メニュー
AWS Identity and Access Management
ユーザーガイド

IAM とは

AWS Identity and Access Management (IAM) は、ユーザーに対して AWS へのアクセスを安全に制御するための仕組みで、IAM の利用自体が課金対象になることはありません。IAM により、どのユーザーがお客様の AWS リソースを使用できるか(認証)、それらのユーザーがどのリソースをどのような方法で使用できるか(承認)を制御できます。

AWS IAM の概要のビデオ

この短いビデオ(2:15)では、AWS IAM を簡単に紹介します。

IAM の機能

IAM には、以下の機能があります。

AWS アカウントへの共有アクセス

パスワードやアクセスキーを共有しなくても、お客様の AWS アカウントのリソースを管理および使用するためのアクセス権限を他の人に付与できます。

詳細なアクセス権限

リソースごとに、ユーザーごとに、さまざまなアクセス権限を付与できます。たとえば、一部のユーザーに Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift、およびその他の AWS サービスへの完全なアクセスを許可できます。他のユーザーには、一部の S3 バケットへの読み取り専用アクセス、一部の EC2 インスタンスのみへの管理アクセス、または請求情報のみへのアクセスを許可できます。

Amazon EC2 で動作するアプリケーションから AWS リソースへの安全なアクセス

IAM 機能を使用して、EC2 インスタンスで動作するアプリケーションに、S3 バケット、RDS、DynamoDB データベースなど他の AWS リソースにアクセスするために必要な認証情報を安全に付与できます。

ID フェデレーション

他の場所(社内ネットワーク、インターネット ID プロバイダーなど)でパスワードをすでに持つユーザーに、お客様の AWS アカウントへの一時的なアクセスを許可できます。

保証のための ID 情報

AWS CloudTrail を使用している場合は、お客様のアカウントのリソースをリクエストしたユーザーに関する情報がログレコードに保存されます。その情報は IAM ID に基づきます。

PCI DSS への準拠

IAM は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Industry(PCI)Data Security Standard(DSS)に準拠していることが確認されています。PCI DSS の詳細(AWS PCI Compliance Package のコピーをリクエストする方法など)については、「PCI DSS レベル 1」を参照してください。

多くの AWS サービスとの統合

IAM と連携する AWS サービスのリストについては、「IAM と連携する AWS サービス」を参照してください。

結果整合性

IAM には、他の多くの AWS サービスと同様、結果整合性があります。IAM は、世界中の Amazon のデータセンターに配置された複数のサーバー間でデータを複製することで、高可用性を実現します。何らかのデータの変更リクエストが成功すると、変更はコミットされ、安全な場所に保管されます。ただし、変更は IAM 全体で複製される必要があり、これには多少時間がかかることがあります。詳細については、「行った変更がすぐに表示されないことがある」を参照してください。

使用料無料

AWS Identity and Access Management は追加料金なしで提供している AWS アカウントの機能です。IAM ユーザーが他の AWS 製品を利用した場合にのみ料金が請求されます。 他の AWS 製品の価格については、「Amazon Web Services pricing page」を参照してください。

AWS Security Token Service は追加料金なしで提供している AWS アカウントの組み込み機能です。料金が発生するのは、AWS STS の一時的なセキュリティ認証情報によってアクセスされる他の AWS サービスを使用するときのみです。他の AWS サービスの価格については、「Amazon Web Services 料金表のページ」を参照してください。

IAM へのアクセス

次のいずれかの方法で AWS Identity and Access Management を使用できます。

AWS マネジメントコンソール

コンソールは IAM および AWS リソースを管理するためのブラウザーベースのインターフェイスです。コンソールから IAM にアクセスする方法の詳細については、「IAM コンソールとサインインページ」を参照してください。 コンソールの使用に関するチュートリアルについては、「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

AWS コマンドラインツール

AWS コマンドラインツールを使用して、システムのコマンドラインでコマンドを発行することで、IAM および AWS タスクを実行できます。この方法は、コンソールを使用するよりも便利で、短時間で実行できます。コマンドラインツールは、AWS のタスクを実行するスクリプトを作成する場合にも便利です。

AWS には、AWS Command Line Interface (AWS CLI) と AWS Tools for Windows PowerShell という 2 セットのコマンドラインツールが用意されています。AWS CLI のインストールおよび使用の詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。Tools for Windows PowerShell のインストールおよび使用の詳細については、『AWS Tools for Windows PowerShell ユーザーガイド』を参照してください。

AWS SDK

AWS には、さまざまなプログラミング言語およびプラットフォーム(Java、Python、Ruby、.NET、iOS、Android など)のライブラリとサンプルコードで構成された SDK(ソフトウェア開発キット)が用意されています。SDK は、IAM や AWS へのプログラムによるアクセス権限を作成する際に役立ちます。例えば、SDK は要求への暗号を使用した署名、エラーの管理、要求の自動的な再試行などのタスクを処理します。AWS SDK のダウンロードやインストールなどの詳細については、「アマゾン ウェブ サービスのツール」ページを参照してください。

IAM HTTPS API

サービスに HTTPS リクエストを直接発行できる IAM HTTPS API を使用して、プログラムにより IAM と AWS にアクセスできます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「HTTP クエリリクエストを作成して API を呼び出す」と『&IAM API リファレンス』を参照してください。