メニュー
AWS Identity and Access Management
ユーザーガイド

アクセス管理

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に制御するためのウェブサービスです。AWS でプリンシパルがリクエストを行うと、IAM サービスは、プリンシパルが認証 (サインイン) され、許可されている (アクセス許可を持っている) かどうかをチェックします。アクセスを管理するには、ポリシーを作成して IAM ID または AWS リソースにアタッチします。これらのポリシーは、許可または拒否するアクセス許可を指定します。残りの認証と許可の詳細については、「IAM の詳細を理解します。」を参照してください 。

AccessManagement_Diagram

許可の間、IAM はリクエストコンテキストからの値に基づいて、一致するポリシーをチェックし、リクエストを許可するか拒否するかを決定します。

ポリシーは AWS に JSON ドキュメントとして格納され、プリンシパル (アイデンティティベースのポリシー) またはリソース (リソースベースのポリシー) に対して許可または拒否されるアクセス許可を指定します。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。リソースベースのポリシーには信頼ポリシーも含まれます。これらのタイプのポリシーの詳細については、「IAM ポリシー」を参照してください。

IAM は、要求のコンテキストに一致する各ポリシーをチェックします。1 1つのポリシーに拒否されたアクションが含まれている場合、IAMはリクエスト全体を拒否し、ポリシーの評価を停止します。このプロセスは明示的な拒否と呼ばれています。リクエストはデフォルトで拒否されているため、IAM はリクエストのすべての部分が一致するポリシーによって許可されている場合にのみリクエストを許可します。評価論理は以下のルールに基づきます。

  • デフォルトでは、すべてのリクエストが拒否されます。

  • 明示的な許可はこのデフォルトに優先します。

  • 明示的な拒否はすべての許可に優先します。

注記

デフォルトでは、AWS アカウントのルートユーザー のみが、そのアカウントのすべてのリソースにアクセスできます。したがって、ルートユーザー としてサインインしていない場合は、ポリシーによって付与されたアクセス許可が必要です。

リクエストが認証され承認された後で、AWS はリクエストを承認します。別のアカウントでリクエストする必要がある場合、そのアカウントのリソースには、アカウントからのアクセスを許可するリソースベースのポリシーが必要です。それ以外の場合は、必要なアクセス許可でそのアカウント内のロールを引き受ける必要があります。

アクセス管理リソース

権限に関する詳細およびポリシーの作成に関する詳細については、以下のリソースを参照してください。

このページの内容: