IAM(Identity and Access Management)
IAMは、AWSにおけるユーザー・権限管理サービスであり、グローバルサービスです。
ユーザーを作成し、グループに配置してAWS利用を管理します。
👤 Users と Groups
Root アカウント
AWSアカウント作成時に自動生成される特別なアカウント。
- 作成後は基本的に使用しない
- 共有もしない
- 代わりに IAMユーザー を作成して利用する
Users
1ユーザー = 組織内の1人の人間
Groups
- ユーザーのみ追加可能
- グループの中にグループは入れられない
- グループ単位で権限管理が可能
IAMを使う目的
AWSアカウントを安全に利用させるため
✅ Permissions(ポリシー)
ユーザーやグループには
IAMポリシー(JSON形式)を付与して権限を管理します。
ポリシーは
「誰が」「何を」「どこまでできるか」
を定義するドキュメント。
最小権限の原則(Least Privilege)
必要な権限だけを付与するのが基本。
🏛️ Policy 構造
主な要素
Version:ポリシー言語のバージョン
Statement:権限定義(必須)
Statement の構成
| 項目 | 意味 |
|---|---|
| Effect | Allow / Deny |
| Action | 許可・拒否するAPI |
| Resource | 対象リソース |
| Principal | 対象ユーザー・ロール |
| Condition | 適用条件(任意) |
🔐 Password Policy
強力なパスワードポリシーを設定可能。
- 最小文字数
- 大文字・小文字・数字・記号
- 有効期限
- 再利用禁止
🔐 MFA(多要素認証)
パスワード + デバイス認証
パスワードが漏れても安全性を確保できる。
代表例
- Google Authenticator
- Authy
- YubiKey
👉 Rootアカウントは必ずMFA必須
2. AWS CLI / SDK
AWSへのアクセス方法は3種類。
| 方法 | 説明 |
|---|---|
| Management Console | ブラウザ |
| CLI | コマンド操作 |
| SDK | プログラム操作 |
🔑 Access Key
CLI / SDKで使用する認証情報。
- Access Key ID = ユーザー名
- Secret Access Key = パスワード
⚠️ 絶対に共有禁止
🖥️ AWS CLI
コマンドラインからAWS操作可能。
- メリット
- 自動化
- スクリプト化
API直接操作
📦 AWS SDK
プログラムからAWSを操作するためのライブラリ。
対応言語例
- Python
- JavaScript
- Java
- Go など
👉 CLIは実はPython SDK(Boto)ベース。
3. IAM Role
IAM Role = AWSサービス用の権限
ユーザーではなく
サービスに権限を与える仕組み
例
- EC2 Role
- Lambda Role
- CloudFormation Role
🔍 IAM セキュリティツール
IAM Credential Report
アカウント全体の認証状態確認
IAM Access Advisor
- 最後のアクセス日時確認
- 不要権限の削除に役立つ
👉 最小権限の実現に重要
4. IAM ベストプラクティス
- Rootアカウントは使用しない
- 1人 = 1 IAMユーザー
- 権限はグループ管理
- MFA必須
- Access Keyは共有禁止
- AWSサービスにはRole使用
https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/
