# アクセスキーを更新する
<a name="id-credentials-access-keys-update"></a>

セキュリティの[ベストプラクティス](best-practices.md#update-access-keys)として、IAM ユーザーのアクセスキーは、従業員が退職するときなど、必要に応じて更新することをお勧めします。IAM ユーザーは、必要な権限が付与されている場合、自分のアクセスキーを更新できます。

自身のアクセスキーを更新するために管理者からユーザーに IAM ユーザーアクセス許可を付与する方法については、「[AWS: IAM ユーザーが [セキュリティ認証情報] ページで自分のパスワード、アクセスキー、および SSH パブリックキーを管理できるようにします](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)」を参照してください。また、アカウントにパスワードポリシーを適用して、すべての IAM ユーザーにパスワードの更新を要求し、その頻度を決めることもできます。詳細については、「[IAM ユーザー用のアカウントパスワードポリシーを設定する](id_credentials_passwords_account-policy.md)」を参照してください。

**注記**  
シークレットアクセスキーを紛失した場合は、そのアクセスキーを削除し、新しく作成する必要があります。シークレットアクセスキーは、キー作成時にのみ取得できます。この手順を実行して、紛失したアクセスキーを非アクティブ化し、新しい認証情報に置き換えることができます。

**Topics**
+ [IAM ユーザーアクセスキーの更新 (コンソール)](#rotating_access_keys_console)
+ [アクセスキーの更新 (AWS CLI)](#rotating_access_keys_cli)
+ [アクセスキーの更新 (AWS API)](#rotating_access_keys_api)

## IAM ユーザーアクセスキーの更新 (コンソール)
<a name="rotating_access_keys_console"></a>

AWS マネジメントコンソール からアクセスキーを更新できます。

**IAM ユーザーのアプリケーションを中断せずにアクセスキーを更新するには (コンソール)**

1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。

   1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

   1. ナビゲーションペインで [**Users (ユーザー)**] を選択します。

   1. 対象のユーザー名を選択し、[**セキュリティ認証情報**] タブを選択します。

   1. [**Access keys (アクセスキー)**] セクションで、[**Create access key (アクセスキーを作成)**] を選択します。**[Access key best practices & alternatives]** (アクセスキーのベストプラクティスと代替案) ページで、**[Other]** (その他)、**[Next]** (次へ) の順に選択します。

   1. (オプション) アクセスキーの説明タグに値を設定して、この IAM ユーザーにタグキーと値のペアを追加します。後で、アクセスキーを識別し、更新する際にこの設定が役立ちます。タグキーには、アクセスキー ID が設定されます。タグ値には、入力したアクセスキーの説明が設定されます。完了したら、**[Create access key]** (アクセスキーを作成) を選択します。

   1. **[Retrieve access keys]** (アクセスキーの取得) ページで、**[Show]** (表示) を選択してユーザーのシークレットアクセスキーの値を表示するか、**[Download .csv file]** (.csv ファイルをダウンロード) を選択します。これはシークレットアクセスキーを保存する唯一の機会です。シークレットアクセスキーを安全な場所に保存したら、**[Done]** (完了) を選択します。

      ユーザー用のアクセスキー作成後、キーペアはデフォルトで有効状態になっているので、対象のユーザーはすぐにキーペアを使用できます。この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

1. すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

1. <a name="id_credentials_access-keys-key-still-in-use"></a>最も古いアクセスキーの **[Last used]** (前回使用) を確認して、最初のアクセスキーが使用中かどうかを確認します。先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

1. **[Last used]** (前回使用) の情報で、古いキーが使用された形跡がないことを示していても、最初のアクセスキーをすぐには削除しないことをお勧めします。代わりに、**[Actions]** (アクション)、**[Deactivate]** (無効化) の順に選択し、最初のアクセスキーを無効化します。

1. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。そのようなアプリケーションやツールを見つけた場合は、最初のアクセスキーを再度有効にすることができます。次に、「[Step 3](#id_credentials_access-keys-key-still-in-use)」に戻り、新しいキーを使用するためにこのアプリケーションを更新します。

1. 一定期間待機して、すべてのアプリケーションとツールが更新されていることを確認した後、最初のアクセスキーを削除できます。

   1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

   1. ナビゲーションペインで [**Users (ユーザー)**] を選択します。

   1. 対象のユーザー名を選択し、[**セキュリティ認証情報**] タブを選択します。

   1. 削除するアクセスキーの **[Access keys]** (アクセスキー) セクションで、**[Actions]** (アクション) を選択し、次に **[Delete]** (削除) を選択します。ダイアログの指示に従って、まず **[Deactivate]** (無効化) を行ってから、削除することを確認します。

**更新または削除する必要があるアクセスキーを判断する方法 (コンソール)**

1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. ナビゲーションペインで [**Users (ユーザー)**] を選択します。

1. 必要に応じて、以下の手順を実行して [**Access key age (アクセスキーの古さ)**] 列をユーザーテーブルに追加します。

   1. 右端のテーブルの上で、設定アイコン (![\[Settings icon\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/console-settings-icon.console.png)) を選択します。

   1. [**Manage Columns (列の管理)**] で、[**Access key age (アクセスキーの古さ)**] を選択します。

   1. [**Close (閉じる)**] を選択して、ユーザーのリストに戻ります。

1. [**Access key age (アクセスキーの古さ)**] 列には、最も古いアクティブアクセスキーが作成されてから経過した日数が表示されます。この情報を使用して、更新または削除の必要があるアクセスキーを持つユーザーを検索できます。アクセスキーのないユーザーは、この列に [**None (なし)**] と表示されます。

## アクセスキーの更新 (AWS CLI)
<a name="rotating_access_keys_cli"></a>

AWS Command Line Interface からアクセスキーを更新できます。

**アプリケーションを中断せずにアクセスキーを更新するには (AWS CLI)**

1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。このキーは、デフォルトでアクティブになります。次のコマンドを実行します。
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

1. <a name="step-update-apps"></a>すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

1. <a name="step-determine-use"></a>次のコマンドを使用して最初のアクセスキーがまだ使用されているかどうかを確認します。
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

1. ステップ [Step 3](#step-determine-use) で古いキーが使用されていないことがわかっても、最初のアクセスキーはすぐに削除しないことをお勧めします。代わりに、次のコマンドを使用して最初のアクセスキーの状態を `Inactive` に変更します。
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。このようなアプリケーションまたはツールは、その状態を `Active` に戻すことで、最初のアクセスキーを再度有効にすることができます。次にステップ [Step 2](#step-update-apps) に戻り、新しいキーを使用するようにこのアプリケーションを更新します。

1. 一定期間待機して、すべてのアプリケーションとツールが更新されたことを確認したら、次のコマンドを使用して最初のアクセスキーを削除できます。
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## アクセスキーの更新 (AWS API)
<a name="rotating_access_keys_api"></a>

AWS API を使用してアクセスキーを更新できます。

**アプリケーションを中断せずにアクセスキーを更新するには (AWS API)**

1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。このキーは、デフォルトでアクティブになります。次のオペレーションを呼び出します。
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

1. <a name="step-update-apps-2"></a>すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

1. <a name="step-determine-use-2"></a>次のオペレーションを呼び出して最初のアクセスキーがまだ使用されているかどうかを確認します。
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

1. ステップ [Step 3](#step-determine-use-2) で古いキーが使用されていないことがわかっても、最初のアクセスキーはすぐに削除しないことをお勧めします。代わりに、次のオペレーションを呼び出して最初のアクセスキーの状態を `Inactive` に変更します。
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。このようなアプリケーションまたはツールは、その状態を `Active` に戻すことで、最初のアクセスキーを再度有効にすることができます。次にステップ [Step 2](#step-update-apps-2) に戻り、新しいキーを使用するようにこのアプリケーションを更新します。

1. 一定期間待機して、すべてのアプリケーションとツールが更新されたことを確認したら、次のオペレーションを呼び出して最初のアクセスキーを削除できます。
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)