコマンドを実行します。

   • delete-policy-version

カスタマー管理ポリシーの編集 (AWS API)

カスタマー管理ポリシーは AWS API で編集できます。

注記

マネージド ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。

カスタマー管理ポリシーを編集するには (AWS API)

1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

   • 管理ポリシーを一覧表示するには: ListPolicies

   • 管理ポリシーの詳細情報を取得するには: GetPolicy

2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。

   • 管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:

     • ListEntitiesForPolicy

   • アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされた管理ポリシーを一覧表示する場合:

     • ListAttachedUserPolicies

     • ListAttachedGroupPolicies

     • ListAttachedRolePolicies

3. カスタマー管理ポリシーを編集するには、次のオペレーションを呼び出します。

   • CreatePolicyVersion

4. (オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer オペレーションを呼び出します。

   • 検証ポリシー

カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS API)

1. (オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。

   • ListPolicies

2. カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のオペレーションを呼び出します。

   • SetDefaultPolicyVersion

カスタマー管理ポリシーのバージョンを削除するには (AWS API)

1. (オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。

   • ListPolicies

2. カスタマー管理ポリシーを削除するには、次のオペレーションを呼び出します。

   • DeletePolicyVersion