ロールの修正 (コンソール)
AWS Management Console を使用してロールを変更できます。ロールのタグのセットを変更するには、「IAM ロールのタグの管理 (コンソール)」を参照してください。
トピック
ロールの信頼ポリシーの変更 (コンソール)
ロールを引き受けるユーザーを変更するには、ロールの信頼ポリシーを変更する必要があります。サービスにリンクされたロールの信頼ポリシーは変更できません。
メモ
-
ユーザーがプリンシパルとしてロールの信頼ポリシーに表示されているが、そのロールを引き受けることができない場合は、ユーザーのアクセス許可の境界を確認します。アクセス許可の境界がユーザーに対して設定されている場合は、
sts:AssumeRole
アクションを許可する必要があります。 -
ロールセッション内でユーザーが現在のロールを再び引き受けることができるようにするには、ロール信頼ポリシーでロール ARN または AWS アカウント ARN をプリンシパルとして指定します。Amazon EC2、Amazon ECS、Amazon EKS、Lambda などのコンピューティングリソースを提供する AWS のサービス は、一時的な認証情報を提供し、これらの認証情報を自動的に更新します。これにより、常に有効な認証情報セットを確保できます。これらのサービスでは、一時的な認証情報を取得するために現在のロールを再度引き受ける必要はありません。ただし、セッションタグまたはセッションポリシーを渡す場合は、現在のロールを再度引き受ける必要があります。
ロールの信頼ポリシーを変更するには(コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM コンソールのナビゲーションペインで Roles] (ロール) を選択します。
-
アカウントのロールの一覧で、変更するロールの名前を選択します。
-
[信頼関係] タブを選択し、続いて [信頼ポリシーの編集] を選択します。
-
必要に応じて信頼ポリシーを編集します。ロールを引き受ける他のプリンシパルを追加するには、
Principal
要素で指定します。以下のポリシースニペットの例では、Principal
要素の 2 つの AWS アカウント を参照する方法を示しています。"Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },
別のアカウントでプリンシパルを指定した場合、ロールの信頼ポリシーにアカウントを追加しても、クロスアカウントの信頼関係は半分しか確立されません。デフォルトでは、信頼されたアカウントのユーザーはロールを引き受けることができません。新しく信頼されたアカウントの管理者は、ロールを引き受けるアクセス許可をユーザーに付与する必要があります。これを行うには、ユーザーにアタッチするポリシーを作成または編集し、
sts:AssumeRole
アクションへのアクセスをユーザーに許可する必要があります。詳細については、次の手順または「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。以下のポリシースニペットでは、AWS 要素で
Principal
の 2 つのサービスを参照する方法を示します。"Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
-
信頼ポリシーの編集を完了したら、[Update policy] (ポリシーの更新) を選択して変更を保存します。
ポリシーの構造や構文の詳細については、「IAM でのポリシーとアクセス許可」および「IAM JSON ポリシー要素のリファレンス」を参照してください。
信頼された外部アカウントのユーザーにロールの使用を許可するには (コンソール)
この手順の詳細については、「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。
-
信頼された外部 AWS アカウント にサインインします。
-
ユーザーとグループのどちらにアクセス許可をアタッチするかを決定します。IAM コンソールのナビゲーションペインで [Users] (ユーザー) または [User groups] (ユーザーグループ) を適切に選択します。
-
アクセスを許可する対象となるユーザーまたはグループの名前を選択し、[Permissions (アクセス許可)] タブを選択します。
-
次のいずれかを行います。
-
既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択し、[JSON] タブを選択します。AWS の管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。
-
インラインポリシーを編集するには、ポリシーの名前の横にある矢印を選択してから、[ポリシーの編集] を選択します。
-
-
ポリシーエディターで、新しい
Statement
要素を追加して、次のように指定します。{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
ACCOUNT-ID
:role/ROLE-NAME
" }ステートメント内の ARN を、ユーザーが引き受けるロールの ARN に置き換えます。
-
画面のプロンプトに従って、ポリシーの編集を終了します。
ロールのアクセス許可ポリシーの変更 (コンソール)
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM のサービスにリンクされたロールのアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「IAM と連携する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) 列が [Yes] (はい) となっているサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
ロールで許可されているアクセス権限を変更するには (コンソール)
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。
-
変更するロールの名前を選択し、[Permissions (アクセス許可)] タブを選択します。
-
次のいずれかを行います。
-
既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [ポリシーの編集] を選択します。
注記
AWS 管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン ( ) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「管理ポリシーとインラインポリシー」を参照してください。
-
既存の管理ポリシーをロールにアタッチするには、[Add permissions] (アクセス許可を追加) を選択して、[Attach policies] (ポリシーのアタッチ) を選択します。
-
既存のインラインポリシーを編集するには、ポリシーを展開して、[Edit] (編集) を選択します。
-
新しいインラインポリシーを埋め込むには、[Add permissions] (アクセス許可を追加) を選択して、[Create inline policy] (インラインポリシーの作成) を選択します。
-
ロールの説明の変更 (コンソール)
ロールの説明を変更するには、説明テキストを変更します。
ロールの説明を変更するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM コンソールのナビゲーションペインで Roles] (ロール) を選択します。
-
変更するロールの名前を選択します。
-
[Summary] (概要) セクションで [Edit] (編集) を選択します。
-
ボックスに新しい説明を入力し、[Save changes] (変更の保存) を選択します。
ロールの最大セッション時間の変更 (コンソール)
コンソール、AWS CLI または AWS API を使用して、引き受けるロールの最大セッション期間設定を指定するには、最大セッション期間設定の値を変更します。この設定の値は 1 時間~ 12 時間です。値を指定しない場合、デフォルトの最大 1 時間が適用されます。この設定では、AWS サービスが引き受けるセッションは制限されません。
コンソール、AWS CLI または AWS API を使用して引き受けたロールの最大セッション期間設定を変更するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM コンソールのナビゲーションペインで Roles] (ロール) を選択します。
-
変更するロールの名前を選択します。
-
[Summary] (概要) セクションで [Edit] (編集) を選択します。
-
[Maximum session duration] (最大セッション期間) には、値を選択します。または、[Custom duration] (カスタム期間) を選択して、値 (秒単位) を入力します。
-
[Save changes] (変更の保存) をクリックします。
変更は、次にこのロールが引き受けられるまで有効になりません。このロールの既存のセッションを取り消す方法については、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。
AWS Management Console の場合、IAM ユーザーセッションはデフォルトで 12 時間です。コンソールでロールを切り替える IAM ユーザーには、ロールに設定された最大セッション期間、または ユーザーのセッションの残り時間のいずれか短い方が付与されます。
AWS CLI または AWS API からロールを引き受けるユーザーは、この最大数まで長いセッションを要求できます。MaxSessionDuration
設定は、リクエストできるロールセッションの最大セッション期間を決定します。
-
AWS CLI を使用してセッション期間を指定するには、
duration-seconds
パラメータを使用します。詳細については、「IAM ロール (AWS CLI) の切り替え」を参照してください。 -
AWS API を使用してセッション期間を指定するには、
DurationSeconds
パラメータを使用します。詳細については、「IAM ロール (AWS API) の切り替え」を参照してください。
ロールのアクセス許可の境界の変更 (コンソール)
ロールに許可されるアクセス許可の上限を変更するには、ロールのアクセス許可の境界を変更します。
ロールのアクセス許可の境界を設定するために使用するポリシーを変更するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで Roles (ロール) を選択します。
-
変更するpermissions boundary (許可の境界) を持つロールの名前を選択します。
-
[アクセス許可] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。
-
アクセス許可の境界として使用するポリシーを選択します。
-
[Change boundary (境界の変更)] を選択します。
変更は、次にこのロールが引き受けられるまで有効になりません。