メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ロール

IAM ロールは、AWS で許可/禁止する操作を決めるアクセス権限ポリシーが関連付けられている AWS ID であるという点で、ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールにはいずれの認証情報(パスワードやアクセスキー)も関連付けられません。ユーザーがロールに割り当てられた場合、代わりに、アクセスキーが動的に作成され、ユーザーに提供されます。

ロールを使用して、通常は AWS リソースへのアクセス権のないユーザー、アプリケーション、サービスにそのアクセス権を委任できます。たとえば、AWS アカウントのユーザーに、通常はないリソースへのアクセス権を付与したり、ある AWS アカウントのユーザーに、別のアカウントのリソースへのアクセス権を付与したりできます。または、モバイルアプリに AWS リソースの使用を許可しても、(キーの更新が困難であり、キーの抽出が可能である)アプリへの AWS キーの埋め込みは禁止する場合があります。社内ディレクトリなどに AWS 以外の ID をすでに持っているユーザーに、AWS へのアクセス権を付与することが必要になる場合があります。または、リソースを監査できるように、アカウントへのアクセス権を第三者に付与することが必要になる場合もあります。

このようなシナリオでは、IAM ロールを使用することで、AWS リソースへのアクセスを委任することができます。このセクションでは、ロールの概要とさまざまな使用方法、適切なアプローチを選択するタイミングと方法、ロールの作成、管理、切り替え(または引き受け)、削除を行う方法について説明します。