Jump アカウント方式におけるIAMユーザー作成・権限変更・削除手順

Jump アカウント方式におけるIAMユーザー作成・権限変更・削除手順

Jump アカウント方式における IAM ユーザーの作成、権限変更、削除を、AWS マネジメントコンソールで行う手順を解説します。
2026.07.14

こんにちは!コンサルティング3部のくろすけです!

AWSを導入いただく際に AWS Organizations (AWS IAM Identity Center による IAM ユーザー管理) を使用しない場合に、Jump アカウント方式をご検討いただくことがしばしばあります。
今回は Jump アカウント方式を導入した際の IAM ユーザー管理(ユーザー作成、権限変更、削除)について、汎用的な手順をまとめてみます。

前提

Jump アカウント方式

本記事では、Jump アカウント方式がどのようなものかについては詳しく取り上げません。詳しくは以下の記事をご覧ください。

https://dev.classmethod.jp/articles/multi-account-user-management/

アカウント構成

jump-account.png

本記事では、上図のように利用者の IAM ユーザーを Jump アカウントへ集約する構成を前提とします。
利用者は IAM ユーザー名・パスワードに加えて MFA で Jump アカウントへサインインします。(今回の手順は MFA の強制設定がされている環境での手順となっています。)

Jump アカウントの IAM ユーザーには、対象アカウントの IAM ロールへ sts:AssumeRole する権限を IAM グループ経由で付与します。
ロールへのスイッチ時には AWS STS から一時的な認証情報が発行され、利用者はそのロールの権限で作業できます。

対象アカウントは、本番・ステージング・開発の 3 環境を想定します。各アカウントには「管理者」「開発者」「運用者」の IAM ロールを用意し、Jump アカウントの IAM グループごとに、スイッチを許可するロールと環境を制御します。
このため、利用者の追加・権限変更・削除は、原則として Jump アカウントの IAM ユーザーと IAM グループの管理だけで完結します。

構築済みのリソース

jump-account-premise.png

本記事では、上記のリソースは構築済みであるものとします。
今回扱うのは、ユーザーの新規入場、ロール変更、退場に関連する(IAM ユーザー作成・権限変更・削除、MFA デバイスの登録、IAM グループへのアタッチなどの)操作です。

IAM ユーザー管理者

本記事のような作業を実際に行う担当者を指します。
IAM ユーザーの作成権限を持っていることが前提です。

手順

1. IAM ユーザーの作成

IAM ユーザー管理者の手順

  1. IAM 管理画面にて、ユーザーの作成 を選択
    CleanShot20260714at18.01.22.png

  2. 下記を設定
    ユーザー名:必須です。
    ・マネジメントコンソールへのアクセス:ユーザーがMFAを設定するため必須です。
    ・次回のサインイン時に新しいパスワードの作成:ユーザーのみがパスワードを把握できるようにするため、必ずチェックしてください。
    CleanShot20260714at18.02.50.png

  3. ユーザーが所属する IAM グループを選択
    設計次第では、複数のグループを選択する場合もあります。
    CleanShot20260714at18.04.37.png

  4. 設定内容を確認し、ユーザーの作成 を選択
    CleanShot20260714at18.06.53.png

  5. パスワードを取得
    ・初期パスワードはこのタイミングでのみ取得可能なため必ず取得すること。
    ・もし、初期パスワードの取得を忘れた場合には、ユーザーを再作成するか、パスワードをリセットする必要があります。
    ・パスワードの漏洩には十分注意してください。
    ・ユーザーに配布するため、csv をダウンロードし、セキュアな方法でそのまま配布いただくのがスムーズです。
    CleanShot20260714at18.07.31.png

  6. ユーザーに配布
    所属の組織で定められた規定の手段などを使用してユーザーに配布してください。

IAMユーザー利用者の手順

  1. IAM ユーザー管理者から配布された csv の認証情報を利用して AWS アカウントにサインイン
    CleanShot20260714at18.44.26.png

  2. 初回サインイン時のパスワードリセットを実施
    成功しない場合は、パスワードポリシーを満たしていない可能性もあるため、管理者に問い合わせてください。
    CleanShot20260714at18.46.38.png
    CleanShot20260714at18.48.59.png

  3. MFA 設定のため、自分の IAM ユーザーを選択
    今回は MFA 設定を強制している環境のため、サインインするとアクセス拒否が多数確認できます。
    CleanShot20260714at18.50.29.png

  4. セキュリティ認証情報 タブの MFA デバイスの割り当て を選択
    CleanShot20260714at18.51.23.png

  5. 下記の通り設定
    ・デバイス名:今回はユーザー名と同名が必須の環境です。(設計次第では異なります。)
    ・MFA デバイス:所属組織の規定に合わせて選択してください。今回は 認証アプリケーション を選択しています。
    CleanShot20260714at18.54.17.png

  6. QR コード、もしくはシークレットキーを利用して MFA デバイスを登録
    CleanShot20260714at18.56.46.png
    正常に登録できると下記のように確認できます。
    CleanShot20260714at18.57.50.png

  7. MFA サインイン確認のため、一度サインアウト
    CleanShot20260714at18.58.50.png

  8. 再度サインイン
    CleanShot20260714at19.00.08.png
    CleanShot20260714at19.00.45.png
    CleanShot20260714at19.01.39.png
    正常にサインインできると下記のように確認できます。
    ただし、権限によっては多数のアクセス拒否が表示される場合もあります。
    CleanShot20260714at19.02.22.png

2. 権限を変更する

権限変更は、原則として IAM グループの所属を変更して行います。
切り替え中に利用者のアクセスを失わせないため、新しいグループへの追加、確認、古いグループからの削除の順に実施します。

複数のロールを継続して利用させる場合は、古いグループを削除せずに追加します。
既存権限を置き換える場合のみ、確認後に古いグループから削除します。

IAM ユーザー管理者の手順

  1. IAM ユーザー利用者の IAM ユーザーを選択
    CleanShot20260714at19.37.55.png

  2. ユーザーをグループに追加 を選択
    CleanShot20260714at19.38.38.png

  3. 対象の IAM グループを選択し、ユーザーをグループに追加 を選択
    CleanShot20260714at19.40.49.png

  4. 既存のグループから IAM ユーザーをデタッチします。
    CleanShot20260714at19.42.22.png
    CleanShot20260714at19.43.21.png

IAM ユーザー利用者の手順

特になし。数秒〜数十秒のタイムラグがある場合がありますが、再サインイン不要で権限変更が反映されます。

3. IAM ユーザーを削除する

IAM ユーザー管理者の手順

  1. IAM ユーザー利用者の IAM ユーザーを選択し、削除 を選択
    CleanShot20260714at19.59.14.png

  2. アクセスキーが有効な場合は、 アクセスキーを無効化する を選択し、その後 confirm を入力し、 ユーザーを削除 を選択
    CleanShot20260714at19.59.54.png

IAM ユーザー利用者の手順

必須の作業はなし。
必要に応じて MFA や aws cli の設定の削除などを行ってください。

あとがき

手順をご相談いただくこともあるため、改めて汎用的な手順としてまとめてみました。
この記事がお役に立てば幸いです。

以上、くろすけでした!

この記事をシェアする

関連記事