ロールの修正 (コンソール) - AWS Identity and Access Management

ロールの修正 (コンソール)

AWS Management Console を使用してロールを変更できます。ロールのタグのセットを変更するには、「IAM ロールのタグの管理 (コンソール)」を参照してください。

ロールの信頼ポリシーの変更 (コンソール)

ロールを引き受けるユーザーを変更するには、ロールの信頼ポリシーを変更する必要があります。サービスにリンクされたロールの信頼ポリシーは変更できません。

メモ
  • ユーザーがプリンシパルとしてロールの信頼ポリシーに表示されているが、そのロールを引き受けることができない場合は、ユーザーのアクセス許可の境界を確認します。アクセス許可の境界がユーザーに対して設定されている場合は、sts:AssumeRole アクションを許可する必要があります。

  • ロールセッション内でユーザーが現在のロールを再び引き受けることができるようにするには、ロール信頼ポリシーでロール ARN または AWS アカウント ARN をプリンシパルとして指定します。Amazon EC2、Amazon ECS、Amazon EKS、Lambda などのコンピューティングリソースを提供する AWS のサービス は、一時的な認証情報を提供し、これらの認証情報を自動的にローテーションします。これにより、常に有効な認証情報セットを確保できます。これらのサービスでは、一時的な認証情報を取得するために現在のロールを再度引き受ける必要はありません。ただし、セッションタグまたはセッションポリシーを渡す場合は、現在のロールを再度引き受ける必要があります。

ロールの信頼ポリシーを変更するには(コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。

  3. アカウントのロールの一覧で、変更するロールの名前を選択します。

  4. [Trust relationships] (信頼関係) タブを選択し、続いて [Edit trust policy] (信頼ポリシーの編集) を選択します。

  5. 必要に応じて信頼ポリシーを編集します。ロールを引き受ける他のプリンシパルを追加するには、Principal 要素で指定します。以下のポリシースニペットの例では、Principal 要素の 2 つの AWS アカウントを参照する方法を示しています。

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    別のアカウントでプリンシパルを指定した場合、ロールの信頼ポリシーにアカウントを追加しても、クロスアカウントの信頼関係は半分しか確立されません。デフォルトでは、信頼されたアカウントのユーザーはロールを引き受けることができません。新しく信頼されたアカウントの管理者は、ロールを引き受けるアクセス許可をユーザーに付与する必要があります。これを行うには、ユーザーにアタッチするポリシーを作成または編集し、sts:AssumeRole アクションへのアクセスをユーザーに許可する必要があります。詳細については、次の手順または「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。

    以下のポリシースニペットでは、AWS 要素で Principal の 2 つのサービスを参照する方法を示します。

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. 信頼ポリシーの編集を完了したら、[Update policy] (ポリシーの更新) を選択して変更を保存します。

    ポリシーの構造や構文の詳細については、「IAM でのポリシーとアクセス許可」および「IAM JSON ポリシー要素のリファレンス」を参照してください。

信頼された外部アカウントのユーザーにロールの使用を許可するには (コンソール)

この手順の詳細については、「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。

  1. 信頼された外部 AWS アカウントにサインインします。

  2. ユーザーとグループのどちらにアクセス許可をアタッチするかを決定します。IAM コンソールのナビゲーションペインで [Users] (ユーザー) または [User groups] (ユーザーグループ) を適切に選択します。

  3. アクセスを許可する対象となるユーザーまたはグループの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  4. 次のいずれかを実行します。

    • 既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択し、[JSON] タブを選択します。AWS の管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。

    • インラインポリシーを編集するには、ポリシーの名前の横にある矢印を選択してから、[ポリシーの編集] を選択します。

  5. ポリシーエディターで、新しい Statement 要素を追加して、次のように指定します。

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    ステートメント内の ARN を、ユーザーが引き受けるロールの ARN に置き換えます。

  6. 画面のプロンプトに従って、ポリシーの編集を終了します。

ロールのアクセス許可ポリシーの変更 (コンソール)

ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

ロールで許可されているアクセス権限を変更するには (コンソール)
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [Roles] (ロール) をクリックします。

  3. 変更するロールの名前を選択し、[Permissions (アクセス許可)] タブを選択します。

  4. 次のいずれかを実行します。

    • 既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択します。

      注記

      AWS 管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。

    • 既存の管理ポリシーをロールにアタッチするには、[Add permissions] (アクセス許可を追加) を選択して、[Attach policies] (ポリシーのアタッチ) を選択します。

    • 既存のインラインポリシーを編集するには、ポリシーを展開して、[Edit] (編集) を選択します。

    • 新しいインラインポリシーを埋め込むには、[Add permissions] (アクセス許可を追加) を選択して、[Create inline policy] (インラインポリシーの作成) を選択します。

ロールの説明の変更 (コンソール)

ロールの説明を変更するには、説明テキストを変更します。

ロールの説明を変更するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。

  3. 変更するロールの名前を選択します。

  4. [Summary] (概要) セクションで [Edit] (編集) を選択します。

  5. ボックスに新しい説明を入力し、[Save changes] (変更の保存) を選択します。

ロールの最大セッション時間の変更 (コンソール)

コンソール、AWS CLI または AWS API を使用して、引き受けるロールの最大セッション期間設定を指定するには、最大セッション期間設定の値を変更します。この設定の値は 1 時間~ 12 時間です。値を指定しない場合、デフォルトの最大 1 時間が適用されます。この設定では、AWS サービスが引き受けるセッションは制限されません。

コンソール、AWS CLI または AWS API を使用して引き受けたロールの最大セッション期間設定を変更するには (コンソール)
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。

  3. 変更するロールの名前を選択します。

  4. [Summary] (概要) セクションで [Edit] (編集) を選択します。

  5. [Maximum session duration] (最大セッション期間) には、値を選択します。または、[Custom duration] (カスタム期間) を選択して、値 (秒単位) を入力します。

  6. [Save changes] (変更の保存) をクリックします。

    変更は、次にこのロールが引き受けられるまで有効になりません。このロールの既存のセッションを取り消す方法については、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。

AWS Management Console の場合、IAM ユーザーセッションはデフォルトで 12 時間です。IAM ユーザーには、ロールに設定された最大セッション期間、または IAM ユーザーのセッションの残り時間のいずれか短い方が付与されます。

AWS CLI または AWS API からロールを引き受けるユーザーは、この最大数まで長いセッションを要求できます。MaxSessionDuration 設定は、リクエストできるロールセッションの最大セッション期間を決定します。

  • AWS CLI を使用してセッション期間を指定するには、duration-seconds パラメータを使用します。詳細については、「IAM ロール (AWS CLI) の切り替え」を参照してください。

  • AWS API を使用してセッション期間を指定するには、DurationSeconds パラメータを使用します。詳細については、「IAM ロール (AWS API) の切り替え」を参照してください。

ロールのアクセス許可の境界の変更 (コンソール)

ロールに許可されるアクセス許可の上限を変更するには、ロールのアクセス許可の境界を変更します。

ロールのアクセス許可の境界を設定するために使用するポリシーを変更するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択します。

  3. 変更するpermissions boundary (許可の境界) を持つロールの名前を選択します。

  4. [Permissions] (許可) タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。

  5. アクセス許可の境界として使用するポリシーを選択します。

  6. [Change boundary (境界の変更)] を選択します。

    変更は、次にこのロールが引き受けられるまで有効になりません。