許可を使用すると、AWS サービスやリソースへのアクセスを指定および制御することができます。IAM ロールにアクセス許可を付与するには、アクセス権の種類、実行できるアクション、アクションを実行するリソースを指定したポリシーをアタッチします。
IAM ポリシーを使用して、特定の AWS のサービス API とリソースへのアクセスを許可します。また、特定の AWS 組織からのアイデンティティへのアクセスや、特定の AWS のサービス経由のアクセスを許可するなど、アクセスを許可する特定の条件を定義することもできます。
IAM ロールを使用すると、AWS アカウント内で操作するユーザーや AWS のサービスにアクセスを委任できます。お客様のアイデンティティプロバイダーまたは AWS のサービスのユーザーは、IAM ロールのアカウントで AWS リクエストを行う際に使用できる一時的なセキュリティ認証情報を取得するため、ロールを引き受けることができます。その結果、IAM ロールは、AWS アカウントでアクションを実行する必要があるユーザー、ワークロード、および AWS のサービスのために、短期的な認証情報に依存する方法を提供します。
IAM Roles Anywhere を使用すると、オンプレミス、ハイブリッド、マルチクラウド環境など、AWS の外部で実行されるワークロードが、登録された認証局によって発行された X.509 デジタル証明書を使用して AWS リソースにアクセスできるようになります。IAM Roles Anywhere を使用すると、一時的な AWS 認証情報を取得し、AWS ワークロードに設定したのと同じ IAM ロールとポリシーを使用して AWS リソースにアクセスすることができます。
最小特権を達成するには、要件の変化に応じて適切なきめ細かい許可を付与する継続的なサイクルが必要です。 IAM Access Analyzer は、アクセス許可の設定、検証、改良を行う際にアクセス許可管理を効率化するのに役立ちます。
AWS Organizations では、サービスコントロールポリシー (SCP) とリソースコントロールポリシー (RCP) を使用して、組織のアカウント内のすべてのプリンシパルとリソースが準拠する許可のガードレールを確立できます。SCP を使用すると、アカウント全体のプリンシパル (IAM ロールとユーザー) のアクセスを一元的に制御できます。RCP を使用すると、組織全体の AWS リソースのアクセスを一元的に制御できます。SCP または RCP のみを有効にするか、両方のポリシータイプを併用することを選択して、セキュリティ目標の達成に役立てることができます。
属性ベースのアクセスコントロール (ABAC) は、部署、ジョブロール、チーム名などのユーザー属性に基づくきめ細かなアクセス許可の作成に使用できる認可戦略です。ABAC を使用することで、AWS アカウントできめ細かな制御を行うために必要な個別のアクセス許可の数を減らすことができます。
AWS Organizations のメンバーアカウントのルートアクセスを一元管理することで、ルート認証情報を簡単に管理でき、権限の高いタスクも実行できます。