IAM の概念について - Amazon Quick Suite
対象者アイデンティティを使用した認証ポリシーを使用したアクセスの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM の概念について

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスをより安全に制御するのに役立つ AWS サービスです。管理者は、誰を認証 (サインイン) し、誰に Amazon Quick Suite リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM は、 AWS のサービスで追加料金は発生しません。

IAM は、次のようないくつかの方法で Amazon Quick Suite で使用されます。

  • 会社が ID 管理に IAM を使用している場合、ユーザーは Amazon Quick Suite へのサインインに使用する IAM ユーザー名とパスワードを持っている可能性があります。

  • 初回サインイン時に Amazon Quick Suite ユーザーを自動的に作成する場合は、IAM を使用して、Amazon Quick Suite の使用を事前に許可されているユーザーのポリシーを作成できます。

  • Amazon Quick Suite ユーザーの特定のグループまたは特定のリソースへの特別なアクセスを作成する場合は、IAM ポリシーを使用してこれを行うことができます。

対象者

本節で提供される情報のコンテキストや、ロールに適用される方法について理解するには、以下を参照してください。 AWS Identity and Access Management (IAM) の使用方法は、Amazon Quick Suite で行う作業によって異なります。

サービスユーザー – 場合によっては、Amazon Quick Suite を作成者またはリーダーとして使用して、ブラウザインターフェイスを使用して Amazon Quick Suite を介してデータ、分析、ダッシュボード、スペース、エージェントを操作することができます。このような場合、このセクションでは背景情報のみを提供します。IAM を使用して Amazon Quick Suite にサインインする場合を除き、IAM サービスと直接やり取りすることはありません。

Amazon Quick Suite 管理者 – 社内の Amazon Quick Suite リソースを担当している場合は、通常、Amazon Quick Suite へのフルアクセスがあります。チームメンバーがどの Amazon Quick Suite 機能やリソースにアクセスするかを決めるのは管理者の仕事です。Amazon Quick Suite 管理パネルを使用して解決できない特殊な要件がある場合は、管理者と協力して Amazon Quick Suite ユーザーのアクセス許可ポリシーを作成できます。IAM の詳細については、このページを読むと IAM の基本概念を理解することができます。Amazon Quick Suite で IAM を使用する方法の詳細については、「IAM で Amazon Quick Suite を使用する」を参照してください。

管理者 – システム管理者は、Amazon Quick Suite へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Amazon Quick Suite アイデンティティベースのポリシーの例を表示するには、「Amazon Quick Suite の IAM アイデンティティベースのポリシー」を参照してください。

アイデンティティを使用した認証

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

AWS IAM Identity Center (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、AWS サインイン ユーザーガイドHow to sign in to your AWS アカウント を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、IAM ユーザーガイドAPI リクエストに対するAWS Signature Version 4 を参照してください。

AWS アカウント ルートユーザー

を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント root ユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、IAM ユーザーガイドルートユーザー認証情報が必要なタスク を参照してください。

IAM ユーザーとグループ

IAM ユーザー は、1 人のユーザーまたは 1 つのアプリケーションに対して特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイド「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求する AWS」を参照してください。

IAM グループは IAM ユーザーのコレクションを指定し、大量のユーザーのアクセス許可の管理を容易にします。詳細については、 IAM ユーザーガイドIAM ユーザーに関するユースケース を参照してください。

IAM ロール

IAM ロールは、一時的な認証情報を提供する特定のアクセス許可を持つ ID です。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。 AWS CLI AWS 詳細については、IAM ユーザーガイドロールを引き受けることができない を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行されているアプリケーションに役立ちます。詳細については、IAM ユーザーガイドIAM でのクロスアカウントリソースアクセス を参照してください。

ポリシーを使用したアクセスの管理

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、 IAM ユーザーガイドJSON ポリシー概要 を参照してください。

ポリシーを使用して、管理者は、どの プリンシパル がどの リソース に対してどの 条件アクション を実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成し、ユーザーが引き受けることができるロールに追加します。IAM ポリシーは、オペレーションの実行方法を問わずアクセス許可を定義します。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、ロール) にアタッチする JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースポリシーの作成方法については、IAM ユーザーガイドカスタマー管理ポリシーでカスタム IAM アクセス許可を定義する を参照してください。

ID ベースのポリシーは、インラインポリシー (単一の ID に直接埋め込む) または 管理ポリシー (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーおよびインラインポリシーのいずれかを選択する方法については、IAM ユーザーガイド管理ポリシーとインラインポリシーのいずれかを選択する を参照してください。

リソースベースのポリシー

リソースベースのポリシーは、リソースにアタッチする JSON ポリシードキュメントです。例としては、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーなどがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。リソースベースのポリシーで、プリンシパルを指定する 必要があります。

リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。

アクセスコントロールリスト (ACL)

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、Amazon Simple Storage Service デベロッパーガイドアクセスコントロールリスト (ACL) の概要 を参照してください。

その他のポリシータイプ

AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。

  • アクセス許可の境界 – アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界 を参照してください。

  • サービスコントロールポリシー (SCP) – AWS Organizationsにおいて組織または組織単位のアクセス許可の上限を指定します。詳細については、AWS Organizations ユーザーガイドサービスコントロールポリシー を参照してください。

  • リソースコントロールポリシー (RCP) – アカウント内のリソースで利用できるアクセス許可の上限を定義します。詳細については、AWS Organizations ユーザーガイドリソースコントロールポリシー (RCP) を参照してください。

  • セッションポリシー – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡す高度なポリシーです。詳細については、IAM ユーザーガイドセッションポリシー を参照してください。

複数のポリシータイプ

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、「IAM ユーザーガイド」の「ポリシー評価ロジック」を参照してください。