IAM ポリシーの編集
ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。ポリシーは JSON ドキュメントとして AWS に格納され、IAM の アイデンティティベースのポリシー としてプリンシパルに添付されます。IAM ユーザーグループ、ユーザー、ロールなどのプリンシパル (またはアイデンティティ) に、アイデンティティベースのポリシーをアタッチできます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。IAM でカスタマー管理ポリシーとインラインポリシーを編集できます。AWS 管理ポリシーは編集できません。AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM クォータおよび AWS STS クォータ、名前の要件、および文字の制限」を参照してください。
トピック
ポリシーアクセスの確認
ポリシーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。
カスタマー管理ポリシーの編集 (コンソール)
カスタマー管理ポリシーを編集して、ポリシーで定義されたアクセス許可を変更することができます。カスタマー管理ポリシーは最大 5 つのバージョンを持つことができます。これは、管理ポリシーのバージョンを 5 つ以上にする必要がある場合は、AWS Management Console より、削除するバージョンを指定するよう求められるため、重要です。 ポリシーを編集する前に、デフォルトのバージョンを変更したり、ポリシーのバージョンを削除したりすることもできます。バージョンの詳細については、「IAM ポリシーのバージョニング」を参照してください。
カスタマー管理ポリシーを編集するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー] を選択します。
-
ポリシーの一覧で、編集するポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。
-
[Permissions (アクセス許可)] タブを選択し、[ポリシーの編集] を選択します。
-
次のいずれかを実行します。
-
[Visual editor (ビジュアルエディタ)] タブを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシードキュメントへの変更が完了したら、[ポリシーの確認] を選択します。
-
[JSON] タブを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[ポリシーの確認] を選択します。
注記 いつでも [Visual editor] (ビジュアルエディタ) タブと [JSON] タブを切り替えることができます。ただし、[Visual editor] タブで [Review policy] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。
-
-
[確認] ページで、ポリシーの [概要] を確認してから、[変更の保存] を選択して作業を保存します。
-
最大 5 つのバージョンの管理ポリシーがすでにある場合は、[保存] を選択すると、ダイアログボックスが表示されます。新しいバージョンを保存するには、以前のバージョンを 1 つ以上削除する必要があります。デフォルトのバージョンを削除することはできません。次のオプションから選択します。
-
[最も古いデフォルトでないポリシーのバージョンの削除 (バージョン v# - # 日前に作成)] – このオプションを使用して、削除予定のバージョンおよび作成日時を確認します。デフォルト以外のすべてのバージョンの JSON のポリシードキュメントを表示するには、2 つ目のオプション [削除するバージョンの選択] を選択します。
-
[削除するバージョンの選択] – このオプションを使用して JSON ポリシードキュメントを表示し、削除するバージョンを 1 つ以上選択します。
削除するバージョンを選択したら、[バージョンの削除と保存] を選択して、新しいポリシーバージョンを保存します。
-
カスタマー管理ポリシーのデフォルトバージョンを設定するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー] を選択します。
-
ポリシーのリストで、デフォルトバージョンを設定するポリシーのポリシー名を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。
-
[ポリシーのバージョン] タブを選択します。デフォルトのバージョンとして設定するバージョンの横にあるチェックボックスをオンにし、[デフォルトとして設定] を選択します。
カスタマー管理ポリシーのバージョンを削除するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー] を選択します。
-
削除するバージョンのカスタマー管理ポリシーの名前を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。
-
[ポリシーのバージョン] タブを選択します。削除するバージョンの横にあるチェックボックスをオンにします。その後、[Delete] (削除) をクリックします。
-
バージョンを削除することを確認し、[Delete (削除)] を選択します。
インラインポリシーの編集 (コンソール)
インラインポリシーは AWS Management Console から編集できます。
ユーザー、ユーザーグループ、ロールのインラインポリシーを編集するには (コンソール)
-
ナビゲーションペインで、[ユーザー]、[ユーザーグループ]、または [ロール] を選択します。
-
ポリシーを修正するユーザー、ユーザーグループ、またはロールの名前を選択します。次に [Permissions (アクセス許可)] タブを選択し、ポリシーを展開します。
-
インラインポリシーを編集するには、[ポリシーの編集] を選択します。
-
次のいずれかを実行します。
-
[Visual editor (ビジュアルエディタ)] タブを選択し、JSON 構文を理解することなくポリシーを変更します。ポリシー内の各権限ブロックのサービス、アクション、リソース、またはオプションの条件を変更することができます。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシードキュメントへの変更が完了したら、[ポリシーの確認] を選択します。
-
[JSON] タブを選択し、JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。また、ポリシーをインポートして、ポリシーの最下部に権限を追加することもできます。ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[errors, or general warnings generated during policy validation, and then choose ポリシーの確認]を選択します。現在アタッチされているエンティティには影響を与えず変更を保存するには、[デフォルトのバージョンとして設定] チェックボックスをオフにします。
注記 いつでも [Visual editor] (ビジュアルエディタ) タブと [JSON] タブを切り替えることができます。ただし、[Visual editor] タブで [Review policy] を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。
-
-
[確認] ページで、ポリシーの [概要] を確認してから、[変更の保存] を選択して作業を保存します。
カスタマー管理ポリシーの編集 (AWS CLI)
カスタマー管理ポリシーは AWS Command Line Interface (AWS CLI) で編集できます。
マネージド ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。
カスタマー管理ポリシーを編集するには (AWS CLI)
-
(オプション) ポリシーの情報を表示するには、以下のコマンドを実行します。
-
管理ポリシーを一覧表示するには: list-policies
-
管理ポリシーの詳細情報を取得するには: get-policy
-
-
(オプション) ポリシーとアイデンティティとの関係を確認するには、以下のコマンドを実行します。
-
管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:
-
アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされた管理ポリシーを一覧表示する場合:
-
-
カスタマー管理ポリシーを編集するには、次のコマンドを実行します。
-
(オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer コマンドを実行します。
カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS CLI)
-
(オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。
-
カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のコマンドを実行します。
カスタマー管理ポリシーのバージョンを削除するには (AWS CLI)
-
(オプション) 管理ポリシーを一覧表示するには、次のコマンドを実行します。
-
カスタマー管理ポリシーを削除するには、次のコマンドを実行します。
カスタマー管理ポリシーの編集 (AWS API)
カスタマー管理ポリシーは AWS API で編集できます。
マネージド ポリシーは最大 5 つのバージョンを持つことができます。変更するカスタマー管理ポリシーのバージョンが 5 つを超える場合は、最初に 1 つ以上の既存のバージョンを削除する必要があります。
カスタマー管理ポリシーを編集するには (AWS API)
-
(オプション) ポリシーの情報を表示するには、以下のオペレーションを呼び出します。
-
管理ポリシーを一覧表示するには: ListPolicies
-
管理ポリシーの詳細情報を取得するには: GetPolicy
-
-
(オプション) ポリシーとアイデンティティとの関係を確認するには、以下のオペレーションを呼び出します。
-
管理ポリシーがアタッチされたアイデンティティ (ユーザー、ユーザーグループ、およびロール) を一覧表示する場合:
-
アイデンティティ (ユーザー、ユーザーグループ、ロール) にアタッチされた管理ポリシーを一覧表示する場合:
-
-
カスタマー管理ポリシーを編集するには、次のオペレーションを呼び出します。
-
(オプション) カスタマー管理ポリシーを検証するには、次の IAM Access Analyzer オペレーションを呼び出します。
カスタマー管理ポリシーのデフォルトバージョンを設定するには (AWS API)
-
(オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。
-
カスタマー管理ポリシーのデフォルトバージョンを設定するには、次のオペレーションを呼び出します。
カスタマー管理ポリシーのバージョンを削除するには (AWS API)
-
(オプション) 管理ポリシーを一覧表示するには、次のオペレーションを呼び出します。
-
カスタマー管理ポリシーを削除するには、次のオペレーションを呼び出します。