IAM ユーザーのパスワードの管理 - AWS Identity and Access Management
IAM ユーザーパスワードの作成、変更、削除 (コンソール)IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)IAM ユーザーパスワードの作成、変更、削除 (AWS API)

IAM ユーザーのパスワードの管理

AWS マネジメントコンソール を使用して AWS リソースを操作する IAM ユーザーには、サインインのためのパスワードが必要です。AWS アカウントの IAM ユーザーのパスワードを作成、変更、削除できます。

ユーザーにパスワードを割り当てると、ユーザーは、以下のような、アカウント用のサインイン URL を使用して AWS マネジメントコンソール にサインインできます。 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

IAM ユーザーが AWS マネジメントコンソールにサインインする方法については、「IAM ユーザーまたは ルートユーザー としての AWS マネジメントコンソール へのサインイン」を参照してください。

手動で IAM ユーザーの個々のパスワードを作成することに加えて、AWS アカウントのすべての IAM ユーザーパスワードに適用されるパスワードポリシーを作成できます。

パスワードポリシーを使用して、次の操作を実行できます。

  • パスワードの最小の長さを設定する。

  • 大文字、小文字、数値、およびアルファベット以外の文字を含む特定の文字型が必要です。パスワードでは大文字と小文字が区別されることに必ずユーザーに知らせてください。

  • すべての IAM ユーザーが自分のパスワードを変更できるようにします。

    注記

    IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。

  • 指定した期間が経過したら、IAM ユーザーにパスワードを変更するように要求します (パスワードの失効を許可します)。

  • IAM ユーザーが以前のパスワードを再利用できないようにします。

  • IAM ユーザーがパスワードの失効を許可したときに、アカウント管理者への連絡を強制します。

アカウントのパスワードポリシーを管理する方法の詳細については、IAM ユーザー用のアカウントパスワードポリシーの設定 を参照してください。

ユーザーは、パスワードが割り当てられている場合でも、AWS リソースへのアクセスにはやはりアクセス許可が必要です。デフォルトでは、ユーザーには何も権限が与えられていません。ユーザーに必要な権限を与えるには、ユーザーまたはユーザーが属しているグループにポリシーを割り当てます。ユーザーおよびグループの作成の詳細については、ID (ユーザー、グループ、ロール)を参照してください。ポリシーを使用するアクセス許可設定の詳細については、IAM ユーザーのアクセス許可の変更を参照してください。

ユーザーに自分のパスワードを変更する権限を付与できます。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。アカウントサインインページへユーザーがアクセスする方法の詳細については、IAM ユーザーまたは ルートユーザー としての AWS マネジメントコンソール へのサインインを参照してください。

IAM ユーザーパスワードの作成、変更、削除 (コンソール)

AWS マネジメントコンソール を使用して IAM ユーザーのパスワードの管理できます。

ユーザーが組織を離れる際、または今後 AWS へのアクセスが不要な場合には、使用されていた認証情報を検索し、それらが無効になっていることを確認する必要があります。必要のなくなった認証情報は削除することが理想的です。それらは必要に応じて、後日いつでも再作成できます。少なくとも、認証情報を変更して以前のユーザーがアクセスできないようにする必要があります。

IAM ユーザーのパスワードを追加するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. パスワードを作成するユーザーの名前を選択します。

  4. [認証情報] タブを選択してから、[サインイン認証情報] で [Console password (コンソールパスワード)] の横の [パスワードの管理] を選択します。

  5. [Manage console access (コンソールアクセスの管理)] の [Console access (コンソールアクセス)] で、[Enable (有効化)] を選択します (まだ選択していない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。

  6. [Set password (パスワードの設定)] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーが現在設定されていれば、そのポリシーの要件を満たす必要があります。

  7. ユーザーに初回サインイン時に新しいパスワードの作成を求めるには、[Require password reset (パスワードのリセットが必要)] を選択します。次に、[Apply (適用)] を選択します。

    重要

    [Require password reset (パスワードのリセットが必要)] オプションを選択した場合は、ユーザーが自分のパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

  8. パスワードを生成するオプションを選択した場合は、[新しいパスワード] ダイアログボックスで [表示] を選択します。これにより、パスワードを確認できるため、ユーザーに伝えることができます。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

IAM ユーザーのパスワードを変更するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. パスワードを変更するユーザーの名前を選択します。

  4. [認証情報] タブを選択してから、[サインイン認証情報] で [Console password (コンソールパスワード)] の横の [パスワードの管理] を選択します。

  5. [Manage console access (コンソールアクセスの管理)] の [Console access (コンソールアクセス)] で、[Enable (有効化)] を選択します (まだ選択していない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。

  6. [Set password (パスワードの設定)] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーが現在設定されていれば、そのポリシーの要件を満たす必要があります。

  7. ユーザーに初回サインイン時に新しいパスワードの作成を求めるには、[Require password reset (パスワードのリセットが必要)] を選択します。次に、[Apply (適用)] を選択します。

    重要

    [Require password reset (パスワードのリセットが必要)] オプションを選択した場合は、ユーザーが自分のパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

  8. パスワードを生成するオプションを選択した場合は、[新しいパスワード] ダイアログボックスで [表示] を選択します。これにより、パスワードを確認できるため、ユーザーに伝えることができます。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

IAM ユーザーのパスワードを削除 (無効化) するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. パスワードを削除するユーザーの名前を選択します。

  4. [認証情報] タブを選択してから、[サインイン認証情報] で [Console password (コンソールパスワード)] の横の [パスワードの管理] を選択します。

  5. [Console access (コンソールアクセス)] で、[Disable (無効化)]、[Apply (適用)] の順に選択します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。

IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)

AWS CLI API を使用して IAM ユーザーのパスワードの管理できます。

パスワードを作成するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを作成するには、aws iam create-login-profile コマンドを実行します。

ユーザーのパスワードを変更するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを変更するには、aws iam update-login-profile コマンドを実行します。

ユーザーのパスワードを削除 (無効化) するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、aws iam get-user コマンドを実行します。

  3. パスワードを削除するには、aws iam delete-login-profile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウントから削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。

IAM ユーザーパスワードの作成、変更、削除 (AWS API)

AWS API を使用して IAM ユーザーのパスワードの管理できます。

パスワードを作成するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを作成するには、CreateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを変更するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを変更するには、UpdateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを削除 (無効化) するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、GetUser コマンドを実行します。

  3. パスワードを削除するには、DeleteLoginProfile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウントから削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。