IAM とは
AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM を使用すると、ユーザーがアクセスできる AWS のリソースを制御するアクセス許可を管理できます。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。IAM は、AWS アカウントの認証と認可を制御するために必要なインフラストラクチャを提供します。
ID
AWS アカウントを作成する場合は、このアカウントのすべての AWS のサービスとリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。このアイデンティティは AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、IAM ユーザーガイドのルートユーザー認証情報が必要なタスクを参照してください。
IAM を使用して、管理者、アナリスト、デベロッパーなどのルートユーザーに加えて他の ID をセットアップし、タスクを成功させるために必要なリソースへのアクセスを付与します。
アクセス管理
ユーザーが IAM でセットアップされると、サインイン認証情報を使用して AWS で認証されます。認証は、サインイン認証情報を AWS アカウント が信頼するプリンシパル (IAM ユーザー、フェデレーションユーザー、IAM ロール、またはアプリケーション) と照合することによって行われます。次に、プリンシパルにリソースへのアクセスを許可するリクエストが行われます。ユーザーにリソースへのアクセス許可が付与されている場合、アクセスは認可リクエストに応じて付与されます。例えば、コンソールに初めてサインインしてコンソールのホームページを開いたときは、特定のサービスにアクセスしているわけではありません。サービスを選択すると、承認リクエストがそのサービスに送信され、ユーザーの ID が認可されたユーザーのリストに含まれているかどうか、付与されるアクセスレベルを制御するためにどのようなポリシーが適用されているか、そして、その他の有効なポリシーがないかが確認されます。承認リクエストは、AWS アカウント 内または信頼できる別の AWS アカウント プリンシパルが行うことができます。
承認されると、プリンシパルはユーザー内の AWS アカウント リソースに対してアクションを実行したり、操作を実行したりできます。例えば、プリンシパルは新しい Amazon Elastic Compute Cloud インスタンスを起動したり、IAM グループメンバーシップを変更したり、Amazon Simple Storage Service バケットを削除したりできます。
ヒント
AWS トレーニングと認定では、IAM の概要について説明する 10 分の動画を提供しています。
サービスの可用性
IAM は、他の多くの AWS サービスと同様に、最終的に一貫性
サービスのコストに関する情報
AWS Identity and Access Management (IAM)、AWS IAM Identity Center および AWS Security Token Service (AWS STS) は、追加料金なしで提供される AWS アカウントの機能です。IAM ユーザーまたは AWS STS の一時的なセキュリティクレデンシャルを使用して他の AWS のサービスにアクセスした場合にのみ課金されます。
IAM Access Analyzer の外部アクセス分析は、追加料金なしで提供されます。ただし、未使用のアクセス分析とカスタマーポリシーチェックには料金がかかります。IAM Access Analyzer の料金および価格設定の完全なリストについては、「IAM Access Analyzer pricing
他の AWS 製品の料金設定については、Amazon Web Services 料金設定ページ
他の AWS サービスとの統合
IAM は多くの AWS サービスと統合されています。IAM と連携する AWS サービスのリストと、サービスがサポートする IAM 機能については、「IAM と連携する AWS のサービス」を参照してください。
