AWS Identity and Access Management
ユーザーガイド

準備作業

AWS Identity and Access Management (IAM) により、アマゾン ウェブ サービス (AWS) およびアカウントリソースへのアクセスを安全に管理することができます。IAM では、アカウントの認証情報をプライベートに保持することもできます。IAM では、AWS アカウントで複数の IAM ユーザーを作成することができます。あるいは、社内ディレクトリで ID フェデレーションを通じて一時的アクセスを有効にすることもできます。場合によっては、複数の AWS アカウントにわたって、リソースへのアクセスを有効にすることも可能です。

ただし、IAM を使用しない場合は、お客様が複数の AWS アカウントを作成する (アカウントごとに AWS 製品の請求やサブスクリプションを管理する) か、お客様の複数の従業員が 1 つの AWS アカウントのセキュリティ認証情報を共有するかのどちらかが必要になります。さらに、IAM を使用しない場合、特定のユーザーまたはシステムが実行できるタスクと、その特定のユーザーまたはシステムが使用する可能性がある AWS リソースをコントロールできません。

このガイドでは、IAM の概念を簡単に説明し、ビジネスユースケースを取り上げて AWS のアクセス許可とポリシーについて説明します。

IAM を使用してユーザーに AWS リソースへのアクセスを許可する

ここでは、IAM を使用して、AWS リソースへのアクセスをコントロールする方法について説明します。

アクセスのタイプ なぜ、使用するのか? どこで、詳細情報を取得できるか?

AWS アカウントの下でのユーザーのアクセス許可

AWS アカウントの管理下でユーザーを追加し、IAM を使用してユーザーを作成して、そのアクセス許可を管理します。

AWS マネジメントコンソールを使用して AWS アカウントの下でユーザーを作成し、そのアクセス許可を管理する方法については、「開始方法」を参照してください。

IAM API または AWS Command Line Interface を使用して AWS アカウントの下でユーザーを作成し、そのアクセス許可を管理する方法については、「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

IAM ユーザーの操作方法の詳細については、「ID (ユーザー、グループ、ロール) 」を参照してください。

使用している認証システムと AWS の間での ID フェデレーションによる AWS 以外のユーザーアクセス

ID および認証システムには AWS 以外のユーザーも存在しており、そうしたユーザーも AWS リソースにアクセスする必要があります。

セキュリティトークンを使用し、社内のディレクトリとのフェデレーションを通じて、AWS アカウントのリソースへのアクセスをユーザーに許可する方法については、「一時的セキュリティ認証情報」を参照してください。AWS Security Token Service API の詳細については、「AWS Security Token Service API リファレンス」を参照してください。

AWS アカウント間でのクロスアカウントアクセス

特定の AWS リソースへのアクセスを他の AWS アカウントのユーザーと共有します。

IAM を使用して、他の AWS アカウントにアクセス許可を付与する方法については、「ロールに関する用語と概念」を参照してください。

IAM へのサインアップが必要ですか?

AWS アカウントを持っていない場合、IAM を使用するにはアカウントを作成する必要があります。IAM を使用するために特別にサインアップする必要はありません。IAM の使用料金はかかりません。

注記

IAM は、IAM に統合されている AWS 製品でのみ動作します。IAM をサポートするサービスのリストについては、「IAM と連携する AWS のサービス」を参照してください。

AWS にサインアップするには

  1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

    注記

    AWS アカウントのルートユーザー 認証情報を使用して、すでに AWS マネジメントコンソール にサインインしている場合は、[Sign in to a different account (別のアカウントにサインインする)] を選択します。IAM 認証情報を使用して、すでにコンソールにサインインしている場合は、[Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。[新しい AWS アカウントの作成] を選択します。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

その他のリソース

IAM に関する作業に役立ついくつかのリソースを以下に示します。