# IAM ユーザーのパスワードを管理する
<a name="id_credentials_passwords_admin-change-user"></a>

AWS マネジメントコンソール を使用して AWS リソースを操作する IAM ユーザーには、サインインのためのパスワードが必要です。AWS アカウントの IAM ユーザーのパスワードを作成、変更、削除できます。

ユーザーにパスワードを割り当てると、ユーザーは、以下のような、アカウント用のサインイン URL を使用して AWS マネジメントコンソール にサインインできます。

```
https://{{12-digit-AWS-account-ID or alias}}.signin.aws.amazon.com/console
```

IAM ユーザーの AWS マネジメントコンソール へのサインインの詳細については、AWS サインイン ユーザーガイドの「[AWS にサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

ユーザーは、パスワードが割り当てられている場合でも、AWS リソースへのアクセスにはやはりアクセス許可が必要です。デフォルトでは、ユーザーには何も権限が与えられていません。ユーザーに必要な権限を与えるには、ユーザーまたはユーザーが属しているグループにポリシーを割り当てます。ユーザーおよびグループの作成の詳細については、[IAM アイデンティティ](id.md)を参照してください。ポリシーを使用するアクセス許可設定の詳細については、[IAM ユーザーのアクセス許可を変更する](id_users_change-permissions.md)を参照してください。

ユーザーに自分のパスワードを変更する権限を付与できます。詳細については、「[IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)」を参照してください。ユーザーがアカウントのサインインページにアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「[AWS へサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

**Topics**
+ [IAM ユーザーパスワードの作成、変更、削除 (コンソール)](#id_credentials_passwords_admin-change-user_console)

## IAM ユーザーパスワードの作成、変更、削除 (コンソール)
<a name="id_credentials_passwords_admin-change-user_console"></a>

AWS マネジメントコンソール を使用して IAM ユーザーのパスワードを管理できます。

ユーザーのアクセスニーズは、時間の経過とともに変化する可能性があります。CLI アクセスを想定していたユーザーがコンソールにアクセスできるようにしたり、認証情報を含む E メールを受信してユーザーのパスワードを変更できるようにしたり、組織を離れたユーザーや AWS にアクセスする必要がなくなったユーザーを削除できるようにしたりすることが必要になる場合があります。

### IAM ユーザーのパスワードを作成するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

この手順を使用して、ユーザー名に関連付けられたパスワードを作成し、ユーザーコンソールへのアクセスを許可します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを作成するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスを有効にする]** を選択します。

1. **[コンソールアクセスを有効にする]** ダイアログボックスで **[パスワードのリセット]** を選択し、IAM によってパスワードを生成するか、カスタムパスワードを作成するかを選択します。
   + IAM によって自動的にパスワードを生成するには、[**Autogenerated password (自動生成パスワード)**] を選択します。
   + カスタムパスワードを作成するには、[**Custom password (カスタムパスワード)**] を選択し、パスワードを入力します。
**注記**  
作成するパスワードは、アカウントの[パスワードポリシー](id_credentials_passwords_account-policy.md)の要件を満たす必要があります。

1. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、**[ユーザーは次回のサインインで新しいパスワードを作成する必要があります]** を選択します。

1. ユーザーに新しいパスワードをすぐに使用するように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[パスワードのリセット]** を選択します。

1. **[コンソールパスワード]** ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、**[コンソールパスワード]** ダイアログボックスで **[表示]** を選択します。**[.csv ファイルのダウンロード]** を選択して、ユーザーの認証情報を含むファイルをダウンロードします。
**重要**  
セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが有効になったことを示すステータスメッセージが表示されます。

------

### IAM ユーザーのパスワードを変更するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

この手順を使用して、ユーザー名に関連付けられているパスワードを更新します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを変更するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスの管理]** を選択します。

1. **[コンソールアクセスを管理]** ダイアログボックスで、**[パスワードのリセット]** を選択し、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。
   + IAM によって自動的にパスワードを生成するには、[**Autogenerated password (自動生成パスワード)**] を選択します。
   + カスタムパスワードを作成するには、[**Custom password (カスタムパスワード)**] を選択し、パスワードを入力します。
**注記**  
作成するパスワードは、アカウントの[パスワードポリシー](id_credentials_passwords_account-policy.md)の要件を満たす必要があります。

1. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、**[ユーザーは次回のサインインで新しいパスワードを作成する必要があります]** を選択します。

1. ユーザーに新しいパスワードをすぐに使用するように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[パスワードのリセット]** を選択します。

1. **[コンソールパスワード]** ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、**[コンソールパスワード]** ダイアログボックスで **[表示]** を選択します。**[.csv ファイルのダウンロード]** を選択して、ユーザーの認証情報を含むファイルをダウンロードします。
**重要**  
セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが更新されたことを示すステータスメッセージが表示されます。

------

### IAM ユーザーのパスワードを削除 (無効化) するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

この手順を使用して、ユーザー名に関連付けられているパスワードを削除し、ユーザーのコンソールアクセスを取り消します。

**重要**  
パスワードを削除することで、AWS マネジメントコンソール への IAM ユーザーアクセスを無効にできます。これにより、サインイン認証情報を使用して AWS マネジメントコンソール にサインインすることができなくなります。権限を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き機能し、AWS CLI、Tools for Windows PowerShell、AWS API、またはAWS Console Mobile Application 用のツールを介したアクセスを許可します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを削除するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスの管理]** を選択します。

1. ユーザーにコンソールの使用をすぐに止めるように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[アクセスの無効化]** を選択します。

コンソールには、コンソールアクセスが無効になったことを示すステータスメッセージが表示されます。

------

### IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

AWS CLI を使用して IAM ユーザーのパスワードを管理できます。

**パスワードを作成するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. パスワードを作成するには、[aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html) コマンドを実行します。

**ユーザーのパスワードを変更するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. パスワードを変更するには、[aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html) コマンドを実行します。

**ユーザーのパスワードを削除 (無効化) するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. (オプション) パスワードを前回使用した日付を確認するには、[aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) コマンドを実行します。

1. パスワードを削除するには、[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html) コマンドを実行します。

**重要**  
ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「[IAM ユーザーの削除 (AWS CLI)](id_users_remove.md#id_users_deleting_cli)」を参照してください。

**指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS CLI)**

1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   このインラインポリシーはすべてのアクセス許可を拒否し、`aws:TokenIssueTime` 条件キーを含みます。インラインポリシーの `Condition` 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。`aws:TokenIssueTime` 条件キーの値は、独自の値に置き換えてください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"
         }
       }
     }
   }
   ```

------

1. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (オプション) IAM ユーザーに埋め込まれている名前付きのインラインポリシーを表示するには、次のコマンドを実行します: [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### IAM ユーザーパスワードの作成、変更、削除 (AWS API)
<a name="Using_ManagingPasswordsAPI"></a>

AWS API を使用して IAM ユーザーのパスワードを管理できます。

**パスワードを作成するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) オペレーションを呼び出します。

1. パスワードを作成するには、[CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html) オペレーションを呼び出します。

**ユーザーのパスワードを変更するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) オペレーションを呼び出します。

1. パスワードを変更するには、[UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html) オペレーションを呼び出します。

**ユーザーのパスワードを削除 (無効化) するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) コマンドを実行します。

1. (オプション) パスワードを前回使用した日付を確認するには、[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) コマンドを実行します。

1. パスワードを削除するには、[DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html) コマンドを実行します。

**重要**  
ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「[IAM ユーザーの削除 (AWS CLI)](id_users_remove.md#id_users_deleting_cli)」を参照してください。

**指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS API)**

1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   このインラインポリシーはすべてのアクセス許可を拒否し、`aws:TokenIssueTime` 条件キーを含みます。インラインポリシーの `Condition` 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。`aws:TokenIssueTime` 条件キーの値は、独自の値に置き換えてください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"
         }
       }
     }
   }
   ```

------

1. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (オプション) IAM ユーザーに埋め込まれている名前付きインラインポリシーを表示するには、次のコマンドを実行します: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)