IAMユーザ、グループ、ポリシー、ロールの違い

AWS認定ソリューションアーキテクトアソシエイトの再認定のために勉強をしていますが、少し疑問が出たので、その疑問と回答について記載します。

疑問

IAMグループとIAMロールの使い分け方について。IAMグループとIAMロールの使い分けがいまいち分からない。いずれもIAMポリシーを適用してアクセス制御等を行う。IAMロールはEC2等に割り当てられるとあるが、いまいちピンとこない。

回答

まず、IAMユーザとIAMグループはシンプルです。IAMユーザをグループ化したものがIAMグループです。例えば、IAMユーザとして運用担当者Aさんと運用担当者Bさんがいて、それを運用担当というグループにまとめたのがIAMグループです。

ここからは私の理解なのですが、、、

IAMユーザは、AWSの説明では「人やサービス」と記載がありややこしいのですが、おそらく、サービスとはAWSにアクセスする外部のサービスだと思われます。例えば自前のシステムや他社のサービスからAWSを操作するような場合です。

IAMロールとは、IAMユーザが主に「人」に対して使われるのに対して、EC2等のインスタンスに使われます。

IAMポリシーとは、とあるサーバやDB、ストレージ等へのアクセス制御等を行うためのポリシーを定義したものです。例えば、ストレージAに読み込みと書き込みの両方を許可しますよ、ストレージBには読み込みだけですよ、と言ったポリシーを定義します。

このIAMポリシーはIAMユーザやグループ、IAMロールに関連付けることができます。

めっさん
  • めっさん
  • 当サイトの管理人。ニューヨークの大学を飛び級で卒業。その後日系企業でグローバル案件に携わる。大小様々な企業を転々としながら、マレーシアやアメリカへの赴任経験を持つ。バイリンガルITエンジニアとしていかに楽に稼ぐか日々考えている。年齢は秘密だけど定年も間近かな。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です