IAM ID (ユーザー、ユーザーグループ、ロール)

AWS へのサインインに問題がある場合 ユーザーのタイプに応じて正しい AWS サインインページが表示されていることを確認します。 AWS アカウント (アカウント所有者) の場合は、AWS ルートユーザーアカウントの作成時に設定した認証情報を使用して AWS にサインインできます。IAM ユーザーの場合、アカウント管理者から AWS へのサインインに使用可能な認証情報をもらうことができます。サポートをリクエストする必要がある場合、このページのフィードバックリンクは使用しないでください。このフォームは AWS サポートではなく、AWS ドキュメントチームに送信されます。代わりに、お問い合わせページから、[AWS アカウントにログインできません] を展開し、[AWS アカウント認証情報のサポートをリクエスト] を選択します。

アカウントの AWS アカウント ルートユーザーまたは IAM 管理者は、IAM IDを作成できます。IAM ID は、AWS アカウントへのアクセスを提供します。ユーザーグループとは、1 つのユニットとして管理される IAM ユーザーの集まりです。IAM ID はユーザーを表し、認証を受けて AWS でアクションを実行する権限を持ちます。各 IAM ID は、1 つ以上のポリシーに関連付けることができます。ポリシーは、ユーザー、ロール、またはユーザーグループのメンバーが実行できるアクション、 AWS リソース、および条件を決定します。

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めてを作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウントルートユーザーと呼ばれ、アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザーとしてサインインする必要があるタスクを表示するには、「AWS ルートユーザー認証情報が必要なタスク」を参照してください。

IAM ユーザー

IAM ユーザーは、AWS で作成したエンティティです。IAM ユーザーは、AWS を操作するために IAM ユーザーを使用する人物またはサービスを表します。ユーザーは主に、ユーザーが対話型タスクを実行するために AWS Management Console にサインインする場合や、API または CLI を使用して AWS サービスに対しプログラムによるリクエストを行う場合に使用します。AWS のユーザーは、名前、AWS Management Consoleにサインインするためのパスワード、API または CLI で使用できる最大 2 つのアクセスキーで構成されています。IAM ユーザーを作成したら、適切なアクセス許可ポリシーがアタッチされたユーザーグループのメンバーにするか (推奨)、ポリシーをユーザーに直接アタッチすることにより、そのユーザーにアクセス許可を付与します。既存の IAM ユーザーのアクセス許可のクローンを作成することもできます。こうすると、新しいユーザーは自動的に同じグループのメンバーとなり、同じポリシーがすべてアタッチされます。IAM アカウントに IAM ユーザーを追加するには、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

IAM ユーザーグループ

IAM ユーザーグループとは、IAM ユーザーの集合です。グループを使用して、ユーザーグループの集合に対してアクセス許可を指定でき、ユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というユーザーグループを作成し、管理者が一般的に必要とするようなアクセス許可をそのグループに付与できます。そのグループのすべてのユーザーグループは、そのグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins ユーザーグループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いユーザーグループから削除して適切な新しいユーザーグループに追加することができます。リソースベースのポリシーでは、ユーザーグループを Principal として識別できません。ユーザーグループは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法です。ID ベースのポリシーをユーザーグループにアタッチすると、ユーザーグループ内のすべてのユーザーがユーザーグループからアクセス許可を受け取ります。これらのポリシータイプの詳細については、「アイデンティティベースおよびリソースベースのポリシー」をご参照ください。

IAM ロール

IAM ロールは、AWS でできることとできないことを決定するアクセス許可ポリシーが適用される ID である点で、ユーザーによく似ています。ただし、ロールには、認証情報（パスワードやアクセスキー）を関連付けることができません。ロールは、特定の個人に関連付けるのではなく、必要に応じて誰でも引き受けることができるようになっています。IAM ユーザーは、ロールを引き受けることで、一時的に特定のタスクに対して異なるアクセス許可を取得することができます。ロールは、IAM の代わりに外部 ID プロバイダーを使用してサインインするフェデレーティッドユーザーにも割り当てることができます。AWS は ID プロバイダーが提供する詳細を使用して、フェデレーティッドユーザーにマッピングされるロールを決定します。

IAM での一時認証情報

一時的な認証情報は主に IAM ロールとともに使用されますが、他の用途もあります。標準的な IAM ユーザーよりも限定的なアクセス許可を含む一時的な認証情報を要求することができます。これにより、より限定的な認証情報によって許可されていないタスクを誤って実行することを防止できます。一時的な認証情報の利点は、一定期間が経過すると自動的に失効することです。認証情報が有効である期間は認証情報を制御できます。

IAM ユーザーの作成が適している場合 (ロールではなく)

IAM ユーザーは、アカウント内で特定のアクセス許可を持つ単なる ID です。そのため、認証情報を必要とするすべての機会において IAM ユーザーを必ずしも作成する必要がない場合があります。多くの場合で、IAM ユーザーに関連付けられた長期の認証情報を使用する代わりに、IAM ロールとその一時的セキュリティ認証情報を利用することができます。

• AWS アカウントを作成しましたが、アカウントで作業するのは自分だけです。

  AWS アカウントのルートユーザー認証情報を使用して AWS で作業できますが、これはお勧めしません。代わりに、自分用の IAM ユーザーを作成し、その認証情報を使用して AWS で作業することを強く推奨します。詳細については、「IAM でのセキュリティのベストプラクティス」を参照してください。

• ユーザーグループ内の他の人がお客様の AWS アカウントで作業する必要がありますが、お客様のユーザーグループは他の ID メカニズムを使用していません。

  この場合、AWS リソースへのアクセスが必要な個人に対して IAM ユーザーを作成し、各ユーザーに適切なアクセス許可を割り当てて、ユーザー独自の認証情報を与えます。複数のユーザー間で認証情報を共有しないことを強く推奨します。

IAM ロールの作成が適している場合 (ユーザーではなく)

次のような状況では、IAM ロールを作成します。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで実行するアプリケーションを作成しており、そのアプリケーションが AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーの認証情報をアプリケーションに渡したり、認証情報をアプリケーションに埋め込んだりしないでください。代わりに、EC2 インスタンスにアタッチする IAM ロールを作成し、インスンタンスで実行されているアプリケーションに一時的なセキュリティ認証情報を与えます。アプリケーションは AWS でこれらの認証情報を使用すると、ロールにアタッチされたポリシーによって許可されているすべてのオペレーションを実行できます。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

モバイルフォン上で実行するアプリを作成します。このアプリは AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーのアクセスキーをアプリケーションと共に配信しないでください。代わりに、Login with Amazon、Amazon Cognito、Facebook、または Google などの ID プロバイダーを使用してユーザーを認証し、IAM ロールをユーザーにマッピングします。アプリケーションはロールを使用して、ロールにアタッチされたポリシーで指定されたアクセス権限を持つ一時的なセキュリティ認証情報を取得できます。詳細については、以下を参照してください。

• デベロッパーガイド の「AWS Mobile SDK for AndroidAmazon Cognito の概要」

• デベロッパーガイド の「AWS Mobile SDK for iOSAmazon Cognito の概要」

• ウェブ ID フェデレーションについて

企業内のユーザーが企業ネットワークで認証された後、再びサインインすることなく AWS を使用できるようにします。つまり、ユーザーに AWS へのフェデレーションを許可します。

IAM ユーザーを作成しないでください。企業の ID システムと AWS 間にフェデレーション関係を設定します。これには 2 つの方法があります。

• 企業の ID システムが SAML 2.0 と互換性がある場合は、企業の認証システムと AWS 間に信頼を確立できます。詳細については、「SAML 2.0 ベースのフェデレーションについて」を参照してください。

• 企業のユーザー ID を一時的な AWS セキュリティ認証情報を提供する IAM ロールに変換するカスタムプロキシサーバーを作成して使用します。詳細については、「カスタム ID ブローカーに対する AWS コンソールへのアクセスの許可」を参照してください。