メニュー
AWS Identity and Access Management
ユーザーガイド

ID 管理の概要: ユーザー

組織でのセキュリティの強化に応じて、AWS アカウントへのアクセス権限(カスタムアクセス権限で作成する ID)を特定のユーザーに付与できます。AWS に既存の ID を統合することで、それらのユーザーのアクセスをさらに簡素化できます。

初回アクセスのみ: ルートユーザーの認証情報

AWS アカウントを作成する際、AWS アカウントのルートユーザー ID を作成します。これは、AWS へのサインインに使用します。このルートユーザー ID、つまりアカウント作成時に指定した E メールアドレスとパスワードを使用して、AWS マネジメントコンソール にサインインできます。E メールアドレスとパスワードの組み合わせは、ルートユーザー認証情報とも呼ばれます。

ルートユーザーの認証情報を使用すると、お客様の AWS アカウントのすべてのリソースへの完全かつ無制限なアクセス (請求情報へのアクセスやパスワードの変更など) が可能になります。このレベルのアクセスは、最初にアカウントを設定するときに必要です。ただし、日常のアクセスには、ルートユーザーの認証情報を使用しないことをお勧めします。特に、ルートユーザー認証情報は誰とも共有しないことをお勧めします。この情報を共有した人はお客様のアカウントへの無制限のアクセスが可能になるためです。ルートユーザーに付与されたアクセス権限を制限することはできません。

この後のセクションでは、お客様の AWS リソースへの制限付きの安全なアクセスを許可するために、IAM を使用してユーザー ID とアクセス権限を作成および管理する方法について説明します。お客様自身だけでなく、お客様の AWS リソースを使用する必要のある他のユーザーも、アクセスを許可する対象になります。

IAM ユーザー

AWS Identity and Access Management (IAM) の "ID" の側面は、"そのユーザーはだれか" という質問に答えるために役立ち、認証と呼ばれることがよくあります。他の人とルートユーザーの認証情報を共有する代わりに、組織内のユーザーに対応する個々の IAM ユーザーをアカウントに作成できます。IAM ユーザーは、個別のアカウントではなく、お客様のアカウントのユーザーです。各ユーザーには、AWS マネジメントコンソール にアクセスするための、独自のパスワードを割り当てることができます。また各ユーザーには、お客様のアカウントのリソースをプログラムによりリクエストできるように、個別のアクセスキーを作成できます。以下の図では、Brad、Jim、DevApp1、DevApp2、TestApp1、TestApp2 というユーザーが 1 つの AWS アカウントに追加されています。各ユーザーには独自の認証情報が割り当てられています。

 1 つの AWS アカウントの各 IAM ユーザーに独自の認証情報を割り当て。

一部のユーザーは実際はアプリケーション(DevApp1 など)です。IAM ユーザーは実際の人でなくてもかまいません。社内ネットワークで動作していて AWS へのアクセスを必要とするアプリケーションのアクセスキーを生成するために、IAM ユーザーを作成できます。

お客様自身に対応する IAM ユーザーを作成し、お客様のアカウントの管理者アクセス権限に自身に割り当てることをお勧めします。その後、そのユーザーとしてログインして、必要に応じてユーザーを追加できます。

既存のユーザーのフェデレーション

ユーザーに認証方法(社内ネットワークへのログインなど)がすでにある場合は、それらのユーザー ID を AWS にフェデレーションできます。すでにログインしているユーザーの既存の ID は、お客様の AWS アカウントの一時的な ID に置き換えられます。このユーザーは AWS マネジメントコンソール で作業できるようになります。同様に、そのユーザーが使用しているアプリケーションから、ユーザー定義のアクセス権限を使用したプログラムによるリクエストが可能になります。

フェデレーションは以下の場合に特に便利です。

  • ユーザーがすでに社内ディレクトリの ID を所有している。

    社内ディレクトリが Security Assertion Markup Language 2.0 (SAML 2.0) と互換性がある場合は、ユーザーに AWS マネジメントコンソール へのシングルサインオン(SSO)アクセスを許可するように、社内ディレクトリを設定できます。詳細については、「一時的な認証情報の一般的なシナリオ」を参照してください。

    社内ディレクトリが SAML 2.0 と互換性がない場合は、ユーザーに AWS マネジメントコンソール へのシングルサインオン(SSO)アクセスを許可するために、ID ブローカーアプリケーションを作成できます。詳細については、「フェデレーションユーザーに対して AWS マネジメントコンソール へのアクセスを許可する URL の作成(カスタムフェデレーションブローカー)」を参照してください。

    社内ディレクトリが Microsoft Active Directory である場合は、AWS Directory Service を使用して、社内ディレクトリとお客様の AWS アカウントとの間で信頼関係を確立できます。

  • ユーザーがすでにインターネットの ID を所有している。

    作成するモバイルアプリケーションやウェブベースのアプリケーションで、Amazon、Facebook、Google などの OpenID Connect (OIDC) 互換 ID プロバイダーのようなインターネット ID プロバイダーから、ユーザーがログインして認証されるようにする場合、アプリケーションからフェデレーションを使用して AWS へのアクセスが可能になります。詳細については、「ウェブ ID フェデレーションについて」を参照してください。

    ヒント

    インターネット ID プロバイダーによる ID フェデレーションを使用するには、Amazon Cognito を使用することをお勧めします。

以下の図では、ユーザーが IAM を使用して一時的な AWS セキュリティ認証情報を取得する方法を示しています。この情報により、ユーザーは AWS アカウントのリソースにアクセスできるようになります。

すでに他の場所で認証されたユーザーは、IAM ユーザーを使用しなくても、AWS に統合できます。