IAM ユーザーグループを作成する
注記
ベストプラクティスとして、一時的な認証情報の使用により AWS にアクセスするには、人間のユーザーに対して ID プロバイダーとのフェデレーションの使用を必須とすることをお勧めします。ベストプラクティスに従えば、IAM ユーザーやグループを管理することにはなりません。管理するのではなく、ユーザーとグループは AWS の外部で管理され、フェデレーション ID として AWS リソースにアクセスできます。フェデレーション ID は、エンタープライズユーザーディレクトリ、ウェブ ID プロバイダー、AWS Directory Service、Identity Center ディレクトリのユーザー、または ID ソースから提供された認証情報を使用して AWS のサービスにアクセスするユーザーです。フェデレーション ID は、ID プロバイダーが定義したグループを使用します。AWS IAM Identity Center を使用している場合は、IAM Identity Center でのユーザーとグループの作成に関する情報について、AWS IAM Identity Center ユーザーガイドの「Manage identities in IAM Identity Center」(IAM Identity Center での ID の管理) を参照してください。
ユーザーグループをセットアップするには、グループを作成する必要があります。次に、グループのユーザーに期待される作業のタイプに基づいて、グループにアクセス許可を付与します。最後に、ユーザーをグループに追加します。
ユーザーの作成に必要なアクセス許可の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。
IAM グループを作成してポリシーをアタッチするには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ユーザーグループ]、[グループの作成] の順に選択します。
-
[ユーザーグループ名] に、グループ名を入力します。
注記
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、
ADMINS
とadmins
というロール名を両方作成することはできません。 -
ユーザーのリストで、グループに追加する各ユーザーのチェックボックスをオンにします。
-
ポリシーのリストで、グループのすべてのメンバーに適用する各ポリシーのチェックボックスをオンにします。
-
[グループの作成] を選択します。
IAM ユーザーグループを作成するには(AWS CLI または AWS API)
以下のいずれかを使用します。
-
AWS CLI: aws iam create-group
-
AWS API: CreateGroup