# IAM ユーザーを削除または非アクティブ化する
[ベストプラクティス](best-practices.md#remove-credentials)では、AWS アカウント から未使用の IAM ユーザーを削除することが推奨されています。IAM ユーザーの認証情報を将来使用するために保持する場合は、アカウントから削除する代わりに、ユーザーのアクセス許可を非アクティブ化できます。詳細については、「[IAM ユーザーの非アクティブ化](#id_users_deactivating)」を参照してください。
**警告**
削除したIAM ユーザーとアクセスキーは復元または復旧できません。
## 前提条件 — IAM ユーザーアクセスを表示する
ユーザーを削除する前に、そのユーザーが最近行ったサービスレベルのアクティビティを確認してください。これにより、それを使用しているプリンシパル (ユーザーまたはアプリケーション) からアクセスを削除することを防止できます。最後にアクセスした情報を表示する方法の詳細については、「[最終アクセス情報を使用して AWS のアクセス許可を調整する](access_policies_last-accessed.md)」を参照してください。
## IAM ユーザーを削除する (コンソール)
AWS マネジメントコンソールを使用して IAM ユーザーを削除すると、関連付けられている以下の情報が IAM によって自動的に削除されます。
+ IAM ユーザー識別子
+ すべてのグループメンバシップ (つまり、IAM ユーザーは、メンバーとして所属していたすべてのグループから削除されます)
+ IAM ユーザーのパスワード
+ IAM ユーザーに組み込まれていたすべてのインラインポリシー (ユーザーグループのアクセス許可を使用して IAM ユーザーに適用されているポリシーは影響を受けません)
**注記**
IAM は、ユーザーを削除すると、IAM ユーザーにアタッチされた管理ポリシーをすべて削除しますが、管理ポリシーは削除しません。
+ 関連する MFA デバイス
### IAM ユーザーを削除するには (コンソール)
------
#### [ Console ]
1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。
1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。
1. ナビゲーションペインで、**[ユーザー]** を選択し、削除する IAM ユーザー名の横にあるチェックボックスをオンにします。
1. ページの上部で、[**削除**] を選択します。
**注記**
いずれかのユーザーにアクティブなアクセスキーがある場合は、ユーザーを削除する前にアクセスキーを非アクティブ化する必要があります。詳細については、「[IAM ユーザーのためにアクセスキーを非アクティブ化するには](access-keys-admin-managed.md#admin-deactivate-access-key)」を参照してください。
1. 確認ダイアログボックスで、テキスト入力フィールドにユーザー名を入力し、ユーザーの削除を確認します。**[削除]** を選択します。
コンソールには、IAM ユーザーが削除されたというステータス通知が表示されます。
------
## IAM ユーザーの削除 (AWS CLI)
AWS CLI を使用して IAM ユーザーを削除する場合、AWS マネジメントコンソールの場合とは異なり、IAM ユーザーにアタッチされている項目を削除する必要があります。この手順では、そのプロセスについて説明します。
**AWS アカウント から IAM ユーザーを削除するには (AWS CLI)**
1. ユーザーのパスワード(使用していた場合)を削除します。
`[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`
1. ユーザーのアクセスキーを削除します (使用していた場合)。
`[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (ユーザーのアクセスキーを一覧表示するには) および `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`
1. ユーザーの署名証明書を削除します。認証情報を削除すると、完全に削除され、復元できないことに注意してください。
`[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (ユーザーの署名証明書を一覧表示するには) および `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`
1. ユーザーの SSH パブリックキーを削除します (使用していた場合)。
`[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (ユーザーの SSH パブリックキーを一覧表示するには) および `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`
1. ユーザーの Git 認証情報を削除します。
`[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (ユーザーの Git 認証情報を一覧表示するには) および `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`
1. ユーザーの 多要素認証 (MFA) デバイスを無効にします (使用していた場合)。
`[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (ユーザーの MFA デバイスを一覧表示するには)、`[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (デバイスを無効にするには)、`[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (仮想 MFA デバイスを完全に削除するには)
1. ユーザーのインラインポリシーを削除します。
`[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (ユーザーのインラインポリシーを一覧表示するには) および [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (ポリシーをさくじょするには)
1. ユーザーにアタッチされているすべての管理ポリシーをデタッチします。
`[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (ユーザーにアタッチされているポリシーを一覧表示するには) および [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (ポリシーをデタッチするには)
1. すべての IAM グループからユーザーを削除します。
`[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (ユーザーが属する IAM グループを一覧表示するには) および `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`
1. ユーザーを削除します。
`[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)`
## IAM ユーザーの非アクティブ化
IAM ユーザーが一時的に会社から離れるときは、そのユーザーを非アクティブ化する必要がある場合があります。IAM ユーザー認証情報を現状のままにしておき、AWS のアクセスをブロックすることができます。
ユーザーを非アクティブ化するには、AWS へのユーザーアクセスを拒否するポリシーを作成してアタッチします。ユーザーアクセスは後で復元できます。
ユーザーにアタッチしてアクセスを拒否できるポリシーを 2 例紹介します。
次のポリシーには期限を設けていません。ユーザーのアクセスを復元するには、ポリシーを削除する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*"
}
]
}
```
------
次のポリシーには、2024 年 12 月 24 日午後 11 時 59 分 (UTC) にポリシーを開始し、2025 年 2 月 28 日午後 11 時 59 分 (UTC) にポリシーを終了するという条件があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
"DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
}
}
]
}
```
------