IAM グループを作成する - AWS Identity and Access Management
IAMグループを作成し、ポリシーをアタッチするには

IAM グループを作成する

注記

ベストプラクティスとして、一時的な認証情報の使用により AWS にアクセスするには、人間のユーザーに対して ID プロバイダーとのフェデレーションの使用を必須とすることをお勧めします。ベストプラクティスに従えば、IAM ユーザーやグループを管理することにはなりません。管理するのではなく、ユーザーとグループは AWS の外部で管理され、フェデレーション ID として AWS リソースにアクセスできます。フェデレーション ID は、エンタープライズユーザーディレクトリ、ウェブ ID プロバイダー、AWS Directory Service、Identity Center ディレクトリのユーザー、または ID ソースから提供された認証情報を使用して AWS のサービスにアクセスするユーザーです。フェデレーション ID は、ID プロバイダーが定義したグループを使用します。AWS IAM Identity Center を使用している場合は、IAM Identity Center でのユーザーとグループの作成に関する情報について、AWS IAM Identity Center ユーザーガイドの「Manage identities in IAM Identity Center」(IAM Identity Center での ID の管理) を参照してください。

IAM グループを作成して、類似するロールまたは責任を持つ複数のユーザーのアクセス許可を管理します。これらのグループにポリシーをアタッチすることで、ユーザーのグループ全体に対するアクセス許可を付与または取り消すことができます。これにより、グループのアクセス許可に加えた変更がそのグループのすべてのメンバーに自動的に適用されるため、セキュリティポリシーのメンテナンスが簡素化され、一貫したアクセス制御が可能になります。グループを作成後、グループ内の IAM ユーザーに期待される作業のタイプに基づいてグループアクセス許可を付与し、IAM ユーザーをグループに追加します。

IAM グループ作成に必要なアクセス許可については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

IAMグループを作成し、ポリシーをアタッチするには

IAM console

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ユーザーグループ][グループの作成] の順に選択します。

  3. [ユーザーグループ名] に、グループ名を入力します。

    注記

    AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、ADMINSadmins というロール名を両方作成することはできません。

  4. ユーザーのリストで、グループに追加する各ユーザーのチェックボックスをオンにします。

  5. ポリシーのリストで、グループのすべてのメンバーに適用する各ポリシーのチェックボックスをオンにします。

  6. [グループの作成] を選択してください。

AWS CLI

次のコマンドを実行します。

API

次のオペレーションを呼び出します。