IAM とは - AWS Identity and Access Management

IAM とは

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM を使用すると、ユーザーがアクセスできる AWS のリソースを制御するアクセス許可を管理できます。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。IAM は、AWS アカウントの認証と認可を制御するために必要なインフラストラクチャを提供します。

ID

AWS アカウント を作成する場合は、このアカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。このアイデンティティは AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

IAM を使用して、管理者、アナリスト、デベロッパーなどのルートユーザーに加えて他の ID をセットアップし、タスクを成功させるために必要なリソースへのアクセスを付与します。

アクセス管理

ユーザーが IAM でセットアップされると、サインイン認証情報を使用して AWS で認証されます。認証は、サインイン認証情報を AWS アカウント が信頼するプリンシパル (IAM ユーザー、フェデレーションユーザー、IAM ロール、またはアプリケーション) と照合することによって行われます。次に、プリンシパルにリソースへのアクセスを許可するリクエストが行われます。ユーザーにリソースへのアクセス許可が付与されている場合、アクセスは認可リクエストに応じて付与されます。例えば、コンソールに初めてサインインしてコンソールのホームページを開いたときは、特定のサービスにアクセスしているわけではありません。サービスを選択すると、承認リクエストがそのサービスに送信され、ユーザーの ID が認可されたユーザーのリストに含まれているかどうか、付与されるアクセスレベルを制御するためにどのようなポリシーが適用されているか、そして、その他の有効なポリシーがないかが確認されます。承認リクエストは、AWS アカウント 内または信頼できる別の AWS アカウント プリンシパルが行うことができます。

承認されると、プリンシパルはユーザー内の AWS アカウント リソースに対してアクションを実行したり、操作を実行したりできます。例えば、プリンシパルは新しい Amazon Elastic Compute Cloud インスタンスを起動したり、IAM グループメンバーシップを変更したり、Amazon Simple Storage Service バケットを削除したりできます。

ヒント

AWS トレーニングと認定では、IAM の概要について説明する 10 分の動画を提供しています。

AWS Identity and Access Management の概要

サービスの可用性

IAM は、他の多くの AWS サービスと同様に、最終的に一貫性があります。IAM は、世界中の Amazon のデータセンター内の複数のサーバーにデータを複製することにより、高可用性を実現します。何らかのデータの変更リクエストが正常に受け付けられると、当該変更はコミットされ、安全に保管されます。ただし、変更は IAM 全体で複製される必要があり、これには多少時間がかかることがあります。このような変更には、ユーザー、グループ、ロール、またはポリシーの作成や更新が含まれます。アプリケーションの重要で高可用性のコードパスには、このような IAM の変更を含めないことをお勧めします。代わりに、実行頻度が低い別の初期化またはセットアップルーチンに IAM の変更を加えます。また、本番稼働ワークフローが依存する前に、変更が伝達済みであることを確認します。詳細については、「行った変更がすぐに表示されないことがある」を参照してください。

サービスのコストに関する情報

AWS Identity and Access Management (IAM)、AWS IAM Identity Center および AWS Security Token Service (AWS STS) は、追加料金なしで提供される AWS アカウントの機能です。IAM ユーザーまたは AWS STS の一時的なセキュリティクレデンシャルを使用して他の AWS のサービスにアクセスした場合にのみ課金されます。

IAM Access Analyzer の外部アクセス分析は、追加料金なしで提供されます。ただし、未使用のアクセス分析とカスタマーポリシーチェックには料金がかかります。IAM Access Analyzer の料金および価格設定の完全なリストについては、「IAM Access Analyzer pricing」を参照してください。

他の AWS 製品の料金設定については、Amazon Web Services 料金設定ページを参照してください。

他の AWS サービスとの統合

IAM は多くの AWS サービスと統合されています。IAM と連携する AWS サービスのリストと、サービスがサポートする IAM 機能については、「IAM と連携する AWS のサービス」を参照してください。