IAM ユーザーのパスワードを管理する - AWS Identity and Access Management
IAM ユーザーパスワードの作成、変更、削除 (コンソール)

IAM ユーザーのパスワードを管理する

AWS Management Console を使用して AWS リソースを操作する IAM ユーザーには、サインインのためのパスワードが必要です。AWS アカウントの IAM ユーザーのパスワードを作成、変更、削除できます。

ユーザーにパスワードを割り当てると、ユーザーは、以下のような、アカウント用のサインイン URL を使用して AWS Management Console にサインインできます。

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

IAM ユーザーの AWS Management Console へのサインインの詳細については、AWS サインイン ユーザーガイドの「AWS にサインインする方法」を参照してください。

ユーザーは、パスワードが割り当てられている場合でも、AWS リソースへのアクセスにはやはりアクセス許可が必要です。デフォルトでは、ユーザーには何も権限が与えられていません。ユーザーに必要な権限を与えるには、ユーザーまたはユーザーが属しているグループにポリシーを割り当てます。ユーザーおよびグループの作成の詳細については、IAM アイデンティティ を参照してください。ポリシーを使用するアクセス許可設定の詳細については、IAM ユーザーのアクセス許可を変更するを参照してください。

ユーザーに自分のパスワードを変更する権限を付与できます。詳細については、「IAM ユーザーに自分のパスワード変更を許可する」を参照してください。ユーザーがアカウントのサインインページにアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「AWS へサインインする方法」を参照してください。

IAM ユーザーパスワードの作成、変更、削除 (コンソール)

AWS Management Console を使用して IAM ユーザーのパスワードを管理できます。

ユーザーのアクセスニーズは、時間の経過とともに変化する可能性があります。CLI アクセスを想定していたユーザーがコンソールにアクセスできるようにしたり、認証情報を含む E メールを受信してユーザーのパスワードを変更できるようにしたり、組織を離れたユーザーや AWS にアクセスする必要がなくなったユーザーを削除できるようにしたりすることが必要になる場合があります。

IAM ユーザーのパスワードを作成するには (コンソール)

この手順を使用して、ユーザー名に関連付けられたパスワードを作成し、ユーザーコンソールへのアクセスを許可します。

IAM console

  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [Users (ユーザー)] を選択します。

  4. パスワードを作成するユーザーの名前を選択します。

  5. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスを有効にする] を選択します。

  6. [コンソールアクセスを有効にする] ダイアログボックスで [パスワードのリセット] を選択し、IAM によってパスワードを生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーの要件を満たす必要があります。

  7. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、[ユーザーは次回のサインインで新しいパスワードを作成する必要があります] を選択します。

  8. ユーザーに新しいパスワードをすぐに使用するように要求するには、[アクティブなコンソールセッションを取り消す] を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

  9. [パスワードのリセット] を選択します。

  10. [コンソールパスワード] ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、[コンソールパスワード] ダイアログボックスで [表示] を選択します。[.csv ファイルのダウンロード] を選択して、ユーザーの認証情報を含むファイルをダウンロードします。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが有効になったことを示すステータスメッセージが表示されます。

IAM ユーザーのパスワードを変更するには (コンソール)

この手順を使用して、ユーザー名に関連付けられているパスワードを更新します。

IAM console

  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [Users (ユーザー)] を選択します。

  4. パスワードを変更するユーザーの名前を選択します。

  5. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスの管理] を選択します。

  6. [コンソールアクセスを管理] ダイアログボックスで、[パスワードのリセット] を選択し、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。

    • IAM によって自動的にパスワードを生成するには、[Autogenerated password (自動生成パスワード)] を選択します。

    • カスタムパスワードを作成するには、[Custom password (カスタムパスワード)] を選択し、パスワードを入力します。

      注記

      作成するパスワードは、アカウントのパスワードポリシーの要件を満たす必要があります。

  7. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、[ユーザーは次回のサインインで新しいパスワードを作成する必要があります] を選択します。

  8. ユーザーに新しいパスワードをすぐに使用するように要求するには、[アクティブなコンソールセッションを取り消す] を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

  9. [パスワードのリセット] を選択します。

  10. [コンソールパスワード] ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、[コンソールパスワード] ダイアログボックスで [表示] を選択します。[.csv ファイルのダウンロード] を選択して、ユーザーの認証情報を含むファイルをダウンロードします。

    重要

    セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが更新されたことを示すステータスメッセージが表示されます。

IAM ユーザーのパスワードを削除 (無効化) するには (コンソール)

この手順を使用して、ユーザー名に関連付けられているパスワードを削除し、ユーザーのコンソールアクセスを取り消します。

重要

パスワードを削除することで、AWS Management Console への IAM ユーザーアクセスを無効にできます。これにより、サインイン認証情報を使用して AWS Management Console にサインインすることができなくなります。権限を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き機能し、AWS CLI、Tools for Windows PowerShell、AWS API、またはAWS Console Mobile Application 用のツールを介したアクセスを許可します。

IAM console

  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [Users (ユーザー)] を選択します。

  4. パスワードを削除するユーザーの名前を選択します。

  5. [セキュリティ認証情報] タブを選択し、[コンソールサインイン][コンソールアクセスの管理] を選択します。

  6. ユーザーにコンソールの使用をすぐに止めるように要求するには、[アクティブなコンソールセッションを取り消す] を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

  7. [アクセスの無効化] を選択します。

コンソールには、コンソールアクセスが無効になったことを示すステータスメッセージが表示されます。

IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)

AWS CLI API を使用して IAM ユーザーのパスワードを管理できます。

パスワードを作成するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを作成するには、aws iam create-login-profile コマンドを実行します。

ユーザーのパスワードを変更するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. パスワードを変更するには、aws iam update-login-profile コマンドを実行します。

ユーザーのパスワードを削除 (無効化) するには (AWS CLI)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、aws iam get-login-profile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、aws iam get-user コマンドを実行します。

  3. パスワードを削除するには、aws iam delete-login-profile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS Management Console にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。

指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS CLI)

  1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: aws iam put-user-policy

    このインラインポリシーはすべてのアクセス許可を拒否し、aws:TokenIssueTime 条件キーを含みます。インラインポリシーの Condition 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。aws:TokenIssueTime 条件キーの値は、独自の値に置き換えてください。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: aws iam list-user-policies

  3. (オプション) IAM ユーザーに埋め込まれている名前付きのインラインポリシーを表示するには、次のコマンドを実行します: aws iam get-user-policy

IAM ユーザーパスワードの作成、変更、削除 (AWS API)

AWS API を使用して IAM ユーザーのパスワードを管理できます。

パスワードを作成するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを作成するには、CreateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを変更するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile オペレーションを呼び出します。

  2. パスワードを変更するには、UpdateLoginProfile オペレーションを呼び出します。

ユーザーのパスワードを削除 (無効化) するには (AWS API)

  1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、GetLoginProfile コマンドを実行します。

  2. (オプション) パスワードを前回使用した日付を確認するには、GetUser コマンドを実行します。

  3. パスワードを削除するには、DeleteLoginProfile コマンドを実行します。

重要

ユーザーのパスワードを削除すると、ユーザーは AWS Management Console にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「IAM ユーザーの削除 (AWS CLI)」を参照してください。

指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS API)

  1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: PutUserPolicy

    このインラインポリシーはすべてのアクセス許可を拒否し、aws:TokenIssueTime 条件キーを含みます。インラインポリシーの Condition 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。aws:TokenIssueTime 条件キーの値は、独自の値に置き換えてください。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: ListUserPolicies

  3. (オプション) IAM ユーザーに埋め込まれている名前付きインラインポリシーを表示するには、次のコマンドを実行します: GetUserPolicy