IAM きめ細かなアクセス制御
概要
AWS Identity and Access Management (IAM) は、きめ細かいアクセス制御を提供し、誰がどの条件でどの AWS リソースにアクセスできるかを決めるアクセス許可を設定できるようにします。きめ細かいアクセス制御を使用して、最小特権を達成するためのジャーニーにおいて AWS リソースを保護するのに役立ちます。
仕組み
仕組み: IAM では、ポリシーを使用して AWS リソースにアクセスできる人を定義します。AWS アカウントの IAM ロールと AWS リソースにポリシーをアタッチします。AWS への各リクエストについて、IAM はポリシーと比較することでリクエストを承認し、リクエストを許可または拒否します。詳細については、IAM ユーザーガイドの IAM の仕組みについてセクションを参照してください。
IAM ポリシー言語: IAM ポリシー言語は JSON と呼ばれ、ポリシー内のアクション、リソース、および条件要素を使用することで、アクセス要件を詳細に表現することができます。詳細は、IAM JSON ポリシーリファレンスを参照してください。
アクセスを許可するポリシーの種類: IAM は、IAM ロールと、リソースベースのポリシーをサポートする AWS リソースの両方にポリシーをアタッチする柔軟性を提供します。アイデンティティベースおよびリソースベースのポリシーは、アクセス制御を定義するために一緒に動作します。ポリシータイプの詳細については、IAM ユーザーガイドの IAM でのポリシーとアクセス許可のセクションを参照してください。
予防的ガードレール: 予防的ガードレールは、IAM ロールが利用できる最大のアクセス許可の境界を設定するのに役立ちます。サービスコントロールポリシー、アクセス許可の境界、およびセッションポリシーを使用して、IAM ロールに付与できるアクセス許可を制限することが可能です。予防的なガードレールの確立の詳細については、AWS のデータ境界を参照してください。
属性ベースのアクセス制御 (ABAC): ABAC を使用して、部署や職種などの IAM ロールにアタッチされた属性に基づいて、きめ細かなアクセス許可を定義します。属性に基づいて個々のリソースにアクセスを許可することで、今後追加される新しいリソースごとにポリシーを更新する必要がなくなります。詳細については、AWS の ABAC を参照してください。
アクセス許可管理の効率化については、IAM Access Analyzer は、最小特権の許可に向けてガイドしますを参照してください。また、IAM におけるきめ細かなアクセス制御について詳しくは、AWS アイデンティティ: 次世代アクセス許可管理をご覧ください。