IAM ユーザーの管理 - AWS Identity and Access Management

IAM ユーザーの管理

Amazon Web Services には、AWS アカウントの IAM ユーザーを管理するための複数のツールが用意されています。アカウントまたはユーザーグループの IAM ユーザーを一覧表示したり、ユーザーが属するすべてのユーザーグループを一覧表示できます。また、IAM ユーザーの名前変更やパスの変更をしたりできます。AWS アカウントから IAM ユーザーを削除したりもできます。

IAM ユーザーの管理ポリシーの追加、変更、または削除の詳細については、「IAM ユーザーのアクセス権限の変更」を参照してください。IAM ユーザーのインラインポリシーの管理については、「IAM ID のアクセス許可の追加および削除」、「IAM ポリシーの編集」、「IAM ポリシーの削除」を参照してください。ベストプラクティスは、インラインポリシーではなく管理ポリシーを使用することです。IAM ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。

IAM ユーザーパスワードの管理に関する詳細については、「IAM ユーザーのパスワードの管理」を参照してください。

ユーザーアクセスの表示

ユーザーを削除する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス時間情報を使用した AWS のアクセス許可の調整」を参照してください。

IAM ユーザーの一覧表示

AWS アカウントまたは特定の IAM ユーザーグループの IAM ユーザーを一覧表示したり、ユーザーが所属しているすべてのユーザーグループを一覧表示できます。ユーザーの一覧表示に必要な権限の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

アカウントのすべてのユーザーを一覧表示するには

特定のユーザーグループのユーザーを一覧表示するには

ユーザーが所属しているすべてのユーザーグループを一覧表示するには

IAM ユーザーの名前変更

ユーザーの名前またはパスを変更するには、AWS CLI、Tools for Windows PowerShell、または AWS API を使用する必要があります。コンソールに、ユーザーの名前を変更するためのオプションはありません。ユーザーの名前の変更に必要なアクセス許可の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

ユーザーの名前またはパスを変更すると、以下のことが起こります。

  • ユーザーにアタッチされているポリシーは、新しい名前のユーザーにそのままアタッチされています。

  • ユーザーは名前が変わるだけで、所属するユーザーグループは変わりません。

  • ユーザーの一意の ID は変更されません。一意の ID の詳細については、「一意の識別子」を参照してください。

  • ユーザーをプリンシパル (このユーザーにはアクセスが許可されます) として参照しているリソースやロールのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。たとえば、Amazon SQS 内のキューベースのポリシー、または Amazon S3 内のリソースベースのポリシーは、新しい名前またはパスを使用するように自動的に更新されます。

IAM は、ユーザーをリソースとして参照しているポリシーを、自動的に更新しません。新しい名前またはパスを使用するには、手動で更新する必要があります。たとえば、Richard というユーザーに自身の認証情報の管理を許可するポリシーがアタッチされているとします。名前を Richard から Rich に変更する場合、管理者はそのポリシーを更新して、次のリソースを

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

次のように変更する必要があります。

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

パスを変更する場合も同様です。管理者は、ユーザーの新しいパスを反映するようにポリシーを更新する必要があります。

ユーザーの名前を変更するには

IAM ユーザーの削除

従業員が退職した場合などには、アカウントから IAM ユーザーを削除することがあります。ユーザーが一時的に休職する場合は、AWS アカウントからユーザーを完全に削除する代わりに、そのユーザーの認証情報を無効にすることができます。この方法では、休職中のみこのユーザーから AWS アカウントのリソースへのアクセスを防ぎ、後でユーザーを再度有効化することができます。

認証情報の無効化の詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。ユーザーの削除に必要なアクセス権限の詳細については、「IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

IAM ユーザーの削除 (コンソール)

AWS Management Consoleを使用して IAM ユーザーを削除すると、IAM によって以下の情報が自動的に削除されます。

  • ユーザー

  • すべてのユーザーのグループメンバーシップ — つまりユーザーは、所属していたすべての IAM ユーザーグループから削除されます

  • ユーザーのパスワード

  • ユーザーのアクセスキー

  • ユーザーに組み込まれていたすべてのインラインポリシー (グループのアクセス許可を通じてユーザーに適用されているポリシーは影響を受けません)

    注記

    IAM は、ユーザーを削除する際にそのユーザーにアタッチされたマネージドポリシーをすべて解除しますが、マネージドポリシーは削除しません。

  • 関連する MFA デバイス

IAM ユーザーを削除するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Users] (ユーザー) を選択し、削除するユーザー名の隣にあるチェックボックスをオンにします。

  3. ページの上部で、[Delete] (削除) を選択します。

  4. 確認ダイアログボックスで、テキスト入力フィールドにユーザー名を入力して、ユーザーの削除を確認します。[Delete] (削除) を選択します。

IAM ユーザーの削除 (AWS CLI)

AWS CLI を使用してユーザーを削除する場合、AWS Management Console の場合とは異なり、ユーザーにアタッチされている項目を削除する必要があります。この手順では、そのプロセスについて説明します。

アカウントからユーザーを削除するには (AWS CLI)

  1. ユーザーのパスワード(使用していた場合)を削除します.

    aws iam delete-login-profile

  2. ユーザーのアクセスキーを削除します (使用していた場合)。

    aws iam list-access-keys (ユーザーのアクセスキーを一覧表示するには) および aws iam delete-access-key

  3. ユーザーの署名証明書を削除します。認証情報を削除すると、完全に削除され、復元できないことに注意してください。

    aws iam list-signing-certificates (ユーザーの署名証明書を一覧表示するには) および aws iam delete-signing-certificate

  4. ユーザーの SSH パブリックキーを削除します (使用していた場合)。

    aws iam list-ssh-public-keys (ユーザーの SSH パブリックキーを一覧表示するには) および aws iam delete-ssh-public-key

  5. ユーザーの Git 認証情報を削除します。

    aws iam list-service-specific-credentials (ユーザーの Git 認証情報を一覧表示するには) および aws iam delete-service-specific-credential

  6. ユーザーの 多要素認証 (MFA) デバイスを無効にします (使用していた場合)。

    aws iam list-mfa-devices (ユーザーの MFA デバイスを一覧表示するには)、aws iam deactivate-mfa-device (デバイスを無効にするには)、aws iam delete-virtual-mfa-device (仮想 MFA デバイスを完全に削除するには)

  7. ユーザーのインラインポリシーを削除します。

    aws iam list-user-policies (ユーザーのインラインポリシーを一覧表示するには) および aws iam delete-user-policy (ポリシーをさくじょするには)

  8. ユーザーにアタッチされているすべての管理ポリシーをデタッチします。

    aws iam list-attached-user-policies (ユーザーにアタッチされているポリシーを一覧表示するには) および aws iam detach-user-policy (ポリシーをデタッチするには)

  9. すべてのユーザーグループからユーザーを削除します。

    aws iam list-groups-for-user (ユーザーが属するユーザーグループを一覧表示するには) および aws iam remove-user-from-group

  10. ユーザーを削除します。

    aws iam delete-user