今日学んだこと#
AWS IAMは「誰が・どのサービスを・どこまで」アクセスできるかを管理する仕組みです。IAMポリシー・IAMユーザー・IAMグループ・IAMロールの4つの概念を、オフィスビルのアナロジーで整理しました。
学習内容#
IAMとは#
AWS IAM(Identity and Access Management)は、ユーザーやサービス(EC2・Lambda)による「AWSのリソースやサービス」へのアクセスを管理する仕組みです。
なぜIAMが必要か#
AWSを利用する際は、「誰が・どのサービスを・どこまで」アクセスしてよいか制限する必要があります。
IAMによる管理を実施しない場合、以下のようなリスクがあります。
- 退職者など想定していないユーザーがサービスへ接続する
- 権限のないユーザーがリソースを削除する
4つの概念#
IAMには4つの主要な概念があります。
| 概念 | 役割 |
|---|---|
| IAMポリシー | 「何を許可/拒否するか」を定義したルール |
| IAMユーザー | 個人に紐づくアカウント |
| IAMグループ | ユーザーをまとめて同じルールを適用 |
| IAMロール | 人間やサービスに一時的に権限を与える仕組み |
IAMユーザー・グループ・ロールにIAMポリシーを付与することで、権限を管理します。
オフィスビルで例える#
AWSの環境をオフィスビルに例えると、4つの概念は以下のように対応します。
| IAMの概念 | オフィスビルで例えると |
|---|---|
| IAMポリシー | 「3階の会議室は入れるが、サーバールームは入れない」というルール |
| IAMユーザー | 社員証(個人を識別) |
| IAMグループ | 「営業部」「開発部」といった部署単位でルールをまとめて適用 |
| IAMロール | 清掃業者用の一時入館証(人ではなく役割に紐づく) |
権限管理の仕組み#
IAMポリシー(ルール)
↓ 付与
IAMユーザー / IAMグループ / IAMロール
↓
AWSリソースへのアクセス制御
ポリシーを直接ユーザーに付与することも可能ですが、グループにまとめて付与することで効率的に管理できます。
ベストプラクティス#
IAMを運用する際は、以下の原則を意識しましょう。
| 原則 | 内容 |
|---|---|
| ルートユーザーは使わない | AWSアカウント作成時のルートユーザーは強力すぎるため、日常業務ではIAMユーザーを使用する |
| 最小権限の原則 | 必要最低限の権限のみを付与し、不要な権限は与えない |
| グループで権限を管理 | 個人に直接ポリシーを付与せず、グループ経由で管理すると運用が楽になる |
まとめ#
| 概念 | 一言で言うと | アナロジー |
|---|---|---|
| IAMポリシー | 許可/拒否のルール | 入室ルール |
| IAMユーザー | 個人アカウント | 社員証 |
| IAMグループ | ユーザーのまとまり | 部署 |
| IAMロール | 一時的な権限付与 | 一時入館証 |
- IAMは「誰が・どのサービスを・どこまで」を管理する仕組み
- 管理対象は人間だけでなく、EC2やLambdaなどのサービスも含まれる
- ポリシーをユーザー・グループ・ロールに付与して権限を制御する
参考#
- 『AWS運用入門 改訂第2版 押さえておきたいAWSの基本と運用ノウハウ』山﨑翔平・小倉大・峯侑資 著/SBクリエイティブ(2025年)
- IAM チュートリアル - AWS公式