aws権限の種類と基本がよくわかる一覧解説ガイド

2025 11/30

2025/11/30

はじめに

本資料は、AWS環境での権限管理を分かりやすくまとめた入門ガイドです。AWS IAMの基本構造や主要な権限の種類、さらにCyberArk CEMやAWS IAM Identity Center、Amazon Connectにおける具体的な権限設定までを扱います。現場での運用に役立つ一覧や利用例も掲載しています。

目的

AWSで適切なアクセス制御を設計・運用できるようにする。
各種権限の違いや使いどころを理解して、誤った設定を防ぐ。

対象読者

クラウド運用担当者やセキュリティ担当者。
開発者や管理者で、権限設定の基礎を学びたい方。

本資料の構成

はじめに（本章）
AWS IAMの基本体系と権限の種類
権限の種類と分類
CyberArk CEMにおける権限
AWS IAM Identity Centerの権限
Amazon Connectのセキュリティプロファイル権限

利用上の注意

実際の権限変更はまずテスト環境で確認してください。具体例を交えて説明しますので、自組織の運用ルールに合わせて読み進めてください。

AWS IAMの基本体系と権限の種類

概要

AWS IAMは、AWSのサービスやアカウント操作へのアクセスを管理する仕組みです。ユーザーやサービスが何をできるかをポリシーで定め、役割ごとに権限を分けて安全に運用します。

基本の構成要素

ユーザー: 人やサービスに割り当てる識別子です。ログインやAPI呼び出しに使います。
グループ: 複数のユーザーに同じ権限をまとめて付与できます。
ロール: サービスや一時的なアクセスに使う権限のまとまりです。EC2やLambdaに割り当てます。
ポリシー: どの操作を許可するかを記述します。管理ポリシーとインラインポリシーに分かれます。

権限の種類と特徴

管理ポリシー: 複数のエンティティで使い回せるポリシーです。AWS管理とカスタムがあります。
インラインポリシー: 特定のユーザーやロールに直接紐づくポリシーで、個別管理に向きます。
リソースベースポリシー: S3バケットなどリソース側に付けるポリシーで、他アカウントのアクセス制御に便利です。
パーミッション・バウンダリ: ユーザーやロールが持てる最大の権限を制限します。

具体例

EC2インスタンスがS3を操作する場合、EC2にロール（インスタンスプロファイル）を付け、S3アクセスを許可する管理ポリシーをアタッチします。ユーザー管理では、開発者をグループにまとめて共通権限を与えます。

運用上の注意

最小権限の原則を守り、不要な権限は与えないでください。ポリシーは読みやすくし、ログや監査を定期的に確認すると安全性が高まります。

権限の種類と分類

概要

AWS IAMの権限は大きく4タイプに分かれます。基本は管理全権、ほぼ管理者、サービス単位の全権、読み取り専用の4つです。具体例を交えて分かりやすく説明します。

1. AdministratorAccess

説明: ほぼ全ての操作を許可する権限です。AWS全体を管理できます。
具体例: EC2の起動・停止、S3バケットの作成や削除、IAMロールの作成などを行えます。
留意点: 組織の管理者に限定して付与します。誤操作の影響が大きいため最小限に抑えます。

2. PowerUserAccess

説明: 管理者相当の操作は可能ですが、IAMの管理（ユーザーやポリシーの作成・変更）はできません。
具体例: EC2やRDSの設定変更は行えますが、他者の権限を付与・変更することはできません。
運用上の使いどころ: 開発者や運用担当で幅広い操作が必要だが権限管理は任せたくない場合に適します。

3. [サービス]FullAccess

説明: 特定サービス（例：S3）だけに対するほぼ全操作を許可します。
具体例: S3FullAccessはバケット作成、オブジェクトの書き込み・削除、バケットポリシーの設定などを含みます。
利点: サービスに特化することでリスクを限定できます。

4. [サービス]ReadOnly

説明: 読み取り専用の権限で、設定やリソースの参照のみ可能です。
具体例: S3ReadOnlyはバケット内のオブジェクト一覧やメタデータを参照できますが、書き込みや削除はできません。

運用上のポイント

最小権限の原則を守り、必要な操作だけを付与してください。ロールを活用して一時的なアクセスを与えると安全です。

CyberArk CEMにおける権限

概要

CyberArk CEM（Cloud Entitlement Management）は、AWS組織や各アカウントの権限を自動で検出・管理します。CEMは専用のクロスアカウントロールを使い、CloudFormationテンプレートでオンボードします。テンプレートは必要なロールとポリシーを作成し、CEMが安全に権限情報へアクセスできるようにします。

主要ロールと権限の役割

オンボード用ロール：CEMが各アカウントへ入り、設定やスキャンを行うためのロールです。信頼ポリシーでCEM側のアカウントを許可します。
管理ポリシー：ロールに付与されるポリシーは、読み取り中心か更新を含むかで分けます。読み取りのみならList/Get系の権限を中心にします。

具体的な権限例

例として以下のようなIAM権限を使います。
– iam:GetPolicyVersion, iam:GetPolicy — ポリシーの内容を取得
– iam:GetSAMLProvider — SAMLプロバイダー情報の取得
– iam:ListAttachedRolePolicies, iam:ListRoles — ロールやアタッチ情報の一覧取得
– iam:PutRolePolicy, iam:UpdateAssumeRolePolicy — 必要時にロール内ポリシーを更新
これらにより、IAMロールやポリシーの情報取得や限定的な更新が可能になります。

オンボード手順（簡潔）

CloudFormationテンプレートを実行してクロスアカウントロールとポリシーを作成
CEMがロールを引き受け、スキャンや同期を実行
必要に応じてポリシーの更新やタグ付けを行う

運用上の注意とベストプラクティス

最小権限を適用し、読み取り専用の権限を優先する
必要なリソースだけを指定したリソースARNで制限する
変更がある操作（Put/Update）は監査ログ（CloudTrail）で追跡する
定期的にオンボード済みロールとポリシーをレビューする

制約事項

一部のList系APIはアカウント全体の一覧取得を伴うため、広いスコープを要求します。どの操作に広域アクセスが必要かを明確にし、可能な限りスコープを狭くしてください。

AWS IAM Identity Centerの権限

概要

AWS IAM Identity Center（旧SSO）の管理では、ユーザー情報の参照や権限セットの割当・削除、状態確認などが必要です。代表的なAPI権限としてidentitystore:ListUsers、sso:CreateAccountAssignment、sso:DeleteAccountAssignment、sso:DescribeAccountAssignmentCreationStatus、sso:DescribePermissionSetなどがあります。

主な権限とできること

identitystore:ListUsers：ユーザー一覧を取得します。例）組織のユーザーを表示して、割当対象を確認する時に使います。
sso:CreateAccountAssignment：アカウントへ権限セットを割り当てます。例）開発者に開発用アカウントの権限を付与する操作です。
sso:DeleteAccountAssignment：割当を解除します。例）退職時に不要なアクセスを外すときに使います。
sso:DescribeAccountAssignmentCreationStatus：割当処理の進行状況や結果を確認します。例）作成が失敗した理由を調べるときに使います。
sso:DescribePermissionSet：権限セットの詳細を確認します。例）どのポリシーが含まれるかを確認する場面です。