[Lock] アイコン
AWS クラウド
まずは無料で始める


AWS Identity and Access Management (IAM) により、お客様のユーザーの AWS サービスおよびリソースへのアクセスを安全にコントロールすることができます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

IAM の使用を開始するには、既に AWS に登録済みの場合、AWS マネジメントコンソールに移動し、これらの IAM ベストプラクティスから開始します。

IAM は無料です。今すぐお試しください。

AWS IAM 入門(日本語字幕) (2:15)

IAM_Overview

きめ細かいアクセス制御を使用し、会社のディレクトリと統合し、権限の高いユーザーには MFA を要求します。

IAM_Feature_380x380_Fine-Control

IAM を使うと、ユーザーが AWS のサービス API や指定リソースへのアクセスをコントロールできるようになります。また、時間帯 (ユーザーが AWS を使用する方法の制御)、アクセス元の IP アドレス、SSL を使用しているかどうか、多要素認証デバイスによる認証済みかどうかなど、特定の条件を追加することもできます。

IAM_Feature_380x380_Managed-Access-for-Mobile

モバイルやブラウザベースのアプリケーションから AWS リソースに安全にアクセスできるようにするために、一時的なセキュリティ認証情報をリクエストすることができます。これにより、特定の AWS リソースへのアクセスを、あらかじめ設定した時間のみ許可できます。

IAM_Feature_380x380_Multi-Factor-Authentication

追加コストなしで利用でき、ユーザー名とパスワードの認証情報を強化するセキュリティ機能である AWS MFA を使用して、AWS 環境を保護します。MFA ではユーザーが、有効な MFA コードを入力することで、ハードウェア MFA トークンまたは MFA 対応のモバイルデバイスの物理的所有を証明するように要求されます。

IAM_Feature_380x380_Directory-Integration


IAM を使用すると、AWS マネジメントコンソールや AWS サービス API へのフェデレーションアクセス権を、Microsoft Active Directory などの既存の ID システムを使用して従業員やアプリケーションに付与することができます。SAML 2.0 をサポートする ID 管理ソリューションをどれでも使用できます。また、Amazon のフェデレーションサンプル (AWS Console SSOAPI フェデレーション) をご自由にお使いください。

IAM はロールやアクセス権の作成を支援

AWS IAM を利用すると、以下のことが可能になります。

IAM ユーザーそのアクセスを管理 – IAM でユーザーを作成し、ユーザーに個別のセキュリティ認証情報 (アクセスキー、パスワード、多要素認証デバイス) を割り当てるか、一時的セキュリティ認証情報をリクエストすることによって、AWS のサービスやリソースへのアクセス権をユーザーに付与します。ユーザーにどの操作の実行を許可するかを、管理者がコントロールできます。

IAM ロールとその権限を管理 – IAM でロールを作成し、権限を管理することで、そのロールを適用するエンティティまたは AWS サービスの実行可能なオペレーションをコントロールします。ロールをどのエンティティに適用するかについても定義できます。

フェデレーティッドユーザーとその権限の管理 – ID フェデレーションを有効にすると、社内の既存のアイデンティティ (ユーザー、グループ、およびロール) による AWS マネジメントコンソールへのアクセス、AWS API の呼び出し、およびリソースへのアクセスを許可できます。アイデンティティごとに IAM ユーザーを作成する必要はありません。

 

柔軟性や耐障害性を損なうことなくアクセス制御を管理

IT 専門家や開発者向けに、AWS ではさまざまなベストプラクティスのリストを提供しています。IAM のベストプラクティスの詳細な説明を確認するには、(この段落の右側の動画プレーヤーで) re: Invent 2015 の録画セッションをご覧ください。

Users – 個々のユーザーを作成する。

Groups – グループを使って権限を管理する。

Permissions – 最小限の権限を付与する。

Auditing – AWS CloudTrail をオンにします。

Password – 強力なパスワードポリシーを構成する。

MFA – 特権ユーザーに対して、MFA を有効化する。

Roles – Amazon EC2 インスタンスに対して IAM ロールを使用する。

Sharing – IAM ロールを使って、アクセスを共有する。

Rotate – セキュリティ認証情報を定期的にローテーションする。

Condition – 条件を使って、特権的アクセスをさらに制限する。

Root – ルートの使用を削減または削除する。

SEC302: IAM Best Practices to Live By
52:48
IAM Best Practices to Live By

AWS には、IT 専門家や開発者が、柔軟性や弾力性を失うことなくアクセス制御を行うためのベストプラクティスの一覧があります。IAM のベストプラクティスの詳細な説明を入手するには、(この段落の右側のボックスにある)re:Invent 2014 の記録されたセッションを参照してください。

Users – 個々のユーザーを作成する。

Groups – グループを使って権限を管理する。

Permissions – 最小限の権限を付与する。

Auditing – AWS CloudTrail をオンにします。

Password – 強力なパスワードポリシーを構成する。

MFA – 特権ユーザーに対して、MFA を有効化する。

Roles – EC2 インスタンスに対して IAM ロールを使用する。

Sharing – IAM ロールを使って、アクセスを共有する。

Rotate – セキュリティ認証情報を定期的にローテーションする。

Condition – 条件を使って、特権的アクセスをさらに制限する。

Root – ルートの使用を削減 / 削除する。

IAM Best Practices 2014 reinvent
53:37
AWS Identity and Access Management (IAM) のベストプラクティストップ 10