許可を使用すると、AWS サービスやリソースへのアクセスを指定および制御することができます。IAM ロールにアクセス許可を付与するには、アクセス権の種類、実行できるアクション、アクションを実行するリソースを指定したポリシーをアタッチします。
IAM ポリシーを使用して、特定の AWS のサービス API とリソースへのアクセスを許可します。また、特定の AWS 組織からのアイデンティティへのアクセスや、特定の AWS のサービス経由のアクセスを許可するなど、アクセスを許可する特定の条件を定義することもできます。
IAM ロールを使用すると、AWS アカウント内で操作するユーザーや AWS のサービスにアクセスを委任できます。お客様のアイデンティティプロバイダーまたは AWS のサービスのユーザーは、IAM ロールのアカウントで AWS リクエストを行う際に使用できる一時的なセキュリティ認証情報を取得するため、ロールを引き受けることができます。その結果、IAM ロールは、AWS アカウントでアクションを実行する必要があるユーザー、ワークロード、および AWS のサービスのために、短期的な認証情報に依存する方法を提供します。
IAM Roles Anywhere を使用すると、オンプレミス、ハイブリッド、マルチクラウド環境など、AWS の外部で実行されるワークロードが、登録された認証局によって発行された X.509 デジタル証明書を使用して AWS リソースにアクセスできるようになります。IAM Roles Anywhere を使用すると、一時的な AWS 認証情報を取得し、AWS ワークロードに設定したのと同じ IAM ロールとポリシーを使用して AWS リソースにアクセスすることができます。
最小特権を達成するには、要件の変化に応じて適切なきめ細かい許可を付与する継続的なサイクルが必要です。 IAM Access Analyzer は、アクセス許可の設定、検証、改良を行う際にアクセス許可管理を効率化するのに役立ちます。
AWS Organizations では、サービスコントロールポリシー (SCP) を使用して、組織のアカウントのすべての IAM ユーザーとロールが遵守する許可のガードレールを確立できます。SCP を使い始めたばかりでも、既存の SCP をお持ちでも、IAM アクセスアドバイザーを使えば、AWS 組織全体で自信を持ってアクセス許可を制限することができます。
属性ベースのアクセスコントロール (ABAC) は、部署、ジョブロール、チーム名などのユーザー属性に基づくきめ細かなアクセス許可の作成に使用できる認可戦略です。ABAC を使用することで、AWS アカウントできめ細かな制御を行うために必要な個別のアクセス許可の数を減らすことができます。