【AWS IAM】IAMユーザー、IAMグループ、IAMロール、IAMポリシーの違いを整理

スキルアップ

はじめに

IAM(Identity and Access Management)は、AWSでの権限管理の核となるサービスです。
このIAMには、主要サービスが4つあります。
IAMユーザー
IAMグループ
IAMロール
IAMポリシー

この4つのサービスは、とても重要ですがイマイチ腑に落ちない点がありました。
(特に、IAMロールとIAMポリシーの理解がモヤモヤしていました)

そこで、今回はこの4サービスについて整理しましたので、その内容を紹介します。
みなさんのAWS理解の参考にしてください。

本記事は、2022年8月時点でのAWS公式情報に基づいて作成しています。
最新情報は、AWSの公式サイトをご確認ください。

IAMの4サービスを図解する

まずは、細かいことは棚上げして、4サービスの関わりを図で確認します。

この図から分かるように、私たちがイメージする権限に該当するのがIAMポリシーになります。
このIAMポリシーの付与対象がIAMユーザー、IAMグループ、IAMロールです。

また、IAMグループはIAMユーザーをグルーピング(纏めたモノ)です。
そして、IAMロールはAWSリソースへ権限を付与するためのモノです。

IAMの4サービスの説明

IAMポリシー

IAMポリシーは、AWSの各サービスの利用ルールをまとめた権限セットのようなものです。
たとえば、「EC2とS3に対して全ての操作を許可する」、「EC2とRDSに対して新規作成のみ許可する」などと設定できます。

IAMポリシーは大きく3つを設定することで権限セットを作成することできます。
Action :対象サービス
Resource:機能や範囲
Effect :許可/拒否

IAMユーザー

IAMユーザーは、はAWSの利用者ごとに作成される認証情報(ID)です。

AWSに限らず、複数人でのIDの使い回しはセキュリティ的に好ましくないです。
そのため、必ず1人1IAMユーザーを発行し、自分自身のIAMユーザーを用いてAWSを利用します。

IAMユーザーがAWSで操作できる範囲は、付与されたIAMポリシーによって定められます。
最小権限の原則に従って、IAMユーザーには適切なIAMポリシーを付与しましょう。

IAMグループ

IAMグループは、IAMユーザーの管理を簡素化するためにをグルーピングするサービスです。

IAMユーザー毎にポリシーの付与を行うと、付与漏れなどミスが発生する恐れがあります。
そこで、役割別にIAMユーザーをグループ化したIAMグループを作成します。
そして、IAMグループにIAMポリシーを付与して、IAMユーザーをIAMグループへ所属させることで、必要なIAMポリシーを付与させることができます。

例えば、IAMグループとして、「管理者グループ」、「開発者グループ」、「運用者グループ」を作成し、各グループに必要なIAMポリシーを付与します。
そして、各メンバーのIAMユーザーを発行したら、役割に応じたグループに所属させることで権限を管理します。

IAMロール

IAMロールは、自分のAWSアカウント内の「IAMユーザとIAMグループ」以外へ権限を付与するときに利用するサービです。

まず、必要なIAMポリシーを取り纏めたIAMロールを作成します。
そして、IAMロールを権限を必要としている対象に付与します。

IAMロールを利用して権限付与する対象には次のようなものがあります。
AWSリソース(EC2、Lambdaなど)
別AWSアカウントのIAMユーザー
Active Directoryのユーザー
別サービス(GoogleやFacebookなど)のアカウント

最後に

システム設計でも権限設定は複雑で苦手意識がある人は多いと思います。
加えて、AWSは用語も公式解説も独特な言い回しが多いので、理解しにくいと思います。

今回の説明では、AWS独特な言い回しは排除し、細かい説明も大胆に割愛しました。
その代わりに、IAMユーザー、IAMグループ、IAMロール、IAMポリシーの4つの概要と関係性はご理解いただけと思います。

今回の説明をきっかけにAWS IAMへの苦手意識がなくなり、AWS利用に前向きになってもらえると幸いです。

コメント

  1. ぽん より:

    分かりやすかったです。ありがとうございます。

  2. 匿名 より:

    いいねボタンがあれば押したいです笑
    SAA試験に向けて頑張っている者です。
    図があってすごく分かりやすく頭の中のイメージにがすっと入ってきました。
    特にロールがユーザーとグループ「以外」に権限を付与するというのが、そういう事か!としっくり来ました。

    • トビネズミ より:

      ありがとうございます。
      私が理解に困ったこと記事で発信して、同じ悩みを持っている人に「そういう事か!」と思ってもらえたのは嬉しいです!!
      SAA試験、ぜひ頑張ってください!!

  3. あなたのおかげで助かりました より:

    最初の図、ありがてぇ!わかりやすいです。

タイトルとURLをコピーしました