IAM ポリシーの編集 - AWS Identity and Access Management
ポリシーアクセスの表示カスタマー管理ポリシーの編集 (コンソール)インラインポリシーの編集 (コンソール)カスタマー管理ポリシーの編集 (AWS CLI)カスタマー管理ポリシーの編集 (AWS API)

IAM ポリシーの編集

ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。ポリシーは JSON ドキュメントとして AWS に保存され、IAM のアイデンティティベースのポリシーとしてプリンシパルにアタッチされます。アイデンティティベースのポリシーは、IAM ユーザーグループ、ユーザー、ロールなどのプリンシパル (またはアイデンティティ) にアタッチすることができます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。IAM でカスタマー管理ポリシーとインラインポリシーを編集できます。AWS 管理ポリシーは編集できません。AWS アカウントの IAM リソースの数とサイズは制限されています。詳細については、「IAM および AWS STS クォータ」を参照してください。

ポリシーアクセスの表示

ポリシーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス時間情報を使用した AWS のアクセス許可の調整」を参照してください。

カスタマー管理ポリシーの編集 (コンソール)

カスタマー管理ポリシーを編集して、ポリシーで定義されたアクセス許可を変更することができます。カスタマー管理ポリシーは最大 5 つのバージョンを持つことができます。これは、管理ポリシーのバージョンを 5 つ以上にする必要がある場合は、AWS Management Console より、削除するバージョンを指定するよう求められるため、重要です。ポリシーを編集する前に、デフォルトのバージョンを変更したり、ポリシーのバージョンを削除したりすることもできます。バージョンの詳細については、「IAM ポリシーのバージョニング」を参照してください。

カスタマー管理ポリシーを編集するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies (ポリシー)] を選択します。

  3. ポリシーの一覧で、編集するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [Permissions (アクセス許可)] タブを選択し、[ポリシーの編集] を選択します。

  5. 次のいずれかを行ってください。

    • [Visual editor (ビジュアルエディタ)] タブを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシードキュメントへの変更が完了したら、[ポリシーの確認] を選択します。

    • [JSON] タブを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシー検証で生成されたセキュリティ警告、エラー、一般的な警告のすべてを解決し、[ポリシーの確認] を選択します。

      注記

      いつでも [Visual editor (ビジュアルエディタ)] タブと [JSON] タブを切り替えることができます。ただし、[Visual editor (ビジュアルエディタ)] タブで [ポリシーの確認] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

  6. [確認] ページで、ポリシーの [概要] を確認してから、[変更の保存] を選択して作業を保存します。

  7. 最大 5 つのバージョンの管理ポリシーがすでにある場合は、[保存] を選択すると、ダイアログボックスが表示されます。新しいバージョンを保存するには、以前のバージョンを 1 つ以上削除する必要があります。デフォルトのバージョンを削除することはできません。次のオプションから選択します。

    • [最も古いデフォルトでないポリシーのバージョンの削除 (バージョン v# - # 日前に作成)] – このオプションを使用して、削除予定のバージョンおよび作成日時を確認します。デフォルト以外のすべてのバージョンの JSON のポリシードキュメントを表示するには、2 つ目のオプション [削除するバージョンの選択] を選択します。

    • [削除するバージョンの選択] – このオプションを使用して JSON ポリシードキュメントを表示し、削除するバージョンを 1 つ以上選択します。

    削除するバージョンを選択したら、[バージョンの削除と保存] を選択して、新しいポリシーバージョンを保存します。

カスタマー管理ポリシーのデフォルトバージョンを設定するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies (ポリシー)] を選択します。

  3. ポリシーのリストで、デフォルトバージョンを設定するポリシーのポリシー名を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [ポリシーのバージョン] タブを選択します。デフォルトのバージョンとして設定するバージョンの横にあるチェックボックスをオンにし、[デフォルトとして設定] を選択します。

カスタマー管理ポリシーのバージョンを削除するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies (ポリシー)] を選択します。

  3. 削除するバージョンのカスタマー管理ポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [ポリシーのバージョン] タブを選択します。削除するバージョンの横にあるチェックボックスをオンにします。その後、[Delete] を選択します。

  5. バージョンを削除することを確認し、[Delete (削除)] を選択します。

インラインポリシーの編集 (コンソール)

インラインポリシーは AWS Management Console から編集できます。

ユーザー、ユーザーグループ、またはロールのインラインポリシーを編集するには (コンソール)

  1. ナビゲーションペインで、[ユーザー]、[ユーザーグループ]、または [ロール] のいずれかをクリックします。

  2. ポリシーを変更するユーザー、ユーザーグループ、またはロールの名前を選択します。次に [Permissions (アクセス許可)] タブを選択し、ポリシーを展開します。

  3. インラインポリシーを編集するには、[ポリシーの編集] を選択します。

  4. 次のいずれかを行ってください。

    • [Visual editor (ビジュアルエディタ)] タブを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシードキュメントへの変更が完了したら、[ポリシーの確認] を選択します。

    • [JSON] タブを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシー検証で生成されたセキュリティ警告、エラー、一般的な警告のすべてを解決し、[ポリシーの確認] を選択します。現在アタッチされているエンティティには影響を与えず変更を保存するには、[Save as default version] チェックボックスをオフにします。

    注記

    いつでも [Visual editor (ビジュアルエディタ)] タブと [JSON] タブを切り替えることができます。ただし、[Visual editor (ビジュアルエディタ)] タブで [ポリシーの確認] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

  5. [確認] ページで、ポリシーの [概要] を確認してから、[変更の保存] を選択して作業を保存します。

カスタマー管理ポリシーの編集 (AWS CLI)

カスタマー管理ポリシーは AWS Command Line Interface (AWS CLI) で編集できます。

注記

管理ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。

カスタマー管理ポリシーを編集するには (AWS CLI)

  1. (オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。

    • 管理ポリシーを一覧表示するには: list-policies

    • 管理ポリシーの詳細情報を取得するには: get-policy

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。

  3. カスタマー管理ポリシーを編集するには、次のコマンドを実行します。

  4. (オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer コマンドを実行します。

カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS CLI)

  1. (オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。

  2. カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のコマンドを実行します。

カスタマー管理ポリシーのバージョンを削除するには (AWS CLI)

  1. (オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。

  2. カスタマー管理ポリシーを削除するには、次のコマンドを実行します。

カスタマー管理ポリシーの編集 (AWS API)

カスタマー管理ポリシーは AWS API で編集できます。

注記

管理ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。

カスタマー管理ポリシーを編集するには (AWS API)

  1. (オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。

    • 管理ポリシーを一覧表示するには: ListPolicies

    • 管理ポリシーの詳細情報を取得するには: GetPolicy

  2. (オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。

  3. カスタマー管理ポリシーを編集するには、次のオペレーションを呼び出します。

  4. (オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer オペレーションを呼び出します。

カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS API)

  1. (オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。

  2. カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のオペレーションを呼び出します。

カスタマー管理ポリシーのバージョンを削除するには (AWS API)

  1. (オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。

  2. カスタマー管理ポリシーを削除するには、次のオペレーションを呼び出します。