概要

AWS Identity and Access Management (IAM) ロールは、従業員のアイデンティティやアプリケーションなどの信頼されたアイデンティティが AWS でアクションを実行できるように、特定のアクセス許可を作成し割り当てるエンティティです。信頼できるアイデンティティが IAM ロールを引き受けると、それらの IAM ロールによってスコープされたアクセス許可のみが付与されます。ロールはローテーションする必要のない一時的な認証情報を提供するため、IAM ロールの使用はセキュリティのベストプラクティスです。

IAM ロールが使用される一般的なシナリオ

従業員のアイデンティティを AWS にフェデレートする: IAM アイデンティティセンターを使用することで、ユーザーは既存の企業認証情報を使用して AWS アカウントにフェデレートすることができます。IAM ロールを使用すると、ユーザーが AWS アカウントにアクセスする際に持つべき許可を指定することができます。

AWS 内のワークロードにアクセスする: ワークロードとは、アプリケーションなどのリソースやコードの集合体であり、AWS のサービスにリクエストを行うためのアイデンティティを必要とします。IAM ロールを使用することで、Amazon EC2 インスタンスなどの AWS コンピューティング環境で動作するアプリケーションは、一時的な認証情報で AWS リソースにアクセスでき、長期的な認証情報を管理する必要がなくなります。

AWS の外部で実行されるワークロードへのアクセス: オンプレミス、ハイブリッド、マルチクラウド環境など、AWS リソースへのアクセスを必要とするワークロードが AWS の外部で実行されている場合があります。IAM Roles Anywhere を使用することで、AWS 外のアプリケーションは AWS 環境のリソースへの一時的なアクセスを取得することができます。 

クロスアカウントアクセスを有効にする: ビジネスアプリケーションとデータを分離して管理するために、複数の AWS アカウントを使用することをお勧めします。ある AWS アカウントのアイデンティティが別の AWS アカウントのリソースにアクセスできるようにするには、IAM ロールを使用してアクセスを提供することができます。

AWS のサービスへのアクセスを許可する: AWS のサービスは、お客様に代わってお客様の AWS アカウントでアクションを実行する許可を与える必要があります。AWS サービス環境をセットアップするとき、サービスが引き受けるべきロールを定義します。その後、サービスはサービスロールを引き受け、お客様が指定したアクションのみを実行することができます。

ロールの詳細については、IAM ユーザーガイドIAM ロールを参照してください。