IAM を使用する理由
AWS Identity and Access Management は、AWS リソースへのアクセスを安全に管理するための強力なツールです。IAM を使用する主な利点の 1 つは、AWS アカウントへの共有アクセスを許可する機能です。さらに、IAM ではきめ細かなアクセス許可を割り当てることができるため、さまざまなユーザーが特定のリソースに対して実行できるアクションを正確に制御できます。このレベルのアクセスコントロールは、AWS 環境のセキュリティを維持する上で重要です。IAM には他にもいくつかのセキュリティ機能があります。保護を強化するために多要素認証 (MFA) を追加し、ID フェデレーションを活用することで、企業ネットワークや他の ID プロバイダーのユーザーをシームレスに統合できます。IAM は AWS CloudTrail とも統合されており、詳細なログ記録と ID 情報を提供し、監査とコンプライアンスの要件をサポートします。これらの機能を活用することで、重要な AWS リソースへのアクセスを厳密に制御し、安全を確保できます。
AWS アカウント への共有アクセス
パスワードやアクセスキーを共有しなくても、お客様の AWS アカウントのリソースを管理および使用するためのアクセス許可を他の人に付与できます。
詳細なアクセス権限
リソースごとに、ユーザーごとに、さまざまなアクセス権限を付与できます。例えば、一部のユーザーは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift、他の AWS のサービスへの完全なアクセスを許可する場合があります。他のユーザーには、一部の Amazon S3 バケットへの読み取り専用アクセス、一部の Amazon EC2 インスタンスのみへの管理アクセス、または請求情報のみへのアクセスを許可できます。
Amazon EC2 で動作するアプリケーションから AWS リソースへの安全なアクセス
IAM の機能を使用して、EC2 インスタンスで実行されているアプリケーションの認証情報を安全に提供できます。これらの認証情報は、他の AWS リソースにアクセスするためにアプリケーションのアクセス許可を提供します。例として、S3 バケットや DynamoDB テーブルなどがあります。
多要素認証 (MFA)
アカウントおよび個々のユーザーに 2 エレメント認証を追加することで、セキュリティを強化できます。MFA を使用すると、ユーザーはお客様のアカウントで使用しているパスワードまたはアクセスキーの入力だけでなく、特別に設定されたデバイスからのコードの入力も必要になります。既に他のサービスで FIDO セキュリティキーを使用していて、AWS がサポートする設定がある場合、MFA セキュリティに WebAuthn を使用できます。詳細については、「パスキーとセキュリティキーを使用するためのサポートされる設定」を参照してください。
ID フェデレーション
他の場所 (社内ネットワーク、インターネット ID プロバイダーなど) でパスワードを既に持つユーザーに、お客様の AWS アカウント への一時的なアクセスを許可できます。これらのユーザーには、IAM ベストプラクティスの推奨事項に準拠した一時的な認証情報が付与されます。ID フェデレーションを使用すると、AWS アカウントのセキュリティが向上します。
保証のための ID 情報
AWS CloudTrail
PCI DSS コンプライアンス
IAM は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1
