Skills Boost Infra Academy

AWS IAMの設計入門｜最小権限の原則とロール・ポリシー設計を現役講師が解説

IAMユーザー・グループ・ロール・ポリシーの違いと安全な権限設計の実践

AWSを使う上で避けて通れないIAMの設計。「とりあえずAdministrator権限」は危険です。現役IT講師が安全な権限設計の考え方を解説します。

IAM設計の甘さがセキュリティインシデントの入口になります。最小権限の原則を徹底することがAWSセキュリティの基本です。

吉田たかし｜元NWエンジニア・現役IT講師

CCNA/CCNP/LPIC-1/AZ-900取得。14年のインフラエンジニア経験を持つ現役IT講師。AWSのセキュリティ研修でIAM設計を多く教えてきた経験から、現場でよくある誤りと正しい設計方法を解説します。

📌 この記事のポイント

✅ IAMはAWSリソースへのアクセス制御の基盤。ユーザー・グループ・ロール・ポリシーの4要素で構成される

✅ 最小権限の原則：必要な操作に必要な権限だけを付与し、過剰な権限は与えない

✅ EC2からS3へのアクセスにはIAMロールを使い、アクセスキーをコード内に書かない

1. IAMの4要素を理解する

👤

IAMユーザー

人やアプリケーションに対して作成するAWSアカウント。コンソールログインやAPIアクセスに使う

👥

IAMグループ

複数のIAMユーザーをまとめて権限管理するための入れ物。ポリシーをグループに付与する

🎭

IAMロール

AWSサービス（EC2・Lambda等）やフェデレーションユーザーに一時的な権限を付与する仕組み

📋

IAMポリシー

Allow/DenyするアクションとリソースをJSON形式で定義したルール文書

最小権限の原則（Principle of Least Privilege）とは、「必要な業務を遂行するために最低限必要な権限のみを付与する」という考え方です。AWSのセキュリティベストプラクティスの根幹となります。

ルートユーザーは日常使用しない

ルートユーザーはMFAを設定し、通常業務にはIAMユーザーを使う

管理者にもAdministratorは慎重に

本当に全権限が必要か確認し、可能であれば特定サービスの管理者権限に絞る

アクセスキーは最小限に

EC2・Lambda等からのアクセスはIAMロールを使い、アクセスキー発行を避ける

定期的にアクセスレビュー

未使用のユーザー・キー・権限を棚卸しして削除する

ユースケース	ロールの設定方法	付与するポリシー例
EC2からS3にアクセス	EC2インスタンスにIAMロールをアタッチ	AmazonS3ReadOnlyAccess
Lambda→DynamoDB	Lambda実行ロールにポリシーを追加	DynamoDBの特定テーブルへのPutItem/GetItemのみ
クロスアカウントアクセス	信頼ポリシーで別アカウントIDを許可	必要なアクションのみのカスタムポリシー

Route Bloom | インフラエンジニアの育成・転職支援

SES案件マッチングから資格取得サポートまで、現役IT講師がトータルで支援します。

※ AWS IAMのポリシー構文・機能は更新される場合があります。AWS公式ドキュメントも合わせてご確認ください。