退任者のIAMユーザー物理削除の懸念

ご質問いただいている点は次の二点であるとお見受けします。 順番が前後しており恐縮ですが、それぞれについて以下に回答いたします。

• AWS では IAM ユーザーの論理削除と物理削除のどちらが主流であるか
• IAM ユーザーを削除した場合に何らかの情報が失われるなどの不都合が発生するか

「AWS では IAM ユーザーの論理削除と物理削除のどちらが主流であるか」について

AWS では IAM ユーザーの削除について論理削除と物理削除のどちらか一方をより推奨しているということはありません。お客様のユースケースと要件に照らし合わせて、より適切な方法を選択していただくことになります。 また、削除方法の採用実績といった情報は収集されておりませんので、どちらの方法がより採用されているかといった情報をご提供することができません。

なお、IAM ユーザー数には 5000 という上限がありますので、論理削除を採用される際にはこちらの制限に抵触しないようご注意ください[1]。

[1] https://docs.aws.amazon.com/general/latest/gr/iam-service.html#limits_iam

「IAM ユーザーを削除した場合に何らかの情報が失われるなどの不都合が発生するか」について

上述の通り、どちらの削除方法を採用するかはお客様のユースケースと要件に依存しますが、IAM ユーザーの削除にあたって注意が必要な点を記載いたします。

IAM ユーザーを含め、IAM エンティティには一意の ID (以降では IAM ID と記載します)が割り当てられています[2]。IAM ユーザーを削除した場合、当該の IAM ユーザーに割り当てられていた IAM ID を取り戻すことはできません。 言い換えますと、同じ名前で IAM ユーザーや IAM ロールを再作成しても、IAM ID には異なる値が割り当てられます。

これは IAM ユーザーのアクセスキーでも同様です。同じアクセスキー ID でアクセスキーを作成しなおすことはできません。

IAM ID の値は IAM ユーザー作成時の応答[3]、GetUser API の結果[4]、ListAccessKeys API の結果[5]などから確認できますので、削除前には監査などの用途に備えてこれらの ID を記録しておくこともご検討ください。

また、IAM ユーザーを削除することにより、当該の IAM ユーザーのみがアクセス可能であったリソースへのアクセスが失われてしまう可能性があります。 このため、削除にあたってはそのような設定が行われているリソースの有無をご確認ください。

特に、KMS キーのキーポリシーについてはご注意ください[6]。 明示的なアクセス許可がキーポリシーで設定されていない限り、ルートユーザーでも KMS キーにアクセスすることができません。 ある IAM ユーザーが唯一のキー管理者としてキーポリシーに設定されている状態でその IAM ユーザーを削除すると、当該の KMS キーを管理できなくなります。

記載いただいているメリット、デメリットに加え、上記のような観点からもご検討いただけますと幸いです。

[2] https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html

[3] https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html

[4] https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html

[5] https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html

[6] https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html#authentication