【AWS】 IAMの解説

AWS Identity and Access Management (IAM)

AWSリソースへのアクセス制御を提供するサービスです。IAMを使用することで、ユーザーやグループに対して、どのリソースにアクセスできるかやどの操作を許可するかを管理できます。

IAMユーザー

AWSサービスに対して認証と承認を与えるエンティティです。IAMユーザーは、AWSアカウント内の個々のユーザーやサービスに対応するもので、それぞれに一意の認証情報（ユーザー名とパスワード、アクセスキーなど）が付与されます。IAMユーザーには、AWSリソースへのアクセス権限をJSON形式で割り当てることができます。

1つのAWSアカウントで作成できるIAMユーザーの上限は、5,000です。

IAMグループ

グループには、複数のユーザーに対してまとめてアクセス許可を管理できます。。IAMポリシーをグループに適用することで、そのグループに属するすべてのユーザーに同じアクセス権限を付与できます。

1つのAWSアカウントで作成できるIAMグループの上限は、300件です。

IAMポリシー

AWSリソースへのアクセス許可を定義する文書です。JSON形式で記述され、AWSリソースに対するアクションとリソース（を指定します。IAMポリシーは、IAMユーザー、グループ、またはロールに関連付けることができます。これにより、関連付けられたエンティティにアクセス許可が付与されます。

管理ポリシー
AWSが提供する事前定義済みのポリシーまたはユーザーが作成したカスタムポリシーであり、複数のIAMアイデンティティ（ユーザー、グループ、ロール）にアタッチできます。

インラインポリシー
IAMアイデンティティ（ユーザー、グループ、ロール）に直接埋め込まれるポリシーであり、そのIAMアイデンティティに固有です。

要素

• ステートメント：一つ以上のステートメントが含まれます。ステートメントは、アクション、リソース、エフェクト（許可または拒否）、およびオプションで条件を指定することができます。

• アクション：特定のAWSサービス（例：Amazon S3やAmazon EC2）に対する操作を指定します。

• リソース：アクションが適用されるAWSリソースを特定します。例えば、Amazon S3バケットやAmazon EC2インスタンスなどです。

• エフェクト：「Allow」（許可）または「Deny」（拒否）のいずれかで、そのステートメントがアクセス許可を付与するか、それとも拒否するかを示します。

• 条件：条件はオプションであり、特定の状況下でのみステートメントが適用されるように設定できます。例えば、特定のIPアドレス範囲からのアクセスだけを許可するような条件を設定できます。

IAMロール

AWSリソースへのアクセスを一時的に制御する方法を提供し、組織のセキュリティポリシーに合わせてロールを持つことができます。複数のユーザーやサービスに同じアクセス許可を付与する場合、ロールを使用することで一元的に管理できます。また、将来的にアクセス許可を変更する必要がある場合、ロールを更新するだけで済むため、管理が容易になります。

IAMユーザーがロールを切り替える場合、ユーザーがそのロールへのアクセス許可を持っている必要があります。このアクセス許可は、ユーザーに関連付けられたポリシーで設定されます。

クロスアカウントアクセス
異なるAWSアカウント間でアクセス許可を共有するために使用できます。これにより、他のアカウントのリソースにアクセスするために、ユーザーやグループを複数のアカウントに作成する必要がなくなります。