AWS Identity and Access Management (IAM) の概要

AWS Identity and Access Management (IAM) を使用すると、AWS のサービスとリソースへのアクセスを安全に管理できます。 IAM を使用して AWS ユーザーとグループを作成および管理し、アクセス許可を使用して AWS リソースへのアクセスを許可または拒否することができます。

IAM は、追加料金なしで AWS アカウントに提供される機能です。ユーザーが使用するその他の AWS サービスに対してのみ料金をお支払いいただきます。

ユースケース

きめ細かなアクセス制御を実装し、企業ディレクトリと統合し、高い権限を持つユーザーには MFA を要求します。

[[229644]]

AWS リソースに対するきめ細かなアクセス制御

IAM を使用すると、ユーザーは AWS サービス API と特定のリソースへのアクセスを制御できます。 IAM を使用して時間などの特定の条件を追加し、ユーザーが AWS にアクセスする方法、ソース IP アドレス、SSL を使用するかどうか、多要素認証デバイスで認証するかどうかを制御することもできます。

[[229645]]

Web ID プロバイダーを通じてモバイル アプリケーションのアクセス制御を管理する

一時的なセキュリティ認証情報をリクエストすることで、モバイルおよびブラウザベースのアプリケーションが AWS リソースに安全にアクセスできるようになります。これにより、設定可能な時間制限内でのみ特定の AWS リソースへのアクセスが許可されます。

[[229646]]

高度な権限を持つユーザー向けの多要素認証

ユーザー名とパスワードの認証情報を強化するセキュリティ機能である AWS MFA を使用して、追加料金なしで AWS 環境を保護します。 MFA では、有効な MFA コードを提供して、ユーザーがハードウェア MFA トークンまたは MFA 対応のモバイル デバイスを実際に所有していることを証明する必要があります。

[[229647]]

企業ディレクトリとの統合

IAM を使用すると、Microsoft Active Directory などの既存の認証システムを使用して、従業員とアプリケーションに AWS マネジメントコンソールと AWS サービス API へのフェデレーションアクセスを許可できます。 SAML 2.0 をサポートする任意の ID 管理ソリューションを使用することも、フェデレーションの例 (AWS コンソール SSO または API フェデレーション) のいずれかを使用することもできます。

関数

IAMはロールと権限の作成に役立ちます

AWS IAM を使用すると、次のことが可能になります。

• IAM ユーザーとそのアクセス権限の管理 - IAM でユーザーを作成し、個別のセキュリティ認証情報 (アクセスキー、パスワード、多要素認証デバイスとも呼ばれます) を割り当てたり、ユーザーが AWS のサービスやリソースにアクセスするための一時的なセキュリティ認証情報をリクエストしたりできます。権限を管理して、ユーザーが実行できる操作を制御できます。
• IAM ロールとそのア​​クセス許可の管理 - IAM でロールを作成し、アクセス許可を管理して、ロールを引き受けるエンティティまたは AWS サービスが実行できるアクションを制御できます。どのエンティティが役割を引き受けるかを定義することもできます。さらに、サービスにリンクされたロールを使用して、ユーザーに代わって AWS リソースを作成および管理するさまざまな AWS サービスにアクセス許可を委任することもできます。
• フェデレーションユーザーとその権限の管理 - フェデレーションを有効にすると、社内の既存の ID (ユーザー、グループ、ロール) が AWS マネジメントコンソールにアクセスし、AWS API を呼び出し、ID ごとに IAM ユーザーを作成しなくてもリソースにアクセスできるようになります。 SAML 2.0 をサポートする任意の ID 管理ソリューションを使用するか、フェデレーションの例 (AWS コンソール SSO または API フェデレーション) のいずれかを使用します。