IAM(Identity and Access Management)

AWSのユーザ管理とアクセス制御を行うサービス

ルートユーザ

AWSアカウント登録時に払い出されるユーザ。
全ての管理権限が付与されている。 登録したEメールアドレスで管理コンソールにログイン可能で、権限を管理権限が付与されている。

IAMユーザ

実際にAWS操作を行うユーザ。

IAMグループ

IAMユーザを役割ごとにグループ化してまとめて管理する。
管理者(adminitor)、開発者(developer)、運用者(operator) など。
ユーザが増えてくると、ユーザごとに権限設定するのはやっとれんってことで、グループごとに権限を設定して権限管理を簡略化することが出来る。

IAMポリシー

AWSリソース、サービスに対する権限を定義。JSON形式で記載する。

IAMロール

リソースに対して他のリソースにアクセスするための権限を付与するためのもの。
例えば、EC2インスタンスにIAMロールを割り当て、EC2上で動くアプリケーションからS3やRDSへアクセス(SDK経由)する権限と付与する。

AWSサービスロール

リソースに付与したIAMロールをAWSサービスロールという。

クロスアカウントアクセス用のロール

別アカウトからアクセスを可能にするために作成するロール

AWSの外部ユーザ用のロール

外部システムとSSO連携するために作成。
Idpから発行されるSAMLアサーション情報をもとにアクセス許可を行う。