IAM ロールを使用すると、通常は組織の AWS リソースにアクセスしないユーザーやサービスへのアクセスを委任できます。 IAM ユーザーまたは AWS のサービスは、ロールに基づいて一時的なセキュリティ認証情報を取得し、AWS API コールを実行するために使用可能です。したがって、リソースにアクセスする必要があるエンティティごとに、長期的な認証情報を共有したり、許可を定義したりする必要はありません。
- 権限を AWS サービスに委任する簡単な方法: サービスにリンクされているロール
- Adhere to IAM Best Practices in 2016
- How to Use a Single IAM User to Easily Access All Your Accounts by Using the AWS CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Accounts
AWS を無料でお試しください
まずは無料で始めるまたはコンソールにサインイン
AWS 無料利用枠には、Amazon ElastiCache の 750 時間分のマイクロキャッシュノードが含まれています。
以下のシナリオでは、アクセスを委任することで解決できるいくつかの課題について特に詳しく説明しています。
- Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセス権を付与する
Amazon EC2 インスタンス上のアプリケーションに AWS リソースへのアクセスを付与するには、各インスタンスに開発者の認証情報を配布する方法が考えられます。アプリケーションはその認証情報を使用して Amazon S3 バケットや Amazon DynamoDB データなどのリソースにアクセスします。しかし、すべてのインスタンスへ長期にわたり有効な認証情報を配布するのは管理を難しくするうえ、潜在的なセキュリティリスクになります。上の動画では、ロールを使ってこのようなセキュリティ問題を解決する方法を詳しく説明しています。
- クロスアカウントアクセス
開発環境と本番環境を分離する場合など、リソースへのアクセスをコントロールおよび管理するために、複数の AWS アカウントが必要になることがあります。ただし、状況によっては、一方のアカウントのユーザーが、もう一方のアカウントのリソースにアクセスする必要がある場合があります。例えば、開発環境のユーザーが、更新を適用するために本番環境へのアクセス権が必要になることがあります。そのため、ユーザーはそれぞれのアカウントの認証情報が必要となりますが、複数のアカウントに対して複数の認証情報を管理することになると、ID 管理が困難になります。IAM ロールを使用すると ID 管理を簡素化できます。Trend Micro の導入事例で、クロスアカウントアクセスの実際の動作をご確認ください。
- AWS サービスへの権限の付与
AWS サービスでアクションを行えるようにするには、アクションを行うための権限を付与する必要があります。 AWS IAM ロールを使用して、AWS サービスがお客様の代わりに他の AWS サービスを呼び出すため、またはお客様のアカウントで AWS リソースを管理するための権限を付与します。 Amazon Lex などの AWS サービスでは、事前定義され、その特定のサービスによってのみ適用できるサービスにリンクされたロールも提供されます。
IAM でロールを管理する方法の詳細については、IAM ユーザーガイドのロールセクションを参照してください。