IAMとは何か、AWSにおけるIAMの仕組み

IAM (アイデンティティおよびアクセス管理) は、AWS (アマゾンウェブサービス) の「セキュリティ、アイデンティティ、コンプライアンス」サービスに属します。これにより、AWSサービスおよびリソースへのアクセスを安全に管理できます。IAMを使用すると、AWSユーザー、グループ、ロールを作成および管理し、アクセス権限を使用してAWSリソースへのアクセスを許可または拒否できます。

IAMは「追加料金なし」で提供され、私たちが使用する他のAWSサービスに対してのみ料金が発生します。

AWS IAMは、私たちが以下のことを行うのを助けます：

• ユーザーとそのアクセスを管理する:
  IAMでユーザーを作成し、個別のセキュリティ資格情報を割り当てることができます。ユーザーが実行できる操作とできない操作を制御するために、権限を管理できます。
• ロールとその権限を管理する:
  IAMでロールを作成し、ロールを引き受けるエンティティまたはAWSサービスが実行できる操作を制御するために権限を管理できます。
• フェデレーテッドユーザーとその権限を管理する:
  既存のユーザー、グループ、およびロールがAWS Managementにアクセスできるように、アイデンティティフェデレーションを有効にできます。

IAMサービスをより詳細に理解するには、AWSの公式ドキュメントを参照できます。

この記事では、IAMユーザー、グループ、IAMロールを作成し、権限を割り当て、カスタムポリシーを作成する方法を見ていきます。

注: IAMは特定のリージョンに属さず、AWSアカウント全体にわたります。

前提条件

1. AWSアカウント (お持ちでない場合は作成してください)。

何をするか

1. AWSにログインします。
2. IAMユーザーを作成します。
3. IAMグループを作成し、ユーザーを追加します。
4. IAMロールを作成します。
5. IAMポリシーを作成します。

AWSにログイン

1. こちらをクリックしてAWSログインページに移動します。

上記のリンクをクリックすると、ログイン情報を使用してログインする必要があるウェブページが表示されます。

AWSに正常にログインすると、以下のようにすべてのサービスが一覧表示されたメインコンソールが表示されます。

IAMユーザーを作成する

IAMユーザーは、AWSで作成するエンティティで、AWSと対話するためにそれを使用する人またはアプリケーションを表します。AWSのユーザーは、名前と資格情報で構成されます。

左上隅の「サービス」をクリックすると、すべてのサービスが表示される画面が表示されます。「セキュリティ、アイデンティティ、コンプライアンス」の下にある「IAM」を見つけてクリックします。

ダッシュボードが表示されます。これがIAMのホームページです。左パネルから「ユーザー」をクリックします。

「ユーザーの追加」をクリックして新しいユーザーを作成します。

ここで、作成するユーザーに名前を付けます。2つの異なるアクセスタイプでユーザーを作成できます。

1. プログラムによるアクセス:
   このアクセスタイプを使用すると、AWS API、CLI、SDK、およびその他の開発ツールからAWSアカウントで操作を実行できます。
2. AWS Management Consoleアクセス:
   このアクセスタイプにより、ユーザーはAWS Management Consoleにサインインできます。

この記事では、「AWS Management Consoleアクセス」を持つユーザーを作成します。

「AWS Management Consoleアクセス」をクリックすると、ユーザーのパスワードを割り当てるためのフィールドが表示されます。

「自動生成されたパスワード」または「カスタムパスワード」のいずれかを選択できます。ここでは「カスタムパスワード」を選択し、ユーザーにパスワードを割り当てます。必要に応じて、次回のログイン時にユーザーにパスワードを変更させることができます。ここではそのままにしておきます。「次へ: 権限」をクリックして、さらに進み、権限を割り当てます。

次の画面で、「既存のポリシーを直接アタッチ」をクリックし、「readonlyaccess」を検索して、以下の画面のようにチェックボックスを選択します。「ReadOnlyAccess」を付与すると、ユーザーはAWSリソースを作成できなくなります。権限のリストを確認して理解できます。「次へ: タグ」をクリックしてさらに進みます。

タグの割り当ては任意ですが、このユーザーの整理、追跡、またはアクセス制御に役立ちます。「次へ: レビュー」をクリックしてさらに進み、ユーザーを作成します。

設定を確認し、「ユーザーを作成」をクリックしてユーザーを作成します。

「ダウンロード .csv」をクリックすると、「コンソールログインリンク」が含まれています。「プログラムによるアクセス」でユーザーを作成した場合、このファイルは非常に重要です。なぜなら、「アクセスキーID」と「シークレットアクセスキー」が含まれており、アクセスを取得するために必要だからです。これで、最初のユーザーを作成したので、「閉じる」をクリックできます。

IAMロールを作成する

IAMロールは、特定の権限を持つIAMアイデンティティで、AWSアカウント内で作成できます。これは、AWS内でそのアイデンティティが何をできるか、できないかを決定する権限ポリシーを持つIAMユーザーに似ています。IAMロールは、AWSサービスが私たちの代わりにアクションを実行することを許可します。

IAMのホームページで、左パネルの「ロール」をクリックします。「ロールの作成」をクリックします。

この記事では、Lambdaサービス用のロールを作成します。「Lambda」をクリックし、「次へ: 権限」をクリックします。

検索ボックスに「ec2readonlyaccess」を検索し、ポリシー「AmazonEC2ReadyOnlyAccess」のチェックボックスをオンにします。これにより、EC2サービス上のLambda関数に「読み取り専用」アクセスが付与されます。「次へ: タグ」をクリックします。

タグの追加は任意ですが、このロールの整理、追跡、またはアクセス制御に使用できます。「次へ: レビュー」をクリックしてさらに進みます。

ロールに名前を付け、説明を追加し、「ロールを作成」をクリックします。これにより、Lambda関数があなたの代わりにAWSサービスを呼び出すことを許可する「ReadOnlyAccess」を持つロールが作成されます。

IAMグループを作成する

IAMグループは、IAMユーザーのコレクションです。ロールを使用して複数のユーザーの権限を指定できるため、これらのユーザーの権限を管理しやすくなります。

IAMのホームページで、左パネルの「グループ」をクリックします。「新しいグループを作成」をクリックします。

名前を指定し、「次のステップ」をクリックします。

「readonlyaccess」を検索し、下にスクロールしてチェックボックスをオンにします。「次のステップ」をクリックします。

設定を確認し、「グループを作成」をクリックします。

これで、「ReadOnlyAccess」を持つグループが作成されました。これは、このグループに属するユーザーがAWSリソース/サービスに対して「読み取り専用」アクセスのみを持つことを意味します。

IAMホームページに戻り、先ほど作成したグループを選択します。「グループにユーザーを追加」をクリックして、ユーザーをこのグループに追加します。

前のステップで作成したユーザーを選択し、「ユーザーを追加」をクリックします。これにより、「ReadOnlyAccess」を持つグループにユーザーが追加されます。

IAMポリシーを作成する

IAMポリシーは、アイデンティティまたはリソースに添付されて、その権限を定義するエンティティです。

IAMのホームページで、左パネルの「ポリシー」をクリックします。「ポリシーの作成」をクリックします。

「サービス」をクリックして、ポリシーを作成するサービスを選択します。検索ボックスでサービスを検索し、サービスを選択します。

割り当て可能な権限のリストが表示されます。ここで「リスト」を選択します。「ポリシーのレビュー」をクリックします。

ポリシーに名前を付け、「ポリシーを作成」をクリックします。このポリシーは、EC2サービスに対して「リスト」権限を付与するためにユーザーに添付できます。ユーザーを作成する際にポリシーを添付するために従った手順と同じ手順を踏むことができます。

結論:

この記事では、ユーザー、ロールを作成し、それらにポリシーを添付し、グループを作成してユーザーを追加し、ユーザーに追加できるカスタムポリシーを作成しました。