現場実践｜IAMロール実践

IAMロール実践ガイド｜EC2・Lambda・GitHub Actionsへの権限付与とアクセスキーレス設計

「IAMユーザーのアクセスキーをEC2に直接置いてしまっている」——IAMロールを使ったアクセスキーレス設計・EC2インスタンスプロファイル・Lambdaのロール・OIDC認証の実践を解説します。

読了目安：約18分更新日：2026年3月

💡 アクセスキーをEC2のコードやGitHubに置くのはAWSセキュリティの最大リスクのひとつ。IAMロールを使えばアクセスキー不要でAWSサービスへのアクセスが実現できます。

この記事を書いた人

現役ITエンジニア・IT講師（経験14年）

CCNA・CCNP 取得LPIC-1 保有SES現場を複数経験

AWS環境のIAM設計・セキュリティ改善を複数案件で担当してきた立場から解説します。

1. IAMロールとIAMユーザーの違い

	IAMユーザー	IAMロール
主な用途	人間がコンソールにログインする	EC2・Lambda・ECS等のAWSサービスが使う
認証方式	アクセスキー/パスワード（固定）	一時的な認証情報（自動ローテーション）
セキュリティ	アクセスキーの漏洩リスクあり	アクセスキー不要なのでリスクゼロ

2. EC2インスタンスプロファイルの設定

# IAMロールを作成（EC2用）
aws iam create-role \
  --role-name EC2-S3ReadOnly \
  --assume-role-policy-document file://ec2-trust.json

# ec2-trust.json の内容
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Service": "ec2.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }]
}

# S3読み取りポリシーをアタッチ
aws iam attach-role-policy \
  --role-name EC2-S3ReadOnly \
  --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

# インスタンスプロファイルを作成してEC2に付与
aws iam create-instance-profile --instance-profile-name EC2-S3ReadOnly-Profile
aws iam add-role-to-instance-profile \
  --instance-profile-name EC2-S3ReadOnly-Profile \
  --role-name EC2-S3ReadOnly

3. GitHub Actions でOIDCを使ったアクセスキーレス認証

GitHub ActionsからAWSにアクセスする場合、アクセスキーをSecretsに保存するのは非推奨です。GitHub OIDCとIAMのロール信頼ポリシーを設定することで、アクセスキー不要でGitHub ActionsがAWSのIAMロールを引き受けられます。

# 信頼ポリシーにGitHub OIDCプロバイダーを追加
{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Federated": "arn:aws:iam::ACCOUNT_ID:oidc-provider/token.actions.githubusercontent.com"
    },
    "Action": "sts:AssumeRoleWithWebIdentity",
    "Condition": {
      "StringEquals": {
        "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
      },
      "StringLike": {
        "token.actions.githubusercontent.com:sub": "repo:YOUR-ORG/YOUR-REPO:*"
      }
    }
  }]
}