AWS Identity and Access Management
ユーザーガイド

リソース

IAM には豊富なリソースが用意されており、IAM による AWS アカウントとそのリソースの保護方法について詳細を確認するために役立ちます。

ユーザーとグループ

ユーザーとグループの作成、管理、使用については、以下のリソースを参照してください。

認証情報 (パスワード、アクセスキー、MFA デバイス)

AWS アカウントと IAM ユーザーのパスワードの管理については、以下のガイドを確認してください。アクセスキー (AWS へのプログラムによる呼び出しに使用するシークレットキー) についても情報が見つかります。

  • AWS セキュリティ認証情報 – Amazon Web Services へのアクセスに使用する認証情報のタイプについて説明します。また、それらの認証情報を作成および管理する方法についても説明します。さらに、アクセスキーを安全に管理するための推奨事項も示します。

  • パスワードの管理」と「IAM ユーザーのアクセスキーの管理」– お客様のアカウントの IAM ユーザーの認証情報を管理する方法について説明します。

  • AWS での多要素認証 (MFA) の使用 – サインインを許可する前に、デバイスで生成されるパスワードとワンタイムコードの両方を求めるように、お客様のアカウントと IAM ユーザーを設定する方法について説明します (これは 2 要素認証と呼ばれることがあります)。

アクセス権限とポリシー

IAM ポリシーのしくみについて説明し、アクセス権限の最適な付与方法についてヒントを示します。

  • ポリシーとアクセス許可 – アクセス権限をユーザーまたはグループに、あるいは AWS 製品によってはリソース自体にアタッチする方法について説明します。

  • ポリシーとアクセス許可 – アクセス権限の定義に使用されるポリシー言語を紹介します。

  • IAM JSON ポリシーエレメントのリファレンス – ポリシー言語の各要素の説明と例を示します。

  • ポリシーの例 – さまざまな AWS 製品の一般的なタスクに関するポリシーの例を示します。

  • AWS Policy Generator – リストから製品とアクションを選択することで、カスタムポリシーを作成します。

  • IAMPolicy Simulator – ポリシーによって特定の AWS アクションが許可されるか拒否されるかをテストします。以下のビデオ (6:28) では、Policy Simulator の概要と実行されている様子を示します。

フェデレーションと委任

他の場所で認証された (サインインした) ユーザーに AWS アカウントのリソースへのアクセスを許可できます。アクセスを許可するのは、別の AWS アカウントの IAM ユーザー (委任と呼ばれる) であっても、自社のサインインプロセスで認証されたユーザーであってもかまいません。また、Login with Amazon、Facebook、Google などの OpenID Connect (OIDC) 互換 ID プロバイダーのようなインターネット ID プロバイダーからログインしたユーザーであってもかまいません。これらの場合、ユーザーは AWS リソースにアクセスするための一時的なセキュリティ証明書を取得します。

IAM と他の AWS 製品

ほとんどの AWS 製品は IAM と統合されているため、IAM 機能の支援によりそれらの製品でリソースへのアクセスを保護できます。以下のリソースでは、最もよく使用されているいくつかの AWS 製品に対する IAM とセキュリティについて説明します。IAM と連携するすべての製品のリスト、各製品に関する詳細情報へのリンクについては、「IAM と連携する AWS サービス」を参照してください。

IAM を Amazon EC2 に使用する

  • Amazon EC2 リソースへのアクセスの制御 – IAM 機能を使用して Amazon EC2 のインスタンス、ボリュームなどの管理をユーザーに許可する方法について説明します。

  • インスタンスプロファイルの使用 – Amazon EC2 インスタンスで動作し他の AWS 製品へのアクセスが必要なアプリケーションに、IAM ロールを使用して認証情報を安全に渡す方法について説明します。

IAM を Amazon S3 に使用する

IAM を Amazon RDS に使用する

IAM を Amazon DynamoDB に使用する

  • IAM を使用した DynamoDB リソースへのアクセスの制御 – IAM を使用してユーザーに DynamoDB のテーブルとインデックスの管理を許可する方法について説明します。

  • 以下のビデオ (8:55) では、DynamoDB データベースの個々の項目または属性 (またはその両方) へのアクセスを制御する方法について説明します。

セキュリティに関する一般的な慣行

AWS のアカウントとリソースの保護に最適な方法についてエキスパートからのヒントやガイダンスが見つかります。

  • AWS セキュリティに関するベストプラクティス (PDF) – AWS アカウントおよび製品全体のセキュリティを管理する方法について、セキュリティアーキテクチャの提案、IAM の使用、暗号化とデータセキュリティなども含め、詳細を示します。

  • IAM のベストプラクティス – IAM を使用して AWS アカウントとそのリソースを保護する方法について推奨事項を示します。

  • AWS CloudTrail User Guide – AWS CloudTrail を使用して、AWS への API 呼び出しの履歴を追跡し、その情報をログファイルに保存します。この情報は、どのユーザーおよびアカウントがお客様のアカウントのリソースにアクセスしたか、いつその呼び出しが行われたか、どのアクションがリクエストされたかなどを調べるために役立ちます。

一般的なリソース

IAM と AWS の詳細については、以下のリソースを参照してください。

  • クラスとワークショップ – AWS に関するスキルを磨き、実践的経験を積むために役立つ、職務別の特別コースとセルフペースラボへのリンクです。

  • AWS 開発者用ツール – AWS アプリケーションの開発と管理のための開発者ツール、SDK、IDE ツールキット、およびコマンドラインツールへのリンクです。

  • AWS ホワイトペーパー – アーキテクチャ、セキュリティ、エコノミクスなどのトピックをカバーし、AWS のソリューションアーキテクトや他の技術エキスパートによって書かれた、技術的な AWS ホワイトペーパーの包括的なリストへのリンクです。

  • AWS サポートセンター – AWS サポートケースを作成および管理するためのハブです。フォーラム、技術上のよくある質問、サービス状態ステータス、AWS Trusted Advisor などの便利なリソースへのリンクも含まれています。

  • AWS サポート – 1 対 1 での迅速な対応を行うサポートチャネルである AWS サポートに関する情報のメインウェブページです。AWS サポートは、クラウドでのアプリケーションの構築および実行を支援します。

  • お問い合わせ – AWS の支払、アカウント設定その他に関する連絡先です。

  • AWS サイトの利用規約 – 当社の著作権、商標、お客様のアカウント、ライセンス、サイトへのアクセス、およびその他のトピックに関する詳細情報です。