# IAM ユーザーグループ
<a name="id_groups"></a>

IAM [* ユーザーグループ*](#id_groups)とは、IAM ユーザーの集合です。ユーザーグループを使用すると、複数のユーザーに対してアクセス許可を指定でき、それらのユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というユーザーグループを作成し、管理者が一般的に必要とするようなアクセス許可をそのユーザーグループに付与できます。そのグループのすべてのユーザーグループは、Admins グループのアクセス許可を自動的に付与されます。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins ユーザーグループに追加することで、適切な権限を割り当てることができます。組織内で職務を変更したユーザーがいる場合は、そのユーザーのアクセス許可を編集する代わりに、ユーザーを古い IAM グループから削除して適切な新しい IAM グループに追加することができます。

グループ内のすべてのユーザーがそのポリシーのアクセス許可を受け取れるように、ID ベースのポリシーをグループにアタッチすることができます。ポリシー (リソースベースのポリシーなど) では、ユーザーグループを `Principal` として識別することはできません。これは、グループが認証ではなくアクセス許可に関連しており、プリンシパルが認証済みの IAM エンティティであるためです ポリシーの詳細については、「[アイデンティティベースおよびリソースベースのポリシー](access_policies_identity-vs-resource.md)」を参照してください。

次に IAM グループの重要な特徴を示します。
+ ユーザーグループは多くのユーザーを持つことができ、ユーザーは複数のグループに属することができます。
+ ユーザーグループを入れ子形式にすることはできません。ユーザーグループにはユーザーのみを含めることができ、他の IAM グループを含めることはできません。
+ AWS アカウント 内のユーザーすべてを自動的に含むデフォルトのユーザーグループはありません。このようなユーザーグループが必要な場合は、そのユーザーグループを作成し、新たなユーザーを 1 人 1 人割り当てる必要があります。
+ AWS アカウント の IAM リソースの数とサイズは、グループの数や、ユーザーがメンバーになることができるグループの数などには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。

以下の図は、小企業の簡単なサンプルを示しています。企業の所有者は、企業の成長に伴い、他のユーザーを作成して管理するための `Admins` ユーザーグループを作成します。`Admins` ユーザーグループは、`Developers` ユーザーグループと`Test` ユーザーグループを作成します。これらの IAM グループはそれぞれ、AWS (ジム、ブラッド、DevApp1 など) とやりとりするユーザー (人員とアプリケーション) で構成されます。各ユーザーは、それぞれ一連の認証情報をもっています。この例では、各ユーザーは 1 つのユーザーグループに属しています。しかし、ユーザーは複数の IAM グループに属することができます。

![\[AWS アカウント、ユーザー、および IAM グループ間の関係性の例\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)


# IAM グループを作成する
<a name="id_groups_create"></a>

**注記**  
[ベストプラクティス](best-practices.md)として、一時的な認証情報の使用により AWS にアクセスするには、人間のユーザーに対して ID プロバイダーとのフェデレーションの使用を必須とすることをお勧めします。ベストプラクティスに従えば、IAM ユーザーやグループを管理することにはなりません。管理するのではなく、ユーザーとグループは AWS の外部で管理され、フェデレーション ID として AWS リソースにアクセスできます。フェデレーション ID は、エンタープライズユーザーディレクトリ、ウェブ ID プロバイダー、AWS Directory Service、Identity Center ディレクトリのユーザー、または ID ソースから提供された認証情報を使用して AWS のサービスにアクセスするユーザーです。フェデレーション ID は、ID プロバイダーが定義したグループを使用します。AWS IAM アイデンティティセンター を使用している場合は、IAM Identity Center でのユーザーとグループの作成に関する情報について、AWS IAM アイデンティティセンター ユーザーガイドの「[Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)」(IAM Identity Center での ID の管理) を参照してください。

IAM グループを作成して、類似するロールまたは責任を持つ複数のユーザーのアクセス許可を管理します。これらのグループにポリシーをアタッチすることで、ユーザーのグループ全体に対するアクセス許可を付与または取り消すことができます。これにより、グループのアクセス許可に加えた変更がそのグループのすべてのメンバーに自動的に適用されるため、セキュリティポリシーのメンテナンスが簡素化され、一貫したアクセス制御が可能になります。グループを作成後、グループ内の IAM ユーザーに期待される作業のタイプに基づいてグループアクセス許可を付与し、IAM ユーザーをグループに追加します。

IAM グループ作成に必要なアクセス許可については、「[他の IAM リソースにアクセスするのに必要なアクセス許可](access_permissions-required.md)」を参照してください。

## IAMグループを作成し、ポリシーをアタッチするには
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ユーザーグループ]**、**[グループの作成]** の順に選択します。

1. **[ユーザーグループ名]** に、グループ名を入力します。
**注記**  
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。グループ名は、最大 128 文字の英数字、プラス記号 (\$1)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (\$1)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、**ADMINS** と **admins** というロール名を両方作成することはできません。

1. ユーザーのリストで、グループに追加する各ユーザーのチェックボックスをオンにします。

1. ポリシーのリストで、グループのすべてのメンバーに適用する各ポリシーのチェックボックスをオンにします。

1. **[グループの作成]** を選択してください。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

次のオペレーションを呼び出します。
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------

# IAM グループの表示
<a name="id_groups_manage_list"></a>

アカウント内のすべての IAM グループのリスト、グループ内のユーザーのリスト、およびユーザーが属する IAM グループを一覧表示したりできます。CLI または API を使用すると、特定のパスのプレフィックスが付いたすべての IAM グループを一覧表示できます。

------
#### [ Console ]

アカウントの全 IAM グループを一覧表示するには:
+ ナビゲーションペインで、**[ユーザーグループ]** を選択します。

特定の IAM グループ内の IAM ユーザーを一覧表示するには:
+ ナビゲーションペインで、**[ユーザーグループ]** を選択します。次に、グループの名前を選択して、グループの詳細ページを開きます。**[ユーザー]** タブでグループメンバーシップを確認します。

ユーザーが所属しているすべての IAM グループを一覧表示するには:
+ ナビゲーションペインで **[ユーザー]** を選択します。次に、ユーザー名を選択して、ユーザーの詳細ページを開きます。**[グループ]** タブを選択すると、ユーザーが属するグループのリストが表示されます。

------
#### [ AWS CLI ]

アカウントの全 IAM グループを一覧表示するには:
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)

特定の IAM グループのユーザーを一覧表示するには:
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)

ユーザーが所属しているすべての IAM グループを一覧表示するには:
+ [aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)

------
#### [ API ]

アカウントの全 IAM グループを一覧表示するには:
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)

特定の IAM グループのユーザーを一覧表示するには:
+ [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)

ユーザーが所属しているすべての IAM グループを一覧表示するには:
+ [ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)

------

# IAM グループのユーザーを編集する
<a name="id_groups_manage_add-remove-users"></a>

IAM グループを使用して、同じアクセス許可ポリシーを複数のユーザーに一度に適用します。適用後、IAM グループにユーザーを追加したり、IAM グループからユーザーを削除したりできます。これは、組織で従業員の異動があるときに便利です。

## ポリシーアクセスを確認する
<a name="groups-remove_prerequisites"></a>

グループを削除する前に、グループの詳細ページを使用してグループのメンバー (IAM ユーザー）、**[アクセス許可]** タブでグループにアタッチされたポリシーを確認し、**[最終アクセス時間]** タブを使用して最近のサービスレベルのアクティビティを確認します。これにより、それを使用しているプリンシパル (ユーザーまたはアプリケーション) から意図せずアクセスが削除されるのを防ぐことができます。最後にアクセスした情報を表示する方法の詳細については、「[最終アクセス情報を使用して AWS のアクセス許可を調整する](access_policies_last-accessed.md)」を参照してください。

## IAM グループに IAM ユーザーを追加する
<a name="groups-add-remove-console"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ユーザーグループ]** を選択してから、グループ名を選択します。

1. [**Users (ユーザー)**] タブを選択し、[**Add users (ユーザーの追加)**] を選択します。追加するユーザーの横のチェックボックスをオンにします。

1. [**ユーザーの追加**] を選択します。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ `[aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)`

------
#### [ API ]

次のオペレーションを呼び出します。
+ `[AddUserToGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddUserToGroup.html)`

------

## IAM グループから IAM ユーザーを削除する
<a name="id_groups_manage_add-remove-users-section-1"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ユーザーグループ]** を選択してから、グループ名を選択します。

1. **[ユーザー]** タブを選択します。削除するユーザーの横にあるチェックボックスをオンにし、[**ユーザーの削除**]を選択します。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`

------
#### [ API ]

次のオペレーションを呼び出します。
+ `[RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)`

------

# IAM ユーザーグループにポリシーをアタッチする
<a name="id_groups_manage_attach-policy"></a>

[AWS 管理ポリシー](access_policies_managed-vs-inline.md#aws-managed-policies)をアタッチできます — つまり、次の手順で説明するように、AWS によって提供される事前記述されたポリシーをユーザーグループにアタッチできます。カスタマー管理ポリシー (独自に作成したカスタムのアクセス権限を使用するポリシー) をアタッチするには、まずポリシーを作成する必要があります。カスタマー管理ポリシーの作成方法については、「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](access_policies_create.md)」を参照してください。

アクセス許可とポリシーの詳細については、「[AWS リソースの アクセス管理](access.md)」を参照してください。

## IAM グループにポリシーをアタッチするには
<a name="id_groups_manage_attach-policy-section-1"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ユーザーグループ]** を選択してから、グループ名を選択します。

1. **[アクセス許可]** タブを選択します。

1. **[アクセス許可を追加]**、**[ポリシーをアタッチ]** の順に選択します。

1. ユーザーグループにアタッチされている現在のポリシーは、**現在のアクセス権限ポリシー**のリストに表示されます。**その他のアクセス権限ポリシー**のリストで、アタッチするポリシーの名前の横にあるチェックボックスをオンにします。検索ボックスを使用して、ポリシーのリストをタイプとポリシー名でフィルタリングできます。

1. IAM グループにアタッチするポリシーを選択して、**[ポリシーをアタッチ]** を選択します。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ `[aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)`

------
#### [ API ]

次のオペレーションを呼び出します。
+ `[AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)`

------

# IAM ユーザーグループの名前を変更する
<a name="id_groups_manage_rename"></a>

ユーザーグループ名またはパスを変更すると、以下のことが起こります。
+ ユーザーグループにアタッチされているポリシーは、新しい名前のグループにそのままアタッチされています。
+ ユーザーグループは名前が変わるだけで、保持するユーザーは一切変わりません。
+ ユーザーグループの一意の ID は変更されません。一意の ID の詳細については、「[一意の識別子](reference_identifiers.md#identifiers-unique-ids)」を参照してください。

IAM は、新しい名前を使用するためのリソースとしてユーザーグループを参照するポリシーを自動的に更新しません。したがって、ユーザーグループの名前を変更するときには注意が必要です。ユーザーグループの名前を変更する前に、すべてのポリシーを手動でチェックし、このユーザーグループの名前を参照しているポリシーを見つける必要があります。たとえば、Bob は組織のテスト部門のマネージャーであるとします。Bob の IAM ユーザーエンティティにアタッチされたポリシーにより、Bob はテストユーザーグループに対してユーザーを追加および削除できます。管理者は、ユーザーグループの名前 (またはグループのパス) を変更する場合、Bob にアタッチされているポリシーも更新して新しい名前またはパスを反映する必要があります。この更新を行わないと、Bob はユーザーグループに対してユーザーを追加および削除できるようになりません。

**IAM グループをリソースとして参照しているポリシーを見つけるには:**

1. IAM コンソールのナビゲーションペインから、**[ポリシー]** を選択します。

1. [**タイプ**]列で並べ替えて、**カスタマー管理**するカスタムポリシーを見つけます。

1. [ポリシーの編集] を選択して、ポリシー内のユーザーグループの名前を変更します。

1. [**アクセス許可**] タブを選択し、[**概要**] を選択します。

1. サービスのリストに **[IAM]** があれば、それを選択します。

1. **[リソース]** 列でユーザーグループの名前を見つけます。

1. [**編集**] を選択して、ポリシー内のユーザーグループの名前を変更します。

## IAM ユーザーグループの名前を変更するには
<a name="id_groups_manage_rename-section-1"></a>

------
#### [ Console ]

1. ナビゲーションペインで **[ユーザーグループ]** を選択し、グループ名を選択します。

1. **[編集]** を選択します。新しいユーザーグループ名を入力し、[**変更の保存**] を選択します。。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ [aws iam update-group](https://docs.aws.amazon.com/cli/latest/reference/iam/update-group.html)

------
#### [ API ]

次のオペレーションを呼び出します。
+ [UpdateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateGroup.html)

------

# IAM グループを削除する
<a name="id_groups_manage_delete"></a>

コンソールで IAM グループを削除すると、自動的にすべてのグループメンバーが削除され、アタッチされていた管理ポリシーはすべてデタッチされ、すべてのインラインポリシーが削除されます。ただし、IAM は、IAM グループをリソースとして参照するポリシーを自動的には削除されません。IAM グループを削除する際は注意してください。IAM グループを削除する前に、すべてのポリシーを手動で確認して、このグループの名前を参照しているポリシーを見つける必要があります。例えば、テストチームマネージャーの John は、IAM ユーザーエンティティにアタッチされたポリシーの権限を持ち、テストユーザーグループに対してユーザーを追加および削除できます。管理者は、ユーザーグループを削除する場合に、John にアタッチされているポリシーも削除する必要があります。それ以外の場合、管理者が削除したグループを再作成して同じ名前を付けると、テストチームを辞めても John の権限はそのまま残ります。

一方、CLI、SDK、または API を使用してユーザー グループを削除する場合は、まずグループ内のユーザーを削除する必要があります。次に、IAM グループに埋め込まれたインラインポリシーを削除します。さらに、グループにアタッチされているすべての管理ポリシーをデタッチします。その後に、IAM グループ自体を削除できます。

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで、**[ユーザーグループ]** を選択します。

1. IAM グループのリストで、削除する IAM グループの名前の横にあるチェックボックスをオンにします。検索ボックスを使用して、IAM グループのリストをタイプ、パーミッション、およびグループ名でフィルタリングできます。

1. **[削除]** を選択します。

1. １ つのグループを削除する場合は、確認ボックスにグループ名を入力し、**[削除]** を選択します。複数のグループを削除する場合は、削除する IAM グループの数と **user groups** を入力し、**[削除]** を選択します。例えば、3 つのグループを削除する場合は、**3 **user groups**** を入力します。

------
#### [ AWS CLI ]

1. IAM グループからすべてのユーザーを削除します。
   + [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) (IAM グループ内のユーザーリストの取得)、および [aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html) (IAM グループからのユーザーの削除)

1. IAM グループに組み込まれたインラインポリシーをすべて削除します。
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html) (IAM グループのインラインポリシーのリストの取得) および [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html) (グループのインラインポリシーの削除)

1. IAM グループにアタッチされた管理ポリシーをすべてデタッチします。
   + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html) (IAM グループにアタッチされている管理ポリシーのリストの取得)、および [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) (IAM グループからの管理ポリシーのデタッチ)

1. IAM グループを削除します。
   + [aws iam delete-group](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group.html)

------
#### [ API ]

1. IAM グループからすべてのユーザーを削除します。
   + [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html) (IAM グループ内のユーザーリストの取得) および [RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) (IAM グループからのユーザーの削除)

1. IAM グループに組み込まれたインラインポリシーをすべて削除します。
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html) (IAM グループのインラインポリシーのリストの取得) および [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html) (IAM グループからのインラインポリシーの削除)

1. IAM グループにアタッチされた管理ポリシーをすべてデタッチします。
   + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html) (IAM グループにアタッチされている管理ポリシーのリストの取得) および [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html) (IAM グループからの管理ポリシーのデタッチ)

1. IAM グループを削除します。
   + [DeleteGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroup.html)

------