AWS アカウントのルートユーザー IAM ユーザー IAM ユーザーグループ IAM ロール IAM での一時認証情報 IAM ユーザーの作成が適している場合 (ロールではなく)IAM ロールの作成が適している場合 (ユーザーではなく)

IAM ID (ユーザー、ユーザーグループ、ロール)

AWS へのサインインに問題がある場合 ユーザーのタイプに応じて正しい AWS サインインページが表示されていることを確認します。AWS アカウントのルートユーザー (アカウント所有者) の場合は、AWS アカウントの作成時に設定した認証情報を使用して AWS にサインインできます。IAM ユーザーの場合、アカウント管理者から AWS へのサインインに使用可能な認証情報をもらうことができます。サポートをリクエストする必要がある場合、このページのフィードバックリンクは使用しないでください。このフォームは AWS サポートではなく、AWS ドキュメントチームに送信されます。代わりに、お問い合わせページから、[AWS アカウントにログインできません] を展開し、[AWS アカウント認証情報のサポートをリクエスト] を選択します。

AWS アカウントのルートユーザーまたはアカウントの IAM 管理者が IAM ID を作成できます。IAM ID は、AWS アカウントへのアクセスを提供します。ユーザーグループ とは、1 つのユニットとして管理される IAM ユーザーの集まりです。IAM ID はユーザーを表し、認証を受けて AWS でアクションを実行する権限を持ちます。各 IAM ID は、1 つ以上の ポリシーに関連付けることができます。ポリシーでは、ユーザー、ロール、またはユーザーグループのメンバーが実行できるアクションの種類、対象となる AWS リソース、および条件が決定されます。

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウント ルートユーザー と呼ばれ、&AWS; アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスします。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけにルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザーとしてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

IAM ユーザー

IAM ユーザーは、AWS で作成したエンティティです。IAM ユーザーは、AWS を操作するために IAM ユーザーを使用する人物またはサービスを表します。IAM ユーザーは主に、ユーザーが対話型タスクを実行するために AWS マネジメントコンソールにサインインする場合や、API または CLI を使用して AWS サービスに対しプログラムによるリクエストを行う場合に使用します。AWS のユーザーは、名前、AWS マネジメントコンソールにサインインするためのパスワード、API または CLI で使用できる最大 2 つのアクセスキーで構成されています。IAM ユーザーを作成した際にアクセス許可を付与するためには、適切なアクセス許可ポリシーがアタッチされたユーザーグループのメンバーに登録するか (推奨)、ポリシーをそのユーザーに直接アタッチします。既存の IAM ユーザーのアクセス許可のクローンを作成することもできます。これにより、同じポリシーがすべてアタッチされた新しいユーザーが、自動的に同じユーザーグループのメンバーとして作成されます。

IAM ユーザーグループ

IAM ユーザーグループとは、IAM ユーザーの集まりです。ユーザーグループを使用してユーザーの集合に対してアクセス許可を指定することで、ユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というユーザーグループを作成し、管理者が一般的に必要とするようなアクセス許可を、そのユーザーグループに付与します。そのユーザーグループのすべてのユーザーには、そのユーザーグループに割り当てられたアクセス許可が自動的に付与されます。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins ユーザーグループに追加することで、適切な権限を割り当てることができます。同様に、あるユーザーの組織内での担当業務が変わった場合、そのユーザーのアクセス許可を編集する代わりに、そのユーザーを古いユーザーグループから削除して適切な新しいユーザーグループに追加することができます。ユーザーグループは、リソースベースのポリシーでは Principal として識別されません。ユーザーグループは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法です。ID ベースのポリシーをユーザーグループにアタッチすると、そのユーザーグループ内のすべてのユーザーに対し、ユーザーグループからアクセス許可を付与できます。これらのポリシータイプの詳細については、「アイデンティティベースのポリシーおよびリソースベースのポリシー」をご参照ください。

IAM ロール

IAM ロールは、AWS でできることとできないことを決定するアクセス許可ポリシーが適用される ID である点で、ユーザーによく似ています。ただし、ロールには、認証情報（パスワードやアクセスキー）を関連付けることができません。ロールは、特定の個人に関連付けるのではなく、必要に応じて誰でも引き受けることができるようになっています。IAM ユーザーは、ロールを引き受けることで、一時的に特定のタスクに対して異なるアクセス許可を取得することができます。ロールは、IAM の代わりに外部 ID プロバイダーを使用してサインインするフェデレーティッドユーザーにも割り当てることができます。AWS は ID プロバイダーが提供する詳細を使用して、フェデレーティッドユーザーにマッピングされるロールを決定します。

IAM での一時認証情報

一時的な認証情報は主に IAM ロールとともに使用されますが、他の用途もあります。標準的な IAM ユーザーよりも限定的なアクセス許可を含む一時的な認証情報を要求することができます。これにより、より限定的な認証情報によって許可されていないタスクを誤って実行することを防止できます。一時的な認証情報の利点は、一定期間が経過すると自動的に失効することです。認証情報が有効である期間は認証情報を制御できます。

IAM ユーザーの作成が適している場合 (ロールではなく)

IAM ユーザーは、アカウント内で特定のアクセス許可を持つ単なる ID です。そのため、認証情報を必要とするすべての機会において IAM ユーザーを必ずしも作成する必要がない場合があります。多くの場合で、IAM ユーザーに関連付けられた長期の認証情報を使用する代わりに、IAM ロールとその一時的セキュリティ認証情報を利用することができます。

AWS アカウントを作成しましたが、アカウントで作業するのは自分だけです。

AWS アカウントのルートユーザー認証情報を使用して AWS で作業できますが、これはお勧めしません。代わりに、自分用の IAM ユーザーを作成し、その認証情報を使用して AWS で作業することを強く推奨します。詳細については、「IAM でのセキュリティのベストプラクティス」をご参照ください。
ユーザーグループ内の他の人があなたの AWS アカウントでの作業を必要としているものの、あなたのユーザーグループでは、対応できる ID メカニズムを使用していません。

この場合、AWS リソースへのアクセスが必要な個人に対して IAM ユーザーを作成し、各ユーザーに適切なアクセス許可を割り当てて、ユーザー独自の認証情報を与えます。複数のユーザー間で認証情報を共有しないことを強く推奨します。

IAM ロールの作成が適している場合 (ユーザーではなく)

次のような状況では、IAM ロールを作成します。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで実行するアプリケーションを作成します。このアプリケーションは AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーの認証情報をアプリケーションに渡したり、認証情報をアプリケーションに埋め込んだりしないでください。代わりに、EC2 インスタンスにアタッチする IAM ロールを作成し、インスンタンスで実行されているアプリケーションに一時的なセキュリティ認証情報を与えます。アプリケーションは AWS でこれらの認証情報を使用すると、ロールにアタッチされたポリシーによって許可されているすべてのオペレーションを実行できます。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

モバイルフォン上で実行するアプリを作成します。このアプリは AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーのアクセスキーをアプリケーションと共に配信しないでください。代わりに、Login with Amazon、Amazon Cognito、Facebook、または Google などの ID プロバイダーを使用してユーザーを認証し、IAM ロールをユーザーにマッピングします。アプリケーションはロールを使用して、ロールにアタッチされたポリシーで指定されたアクセス権限を持つ一時的なセキュリティ認証情報を取得できます。詳細については、以下を参照してください。

AWS Mobile SDK for Android Developer Guide の「Amazon Cognito の概要」
AWS Mobile SDK for iOS Developer Guide の「Amazon Cognito の概要」
ウェブ ID フェデレーションについて

企業内のユーザーが企業ネットワークで認証された後、再びサインインすることなく AWS を使用できるようにします。つまり、ユーザーに AWS へのフェデレーションを許可します。

IAM ユーザーを作成しないでください。企業の ID システムと AWS 間にフェデレーション関係を設定します。これには 2 つの方法があります。

企業の ID システムが SAML 2.0 と互換性がある場合は、企業の認証システムと AWS 間に信頼を確立できます。詳細については、「SAML 2.0 ベースのフェデレーションについて」をご参照ください。
企業のユーザー ID を一時的な AWS セキュリティ認証情報を提供する IAM ロールに変換するカスタムプロキシサーバーを作成して使用します。詳細については、「カスタム ID ブローカーに対する AWS コンソールへのアクセスの許可」をご参照ください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS サインインの問題

ユーザー