IAM ユーザーグループ - AWS Identity and Access Management

IAM ユーザーグループ

IAM ユーザーグループとは、IAM ユーザーの集合です。ユーザーグループを使用すると、複数のユーザーに対してアクセス許可を指定でき、それらのユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というユーザーグループを作成し、管理者が一般的に必要とするようなアクセス許可をそのユーザーグループに付与できます。そのユーザーグループのすべてのユーザーは、そのユーザーグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins ユーザーグループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いユーザーグループから削除して適切な新しいグループに追加することができます。

リソースベースのポリシーでは、ユーザーグループを Principal として識別できません。ユーザーグループは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法です。ID ベースのポリシーをグループにアタッチすると、グループ内のすべてのユーザーがユーザーグループからアクセス許可を受け取ります。これらのポリシータイプの詳細については、「アイデンティティベースおよびリソースベースのポリシー」をご参照ください。

以下に示すものは、ユーザーグループの重要な特徴です。

  • ユーザーグループは多くのユーザーを持つことができ、ユーザーは複数のグループに属することができます。

  • ユーザーグループを入れ子形式にすることはできません。ユーザーグループにはユーザーのみを含めることができ、他のグループを含めることはできません。

  • AWS アカウント内のユーザーすべてを自動的に含む、デフォルトのグループはありません。このようなユーザーグループが必要な場合は、そのユーザーグループを作成し、新たなユーザーを 1 人 1 人割り当てる必要があります。

  • AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。

以下の図は、小企業の簡単なサンプルを示しています。企業の所有者は、企業の成長に伴い、他のユーザーを作成して管理するための Admins ユーザーグループを作成します。Admins ユーザーグループは、Developers ユーザーグループとTest ユーザーグループを作成します。これらのユーザーグループはそれぞれ、AWS (ジム、ブラッド、DevApp1 など) とやりとりするユーザー (人員とアプリケーション) で構成されます。各ユーザーは、それぞれ一連の認証情報をもっています。この例では、各ユーザーは 1 つのユーザーグループに属しています。しかし、ユーザーは複数のユーザーグループに属することができます。


      AWS アカウント、ユーザー、およびユーザーグループ間の関係性の例