最近、AWSを触った際にIAMという言葉が出てきました。

AWS固有のものだと勘違いしていたのですが、違ったので共有したいと思います。

IAM（Identity and Access Management）とは、日本語でいうと「アイデンティティ/アクセス管理」となり、ユーザID（アイデンティティ）に対してアクセス管理を行う仕組みの総称になります。

要するにログインIDに対して、権限を設定して、どのサービスを利用できるか制限する機能のことですね。

このIAMユーザを作らないと、常にフルアクセスできる権限で作業をすることになるので、誤った操作をしてサーバを止めてしまったり、アカウントを作業者と共有したことにより不要な情報を覗かれてしまったり、改変されてしまったり、場合によってはフルアクセスできるアカウントが流出して、大トラブルになることもあるかもしれません。

そこでIAMを使用することで、ユーザを分け、ユーザやグループに対して、アクセスポリシーや、アクセス制限など設定することができるので、アカウントやセキュリティの管理が行いやすくなります。

IAMを使用して、ルートユーザ以外に目的に合わせた権限を絞ったユーザを作ることで、誤操作や触られたくない機能を触れなくすることが出来ます。

ちなみにAWSのIAMでは、以下の機能があるようです。

＜AWSのIAMの機能＞
・AWS アカウントへの共有アクセス
→パスワードやアクセスキーを共有しなくても、AWSのリソースのアクセス許可を他の人に付与できる機能
・詳細なアクセス権限
→リソース／ユーザごとにアクセス権限を付与できる機能
・Amazon EC2 で動作するアプリケーションから AWS リソースへの安全なアクセス
→EC2で実行されているアプリケーションからS3等のリソースへアクセスできる機能
・多要素認証 (MFA)
→ログイン時にアクセスキーやパスワードだけでなく、別デバイスからの認証を追加できる機能
・ID フェデレーション
→別のシステムで固有のアカウントを持っているユーザに、シングルサインオンさせることが出来る機能
・保証のための ID 情報
→AWS CloudTrailにて、リクエストログを保存する機能
・PCI DSS への準拠
→Payment Card Industry (PCI) Data Security Standard (DSS) に準拠
・多くの AWS サービスとの統合
→IAMを使用することでAWSの様々なサービスと連携することが出来る
・結果整合性
→AWSの分散コンピューティングで使用されているモデルで、高可用性を実現する

参照：https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html

途中からAWSの機能紹介になってしまってますが、IAMで提供される機能としてはおおよそ上記の通りとなります。

IAMを調べていると「IDaaS」というキーワードも出てくるので、また次の機会に説明していきたいと思います。