ロールに対するアクセス許可を更新する
ロールのアクセス許可ポリシーとアクセス許可の境界を更新するには、以下の手順を使用します。
前提条件: ロールへのアクセスを表示する
ロールのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用して AWS のアクセス許可を調整する」を参照してください。
ロールに対するアクセス許可ポリシーを更新する
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
ロールで許可されているアクセス権限を変更するには (コンソール)
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM コンソールのナビゲーションペインで [ロール] を選択します。
-
変更するロールの名前を選択し、[Permissions (アクセス許可)] タブを選択します。
-
次のいずれかを行います。
-
既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択します。
注記
AWS の管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。
-
既存の管理ポリシーをロールにアタッチするには、[Add permissions] (アクセス許可を追加) を選択して、[Attach policies] (ポリシーのアタッチ) を選択します。
-
既存のインラインポリシーを編集するには、ポリシーを展開して、[Edit] (編集) を選択します。
-
新しいインラインポリシーを埋め込むには、[Add permissions] (アクセス許可を追加) を選択して、[Create inline policy] (インラインポリシーの作成) を選択します。
-
ロールから既存のポリシーを削除するには、ポリシー名の横にあるチェックボックスを選択し、[削除] を選択します。
-
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
ロールで許可されたアクセス許可を変更するには (AWS CLI)
-
(オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のコマンドを実行します。
-
aws iam list-role-policies (インラインポリシーの一覧表示)
-
aws iam list-attached-role-policies (管理ポリシーの一覧表示)
-
-
ロールのアクセス権限を更新するコマンドは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。
管理ポリシーを更新するには、次のコマンドを実行して新しいバージョンの管理ポリシーを作成します。
インラインポリシーを更新するには、次のコマンドを実行します。
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
ロールで許可されたアクセス許可を変更するには (AWS API)
-
(オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のオペレーションを呼び出します。
-
ListRolePolicies (インラインポリシーの一覧表示)
-
ListAttachedRolePolicies (管理ポリシーの一覧表示)
-
-
ロールのアクセス許可を更新するオペレーションは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。
管理ポリシーを更新するには、次のオペレーションを呼び出して新しいバージョンの管理ポリシーを作成します。
インラインポリシーを更新するには、次のオペレーションを呼び出します。
ロールに対するアクセス許可の境界を更新する
ロールに許可されるアクセス許可の上限を変更するには、ロールのアクセス許可の境界を変更します。
ロールのアクセス許可の境界を設定するために使用するポリシーを変更するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで Roles (ロール) を選択します。
-
変更するpermissions boundary (許可の境界) を持つロールの名前を選択します。
-
[アクセス許可] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。
-
アクセス許可の境界として使用するポリシーを選択します。
-
[Change boundary (境界の変更)] を選択します。
変更は、次にこのロールが引き受けられるまで有効になりません。
ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS CLI)
-
(オプション) ロールの現在のアクセス許可の境界を表示するには、以下のコマンドを実行します。
-
別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のコマンドを実行します。
ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。
ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS API)
-
(オプション) ロールの現在のアクセス許可の境界を表示するには、以下のオペレーションを呼び出します。
-
別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のオペレーションを呼び出します。
ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。