メニュー
AWS Identity and Access Management
ユーザーガイド

IAM グループの削除

AWS マネジメントコンソールのグループを削除すると、コンソールは自動的にすべてのグループメンバーを削除し、アタッチされていた管理ポリシーはすべてデタッチされて、すべてのインラインポリシーが削除されます。ただし、IAM では、グループをリソースとして参照しているポリシーは自動的に削除されません。グループを削除する際は注意してください。グループを削除する前に、すべてのポリシーを手動でチェックして、このグループを名前で記述しているポリシーを見つける必要があります。たとえば、Bob が組織のテスト部門のマネージャーであり、Test グループに対してユーザーの追加/削除を許可するポリシーを自分の IAM ユーザーエンティティにアタッチしているとします。管理者がグループを削除した場合、管理者は Bob にアタッチされたポリシーも削除する必要があります。

グループをリソースとして参照しているポリシーを見つけるには:

  1. IAM コンソールのナビゲーションペインから、[ポリシー] を選択します。

  2. [ポリシータイプ] ドロップダウンリストから [カスタマー管理ポリシー] を選択してポリシーをフィルタリングし、カスタムポリシーのみを表示します。

  3. 各ポリシー名の横にある矢印を選択して、ポリシーの要約を展開します。

  4. サービスのリストに [IAM] があれば、それを選択します。

  5. [リソース] 列でグループの名前を見つけます。

  6. [ポリシーの削除] を選択してポリシーを削除します。

これに対して、AWS CLI、Tools for Windows PowerShell、または AWS API を使用してグループを削除する場合は、グループを削除する前に、グループ内のユーザーとグループに組み込まれていたインラインポリシーを削除し、そのグループにアタッチされていた管理ポリシーをデタッチする必要があります。

IAM グループを削除するには(AWS マネジメントコンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [Navigation] ペインで [Groups] をクリックします。

  3. グループのリストで、削除するグループの名前の横にあるチェックボックスをオンにします。[Filter] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [Group Actions] をクリックしてから、[Delete Group] をクリックします。

  5. 確認ボックスで [Yes, Delete] をクリックします。

IAM グループを削除するには(AWS CLI、Tools for Windows PowerShell、AWS API)

  1. グループからすべてのユーザーを削除します。

    • CLI: aws iam get-group(グループのユーザーのリストを取得する)、aws iam remove-user-from-group(グループからユーザーを削除する)

    • Tools for Windows PowerShell:

      (Get-IAMGroup -GroupName "GroupToDelete").Users | Remove-IAMUserFromGroup -GroupName "GroupToDelete" -Force
    • AWS API: GetGroup (グループのユーザーのリストを取得する)、RemoveUserFromGroup(グループからユーザーを削除する)

  2. グループに組み込まれたインラインポリシーをすべて削除します。

    • CLI: aws iam list-group-policies(グループのインラインポリシーを取得する)、aws iam delete-group-policy(グループのインラインポリシーを削除する)

    • Tools for Windows PowerShell:

      Get-IAMGroupPolicies -GroupName "GroupToReplace" | % { Remove-IAMGroupPolicy -GroupName "GroupToReplace" -PolicyName $_ -Force}
    • AWS API: ListGroupPolicies(グループのインラインポリシーのリストを取得する)、DeleteGroupPolicy(グループのインラインポリシーを削除する)

  3. グループにアタッチされた管理ポリシーをすべてデタッチします。

    • CLI: aws iam list-attached-group-policies(グループにアタッチされた管理ポリシーのリストを取得する)、aws iam detach-group-policy(管理ポリシーをグループからデタッチする)

    • Tools for Windows PowerShell:

      Get-IAMAttachedUserPolicies -UserName "UserToDelete" | % { Unregister-IAMUserPolicy -PolicyArn $_.PolicyArn -UserName -UserName "UserToDelete" -Force }
    • AWS API: ListAttachedGroupPolicies(グループにアタッチされた管理ポリシーのリストを取得する)、DetachGroupPolicyグループから管理ポリシーをデタッチする)

  4. グループを削除します。