ロールに対するアクセス許可を更新する - AWS Identity and Access Management

ロールに対するアクセス許可を更新する

ロールのアクセス許可ポリシーとアクセス許可の境界を更新するには、以下の手順を使用します。

前提条件: ロールへのアクセスを表示する

ロールのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用して AWS のアクセス許可を調整する」を参照してください。

ロールに対するアクセス許可ポリシーを更新する

ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

ロールで許可されているアクセス権限を変更するには (コンソール)
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [ロール] を選択します。

  3. 変更するロールの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  4. 次のいずれかを行います。

    • 既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択します。

      注記

      AWS の管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( Orange cube icon indicating a policy is managed by AWS. ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。

    • 既存の管理ポリシーをロールにアタッチするには、[Add permissions] (アクセス許可を追加) を選択して、[Attach policies] (ポリシーのアタッチ) を選択します。

    • 既存のインラインポリシーを編集するには、ポリシーを展開して、[Edit] (編集) を選択します。

    • 新しいインラインポリシーを埋め込むには、[Add permissions] (アクセス許可を追加) を選択して、[Create inline policy] (インラインポリシーの作成) を選択します。

    • ロールから既存のポリシーを削除するには、ポリシー名の横にあるチェックボックスを選択し、[削除] を選択します。

ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

ロールで許可されたアクセス許可を変更するには (AWS CLI)
  1. (オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のコマンドを実行します。

    1. aws iam list-role-policies (インラインポリシーの一覧表示)

    2. aws iam list-attached-role-policies (管理ポリシーの一覧表示)

  2. ロールのアクセス権限を更新するコマンドは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。

    管理ポリシーを更新するには、次のコマンドを実行して新しいバージョンの管理ポリシーを作成します。

    インラインポリシーを更新するには、次のコマンドを実行します。

ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

ロールで許可されたアクセス許可を変更するには (AWS API)
  1. (オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のオペレーションを呼び出します。

    1. ListRolePolicies (インラインポリシーの一覧表示)

    2. ListAttachedRolePolicies (管理ポリシーの一覧表示)

  2. ロールのアクセス許可を更新するオペレーションは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。

    管理ポリシーを更新するには、次のオペレーションを呼び出して新しいバージョンの管理ポリシーを作成します。

    インラインポリシーを更新するには、次のオペレーションを呼び出します。

ロールに対するアクセス許可の境界を更新する

ロールに許可されるアクセス許可の上限を変更するには、ロールのアクセス許可の境界を変更します。

ロールのアクセス許可の境界を設定するために使用するポリシーを変更するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択します。

  3. 変更するpermissions boundary (許可の境界) を持つロールの名前を選択します。

  4. [アクセス許可] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Change boundary (境界の変更)] を選択します。

    変更は、次にこのロールが引き受けられるまで有効になりません。

ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS CLI)
  1. (オプション) ロールの現在のアクセス許可の境界を表示するには、以下のコマンドを実行します。

  2. 別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のコマンドを実行します。

    ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。

ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS API)
  1. (オプション) ロールの現在のアクセス許可の境界を表示するには、以下のオペレーションを呼び出します。

  2. 別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のオペレーションを呼び出します。

    ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。