AWS Identity and Access Management
ユーザーガイド

IAM ユーザーのアクセス許可の変更

AWS アカウント内の IAM ユーザーのアクセス許可を変更するには、グループメンバーシップを変更するか、既存のユーザーからアクセス許可をコピーするか、ユーザーに直接ポリシーをアタッチするか、またはアクセス許可の境界を設定することができます。アクセス許可の境界では、ユーザーに許可されるアクセス許可の上限を設定します。アクセス許可の境界は AWS のアドバンスド機能です。

ユーザーのアクセス権限の変更に必要なアクセス権限の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

ユーザーアクセスの表示

ユーザーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。サービスの最終アクセス時間データの表示の詳細については、「サービスの最終アクセス時間データを使用したアクセス許可の制限」を参照してください。

ユーザーへのアクセス許可の追加 (コンソール)

IAM では 3 つの方法でユーザーにアクセス許可ポリシーを追加できます。

  • ユーザーをグループに追加する – ユーザーをグループのメンバーにします。グループのポリシーがユーザーにアタッチされます。

  • 既存のユーザーからアクセス許可をコピーする – すべてのグループメンバーシップ、アッタチされた管理ポリシー、インラインポリシー、および既存のアクセス許可の境界をソースユーザーからコピーします。

  • ポリシーをユーザーに直接アタッチする – 管理ポリシーをユーザーに直接アタッチします。ベストプラクティスとして、代わりにポリシーをグループにアタッチし、ユーザーを適切なグループのメンバーにすることをお勧めします。

重要

ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で許可されている以上のアクセス許可をユーザーに追加することはできません。

ユーザーをグループに追加することによるアクセス権限の追加

ユーザーをグループに追加した結果は、すぐにユーザーに反映されます。

ユーザーをグループに追加することでアクセス許可をユーザーに追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. コンソールの [グループ] 列で、ユーザーの現在のグループメンバーシップを確認します。必要に応じて、次の手順を実行して、その列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定のシンボル ( 
                    Settings icon
                  ) を選択します。

    2. [Manage Columns (列の管理)] ダイアログボックスで、[グループ] 列を選択します。必要に応じて、ユーザーテーブルに表示しない列見出しのチェックボックスをオフにすることもできます。

    3. [Close (閉じる)] を選択して、ユーザーのリストに戻ります。

    [グループ] 列に、ユーザーが属するグループが表示されます。この列には、グループ名を 2 つまで表示できます。ユーザーが 3 つ以上のグループのメンバーである場合は、最初の 2 つのグループ (アルファベット順) が表示されます。その他のグループメンバーシップは数のみ表示されます。たとえば、ユーザーが、グループ A、グループ B、グループ C、グループ D に所属している場合、フィールドには [Group A, Group B + 2 more (グループ A、グループ B、他 2 グループ)] という値が表示されます。ユーザーが所属している合計グループ数を表示するには、[Group count (グループ数)] 列をユーザーのテーブルに追加します。

  4. 変更するアクセス許可を持つユーザーの名前を選択します。

  5. [Permissions (アクセス許可)] タブを選択してから、[アクセス許可の追加] を選択します。[Add user to group] を選択します。

  6. ユーザーが参加する各グループのチェックボックスをオンにします。リストには、各グループの名前と、そのグループのメンバーとなった場合にユーザーが受け取るポリシーが表示されます。

  7. (オプション) 既存のグループの選択に加えて、[グループの作成] を選択して新しいグループを定義することができます。

    1. 新しいタブで、[グループ名] に新しいグループの名前を入力します。

      注記

      グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTGROUP というグループと testgroup というグループを作成することはできません。IAM エンティティに関する制限の詳細については、「IAM エンティティおよびオブジェクトの制限」を参照してください。

    2. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[ポリシーの作成] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh (更新)] を選択した後、グループにアタッチする新しいポリシーを選択します。詳細については、「IAM ポリシーの作成」を参照してください。

    3. [Create group] を選択します。

    4. 元のタブに戻り、グループのリストを更新します。次に、新しいグループのチェックボックスをオンにします。

  8. [Next: Review (次へ: 確認)] を選択して、ユーザーに追加するグループメンバーシップのリストを表示します。次に、[アクセス許可の追加] を選択します。

別のユーザーにコピーすることによるアクセス権限の追加

アクセス許可をコピーした結果は、すぐにユーザーに反映されます。

別のユーザーからアクセス許可をコピーしてアクセス許可をユーザーに追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択して、変更するアクセス許可を持つユーザーの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  3. [Add permissions (アクセス許可の追加)]、[Copy permissions from existing user (既存のユーザーからアクセス許可をコピー)] の順に選択します。リストには、使用可能なユーザーと、そのグループメンバーシップ、アタッチされたポリシーが表示されます。グループやポリシーの完全なリストが 1 行に収まらない場合は、[and n more (さらに n 個追加)] リンクを選択できます。これを行うこと、新しいブラウザタブを開き、ポリシー ([Permissions (アクセス許可)] タブ)、グループ ([グループ] タブ) の詳細なリストが表示されます。

  4. コピーするアクセス権限を持つユーザーの横のラジオボタンをオンにします。

  5. [Next: Review (次へ: 確認))] を選択して、ユーザーに加える変更のリストを表示します。次に、[アクセス許可の追加] を選択します。

ポリシーをユーザーに直接アタッチすることによるアクセス権限の追加

ポリシーをアタッチした結果は、すぐにユーザーに反映されます。

管理ポリシーを直接アタッチすることでユーザーにアクセス許可を追加するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択して、変更するアクセス許可を持つユーザーの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  3. [アクセス許可の追加]、[Attach existing policies directly (既存のポリシーをユーザーに直接アタッチ)] の順に選択します。

  4. ユーザーにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[ポリシーの作成] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻ります。[Refresh (更新)] を選択した後、ユーザーにアタッチする新しいポリシーのチェックボックスをオンにします。詳細については、「IAM ポリシーの作成」を参照してください。

  5. [Next: Review (次へ: 確認)] を選択して、ユーザーにアタッチするポリシーのリストを表示します。次に、[アクセス許可の追加] を選択します。

ユーザーのアクセス許可の境界の設定

アクセス許可の境界を設定した結果は、すぐにユーザーに反映されます。

ユーザーのアクセス許可の境界を設定するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. アクセス許可の境界を変更する対象のユーザーの名前を選択します。

  4. [Permissions] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Set boundary (境界の設定)] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Set boundary (境界の設定)] を選択します。

ユーザーのアクセス許可の変更 (コンソール)

IAM では 3 つの方法で、ユーザーに関連付けられているアクセス許可を変更できます。

  • アクセス許可ポリシーの編集 – ユーザーのインラインポリシーまたはユーザーのグループのインラインポリシーを編集するか、ユーザーにアタッチされている管理ポリシーを直接またはグループを介して編集します。ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で使用されているポリシーで許可される以上のアクセス許可をユーザーに付与することはできません。

  • アクセス許可の境界の変更 – ユーザーのアクセス許可の境界として使用されているポリシーを変更します。この変更に伴って、ユーザーに許可されるアクセス許可の上限が拡張または縮小される場合があります。

ユーザーにアタッチされているアクセス許可ポリシーの編集

アクセス許可を変更した結果は、すぐにユーザーに反映されます。

ユーザーにアタッチされている管理ポリシーを編集するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. アクセス許可ポリシーを変更する対象のユーザーの名前を選択します。

  4. [Permissions] タブを選択します。必要に応じて、[Permissions policies (アクセス許可ポリシー)] セクションを開きます。

  5. ポリシーの詳細を表示するために編集するポリシーの名前を選択します。[Used as (用途)] を選択し、ポリシーを編集した場合に影響を受ける可能性がある他のエンティティを確認します。

  6. [Permissions (アクセス許可)] タブを選択し、ポリシーで付与されるアクセス許可を確認します。[ポリシーの編集] を選択します。

  7. [Visual editor (ビジュアルエディタ)] タブまたは [JSON] タブを使用してポリシーを編集します。詳細については、「IAM ポリシーの編集」を参照してください。

  8. [ポリシーの確認] を選択し、ポリシーの概要を確認します。次に、[変更の保存] を選択します。

ユーザーのアクセス許可の境界の変更

アクセス許可の境界を変更した結果は、すぐにユーザーに反映されます。

ユーザーのアクセス許可の境界を設定するために使用されているポリシーを変更するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. アクセス許可の境界を変更する対象のユーザーの名前を選択します。

  4. [Permissions] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Change boundary (境界の変更)] を選択します。

ユーザーからのアクセス許可ポリシーの削除 (コンソール)

ポリシーを削除した結果は、すぐにユーザーに反映されます。

IAM ユーザーのアクセス許可を取り消すには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. アクセス許可の境界を削除する対象のユーザーの名前を選択します。

  4. [Permissions] タブを選択します。

  5. 既存のポリシーを削除してアクセス許可を取り消す場合は、[ポリシータイプ] を表示して、ユーザーがそのポリシーを取得する方法を理解してから、[X] を選択してポリシーを削除します。

    • グループメンバーシップのためにポリシーが適用されている場合、[X] を選択して、ユーザーをそのグループから削除します。1 つのグループには複数のポリシーがアタッチされている場合があります。グループからユーザーを削除すると、そのユーザーは、グループメンバーシップを通じて受け取ったすべてのポリシーへのアクセスを失います。

    • ポリシーがユーザーに直接アタッチされた管理ポリシーの場合、[X] を選択して、ユーザーへのポリシーのアタッチを解除します。これは、そのポリシー自体やそのポリシーがアタッチされている他のエンティティに影響を与えません。

    • ポリシーがインライン埋め込みポリシーの場合、[X] を選択して、IAM からポリシーを削除します。ユーザーに直接アタッチされたインラインポリシーは、そのユーザーにのみ存在します。

ユーザーからのアクセス許可の境界の削除 (コンソール)

アクセス許可の境界を削除した結果は、すぐにユーザーに反映されます。

ユーザーからアクセス許可の境界を削除するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. アクセス許可の境界を削除する対象のユーザーの名前を選択します。

  4. [Permissions] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Remove boundary (境界の削除)] を選択します。

  5. [削除] を選択してアクセス許可の境界を削除することを確定します。

ユーザーのアクセス許可の追加と削除 (AWS CLI または AWS API)

アクセス許可をプログラムにより追加または削除するには、グループメンバーシップの追加または削除、管理ポリシーのアタッチまたはデタッチ、インラインポリシーの追加または削除のいずれかを行う必要があります。詳細については、次のトピックを参照してください。