AWS認定ソリューションアーキテクトアソシエイトの再認定のために勉強をしていますが、少し疑問が出たので、その疑問と回答について記載します。

疑問

IAMグループとIAMロールの使い分け方について。IAMグループとIAMロールの使い分けがいまいち分からない。いずれもIAMポリシーを適用してアクセス制御等を行う。IAMロールはEC2等に割り当てられるとあるが、いまいちピンとこない。

回答

まず、IAMユーザとIAMグループはシンプルです。IAMユーザをグループ化したものがIAMグループです。例えば、IAMユーザとして運用担当者Aさんと運用担当者Bさんがいて、それを運用担当というグループにまとめたのがIAMグループです。

ここからは私の理解なのですが、、、

IAMユーザは、AWSの説明では「人やサービス」と記載がありややこしいのですが、おそらく、サービスとはAWSにアクセスする外部のサービスだと思われます。例えば自前のシステムや他社のサービスからAWSを操作するような場合です。

IAMロールとは、IAMユーザが主に「人」に対して使われるのに対して、EC2等のインスタンスに使われます。

IAMポリシーとは、とあるサーバやDB、ストレージ等へのアクセス制御等を行うためのポリシーを定義したものです。例えば、ストレージAに読み込みと書き込みの両方を許可しますよ、ストレージBには読み込みだけですよ、と言ったポリシーを定義します。

このIAMポリシーはIAMユーザやグループ、IAMロールに関連付けることができます。