AWS Identity and Access Management (IAM)

AWS のサービスとリソースへのアクセスを安全に管理

AWS Identity and Access Management (IAM) では、AWS のサービスやリソースへのアクセスを安全に管理できます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

IAM は追加料金なしで AWS アカウントに提供されている機能です。料金は、お客様のユーザーが使用した他の AWS サービスに対してのみ発生します。

IAM の使用を開始する、または既に AWS に登録済みの場合は、AWS マネジメントコンソールに移動し、IAM ベストプラクティスから使用を開始します。 

AWS IAM の概要 (2:15)

ユースケース

AWS リソースへのきめ細かなアクセス制御

IAM を使用すると、ユーザーが AWS のサービス API や指定リソースへのアクセスをコントロールできるようになります。また、日時 (ユーザーが AWS を使用する方法の制限)、アクセス元の IP アドレス、SSL を使用しているかどうか、多要素認証デバイスによる認証済みかどうかなど、特定の条件を追加することもできます。

非常に権限の高いユーザーに対する Multi-Factor Authentication

追加コストなしで利用でき、ユーザー名とパスワードの認証情報を強化するセキュリティ機能である AWS MFA を使用して、AWS 環境を保護します。MFA では、ユーザーが有効な MFA コードを入力することで、ハードウェア MFA トークンまたは MFA 対応のモバイルデバイスの物理的所有権を証明するように要求されます。

アクセスを分析する

IAM は、AWS 環境全体のアクセス分析に役立ちます。セキュリティチームや管理者は、ポリシーがリソースへの目的のパブリックアクセスおよびクロスアカウントアクセスだけを提供していることをすばやく検証できます。また、ポリシーを簡単に識別および改良して、使用中のサービスのみにアクセスできるようにすることも可能です。これにより、最小限の権限の原則も守ることができます。

社内ディレクトリとの統合

IAM では、AWS マネジメントコンソールや AWS サービス API へのフェデレーションアクセス権を、Microsoft Active Directory などの既存のIDシステムを使用して、従業員やアプリケーションに付与できます。SAML 2.0 をサポートする ID 管理ソリューションであれば、どれでも使用できます。 または、Amazon のフェデレーションサンプル (AWS Console SSOAPI フェデレーション) をご自由にお使いください。

仕組み

IAM はロールやアクセス権の作成を支援

AWS IAM を利用すると、以下のことが可能になります。

  • IAM ユーザーそのアクセスの管理 – IAM でユーザーを作成し、ユーザーに個別のセキュリティ認証情報 (アクセスキー、パスワード、多要素認証デバイス) を割り当てるか、一時的セキュリティ認証情報をリクエストすることによって、AWS のサービスやリソースへのアクセス権をユーザーに付与します。ユーザーにどの操作の実行を許可するかを管理者がコントロールできます。
  • IAM ロールそのアクセス許可の管理 – IAM でロールを作成し、アクセス許可を管理することで、そのロールを担うエンティティまたは AWS サービスの実行可能なオペレーションをコントロールします。ロールをどのエンティティに適用するかについても定義できます。さらに、サービスにリンクされているロールを使用して、お客様の代わりに AWS リソースを作成および管理する権限を AWS のサービスに委任できます。
  • フェデレーティッドユーザーそのアクセス許可の管理 – ID フェデレーションを有効にすると、社内の既存の ID (ユーザー、グループ、およびロール) による AWS マネジメントコンソールへのアクセスや、AWS API の呼び出し、リソースへのアクセスを許可できます。ID ごとに IAM ユーザーを作成する必要はありません。SAML 2.0 をサポートする ID 管理ソリューションであれば、どれでも使用できます。または、Amazon のフェデレーションサンプル (AWS Console SSOAPI フェデレーション) をお使いください。

ベストプラクティス

AWS では、IT 担当技術者や開発者向けに、AWS のリソースへのアクセス管理に役立つベストプラクティスをご用意しています。

Users – 個々のユーザーを作成する。

Groups – グループを使ってアクセス許可を管理する。

Permissions – 最小限のアクセス許可を付与する。

Auditing – AWS CloudTrail をオンにする。

Password – 強力なパスワードポリシーを構成する。

MFA – 特権ユーザーに対して、MFA を有効化する。

Roles – Amazon EC2 インスタンスに対して IAM ロールを使用する。

Sharing – IAM ロールを使って、アクセスを共有する。

Rotate – セキュリティ認証情報を定期的にローテーションする。

Condition – 条件を使って、特権的アクセスをさらに制限する。

Root – ルートの使用を削減または削除する。

60 分以内に IAM ポリシーをマスターする (55:35)

AWS の使用を開始する

Step 1 - Sign up for an AWS account

AWS アカウントにサインアップする

AWS 無料利用枠をすぐに利用できます。
icon2

10 分間のチュートリアルで学ぶ

簡単なチュートリアルで学習します。
icon3

AWS で構築を開始する

お客様の AWS プロジェクトを開始するのに役立つステップバイステップガイドを使って構築を開始しましょう。