IAMロールとポリシーの違いと連携の仕組みを解説【初心者向けAWS IAMガイド】
先生と生徒の会話形式で理解しよう
生徒
「IAMロールとポリシーって、似たような言葉でややこしいです。違いがわかりません…」
先生
「IAMロールとIAMポリシーは目的も役割も違いますが、AWS IAMの根幹をなす重要な要素です。一緒に整理していきましょう。」
生徒
「お願いします!違いとどうやって連携しているのか、初心者向けに教えてください!」
先生
「それでは、IAMロールとポリシーの違いと連携の仕組みを、図とともにわかりやすく解説しますよ!」
1. IAMロールとは?ポリシーとは何が違う?
AWS IAMロールとは、AWSリソースに一時的に付与するアクセス権限をまとめた「役割」であり、ID・パスワードを持たず、信頼されたエンティティに権限を委譲する仕組みです。
一方でポリシー(IAMポリシー)とは、どんな操作が許可されるかを定義する「アクセス権限のルール」です。ロールとポリシーは「ロールが使えるようにする」「実際に何ができるか」を分けて管理する仕組みです。
2. IAMロールとポリシーの違いを整理
以下の図でロールとポリシーの違いを整理してみましょう:
+----------------+----------------------+
| 要素 | 役割説明 |
+----------------+----------------------+
| IAMロール | 信頼されたエンティティに一時権限を付与 |
| IAMポリシー | 許可または拒否するアクションのルール定義 |
+----------------+----------------------+
ロールは「誰に使わせるか」、ポリシーは「何を許すか」を明確に区別して扱う設計が、AWS IAMの基本です。
3. IAMロールとポリシーの連携の仕組み
ロールの信頼ポリシーで「このロールを使えるエンティティ(例:EC2)」を指定し、アクセス権限ポリシーで「このロールに与える操作権限」を定義します。
例えば、以下のような構成になります:
【信頼ポリシー(誰が使えるか)】
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com" },
"Action": "sts:AssumeRole"
}
【アクセス権限ポリシー(何ができるか)】
{
"Effect": "Allow",
"Action": ["s3:ListBucket", "s3:GetObject"],
"Resource": ["arn:aws:s3:::example-bucket/*"]
}
このように、IAMロールとポリシーを組み合わせることで、安全かつ柔軟な権限委譲が実現できます。
4. 利用シーンで理解するロールとポリシーの使い分け
具体的な利用例で整理しましょう:
- EC2からS3アクセス:ロールの信頼ポリシーでEC2を許可し、アクセス権限ポリシーでS3アクセスを付与。
- クロスアカウント委譲:別アカウントからこのロールを引き受けられるよう信頼ポリシーを設定。
- フェデレーションアクセス:CognitoやIDプロバイダーからロールを引き受けて、特定のリソースにアクセス。
5. IAMロールとポリシーを使う際のポイント
ロールとポリシーを適切に使うには、以下の点に注意しましょう:
- 最小権限の原則:必要な操作だけを許可する限定的なポリシーを設定。
- 信頼ポリシーの構築:誰がこのロールを使えるかを明確にし、不要なエンティティのロール利用を防ぐ。
- タグや命名規則の整備:用途や管理責任者がわかるよう命名規則やタグで整理。
- ロールの監査とレビュー:定期的にロールとポリシーの内容を見直し、安全性を保つ。
