# ロールに対するアクセス許可を更新する
ロールのアクセス許可ポリシーとアクセス許可の境界を更新するには、以下の手順を使用します。
## 前提条件: ロールへのアクセスを表示する
ロールのアクセス許可を変更する前に、サービスレベルの最近のアクティビティを確認する必要があります。これは、アクセス権を使用しているプリンシパル (ユーザーまたはアプリケーション) から削除しないようにするために重要です。最後にアクセスした情報を表示する方法の詳細については、「[最終アクセス情報を使用して AWS のアクセス許可を調整する](access_policies_last-accessed.md)」を参照してください。
## ロールに対するアクセス許可ポリシーを更新する
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM の*[サービスにリンクされたロール](id_roles.md#iam-term-service-linked-role)*のアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「[IAM と連携する AWS のサービス](reference_aws-services-that-work-with-iam.md)」を参照し、**[Service-linked roles]** (サービスにリンクされたロール) 列が **[Yes]** (はい) となっているサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
### ロールに対するアクセス許可ポリシーの更新 (コンソール)
**ロールで許可されているアクセス権限を変更するには (コンソール)**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. IAM コンソールのナビゲーションペインで **[ロール]** を選択します。
1. 変更するロールの名前を選択し、[**Permissions (アクセス許可)**] タブを選択します。
1. 次のいずれかを行います。
+ 既存のカスタマー管理ポリシーを編集するには、ポリシーの名前を選択してから [**ポリシーの編集**] を選択します。
**注記**
AWS の管理ポリシーを編集することはできません。AWS 管理ポリシーには AWS アイコン (![\[Orange cube icon indicating a policy is managed by AWS.\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/policy_icon.png)) が表示されます。AWS 管理ポリシーとカスタマー管理ポリシーの違いの詳細については、「[管理ポリシーとインラインポリシー](access_policies_managed-vs-inline.md)」を参照してください。
+ 既存の管理ポリシーをロールにアタッチするには、**[Add permissions]** (アクセス許可を追加) を選択して、**[Attach policies]** (ポリシーのアタッチ) を選択します。
+ 既存のインラインポリシーを編集するには、ポリシーを展開して、**[Edit]** (編集) を選択します。
+ 新しいインラインポリシーを埋め込むには、**[Add permissions]** (アクセス許可を追加) を選択して、**[Create inline policy]** (インラインポリシーの作成) を選択します。
+ ロールから既存のポリシーを削除するには、ポリシー名の横にあるチェックボックスを選択し、**[削除]** を選択します。
### ロールに対するアクセス許可ポリシーの更新 (AWS CLI)
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM の*[サービスにリンクされたロール](id_roles.md#iam-term-service-linked-role)*のアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「[IAM と連携する AWS のサービス](reference_aws-services-that-work-with-iam.md)」を参照し、**[Service-linked roles]** (サービスにリンクされたロール) 列が **[Yes]** (はい) となっているサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**ロールで許可されたアクセス許可を変更するには (AWS CLI)**
1. (オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のコマンドを実行します。
1. [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html) (インラインポリシーの一覧表示)
1. [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html) (管理ポリシーの一覧表示)
1. ロールのアクセス権限を更新するコマンドは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。
管理ポリシーを更新するには、次のコマンドを実行して新しいバージョンの管理ポリシーを作成します。
+ [aws iam create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)
インラインポリシーを更新するには、次のコマンドを実行します。
+ [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
### ロールに対するアクセス許可ポリシーの更新 (AWS API)
ロールで許可されているアクセス許可を変更するには、ロールのアクセス許可のポリシーを修正します。IAM の*[サービスにリンクされたロール](id_roles.md#iam-term-service-linked-role)*のアクセス許可ポリシーは変更できません。ロールに依存するサービス内では、アクセス許可ポリシーを変更できる場合があります。サービスでこの機能がサポートされているかどうかを確認するには、「[IAM と連携する AWS のサービス](reference_aws-services-that-work-with-iam.md)」を参照し、**[Service-linked roles]** (サービスにリンクされたロール) 列が **[Yes]** (はい) となっているサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**ロールで許可されたアクセス許可を変更するには (AWS API)**
1. (オプション) ロールに現在関連付けられているアクセス許可を表示するには、以下のオペレーションを呼び出します。
1. [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html) (インラインポリシーの一覧表示)
1. [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html) (管理ポリシーの一覧表示)
1. ロールのアクセス許可を更新するオペレーションは、管理ポリシーとインラインポリシーのいずれを更新するかによって異なります。
管理ポリシーを更新するには、次のオペレーションを呼び出して新しいバージョンの管理ポリシーを作成します。
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
インラインポリシーを更新するには、次のオペレーションを呼び出します。
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
## ロールに対するアクセス許可の境界を更新する
ロールに許可されるアクセス許可の上限を変更するには、ロールの[アクセス許可の境界](access_policies_boundaries.md)を変更します。
### ロールに対するアクセス許可の境界の更新 (コンソール)
**ロールのアクセス許可の境界を設定するために使用するポリシーを変更するには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **Roles (ロール)** を選択します。
1. 変更する[permissions boundary](access_policies_boundaries.md) (許可の境界) を持つロールの名前を選択します。
1. **[アクセス許可]** タブを選択します。必要に応じて、[**Permissions boundary (アクセス許可の境界)**] セクションを開き、[**Change boundary (境界の変更)**] を選択します。
1. アクセス許可の境界として使用するポリシーを選択します。
1. [**Change boundary (境界の変更)**] を選択します。
変更は、次にこのロールが引き受けられるまで有効になりません。
### ロールに対するアクセス許可の境界の変更 (AWS CLI)
**ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS CLI)**
1. (オプション) ロールの現在の[アクセス許可の境界](access_policies_boundaries.md)を表示するには、以下のコマンドを実行します。
+ [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)
1. 別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のコマンドを実行します。
+ [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)
ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。
### ロールに対するアクセス許可の境界の更新 (AWS API)
**ロールのアクセス許可の境界を設定するために使用する管理ポリシーを変更するには (AWS API)**
1. (オプション) ロールの現在の[アクセス許可の境界](access_policies_boundaries.md)を表示するには、以下のオペレーションを呼び出します。
+ [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 別の管理ポリシーを使用してロールのアクセス許可の境界を更新するには、次のオペレーションを呼び出します。
+ [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)
ロールにアクセス許可の境界として設定できる管理ポリシーは 1 つのみです。アクセス許可の境界を変更する場合は、ロールに許可されるアクセス許可の上限を変更します。