IAM ユーザーのパスワードを管理する - AWS Identity and Access Management

IAM ユーザーのパスワードを管理する

AWS Management Console を使用して AWS リソースを操作する IAM ユーザーには、サインインのためのパスワードが必要です。AWS アカウントの IAM ユーザーのパスワードを作成、変更、削除できます。

ユーザーにパスワードを割り当てると、ユーザーは、以下のような、アカウント用のサインイン URL を使用して AWS Management Console にサインインできます。

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

IAM ユーザーの AWS Management Console へのサインインの詳細については、AWS サインイン ユーザーガイドの「AWS にサインインする方法」を参照してください。

ユーザーは、パスワードが割り当てられている場合でも、AWS リソースへのアクセスにはやはりアクセス許可が必要です。デフォルトでは、ユーザーには何も権限が与えられていません。ユーザーに必要な権限を与えるには、ユーザーまたはユーザーが属しているグループにポリシーを割り当てます。ユーザーおよびグループの作成の詳細については、IAM アイデンティティ を参照してください。ポリシーを使用するアクセス許可設定の詳細については、IAM ユーザーのアクセス許可を変更するを参照してください。

ユーザーに自分のパスワードを変更する権限を付与できます。詳細については、「IAM ユーザーに自分のパスワード変更を許可する」を参照してください。ユーザーがアカウントのサインインページにアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「AWS へサインインする方法」を参照してください。

IAM ユーザーパスワードの作成、変更、削除 (コンソール)

AWS Management Console を使用して IAM ユーザーのパスワードを管理できます。

ユーザーが組織を離れる際、または今後 AWS へのアクセスが不要な場合には、使用されていた認証情報を検索し、それらが無効になっていることを確認する必要があります。必要のなくなった認証情報は削除することが理想的です。それらは必要に応じて、後日いつでも再作成できます。少なくとも、認証情報を変更して以前のユーザーがアクセスできないようにする必要があります。

IAM ユーザーのパスワードを追加するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. パスワードを作成するユーザーの名前を選択します。

  4. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスを有効にする] を選択します。

  5. [コンソールアクセスを有効にする][コンソールパスワード] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーの要件を満たす必要があります。

  6. サインイン時に新しいパスワードの作成を要求する場合は、[ユーザーは次回のサインインで新しいパスワードを作成する必要があります] を選択します。次に、[コンソールアクセスを有効にする] を選択します。

    重要

    [ユーザーは次回のサインインで新しいパスワードを作成する必要があります] オプションを選択した場合は、ユーザーにパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワード変更を許可する」を参照してください。

  7. パスワードを表示してユーザーと共有するには、[コンソールパスワード] ダイアログボックスで [表示] を選択します。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

IAM ユーザーのパスワードを変更するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. パスワードを変更するユーザーの名前を選択します。

  4. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスの管理] を選択します。

  5. [コンソールアクセスを管理] で、[パスワードをリセット] を選択します (まだ選択されていない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。

  6. [コンソールを通じたアクセス] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーが現在設定されていれば、そのポリシーの要件を満たす必要があります。

  7. サインイン時に新しいパスワードの作成を要求する場合は、[ユーザーは次回のサインインで新しいパスワードを作成する必要があります] を選択します。

    重要

    [ユーザーは次回のサインインで新しいパスワードを作成する必要があります] オプションを選択した場合は、ユーザーにパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワード変更を許可する」を参照してください。

  8. ユーザーのアクティブなコンソールセッションを取り消すには、[アクティブなコンソールセッションを取り消す] を選択します。次に、適用を選択します。

    ユーザーのアクティブなコンソールセッションを取り消すと、IAM によって、すべてのアクションに対するすべてのアクセス許可を拒否する新しいインラインポリシーがユーザーにアタッチされます。このポリシーに含まれる条件によって制限が適用されるのは、アクセス許可を取り消した時点より前にセッションが作成された場合と、その時点から約 30 秒後までにセッションが作成された場合のみです。アクセス許可が取り消された後にユーザーが新しいセッションを作成した場合、拒否ポリシーはそのユーザーに適用されません。ユーザーがこの方法を使用して自分のアクティブなコンソールセッションを取り消した場合、ユーザーは即時に AWS Management Consoleからサインアウトされます。

    重要

    ユーザーのアクティブなコンソールセッションを正常に取り消すには、そのユーザーに対して PutUserPolicy アクセス許可を持っている必要があります。これにより、AWSRevokeOlderSessions インラインポリシーをユーザーにアタッチできます。

  9. パスワードを表示してユーザーと共有するには、[コンソールパスワード] ダイアログボックスで [表示] を選択します。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

IAM ユーザーのパスワードを削除 (無効化) するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. パスワードを削除するユーザーの名前を選択します。

  4. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスの管理] を選択します。

  5. [コンソールアクセスを管理][コンソールアクセスを無効にする] を選択します (まだ選択していない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。

  6. ユーザーのアクティブなコンソールセッションを取り消すには、[アクティブなコンソールセッションを取り消す] を選択します。次に [アクセスの無効化] を選択します。

    重要

    ユーザーのアクティブなコンソールセッションを正常に取り消すには、そのユーザーに対して PutUserPolicy アクセス許可を持っている必要があります。これにより、AWSRevokeOlderSessions インラインポリシーをユーザーにアタッチできます。

    ユーザーのアクティブなコンソールセッションを取り消すと、IAM によって、すべてのアクションに対するすべてのアクセス許可を拒否する新しいインラインポリシーが IAM ユーザーに埋め込まれます。このポリシーに含まれる条件によって制限が適用されるのは、アクセス許可を取り消した時点より前にセッションが作成された場合と、その時点から約 30 秒後までにセッションが作成された場合のみです。アクセス許可が取り消された後にユーザーが新しいセッションを作成した場合、拒否ポリシーはそのユーザーに適用されません。ユーザーがこの方法を使用して自分のアクティブなコンソールセッションを取り消した場合、ユーザーは即時に AWS Management Consoleからサインアウトされます。

重要

パスワードを削除することで、AWS Management Console への IAM ユーザーアクセスを無効にできます。これにより、サインイン認証情報を使用して AWS Management Console にサインインすることができなくなります。権限を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き機能し、AWS CLI、Tools for Windows PowerShell、AWS API、または AWS Console Mobile Application 用のツールを介したアクセスを許可します。

IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)

AWS CLI API を使用して IAM ユーザーのパスワードを管理できます。

パスワードを作成するには (AWS CLI)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを作成するには、aws iam create-login-profile コマンドを実行します。

ユーザーのパスワードを変更するには (AWS CLI)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを変更するには、aws iam update-login-profile コマンドを実行します。

ユーザーのパスワードを削除 (無効化) するには (AWS CLI)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、aws iam get-user コマンドを実行します。

  3. パスワードを削除するには、aws iam delete-login-profile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS Management Console にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。

指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS CLI)
  1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: aws iam put-user-policy

    このインラインポリシーはすべてのアクセス許可を拒否し、aws:TokenIssueTime 条件キーを含みます。インラインポリシーの Condition 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。aws:TokenIssueTime 条件キーの値は、独自の値に置き換えてください。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: aws iam list-user-policies

  3. (オプション) IAM ユーザーに埋め込まれている名前付きのインラインポリシーを表示するには、次のコマンドを実行します: aws iam get-user-policy

IAM ユーザーパスワードの作成、変更、削除 (AWS API)

AWS API を使用して IAM ユーザーのパスワードを管理できます。

パスワードを作成するには (AWS API)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを作成するには、CreateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを変更するには (AWS API)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを変更するには、UpdateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを削除 (無効化) するには (AWS API)
  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、GetUser コマンドを実行します。

  3. パスワードを削除するには、DeleteLoginProfile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS Management Console にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。

指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS API)
  1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: PutUserPolicy

    このインラインポリシーはすべてのアクセス許可を拒否し、aws:TokenIssueTime 条件キーを含みます。インラインポリシーの Condition 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。aws:TokenIssueTime 条件キーの値は、独自の値に置き換えてください。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: ListUserPolicies

  3. (オプション) IAM ユーザーに埋め込まれている名前付きインラインポリシーを表示するには、次のコマンドを実行します: GetUserPolicy