【AWS IAM】IAMユーザー、IAMグループ、IAMロール、IAMポリシーの違いを整理

はじめに

IAM（Identity and Access Management）は、AWSでの権限管理の核となるサービスです。
このIAMには、主要サービスが４つあります。
・IAMユーザー
・IAMグループ
・IAMロール
・IAMポリシー

この４つのサービスは、とても重要ですがイマイチ腑に落ちない点がありました。
（特に、IAMロールとIAMポリシーの理解がモヤモヤしていました）

そこで、今回はこの４サービスについて整理しましたので、その内容を紹介します。
みなさんのAWS理解の参考にしてください。

IAMの４サービスを図解する

まずは、細かいことは棚上げして、４サービスの関わりを図で確認します。

この図から分かるように、私たちがイメージする権限に該当するのがIAMポリシーになります。
このIAMポリシーの付与対象がIAMユーザー、IAMグループ、IAMロールです。

また、IAMグループはIAMユーザーをグルーピング（纏めたモノ）です。
そして、IAMロールはAWSリソースへ権限を付与するためのモノです。

IAMの４サービスの説明

IAMポリシー

IAMポリシーは、AWSの各サービスの利用ルールをまとめた権限セットのようなものです。
たとえば、「EC2とS3に対して全ての操作を許可する」、「EC2とRDSに対して新規作成のみ許可する」などと設定できます。

IAMポリシーは大きく３つを設定することで権限セットを作成することできます。
・Action ：対象サービス
・Resource：機能や範囲
・Effect ：許可／拒否

IAMユーザー

IAMユーザーは、はAWSの利用者ごとに作成される認証情報（ID）です。

AWSに限らず、複数人でのIDの使い回しはセキュリティ的に好ましくないです。
そのため、必ず１人１IAMユーザーを発行し、自分自身のIAMユーザーを用いてAWSを利用します。

IAMユーザーがAWSで操作できる範囲は、付与されたIAMポリシーによって定められます。
最小権限の原則に従って、IAMユーザーには適切なIAMポリシーを付与しましょう。

IAMグループ

IAMグループは、IAMユーザーの管理を簡素化するためにをグルーピングするサービスです。

IAMユーザー毎にポリシーの付与を行うと、付与漏れなどミスが発生する恐れがあります。
そこで、役割別にIAMユーザーをグループ化したIAMグループを作成します。
そして、IAMグループにIAMポリシーを付与して、IAMユーザーをIAMグループへ所属させることで、必要なIAMポリシーを付与させることができます。

例えば、IAMグループとして、「管理者グループ」、「開発者グループ」、「運用者グループ」を作成し、各グループに必要なIAMポリシーを付与します。
そして、各メンバーのIAMユーザーを発行したら、役割に応じたグループに所属させることで権限を管理します。

IAMロール

IAMロールは、自分のAWSアカウント内の「IAMユーザーとIAMグループ」以外へ権限を付与するときに利用するサービです。

まず、必要なIAMポリシーを取り纏めたIAMロールを作成します。
そして、IAMロールを権限を必要としている対象に付与します。

IAMロールを利用して権限付与する対象には次のようなものがあります。
・AWSリソース（EC2、Lambdaなど）
・別AWSアカウントのIAMユーザー
・Active Directoryのユーザー
・別サービス(GoogleやFacebookなど)のアカウント

最後に

システム設計でも権限設定は複雑で苦手意識がある人は多いと思います。
加えて、AWSは用語も公式解説も独特な言い回しが多いので、理解しにくいと思います。

今回の説明では、AWS独特な言い回しは排除し、細かい説明も大胆に割愛しました。
その代わりに、IAMユーザー、IAMグループ、IAMロール、IAMポリシーの４つの概要と関係性はご理解いただけと思います。

今回の説明をきっかけにAWS IAMへの苦手意識がなくなり、AWS利用に前向きになってもらえると幸いです。