メニュー
AWS Identity and Access Management
ユーザーガイド

IAM グループ

IAM グループとは、IAM ユーザーの集合です。グループを使用すると、複数のユーザーに対してアクセス権限を指定でき、それらのユーザーのアクセス権限を容易に管理することができます。例えば、Admins と呼ばれるグループを作成し、管理者が一般的に必要とするようなアクセス権限を、そのグループに与えることができます。そのグループのすべてのユーザーは、そのグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins グループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いグループから削除して適切な新しいグループに追加することができます。

グループは真の意味での IAM の「ID」ではない点に注意してください。グループはアクセス権限ポリシーにおいて Principal として識別できないからです。これは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法に過ぎません。

以下に示すものは、グループの重要な特徴です。

  • グループは多くのユーザーを持つことができ、ユーザーは複数のグループに属することができます。

  • グループを入れ子形式にすることはできません。グループにはユーザーのみを含めることができ、他のグループを含めることはできません。

  • AWS アカウント内のユーザーすべてを自動的に含む、デフォルトのグループはありません。このようなグループが必要な場合は、そのグループを作成し、新たなユーザーを 1 人 1 人割り当てる必要があります。

  • 1 人のお客様が持てるグループの数、および 1 つのグループが持てるユーザーの数には制限があります。詳細については、「IAM エンティティにおける制限およびオブジェクト」を参照してください。

以下の図は、小企業の簡単なサンプルを示しています。企業の所有者は、企業の成長に伴い、他のユーザーを作成して管理するための Admins グループを作成します。Admins グループは、Developers グループや Test グループを作成します。これらのグループはそれぞれ、AWS(ジム、ブラッド、DevApp1 など)とやりとりするユーザー(人員とアプリケーション)で構成されます。各ユーザーは、それぞれ一連の認証情報をもっています。この例では、各ユーザーは 1 つのグループに属しています。しかし、ユーザーは複数のグループに属することができます。

AWS アカウント、ユーザー、およびグループ間の関係性の例