IAM ユーザ削除時に自動的に消えるものを教えてください

2023.03.23

困っていること

弊社の社員が退職した為、IAM ユーザーを削除する予定です。
マネジメントコンソールから IAM ユーザを削除する時に関連して自動的に消えるリソースなどがあれば教えてください。

どう対応すればいいの?

自動的に削除されるもの

ドキュメント 記載の通り、 AWS Management Console を使用して IAM ユーザーを削除すると以下の情報が自動的に削除されます。

  • ユーザー
  • すべてのグループメンバシップ (つまり、ユーザーは、メンバーとして所属していたすべての IAM ユーザーグループから削除されます)
  • ユーザーのパスワード
  • ユーザーのアクセスキー
  • ユーザーに組み込まれていたすべてのインラインポリシー(ユーザーグループのアクセス権限を通じてユーザーに適用されているポリシーは影響を受けません)
  • 関連する MFA デバイス

IAM ユーザー削除時に考慮すべき点

前途の通り自動的に削除されるものがあるため IAM ユーザー削除前、以下について確認することをお勧めします。

  • アクセス不可となるリソース
  • 停止されるリソース

上記について、IAM ユーザーを削除した際に当該 IAM ユーザーが作成したリソースへの影響は基本的にないためご安心ください。

  • 削除対象の IAM ユーザーのみアクセス可能なリソース

KMS キーのキーポリシー等、リソースベースのポリシー により、削除対象の IAM ユーザーからのアクセスのみを許可しているリソースがある場合、当該 IAM ユーザーの削除によりアクセスが制限されることが懸念されるものの、このような設定となっているリソースベースのポリシーを一元的に確認できる方法は、現状提供されていません。

代替案

以下ドキュメントの表にて「リソースベースのポリシー」列が「はい」となっているサービスのリソースについて、それぞれご確認ください。

  • 削除対象の IAM ユーザのアクセスキー・シークレットアクセスキーを用いた API 実行処理

IAM ユーザーの削除により、当該 IAM ユーザーのアクセスキーを使用しているスクリプト等が動作しなくなる状況を懸念されている場合、削除対象の IAM ユーザーのアクセスキーが削除されることにより影響を受けるスクリプト等を網羅的に確認する方法についても現時点で確認する方法はございません。

代替案

当該 IAM ユーザーのアクセスキーを一度無効化 して、実際に既存のスクリプト等の動作に影響が出ないかご確認いただく方法をご検討ください。その後にしばらく静観して問題がなければ IAM ユーザーの削除を実施してください。

アクセスキーを無効にするには
[Access keys]アクセスキーセクションで、無効にするキーを選択し、[Actions] (アクション)、[Deactivate] (無効化) の順に選択します。確認を求めるメッセージが表示されたら、[Deactivate (無効化)] を選択します。非アクティブ化されたアクセスキーは、2 つのアクセスキーの制限にカウントされます。

参考資料