IAM - toge510/aws GitHub Wiki

IAM（Identity and Access Management）

• AWSリソースへのアクセスを安全に管理するためのウェブサービス
• IAMを使用すると、ユーザーがアクセスできるAWSのリソースを制御するアクセス許可を集中管理できる
• IAMにより、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス許可を持たせる) かを制御する

ユーザー

• ルートユーザー：AWS アカウント を最初に作成する場合における、アカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つユーザー。1アカウントに付き1ルートユーザー。
• IAMユーザー：特定のカスタム権限が付与されたユーザー。

IAMポリシー

どのリソースに対して、どんなアクションが実行できるのかを指定するAWSオブジェクト

• ポリシーは、誰がAWSリソースにアクセスできるか、またそれらのリソースに対してどのようなアクションを実行できるかを指定するAWSのJSONドキュメント
• アイデンティティまたはリソースにポリシーをアタッチして、アクション許可を定義できる

※ アイデンティティ: ユーザー、ユーザーグループ、ロール
※ リソース： サービスの機能を使用する際に作成される。EC2サービスに対して、リソースはインスタンスやロードバランサーを指す。

IAMロール

ロールを使うと、サービスやAWSアカウントに対してAWSの操作権限を付与できるIAMアイデンティティ。

• ロールは、ユーザーは似ている。両方とも、IDが AWSでできることとできないことを決定するアクセス許可ポリシーを持つ。
• ユーザーは1人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっている。
• リソースに対して設定するのが一般的。
• 他アカウントに一時的に権限移譲するのに使われる。（エンティティタイプとして他アカウントを指定）。