AWS Identity and Access Management
ユーザーガイド

IAM グループ

IAM グループとは、IAM ユーザーの集合です。グループを使用すると、複数のユーザーに対してアクセス許可を指定でき、それらのユーザーのアクセス許可を容易に管理することができます。たとえば、Admins というグループを作成し、管理者が一般的に必要とするようなアクセス許可をそのグループに付与できます。そのグループのすべてのユーザーは、そのグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins グループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いグループから削除して適切な新しいグループに追加することができます。

グループは真の意味での IAM の「ID」ではない点に注意してください。グループはアクセス許可ポリシーにおいて Principal として識別できないためです。これは、複数のユーザーにポリシーを一度にアタッチするための 1 つの方法に過ぎません。

以下に示すものは、グループの重要な特徴です。

  • グループは多くのユーザーを持つことができ、ユーザーは複数のグループに属することができます。

  • グループを入れ子形式にすることはできません。グループにはユーザーのみを含めることができ、他のグループを含めることはできません。

  • AWS アカウント内のユーザーすべてを自動的に含む、デフォルトのグループはありません。このようなグループが必要な場合は、そのグループを作成し、新たなユーザーを 1 人 1 人割り当てる必要があります。

  • 1 人のお客様が持てるグループの数、および 1 つのグループが持てるユーザーの数には制限があります。詳細については、「IAM および STS の制限」を参照してください。

以下の図は、小企業の簡単なサンプルを示しています。企業の所有者は、企業の成長に伴い、他のユーザーを作成して管理するための Admins グループを作成します。Admins グループは、Developers グループや Test グループを作成します。これらのグループはそれぞれ、AWS (ジム、ブラッド、DevApp1 など) とやりとりするユーザー (人員とアプリケーション) で構成されます。各ユーザーは、それぞれ一連の認証情報をもっています。この例では、各ユーザーは 1 つのグループに属しています。しかし、ユーザーは複数のグループに属することができます。


        AWS アカウント、ユーザー、およびグループ間の関係性の例