困っていること
弊社の社員が退職した為、IAM ユーザーを削除する予定です。
削除するにあたり調べていたところ、対象 IAM ユーザー名がこれまで構築したリソース等に「作成者」や「所有者」として表記されています。
上記の背景より、対象 IAM ユーザを削除予定の場合に考慮するべき点(確認)を教えてください。
どう対応すればいいの?
ドキュメント を参考に以下を確認してください。
確認後、問題がなければ「作成者」や「所有者」に記載されている IAM ユーザー/ロール を削除されてもリソースへの影響はございません。
ユーザーアクセスの表示 ユーザーを削除する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。
(中略) IAM ユーザーの削除 (コンソール) AWS Management Console を使用して IAM ユーザーを削除すると、IAM によって以下の情報が自動的に削除されます。 ● ユーザー ● すべてのグループメンバシップ (つまり、ユーザーは、メンバーとして所属していたすべての IAM ユーザーグループから削除されます) ● ユーザーのパスワード ● ユーザーのアクセスキー
ユーザーに組み込まれていたすべてのインラインポリシー(ユーザーグループのアクセス権限を通じてユーザーに適用されているポリシーは影響を受けません)
- リソースベースのポリシーにアタッチされているリソース(S3 バケットなど)へ、削除予定の IAM ユーザのみアクセスが可能な場合
- 削除予定の、IAM ユーザのアクセス権を使用している「サービス」・「アプリケーション」がある場合
上記対処法の一例として、 該当 IAM ユーザのみアクセス可能な S3 バケットに対して IAM ユーザを削除する前に、アクセス権を別の IAM ユーザに移管するようにバケットポリシーを修正する ことをご検討ください。
- 該当 IAM ユーザー名義 (操作だけでなく、削除予定 IAM ユーザー名義) で発行している S3、SES などへの アクセス/シークレットトークン を使って API 実行している場合
該当 IAMユーザーを削除するとそのトークンは無効となることをご注意ください。
3
