IAM ユーザーのアクセス許可の変更 - AWS Identity and Access Management
ユーザーアクセスの表示ユーザーのアクセスアクティビティに基づくポリシーの生成ユーザーへのアクセス許可の追加 (コンソール)ユーザーのアクセス許可の変更 (コンソール)ユーザーからのアクセス許可ポリシーの削除 (コンソール)ユーザーからのアクセス許可の境界の削除 (コンソール)ユーザーのアクセス許可の追加と削除 (AWS CLI または AWS API)

IAM ユーザーのアクセス許可の変更

AWS アカウント 内の IAM ユーザーのアクセス許可を変更するには、グループメンバーシップを変更するか、既存のユーザーからアクセス許可をコピーするか、ユーザーに直接ポリシーをアタッチするか、またはアクセス許可の境界を設定することができます。アクセス許可の境界では、ユーザーに許可されるアクセス許可の上限を設定します。アクセス許可の境界は AWS のアドバンスド機能です。

ユーザーのアクセス権限の変更に必要なアクセス権限の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

ユーザーアクセスの表示

ユーザーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。

ユーザーのアクセスアクティビティに基づくポリシーの生成

IAM エンティティ (ユーザーまたはロール) に必要な権限を超えるアクセス許可を付与することがあります。付与するアクセス権限を調整するために、エンティティのアクセスアクティビティに基づく IAM ポリシーを生成できます。IAM Access Analyzer は AWS CloudTrail ログを確認し、指定した日付範囲内のロールが使用したアクセス許可を含むポリシーテンプレートを生成します。テンプレートを使用して、きめ細かなアクセス権限で管理ポリシーを作成し、それを IAM エンティティにアタッチできます。これにより、特定のユースケースでロールが AWS リソースとインタラクションするために必要なアクセス権限のみを付与します。詳細については、「アクセスアクティビティに基づいてポリシーを生成する」を参照してください。

ユーザーへのアクセス許可の追加 (コンソール)

IAM では 3 つの方法でユーザーにアクセス許可ポリシーを追加できます。

  • ユーザーをグループに追加する – IAM ユーザーをグループのメンバーにします。グループのポリシーがユーザーにアタッチされます。

  • 既存のユーザーからアクセス許可をコピーする – すべてのグループメンバーシップ、アタッチされた管理ポリシー、インラインポリシー、および既存のアクセス許可の境界をソースユーザーからコピーします。

  • ポリシーをユーザーに直接アタッチする – 管理ポリシーをユーザーに直接アタッチします。アクセス許可の管理を簡単にするために、ポリシーをグループに割り当ててから、ユーザーを適切なグループのメンバーにします。

重要

ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で許可されている以上のアクセス許可をユーザーに追加することはできません。

ユーザーをグループに追加することによるアクセス権限の追加

ユーザーをグループに追加した結果は、すぐにユーザーに反映されます。

ユーザーをグループに追加することでアクセス許可をユーザーに追加するには

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. コンソールの [グループ] 列で、ユーザーの現在のグループメンバーシップを確認します。必要に応じて、次の手順を実行して、その列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定のシンボル ( Settings icon ) を選択します。

    2. [Manage Columns (列の管理)] ダイアログボックスで、[グループ] 列を選択します。必要に応じて、ユーザーテーブルに表示しない列見出しのチェックボックスをオフにすることもできます。

    3. [Close (閉じる)] を選択して、ユーザーのリストに戻ります。

    [グループ] 列に、ユーザーが属するグループが表示されます。この列には、グループ名を 2 つまで表示できます。ユーザーが 3 つ以上のグループのメンバーである場合は、最初の 2 つのグループ (アルファベット順) が表示されます。その他のグループメンバーシップは数のみ表示されます。例えば、ユーザーが、グループ A、グループ B、グループ C、グループ D に所属している場合、フィールドには [Group A, Group B + 2 more (グループ A、グループ B、他 2 グループ)] という値が表示されます。ユーザーが所属している合計グループ数を表示するには、[Group count (グループ数)] 列をユーザーのテーブルに追加します。

  4. 変更するアクセス許可を持つユーザーの名前を選択します。

  5. [Permissions (アクセス許可)] タブを選択してから、[アクセス許可の追加] を選択します。[Add user to group] を選択します。

  6. ユーザーが参加する各グループのチェックボックスをオンにします。リストには、各グループの名前と、そのグループのメンバーとなった場合にユーザーが受け取るポリシーが表示されます。

  7. (オプション) 既存のグループの選択に加えて、[グループの作成] を選択して新しいグループを定義することができます。

    1. 新しいタブで、[ユーザーグループ名] に新しいグループの名前を入力します。

      注記

      AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、TESTGROUP というグループと testgroup というグループを作成することはできません。

    2. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[ポリシーの作成] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh (更新)] を選択した後、グループにアタッチする新しいポリシーを選択します。詳細については、「IAM ポリシーの作成」を参照してください。

    3. [ユーザーグループの作成] を選択します。

    4. 元のタブに戻り、グループのリストを更新します。次に、新しいグループのチェックボックスをオンにします。

  8. [次へ] を選択して、ユーザーに追加するグループメンバーシップのリストを表示します。次に、[アクセス許可の追加] を選択します。

別のユーザーにコピーすることによるアクセス権限の追加

アクセス許可をコピーした結果は、すぐにユーザーに反映されます。

別のユーザーからアクセス許可をコピーしてアクセス許可をユーザーに追加するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ユーザー] を選択して、変更するアクセス許可を持つユーザーの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  3. [Add permissions (アクセス許可の追加)]、[Copy permissions from existing user (既存のユーザーからアクセス許可をコピー)] の順に選択します。リストには、使用可能なユーザーと、そのグループメンバーシップ、アタッチされたポリシーが表示されます。グループやポリシーの完全なリストが 1 行に収まらない場合は、[and n more (さらに n 個追加)] リンクを選択できます。これを行うこと、新しいブラウザタブを開き、ポリシー ([Permissions (アクセス許可)] タブ)、グループ ([グループ] タブ) の詳細なリストが表示されます。

  4. コピーするアクセス権限を持つユーザーの横のラジオボタンをオンにします。

  5. [次へ] を選択して、ユーザーに加える変更のリストを表示します。次に、[アクセス許可の追加] を選択します。

ポリシーをユーザーに直接アタッチすることによるアクセス権限の追加

ポリシーをアタッチした結果は、すぐにユーザーに反映されます。

管理ポリシーを直接アタッチすることでユーザーにアクセス許可を追加するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ユーザー] を選択して、変更するアクセス許可を持つユーザーの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  3. [アクセス許可の追加][ポリシーを直接アタッチする] の順に選択します。

  4. ユーザーにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[ポリシーの作成] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻ります。[Refresh (更新)] を選択した後、ユーザーにアタッチする新しいポリシーのチェックボックスをオンにします。詳細については、「IAM ポリシーの作成」を参照してください。

  5. [次へ] を選択して、ユーザーにアタッチするポリシーのリストを表示します。次に、[アクセス許可の追加] を選択します。

ユーザーのアクセス許可の境界の設定

アクセス許可の境界を設定した結果は、すぐにユーザーに反映されます。

ユーザーのアクセス許可の境界を設定するには

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセス許可の境界を変更する対象のユーザーの名前を選択します。

  4. [Permissions] (許可) タブを選択します。必要に応じて、[アクセス許可の境界] セクションを開き、[境界の設定] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Set boundary (境界の設定)] を選択します。

ユーザーのアクセス許可の変更 (コンソール)

IAM では、次の方法でユーザーに関連付けられているアクセス許可を変更できます。

  • アクセス許可ポリシーの編集 – ユーザーのインラインポリシーまたはユーザーのグループのインラインポリシーを編集するか、ユーザーにアタッチされている管理ポリシーを直接またはグループを介して編集します。ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で使用されているポリシーで許可される以上のアクセス許可をユーザーに付与することはできません。

  • アクセス許可の境界の変更 – ユーザーのアクセス許可の境界として使用されているポリシーを変更します。この変更に伴って、ユーザーに許可されるアクセス許可の上限が拡張または縮小される場合があります。

ユーザーにアタッチされているアクセス許可ポリシーの編集

アクセス許可を変更した結果は、すぐにユーザーに反映されます。

ユーザーにアタッチされている管理ポリシーを編集する

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセス許可ポリシーを変更する対象のユーザーの名前を選択します。

  4. [Permissions] (許可) タブを選択します。必要に応じて、[Permissions policies (アクセス許可ポリシー)] セクションを開きます。

  5. ポリシーの詳細を表示するために編集するポリシーの名前を選択します。[ポリシーの用途] タブを選択し、ポリシーを編集した場合に影響を受ける可能性がある他のエンティティを確認します。

  6. [Permissions (アクセス許可)] タブを選択し、ポリシーで付与されるアクセス許可を確認します。[ポリシーの編集] を選択します。

  7. ポリシーを編集し、ポリシー検証に関する推奨事項を解決します。詳細については、「IAM ポリシーの編集」を参照してください。

  8. [ポリシーの確認] を選択し、ポリシーの概要を確認します。次に、[変更の保存] を選択します。

ユーザーのアクセス許可の境界の変更

アクセス許可の境界を変更した結果は、すぐにユーザーに反映されます。

ユーザーのアクセス許可の境界を設定するために使用されているポリシーを変更するには

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセス許可の境界を変更する対象のユーザーの名前を選択します。

  4. [Permissions] (許可) タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Set boundary (境界の設定)] を選択します。

ユーザーからのアクセス許可ポリシーの削除 (コンソール)

ポリシーを削除した結果は、すぐにユーザーに反映されます。

IAM ユーザーのアクセス許可を取り消すには

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセス許可の境界を削除する対象のユーザーの名前を選択します。

  4. [Permissions] (許可) タブを選択します。

  5. 既存のポリシーを削除してアクセス許可を取り消す場合は、[タイプ] を表示して、ユーザーがそのポリシーを取得する方法を理解してから、[削除] を選択してポリシーを削除します。

    • グループメンバーシップのためにポリシーが適用されている場合、[削除] を選択して、ユーザーをそのグループから削除します。1 つのグループには複数のポリシーがアタッチされている場合があります。グループからユーザーを削除すると、そのユーザーは、グループメンバーシップを通じて受け取ったすべてのポリシーへのアクセスを失います。

    • ポリシーがユーザーに直接アタッチされた管理ポリシーの場合、[削除] を選択して、ユーザーへのポリシーのアタッチを解除します。これは、そのポリシー自体やそのポリシーがアタッチされている他のエンティティに影響を与えません。

    • ポリシーがインライン埋め込みポリシーである場合は、[X] を選択すると、IAM からポリシーが削除されます。ユーザーに直接アタッチされたインラインポリシーは、そのユーザーにのみ存在します。

ユーザーからのアクセス許可の境界の削除 (コンソール)

アクセス許可の境界を削除した結果は、すぐにユーザーに反映されます。

ユーザーからアクセス許可の境界を削除するには

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセス許可の境界を削除する対象のユーザーの名前を選択します。

  4. [Permissions] (許可) タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Remove boundary (境界の削除)] を選択します。

  5. [境界の削除] を選択してアクセス許可の境界を削除することを確定します。

ユーザーのアクセス許可の追加と削除 (AWS CLI または AWS API)

アクセス許可をプログラムにより追加または削除するには、グループメンバーシップの追加または削除、管理ポリシーのアタッチまたはデタッチ、インラインポリシーの追加または削除のいずれかを行う必要があります。詳細については、次のトピックを参照してください。