IAM ユーザーのアクセス許可を変更する - AWS Identity and Access Management

IAM ユーザーのアクセス許可を変更する

AWS アカウント 内の IAM ユーザーのアクセス許可を変更するには、グループメンバーシップを変更するか、既存のユーザーからアクセス許可をコピーするか、ユーザーに直接ポリシーをアタッチするか、またはアクセス許可の境界を設定することができます。アクセス許可の境界では、ユーザーに許可されるアクセス許可の上限を設定します。アクセス許可の境界は AWS のアドバンスド機能です。

ユーザーのアクセス権限の変更に必要なアクセス権限の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

ユーザーアクセスの表示

ユーザーのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「最終アクセス情報を使用して AWS のアクセス許可を調整する」を参照してください。

ユーザーのアクセスアクティビティに基づくポリシーの生成

IAM エンティティ (ユーザーまたはロール) に必要な権限を超えるアクセス許可を付与することがあります。付与するアクセス権限を調整するために、エンティティのアクセスアクティビティに基づく IAM ポリシーを生成できます。IAM Access Analyzer は AWS CloudTrail ログを確認し、指定した日付範囲内のロールが使用したアクセス許可を含むポリシーテンプレートを生成します。テンプレートを使用して、きめ細かなアクセス権限で管理ポリシーを作成し、それを IAM エンティティにアタッチできます。これにより、特定のユースケースでロールが AWS リソースとインタラクションするために必要なアクセス権限のみを付与します。詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。

ユーザーへのアクセス許可の追加 (コンソール)

IAM では 3 つの方法でユーザーにアクセス許可ポリシーを追加できます。

  • IAM ユーザーを IAM グループに追加する – IAM ユーザーをグループのメンバーにします。グループのポリシーがユーザーにアタッチされます。

  • 既存の IAM ユーザーからアクセス許可をコピーする – すべてのグループメンバーシップ、アタッチされた管理ポリシー、インラインポリシー、および既存のアクセス許可の境界をソースユーザーからコピーします。

  • ポリシーを IAM ユーザーに直接アタッチする – 管理ポリシーをユーザーに直接アタッチします。アクセス許可の管理を簡単にするために、ポリシーをグループにアタッチしてから、IAM ユーザーを適切なグループのメンバーにします。

重要

ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で許可されている以上のアクセス許可をユーザーに追加することはできません。

IAM ユーザーをグループに追加することによってアクセス許可を追加するには

IAM ユーザーを IAM グループに追加すると、ユーザーのアクセス許可が、そのグループに対して定義されたアクセス許可に更新されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [Users] (ユーザー) のリストで、IAM ユーザー名を選択します。

  5. [グループ] タブを選択すると、現在のユーザーを含めるグループのリストが表示されます。

  6. [グループにユーザーを追加] を選択します。

  7. ユーザーが参加する各グループのチェックボックスをオンにします。リストには、各グループの名前と、そのグループのメンバーとなった場合にユーザーが受け取るポリシーが表示されます。

  8. (オプション) [グループを作成] を選択して、新しいグループを定義できます。これは、既存のグループとは異なるポリシーがアタッチされているグループにユーザーを追加する場合に便利です。

    1. 新しいタブで、[ユーザーグループ名] に新しいグループの名前を入力します。

      注記

      AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。グループ名は、最大 128 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、TESTGROUP というグループと testgroup というグループを作成することはできません。

    2. グループにアタッチする管理ポリシーのチェックボックスを 1 つ以上オンにします。[ポリシーの作成] を選択して、新しい管理ポリシーを作成することもできます。その場合は、新しいポリシーが完成したらこのブラウザタブまたはウィンドウに戻り、[Refresh (更新)] を選択した後、グループにアタッチする新しいポリシーを選択します。詳細については、「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。

    3. [ユーザーグループの作成] を選択します。

    4. 元のタブに戻り、グループのリストを更新します。次に、新しいグループのチェックボックスをオンにします。

  9. [グループにユーザーを追加] を選択します。

コンソールには、指定したグループにユーザーが追加されたことを示すステータスメッセージが表示されます。

別の IAM ユーザーにコピーすることによってアクセス許可を追加するには

アクセス許可をコピーして IAM ユーザーにアクセス許可を追加すると、IAM は、指定されたユーザーからすべてのグループメンバーシップ、アタッチされた管理ポリシー、インラインポリシー、および既存のアクセス許可の境界をコピーして、現在選択されているユーザーにすぐに適用します。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [Users] (ユーザー) のリストで、IAM ユーザー名を選択します。

  5. [アクセス許可] タブで、[アクセス許可を追加] を選択します。

  6. [アクセス許可を追加] ページで、[アクセス許可をコピー] を選択します。リストには、使用可能な IAM ユーザーと、そのグループメンバーシップ、アタッチされたポリシーが表示されます。

  7. コピーするアクセス権限を持つユーザーの横のラジオボタンをオンにします。

  8. [次へ] を選択して、ユーザーに加える変更のリストを表示します。次に、[アクセス許可の追加] を選択します。

コンソールには、指定した IAM ユーザーからアクセス許可がコピーされたことを示すステータスメッセージが表示されます。

ポリシーを IAM ユーザーに直接アタッチすることによってアクセス権限を追加するには

管理ポリシーは IAM ユーザーに直接アタッチできます。更新されたアクセス許可はすぐに適用されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [Users] (ユーザー) のリストで、IAM ユーザー名を選択します。

  5. [アクセス許可] タブで、[アクセス許可を追加] を選択します。

  6. [アクセス許可を追加] ページで、[ポリシーを直接アタッチ] を選択します。[アクセス許可ポリシー] リストには、使用可能なポリシーとそのポリシータイプ、アタッチされたエンティティが表示されます。

  7. アタッチする [ポリシー名] の横にあるラジオボタンを選択します。

  8. [次へ] を選択して、ユーザーに加える変更のリストを表示します。次に、[アクセス許可の追加] を選択します。

コンソールには、指定した IAM ユーザーにポリシーが追加されたことを示すステータスメッセージが表示されます。

IAM ユーザーのアクセス許可の境界を設定するには

アクセス許可の境界は、AWS のアクセス許可を管理するための高度な機能であり、IAM ユーザーが持つことができるアクセス許可の上限を設定するために使用されます。アクセス許可の境界を設定すると、付与された他のアクセス許可に関係なく、IAM ユーザーのアクセス許可が直ちに境界に制限されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [ユーザー] リストで、アクセス許可の境界を変更する対象の IAM ユーザーの名前を選択します。

  5. [アクセス許可] タブを選択します。必要に応じて、[アクセス許可の境界] セクションを開き、[境界の設定] を選択します。

  6. [アクセス許可の境界を設定] ページの [アクセス許可ポリシー] で、アクセス許可の境界に使用するポリシーを選択します。

  7. [Set boundary (境界の設定)] を選択します。

コンソールには、アクセス許可の境界が追加されたことを示すステータスメッセージが表示されます。

ユーザーのアクセス許可の変更 (コンソール)

IAM では、次の方法でユーザーに関連付けられているアクセス許可を変更できます。

  • アクセス許可ポリシーの編集 – ユーザーのインラインポリシーまたはユーザーのグループのインラインポリシーを編集するか、ユーザーにアタッチされている管理ポリシーを直接またはグループを介して編集します。ユーザーにアクセス許可の境界が設定されている場合は、アクセス許可の境界で使用されているポリシーで許可される以上のアクセス許可をユーザーに付与することはできません。

  • アクセス許可の境界の変更 – ユーザーのアクセス許可の境界として使用されているポリシーを変更します。この変更に伴って、ユーザーに許可されるアクセス許可の上限が拡張または縮小される場合があります。

ユーザーにアタッチされているアクセス許可ポリシーの編集

アクセス許可を変更すると、ユーザーのアクセス許可がすぐに更新されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [ユーザー] リストで、アクセス許可の境界を変更する対象の IAM ユーザーの名前を選択します。

  5. [アクセス許可] タブを選択します。必要に応じて、[アクセス許可の境界] セクションを開きます。

  6. ポリシーの詳細を表示するために編集するポリシーの名前を選択します。[アタッチされたエンティティ] タブを選択すると、ポリシーを編集した場合に影響を受ける可能性のある他のエンティティ (IAM ユーザー、グループ、ロール) が表示されます。

  7. [Permissions (アクセス許可)] タブを選択し、ポリシーで付与されるアクセス許可を確認します。アクセス許可を変更するには、[編集] を選択します。

  8. ポリシーを編集し、ポリシー検証に関する推奨事項を解決します。詳細については、「IAM ポリシーを編集する」を参照してください。

  9. [次へ] を選択し、ポリシーの概要を確認してから、[変更を保存] を選択します。

コンソールには、ポリシーが更新されたことを通知するステータスメッセージが表示されます。

ユーザーのアクセス許可の境界を変更するには

アクセス許可の境界を変更すると、ユーザーのアクセス許可がすぐに更新されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [ユーザー] リストで、アクセス許可の境界を変更する対象の IAM ユーザーの名前を選択します。

  5. [アクセス許可] タブを選択します。必要に応じて、[Permissions boundary (アクセス許可の境界)] セクションを開き、[Change boundary (境界の変更)] を選択します。

  6. アクセス許可の境界として使用するポリシーを選択します。

  7. [Set boundary (境界の設定)] を選択します。

コンソールには、アクセス許可の境界が変更されたことを示すステータスメッセージが表示されます。

ユーザーからのアクセス許可ポリシーを削除するには (コンソール)

アクセス許可ポリシーを削除すると、ユーザーのアクセス許可がすぐに更新されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. アクセス許可ポリシーを削除する対象のユーザーの名前を選択します。

  5. [アクセス許可] タブを選択します。

  6. 既存のポリシーを削除してアクセス許可を取り消す場合は、[アタッチ方法] 列を表示して、ユーザーがそのポリシーを取得する方法を把握してから、[削除] を選択してポリシーを削除します。

    • グループメンバーシップのためにポリシーが適用されている場合、[削除] を選択して、ユーザーをそのグループから削除します。1 つのグループには複数のポリシーがアタッチされている場合があります。グループからユーザーを削除すると、そのユーザーは、グループメンバーシップを通じて受け取ったすべてのポリシーへのアクセスを失います。

    • ポリシーがユーザーに直接アタッチされた管理ポリシーの場合、[削除] を選択して、ユーザーへのポリシーのアタッチを解除します。これは、そのポリシー自体やそのポリシーがアタッチされている他のエンティティに影響を与えません。

    • ポリシーがインライン埋め込みポリシーである場合は、[削除] を選択すると、IAM からポリシーが削除されます。ユーザーに直接アタッチされたインラインポリシーは、そのユーザーにのみ存在します。

ポリシーがグループメンバーシップを通じてユーザーに付与された場合、コンソールには、IAM ユーザーが IAM グループから削除されたことを示すステータスメッセージが表示されます。ポリシーが直接アタッチされた場合やインラインの場合、ポリシーが削除されたことがステータスメッセージで通知されます。

ユーザーからアクセス許可の境界を削除するには (コンソール)

アクセス許可の境界を削除すると、ユーザーのアクセス許可がすぐに更新されます。

IAM console
  1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [コンソールホーム] のページで、IAM サービスを選択します。

  3. ナビゲーションペインで [ユーザー] を選択します。

  4. [ユーザー] リストで、アクセス許可の境界を削除する対象の IAM ユーザーの名前を選択します。

  5. [アクセス許可] タブを選択します。必要に応じて、[アクセス許可の境界] セクションを開きます。

  6. [Change boundary (境界の変更)] を選択します。アクセス許可の境界を削除することを確定するには、確認ダイアログで [境界を削除] を選択します。

コンソールには、アクセス許可の境界が削除されたことを示すステータスメッセージが表示されます。

ユーザーのアクセス許可の追加と削除 (AWS CLI または AWS API)

アクセス許可をプログラムにより追加または削除するには、グループメンバーシップの追加または削除、管理ポリシーのアタッチまたはデタッチ、インラインポリシーの追加または削除のいずれかを行う必要があります。詳細については、以下の各トピックを参照してください。