IAM ユーザーとアクセス権の管理 – IAM でユーザーを作成し、ユーザーに個別のセキュリティ認証情報 (アクセスキー、パスワード、多要素認証 デバイス) を割り当てるか一時的セキュリティ認証情報をリクエストすることによって、AWS のサービスやリソースへのアクセス権をユーザーに付与します。ユーザーにどの操作の実行を許可するかを、管理者がコントロールできます。IAM ユーザーは次のユーザーになることができます。

  1. AWS リソースを管理するためにコンソールへのアクセス権が必要な特権管理者。
  2. AWS のコンテンツへのアクセス権が必要なエンドユーザー。
  3. AWS のデータにプログラムでアクセスする権限が必要なシステム担当者。


IAM ユーザーを作成する一般的なユースケース

  • ルートアカウントにはすべてのサービスとリソースへのアクセス権が付与されます。そのため、ルートアカウントを使用しないで済むことはセキュリティのベストプラクティスとなります。ユーザーに必要最低限の権限 (最小権限とも呼ばれます) を付与します。
  • グループの中に、さまざまなアクセスと承認の権限を持つユーザーがいる場合があります。IAM ユーザーを使用すると、特定のサービスや関連リソースにアクセスする特定のユーザーに、簡単にポリシーを割り当てることができます。
  • IAM ユーザーは AWS CLI を使用できます。
  • IAM ユーザーはロールを使用できます。


次の図は、IAM ユーザーを作成する標準的なユースケースを表しています。

AWS を無料でお試しください

まずは無料で始める
またはコンソールにサインイン

AWS 無料利用枠には、Amazon ElastiCache の 750 時間分のマイクロキャッシュノードが含まれています。

AWS 無料利用枠の詳細はこちら »

Twitter で @AWSIdentity をフォローしてください
Create_User

 

グループを使用して管理を簡素化する

グループとは IAM ユーザーの集合です。グループを使用すると、ユーザーの集合に対して権限を割り当て、それらのユーザーの権限を容易に管理できます。例えば、Admins と呼ばれるグループを作成し、一般的に管理者が必要とするような権限を、そのグループに与えることができます。そのグループのすべてのユーザーは、そのグループに割り当てられたアクセス権限を自動的に取得します。管理者権限を必要とする新しいユーザーが組織に参加した場合、そのユーザーを Admins グループに追加することで、適切な権限を割り当てることができます。同様に、組織内で、あるユーザーの担当業務が変わった場合、そのユーザーのアクセス権限を編集する代わりに、そのユーザーを古いグループから削除して新しいグループに追加することができます。