IAM ユーザーの管理
Amazon Web Services には、AWS アカウントの IAM ユーザーを管理するための複数のツールが用意されています。アカウントまたは特定のグループの IAM ユーザーを一覧表示したり、ユーザーが属するすべてのグループを一覧表示したりできます。また、IAM ユーザーの名前変更やパスの変更をしたりできます。AWS アカウントから IAM ユーザーを削除したりもできます。
IAM ユーザーの管理ポリシーの追加、変更、または削除の詳細については、「IAM ユーザーのアクセス権限の変更」を参照してください。IAM ユーザーのインラインポリシーの管理については、「IAM ID のアクセス許可の追加および削除」、「IAM ポリシーの編集」、「IAM ポリシーの削除」を参照してください。ベストプラクティスは、インラインポリシーではなく管理ポリシーを使用することです。
IAM ユーザーパスワードの管理に関する詳細については、「IAM ユーザーのパスワードの管理」を参照してください。
ユーザーアクセスの表示
ユーザーを削除する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス時間情報を使用した AWS のアクセス許可の調整」を参照してください。
IAM ユーザーの一覧表示
AWS アカウントまたは特定の IAM グループの IAM ユーザーを一覧表示したり、ユーザーが属するすべてのグループを一覧表示したりできます。ユーザーの一覧表示に必要な権限の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。
アカウントのすべてのユーザーを一覧表示するには
-
AWS マネジメントコンソール
: ナビゲーションペインで [ユーザー] を選択します。コンソールには、AWS アカウント内のユーザーが表示されます。 -
AWS CLI: aws iam list-users
-
AWS API: ListUsers
特定のグループのユーザーを一覧表示するには
-
AWS マネジメントコンソール
: ナビゲーションペインで [グループ] を選択し、グループ名を選択してから、[ユーザー] タブを選択します。 -
AWS CLI: aws iam get-group
-
AWS API: GetGroup
ユーザーが所属しているすべてのグループを一覧表示するには
-
AWS マネジメントコンソール
: ナビゲーションペインで [ユーザー] を選択し、ユーザー名を選択してから、[グループ] タブを選択します。 -
AWS CLI: aws iam list-groups-for-user
-
AWS API: ListGroupsForUser
IAM ユーザーの名前変更
ユーザーの名前またはパスを変更するには、AWS CLI、Tools for Windows PowerShell、または AWS API を使用する必要があります。コンソールに、ユーザーの名前を変更するためのオプションはありません。ユーザーの名前の変更に必要なアクセス許可の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。
ユーザーの名前またはパスを変更すると、以下のことが起こります。
-
ユーザーにアタッチされているポリシーは、新しい名前のユーザーにそのままアタッチされています。
-
ユーザーは名前が変わるだけで、所属するグループは変わりません。
-
ユーザーの一意の ID は変更されません。一意の ID の詳細については、「一意の識別子」を参照してください。
-
ユーザーをプリンシパル (このユーザーにはアクセスが許可されます) として参照しているリソースやロールのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。たとえば、Amazon SQS 内のキューベースのポリシー、または Amazon S3 内のリソースベースのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。
IAM は、ユーザーをリソースとして参照しているポリシーを、自動的に更新しません。新しい名前またはパスを使用するには、手動で更新する必要があります。たとえば、Richard
というユーザーに自身の認証情報の管理を許可するポリシーがアタッチされているとします。名前を Richard
から Rich
に変更する場合、管理者はそのポリシーを更新して、次のリソースを
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
次のように変更する必要があります。
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
パスを変更する場合も同様です。管理者は、ユーザーの新しいパスを反映するようにポリシーを更新する必要があります。
ユーザーの名前を変更するには
-
AWS CLI: aws iam update-user
-
AWS API: UpdateUser
IAM ユーザーの削除
従業員が退職した場合などには、アカウントから IAM ユーザーを削除することがあります。ユーザーが一時的に休職する場合は、AWS アカウントからユーザーを完全に削除する代わりに、そのユーザーの認証情報を無効にすることができます。この方法では、休職中のみこのユーザーから AWS アカウントのリソースへのアクセスを防ぎ、後でユーザーを再度有効化することができます。
認証情報の無効化の詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。ユーザーの削除に必要なアクセス権限の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。
IAM ユーザーの削除 (コンソール)
AWS マネジメントコンソールを使用して IAM ユーザーを削除すると、IAM によって以下の情報が自動的に削除されます。
-
ユーザー
-
すべてのグループメンバーシップ (つまり、ユーザーは、メンバーとして所属していたすべての IAM グループから削除されます)
-
ユーザーのパスワード
-
ユーザーのアクセスキー
-
ユーザーに組み込まれていたすべてのインラインポリシー(グループのアクセス権限を通じてユーザーに適用されているポリシーは影響を受けません)
注記 ユーザーを削除すると、このユーザーにアタッチされていた管理ポリシーはすべて、ユーザーからデタッチされます。ユーザーを削除しても、管理ポリシーは削除されません。
-
関連する MFA デバイス
IAM ユーザーを削除するには (コンソール)
-
AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/
)を開きます。 -
ナビゲーションペインで、[ユーザー] を選択し、ユーザー名または行そのものではなく、削除するユーザー名の横にあるチェックボックスをオンにします。
-
ページの上部で、[ユーザーの削除] を選択します。
-
確認ダイアログボックスでは、データを確認する前に最終アクセス時間情報がロードされるのを待ちます。ダイアログボックスに、選択されたユーザーごとに最後にいつ AWS サービスにアクセスしたかが表示されます。過去 30 日以内にアクティブであったユーザーを削除しようとする場合は、追加でチェックボックスを選択して、アクティブユーザーの削除を確認する必要があります。先に進む場合は、[Yes, Delete (はい、削除します)] を選択します。
IAM ユーザーの削除 (AWS CLI)
AWS CLI を使用してユーザーを削除する場合、AWS マネジメントコンソール の場合とは異なり、ユーザーにアタッチされている項目を削除する必要があります。この手順では、そのプロセスについて説明します。
アカウントからユーザーを削除するには (AWS CLI)
-
ユーザーのパスワード(使用していた場合)を削除します.
-
ユーザーのアクセスキーを削除します (使用していた場合)。
aws iam list-access-keys
(ユーザーのアクセスキーを一覧表示するには) およびaws iam delete-access-key
-
ユーザーの署名証明書を削除します。認証情報を削除すると、完全に削除され、復元できないことに注意してください。
aws iam list-signing-certificates
(ユーザーの署名証明書を一覧表示するには) およびaws iam delete-signing-certificate
-
ユーザーの SSH パブリックキーを削除します (使用していた場合)。
aws iam list-ssh-public-keys
(ユーザーの SSH パブリックキーを一覧表示するには) およびaws iam delete-ssh-public-key
-
ユーザーの Git 認証情報を削除します。
aws iam list-service-specific-credentials
(ユーザーの Git 認証情報を一覧表示するには) およびaws iam delete-service-specific-credential
-
ユーザーの 多要素認証 (MFA) デバイスを無効にします (使用していた場合)。
aws iam list-mfa-devices
(ユーザーの MFA デバイスを一覧表示するには)、aws iam deactivate-mfa-device
(デバイスを無効にするには)、aws iam delete-virtual-mfa-device
(仮想 MFA デバイスを完全に削除するには) -
ユーザーのインラインポリシーを削除します。
aws iam list-user-policies
(ユーザーのインラインポリシーを一覧表示するには) およびaws iam delete-user-policy
(ポリシーをさくじょするには) -
ユーザーにアタッチされているすべての管理ポリシーをデタッチします。
aws iam list-attached-user-policies
(ユーザーにアタッチされているポリシーを一覧表示するには) およびaws iam detach-user-policy
(ポリシーをデタッチするには) -
すべてのグループからユーザーを削除します。
aws iam list-groups-for-user
(ユーザーが属するグループを一覧表示するには) およびaws iam remove-user-from-group
-
ユーザーを削除します。