ユーザーアクセスの表示 IAM ユーザーの一覧表示 IAM ユーザーの名前の変更 IAM ユーザーの削除 IAM ユーザーの非アクティブ化

IAM ユーザーの管理

Amazon Web Services には、AWS アカウントの IAM ユーザーを管理するための複数のツールが用意されています。アカウントまたは特定のグループの IAM ユーザーを一覧表示したり、ユーザーが属するすべてのユーザーグループを一覧表示したりできます。また、IAM ユーザーの名前変更やパスの変更をしたりできます。AWS アカウントから IAM ユーザーを削除または一時的に非アクティブ化します。

IAM ユーザーの管理ポリシーの追加、変更、または削除の詳細については、「IAM ユーザーのアクセス許可の変更」を参照してください。IAM ユーザーのインラインポリシーの管理の詳細については、「IAM ID のアクセス許可の追加および削除」、「IAM ポリシーの編集」、および「IAM ポリシーを削除する」を参照してください。ベストプラクティスは、インラインポリシーではなく管理ポリシーを使用することです。IAM キーポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。

IAM ユーザーパスワードの管理に関する詳細については、「IAM ユーザーのパスワードの管理」を参照してください。

トピック

ユーザーアクセスの表示
IAM ユーザーの一覧表示
IAM ユーザーの名前の変更
IAM ユーザーの削除
IAM ユーザーの非アクティブ化

ユーザーアクセスの表示

ユーザーを削除する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。

IAM ユーザーの一覧表示

IAM ユーザーを一覧表示するには、AWS アカウントまたは特定の IAM ユーザーグループで、ユーザーが属するすべてのユーザーグループを一覧表示します。ユーザーの一覧表示に必要な権限の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

アカウントのすべてのユーザーを一覧表示するには

AWS Management Console: ナビゲーションペインで [ユーザー] を選択します。コンソールには、AWS アカウント内のユーザーが表示されます。
AWS CLI: aws iam list-users
AWS API: ListUsers

特定のユーザーグループのユーザーを一覧表示するには

AWS Management Console: ナビゲーションペインで [ユーザーグループ] を選択し、ユーザーグループ名を選択してから、[ユーザー] タブを選択します。
AWS CLI: aws iam get-group
AWS API: GetGroup

ユーザーが所属しているすべてのユーザーグループを一覧表示するには

AWS Management Console: ナビゲーションペインで [ユーザー] を選択し、ユーザー名を選択してから、[グループ] タブを選択します。
AWS CLI: aws iam list-groups-for-user
AWS API: ListGroupsForUser

IAM ユーザーの名前の変更

ユーザーの名前またはパスを変更するには、AWS CLI、Tools for Windows PowerShell または AWS API を使用する必要があります。コンソールに、ユーザーの名前を変更するためのオプションはありません。ユーザーの名前の変更に必要なアクセス許可の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

ユーザーの名前またはパスを変更すると、以下のことが起こります。

ユーザーにアタッチされているポリシーは、新しい名前のユーザーにそのままアタッチされています。
ユーザーは名前が変わるだけで、所属するユーザーグループは変わりません。
ユーザーの一意の ID は変更されません。一意の ID の詳細については、「一意の識別子」を参照してください。
ユーザーをプリンシパル (このユーザーにはアクセスが許可されます) として参照しているリソースやロールのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。たとえば、Amazon S3 内のキューベースのポリシー、または Amazon SQS 内のリソースベースのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。

IAM は、ユーザーをリソースとして参照しているポリシーを、自動的に更新しません。新しい名前またはパスを使用するには、手動で更新する必要があります。たとえば、Richard というユーザーに自身の認証情報の管理を許可するポリシーがアタッチされているとします。名前を Richard から Rich に変更する場合、管理者はそのポリシーを更新して、次のリソースを


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

次のように変更する必要があります。


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

パスを変更する場合も同様です。管理者は、ユーザーの新しいパスを反映するようにポリシーを更新する必要があります。

ユーザーの名前を変更するには

AWS CLI: aws iam update-user
AWS API: UpdateUser

IAM ユーザーの削除

ユーザーが退職した場合、お客様の AWS アカウントから IAM ユーザーを削除することがあります。ユーザーが一時的に不在の場合は、IAM ユーザーの非アクティブ化の説明に従って、アカウントから削除する代わりに、そのユーザーのアクセスを非アクティブ化できます。

トピック

IAM ユーザーの削除 (コンソール)
IAM ユーザーの削除 (AWS CLI)

IAM ユーザーの削除 (コンソール)

AWS Management Console を使用して IAM ユーザーを削除すると、IAM によって以下の情報が自動的に削除されます。

ユーザー
すべてのグループメンバシップ (つまり、ユーザーは、メンバーとして所属していたすべての IAM ユーザーグループから削除されます)
ユーザーのパスワード
ユーザーのアクセスキー
ユーザーに組み込まれていたすべてのインラインポリシー（ユーザーグループのアクセス権限を通じてユーザーに適用されているポリシーは影響を受けません）

注記
IAM は、ユーザーを削除すると、ユーザーにアタッチされた管理ポリシーをすべて削除しますが、管理ポリシーは削除しません。
関連する MFA デバイス

IAM ユーザーを削除するには (コンソール)

AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
ナビゲーションペインで、[ユーザー] を選択し、ユーザー名または行そのものではなく、削除するユーザー名の横にあるチェックボックスをオンにします。
ページの上部で、[削除] を選択します。
確認ダイアログボックスで、テキスト入力フィールドにユーザー名を入力し、ユーザーの削除を確認します。[削除] を選択します。

IAM ユーザーの削除 (AWS CLI)

AWS CLI を使用してユーザーを削除する場合、AWS Management Console の場合とは異なり、ユーザーにアタッチされている項目を削除する必要があります。この手順では、そのプロセスについて説明します。

アカウントからユーザーを削除するには (AWS CLI)

ユーザーのパスワード（使用していた場合）を削除します.

aws iam delete-login-profile
ユーザーのアクセスキーを削除します (使用していた場合)。

aws iam list-access-keys (ユーザーのアクセスキーを一覧表示するには) および aws iam delete-access-key
ユーザーの署名証明書を削除します。認証情報を削除すると、完全に削除され、復元できないことに注意してください。

aws iam list-signing-certificates (ユーザーの署名証明書を一覧表示するには) および aws iam delete-signing-certificate
ユーザーの SSH パブリックキーを削除します (使用していた場合)。

aws iam list-ssh-public-keys (ユーザーの SSH パブリックキーを一覧表示するには) および aws iam delete-ssh-public-key
ユーザーの Git 認証情報を削除します。

aws iam list-service-specific-credentials (ユーザーの Git 認証情報を一覧表示するには) および aws iam delete-service-specific-credential
ユーザーの多要素認証 (MFA) デバイスを無効にします (使用していた場合)。

aws iam list-mfa-devices (ユーザーの MFA デバイスを一覧表示するには)、aws iam deactivate-mfa-device (デバイスを無効にするには)、aws iam delete-virtual-mfa-device (仮想 MFA デバイスを完全に削除するには)
ユーザーのインラインポリシーを削除します。

aws iam list-user-policies (ユーザーのインラインポリシーを一覧表示するには) および aws iam delete-user-policy (ポリシーをさくじょするには)
ユーザーにアタッチされているすべての管理ポリシーをデタッチします。

aws iam list-attached-user-policies (ユーザーにアタッチされているポリシーを一覧表示するには) および aws iam detach-user-policy (ポリシーをデタッチするには)
すべてのユーザーグループからユーザーを削除します。

aws iam list-groups-for-user (ユーザーが属するユーザーグループを一覧表示するには) および aws iam remove-user-from-group
ユーザーを削除。

aws iam delete-user

IAM ユーザーの非アクティブ化

IAM ユーザーが一時的に会社から離れるときは、そのユーザーを非アクティブ化する必要がある場合があります。IAM ユーザー認証情報を現状のままにしておき、AWS のアクセスをブロックすることができます。

ユーザーを非アクティブ化するには、AWS へのユーザーアクセスを拒否するポリシーを作成してアタッチします。ユーザーアクセスは後で復元できます。

ユーザーにアタッチしてアクセスを拒否できるポリシーを 2 例紹介します。

次のポリシーには期限を設けていません。ユーザーのアクセスを復元するには、ポリシーを削除する必要があります。


{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

次のポリシーには、2024 年 12 月 24 日午後 11 時 59 分 (UTC) にポリシーを開始し、2025 年 2 月 28 日午後 11 時 59 分 (UTC) にポリシーを終了するという条件があります。


{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM のサインインページでの MFA デバイスの使用

ユーザーのアクセス許可の変更