IAM ID (ユーザー、グループ、ロール) - AWS Identity and Access Management

IAM ID (ユーザー、グループ、ロール)

AWS へのサインインに問題がある場合 ユーザーのタイプに応じて正しい AWS サインインページが表示されていることを確認します。AWS アカウントのルートユーザー (アカウント所有者) の場合は、AWS アカウントの作成時に設定した認証情報を使用して AWS にサインインできます。IAM ユーザーの場合、アカウント管理者から AWS へのサインインに使用可能な認証情報をもらうことができます。サポートをリクエストする必要がある場合、このページのフィードバックリンクは使用しないでください。このフォームは AWS サポートではなく、AWS ドキュメントチームに送信されます。代わりに、お問い合わせページから、[AWS アカウントにログインできません] を展開し、[AWS アカウント認証情報のサポートをリクエスト] を選択します。

AWS アカウントのルートユーザー またはアカウントの IAM 管理者が IAM ID を作成できます。IAM ID は、AWS アカウントへのアクセスを提供します。グループ とは、1 つのユニットとして管理される IAM ユーザーの集まりです。IAM ID はユーザーを表し、認証を受けて AWS でアクションを実行する権限を持ちます。各 IAM ID は、1 つ以上の ポリシーに関連付けることができます。ポリシーは、ユーザー、ロール、またはグループのメンバーが実行できるアクション、 AWS リソース、および条件を決定します。

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウント ルートユーザー と呼ばれ、&AWS; アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスします。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

IAM ユーザー

IAM ユーザーは、AWS で作成したエンティティです。IAM ユーザーは、AWS を操作するために IAM ユーザーを使用する人物またはサービスを表します。IAM ユーザーは主に、ユーザーが対話型タスクを実行するために AWS マネジメントコンソールにサインインする場合や、API または CLI を使用して AWS サービスに対しプログラムによるリクエストを行う場合に使用します。AWS のユーザーは、名前、AWS マネジメントコンソールにサインインするためのパスワード、API または CLI で使用できる最大 2 つのアクセスキーで構成されています。IAM ユーザーを作成したら、適切なアクセス許可ポリシーがアタッチされたグループのメンバーにするか (推奨)、ポリシーをユーザーに直接アタッチすることにより、そのユーザーにアクセス許可を付与します。既存の IAM ユーザーのアクセス許可のクローンを作成することもできます。こうすると、新しいユーザーは自動的に同じグループのメンバーとなり、同じポリシーがすべてアタッチされます。

IAM グループ

IAM グループとは、IAM ユーザーの集合です。グループを使用して、ユーザーの集合に対してアクセス許可を指定でき、ユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というグループを作成し、管理者が一般的に必要とするようなアクセス許可をそのグループに付与できます。そのグループのすべてのユーザーは、そのグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins グループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いグループから削除して適切な新しいグループに追加することができます。グループは真の意味での ID ではない点に注意してください。グループはリソースベースのポリシーまたは信頼ポリシーにおいて Principal として識別できないためです。これは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法に過ぎません。

IAM ロール

IAM ロールは、AWS でできることとできないことを決定するアクセス許可ポリシーが適用される ID である点で、ユーザーによく似ています。ただし、ロールには、認証情報(パスワードやアクセスキー)を関連付けることができません。ロールは、特定の個人に関連付けるのではなく、必要に応じて誰でも引き受けることができるようになっています。IAM ユーザーは、ロールを引き受けることで、一時的に特定のタスクに対して異なるアクセス許可を取得することができます。ロールは、IAM の代わりに外部 ID プロバイダーを使用してサインインするフェデレーティッドユーザーにも割り当てることができます。AWS は ID プロバイダーが提供する詳細を使用して、フェデレーティッドユーザーにマッピングされるロールを決定します。

IAM での一時認証情報

一時的な認証情報は主に IAM ロールとともに使用されますが、他の用途もあります。標準的な IAM ユーザーよりも限定的なアクセス許可を含む一時的な認証情報を要求することができます。これにより、より限定的な認証情報によって許可されていないタスクを誤って実行することを防止できます。一時的な認証情報の利点は、一定期間が経過すると自動的に失効することです。認証情報が有効である期間は認証情報を制御できます。

IAM ユーザーの作成が適している場合 (ロールではなく)

IAM ユーザーは、アカウント内で特定のアクセス許可を持つ単なる ID です。そのため、認証情報を必要とするすべての機会において IAM ユーザーを必ずしも作成する必要がない場合があります。多くの場合で、IAM ユーザーに関連付けられた長期の認証情報を使用する代わりに、IAM ロールとその一時的セキュリティ認証情報を利用することができます。

  • AWS アカウントを作成しましたが、アカウントで作業するのは自分だけです。

    AWS アカウントの ルートユーザー 認証情報を使用して AWS で作業できますが、これはお勧めしません。代わりに、自分用の IAM ユーザーを作成し、その認証情報を使用して AWS で作業することを強く推奨します。詳細については、「IAM でのセキュリティのベストプラクティス」を参照してください。

  • グループ内の他の人がお客様の AWS アカウントで作業する必要がありますが、お客様のグループは他の ID メカニズムを使用していません。

    この場合、AWS リソースへのアクセスが必要な個人に対して IAM ユーザーを作成し、各ユーザーに適切なアクセス許可を割り当てて、ユーザー独自の認証情報を与えます。複数のユーザー間で認証情報を共有しないことを強く推奨します。

IAM ロールの作成が適している場合 (ユーザーではなく)

次のような状況では、IAM ロールを作成します。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで実行するアプリケーションを作成します。このアプリケーションは AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーの認証情報をアプリケーションに渡したり、認証情報をアプリケーションに埋め込んだりしないでください。代わりに、EC2 インスタンスにアタッチする IAM ロールを作成し、インスンタンスで実行されているアプリケーションに一時的なセキュリティ認証情報を与えます。アプリケーションは AWS でこれらの認証情報を使用すると、ロールにアタッチされたポリシーによって許可されているすべてのオペレーションを実行できます。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

モバイルフォン上で実行するアプリを作成します。このアプリは AWS にリクエストを送信します。

IAM ユーザーを作成してユーザーのアクセスキーをアプリケーションと共に配信しないでください。代わりに、Login with Amazon、Amazon Cognito、Facebook、または Google などの ID プロバイダーを使用してユーザーを認証し、IAM ロールをユーザーにマッピングします。アプリケーションはロールを使用して、ロールにアタッチされたポリシーで指定されたアクセス権限を持つ一時的なセキュリティ認証情報を取得できます。詳細については、以下を参照してください。

企業内のユーザーが企業ネットワークで認証された後、再びサインインすることなく AWS を使用できるようにします。つまり、ユーザーに AWS へのフェデレーションを許可します。

IAM ユーザーを作成しないでください。企業の ID システムと AWS 間にフェデレーション関係を設定します。これには 2 つの方法があります。