IAM (Identity and Access Management) とは？用途やメリットを分かりやすく解説

IAM (Identity and Access Management)とは？

IAM（アイアム：Identity and Access Management）は、AWSリソースへのアクセスを安全に管理するためのサービスです。「誰が（認証）」「どのAWSサービスやリソースに対して」「どのような操作を許可・拒否するか（認可）」を一元的に設定できます。

主な役割とメリット

IAMの最大の目的は「セキュリティリスクの極小化」です。AWSアカウントを作成した直後の権限（ルートユーザー）はすべての操作が可能なため、万が一パスワードが漏洩すると壊滅的な被害を受けます。IAMを使うことで、作業者やアプリケーションの役割に応じた必要最低限の権限だけを付与することができ、安全にAWSを利用できます。

どのような場面で使われるか

チームでAWS環境を共有する際の開発者アカウント作成時や、あるAWSサービスが別のAWSサービスを操作する際の権限付与に利用されます。

関連するAWSサービスとの組み合わせ例

• IAMユーザー + MFA (多要素認証): 人間がAWSマネジメントコンソールにログインするためのアカウント（IAMユーザー）を作成し、スマホアプリなどによる二段階認証（MFA）を強制します。
• IAMロール + EC2: EC2上のアプリケーションプログラムからS3に画像をアップロードしたい場合、アクセスキーをハードコーディングするのではなく、EC2自体に「S3への書き込み権限を持つIAMロール」を付与するのが実務でのベストプラクティスです。

実務上の注意点

IAMの運用で最も重要なのは「最小特権の原則（Principle of Least Privilege）」を守ることです。面倒だからといってすべてを許可する AdministratorAccess を安易に付与してはいけません。

よくあるエラーやトラブルシュート

• AccessDeniedException エラー: スクリプト実行時や画面操作時に権限不足を知らせるエラーです。IAMポリシーの内容を確認し、不足しているアクション（例: s3:PutObject）を追加する必要があります。
• アクセスキー情報のGitHub漏洩: IAMユーザーのアクセスキー（Access Key ID / Secret Access Key）をソースコードに埋め込んだままパブリックリポジトリにPushしてしまい、不正利用されて多額の請求を受ける事故が頻発しています。IAMロールやAWS Secrets Managerを活用してください。

まとめ

IAMは目に見えるシステムではありませんが、AWSを安全に利用するための中核機能です。IAMユーザー、IAMグループ、IAMロール、IAMポリシーという4つの基本コンポーネントの違いを理解し、適切に設計することがクラウドエンジニアへの第一歩です。