【AWS】IAMグループとIAMロールの違いを分かりやすく解説します

AWSでユーザを発行するために、IAMユーザを作成したのですが、権限はIAMグループでつけるのでしょうか。IAMロールというものもあり、違いが分かりません。

上記の疑問についてお答えします。私は現役のAWSエンジニアとして、5年近くAWS環境の設計や構築を行っています。また、AWS認定ソリューションアーキテクトアソシエイトの資格保持者です。

IAMグループとIAMロールの違いを分かりやすく解説

IAMグループとIAMロールの違いを分かりやすく解説

IAMグループとIAMロールの違いについて

初心者の方向けの説明となりますが、IAMグループとIAMロールの違いは下記の通りです。

・IAMグループ：IAMユーザに使用する権限グループとなります。
・IAMロール　：IAMユーザではなく、AWSリソースに対して権限を付与するロールとなります。

上記より、IAMユーザに権限を付与する場合は、IAMグループを使用します。

IAMまわりの用語説明

・IAMユーザ
AWSを操作する為のユーザです。IAMユーザを発行すると、AWS環境へのログイン情報や認証情報が生成されます。サーバに認証情報を登録することで、AWS CLI等を使用して、サーバからAWSリソースにアクセスできるようになります。

・IAMグループ
IAMユーザの権限を、グループ単位で制御するために使用します。例えば、管理者権限を持つグループを作成し、管理者業務を行うユーザの、IAMユーザを管理者グループに所属させます。IAMグループの権限は、IAMポリシーをアタッチするとで付与できます。

・IAMロール
AWSリソースに対して、他のAWSリソースへの実行権限を付与する場合に使用します。権限はIAMポリシーのアタッチにて付与できます。例えば、EC2サーバからS3のファイルを取得できるようにするためには、S3のファイル取得権限を持つIAMロールを、対象のEC2サーバに割り当てます。

・IAMポリシー
AWSリソースに対する実行権限を記述したポリシーとなります。AWSが用意したポリシーが多々ありますが、利用者自身でカスタマイズすることも可能です。

IAMユーザへの権限追加方法

IAMユーザに対しては、直接IAMポリシーをアタッチすることが可能です。しかし、AWSではIAMユーザにIAMポリシーをアタッチする方法は推奨していません。AWSで推奨している方法は、IAMグループにIAMポリシーをアタッチし、IAMユーザをグループに所属させることです。実際の現場でも、IAMユーザにIAMポリシーを直接割り当てることは少ないです。

セキュリティ上の注意点

IAMユーザやIAMロールを作成するときの原則として、「必要最小限の権限しかアタッチしないこと」というものがあります。例えば、IAMユーザがEC2とS3だけしか操作しないのであれば、RDSやその他リソースを操作できる権限は不要しないということです。AWS環境構築の実業務では、基本的な考え方になります。

その他、IAMユーザについては、ログイン時にMFA(多要素認証)を設定することが可能です。AWSのルートアカウントやIAMユーザは、MFAの設定が推奨されています。セキュアな環境構築や運用が求められる現場では、MFAは必須の設定となっています。