メニュー
AWS Identity and Access Management
ユーザーガイド

ロールの一般的なシナリオ: ユーザー、アプリケーション、およびサービス

多くの AWS 機能と同様に、通常ロールを使用する方法には、IAM コンソールでインタラクティブに使用する方法と、AWS CLI、Tools for Windows PowerShell、API のいずれかを使用してプログラムで使用する方法の 2 つがあります。

  • IAM コンソールを使用するアカウントの IAM ユーザーは、別のロールに切り替えて、コンソールでそのロールのアクセス権限を一時的に使用できます。ユーザーは、元のアクセス権限を返却し、そのロールに割り当てられたアクセス権限を取得します。ユーザーがそのロールを終了すると、元のアクセス権限に戻ります。

  • アプリケーションまたは AWS によって提供されるサービス(Amazon EC2 など)は、AWS にプログラムによるリクエストを行うための役割の一時的なセキュリティ認証情報をリクエストすることで、ロールを引き受けることができます。ロールをこのように使用することで、リソースへのアクセスが必要なエンティティごとに長期的なセキュリティ認証情報を共有または保持する(IAM ユーザーを作成するなどして)必要がなくなります。

注記

このガイドでは、ロールの切り替えおよびロールの引き受けという言葉を、ほとんど同じ意味で使用しています。

ロールを使用する最もシンプルな方法は、自分のアカウントまたは別の AWS アカウント内に作成したロールに切り替えるアクセス権限を IAM ユーザーに付与する方法です。IAM ユーザーは、IAM コンソールを使用して簡単にロールを切り替え、通常は必要ないアクセス権限を使用することができます。その後、ロールを終了して、それらのアクセス権限を返却できます。これは、機密性の高いリソースに誤ってアクセスしたり変更したりすることを回避するのに役立ちます。

アプリケーションとサービスへのアクセスを許可する(つまり、外部フェデレーションユーザー)など、ロールを複雑な方法で使用するには、AssumeRole API を呼び出します。この API 呼び出しは、アプリケーションが後続の API 呼び出しで使用できる一時的な認証情報のセットを返します。一時的な認証情報を使用して試行されたアクションは、関連付けられたロールによって付与されたアクセス権限のみを使用します。アプリケーションは、ユーザーがコンソールで行った方法でロールを "終了" する必要はありません。アプリケーションは一時的な認証情報を使用して停止し、元の認証情報で呼び出しを再開するだけです。

フェデレーションユーザーは、ID プロバイダー (IdP) から提供される認証情報を使用してサインインします。その後、AWS は一時的な認証情報を信頼された IdP に提供し、後続の AWS リソースリクエストに含めることができるようにユーザーに渡します。これらの認証情報は、割り当てられたロールに付与されたアクセス権限を提供します。

このセクションは、次のシナリオの概要を提供します。