【CLF-C02】IAMをわかりやすく図解|rootユーザー保護・最小権限・MFA・ロールの使い分け

IAMをわかりやすく図解 rootユーザー 最小権限 MFA CLF-C02 AWS資格の森 クラウドプラクティショナー(CLF)
無料CLF-C02 ドメイン2:セキュリティ|「誰が・何を・できるか」を決めるIAM。rootユーザー保護・最小権限・MFAまで、図と4択クイズでやさしく攻略します。

AWS認定 クラウドプラクティショナー(CLF-C02)で配点最大級のドメイン2(30%)。その心臓部がIAM(IDとアクセス権限の管理)です。IAMは「誰が・どのサービスに・何をしてよいか」を管理する仕組みで、責任共有モデルでも“常に利用者の責任”とされる超重要分野。試験ではrootユーザーの保護・最小権限・MFAが繰り返し問われます。初めての方でも図でイメージできるよう解説します。全体像は CLF対策トップ へ。

IAMのアクセス管理:rootユーザーを金庫で保護し、必要な扉だけ開ける最小権限、MFAで本人確認を強化するイメージ図
図:IAMの3つの柱。「rootは厳重保護」「必要な権限だけ(最小権限)」「MFAで本人確認」。

IAMとは:クラウドの“入退室管理”

IAMは、AWSアカウントの中で「誰に・どのサービスへの・どんな操作を許すか」を細かく決める仕組みです。ビルの入退室管理に似ていて、社員証(ID)ごとに「入れる部屋」「できる操作」を割り当てるイメージ。IAMの利用自体は無料で、AWSを安全に使う土台になります。

rootユーザーは「最強アカウント」——だから守る

AWSアカウントを作った最初のID=rootユーザーは、何でもできる最強の権限を持ちます。便利な反面、漏れたら全てを失う危険があるため、試験でも「rootを日常使いしない・厳重に守る」が鉄則として問われます。

rootユーザーは最強の鍵。金庫にしまい、普段はIAMユーザーを使うことを示す図
図:rootは「最強の鍵」。金庫にしまい(MFA+厳重保管)、普段の作業は権限を絞ったIAMユーザーで行います。

rootユーザーを守るベストプラクティスはシンプルです。

  • rootにMFAを必ず設定する(パスワード+ワンタイムコード)
  • 日常作業はrootを使わない。管理用のIAMユーザー(またはIAM Identity Center)を作って使う
  • rootのアクセスキーは作らない・あれば削除する
rootだけができること(一部)
アカウントの解約、アカウント設定(メール/名前)の変更、サポートプランの変更、特定の請求設定など、ごく一部の操作はrootユーザーでしか実行できません。これらの時だけrootを使い、終わったらまたIAMユーザーに戻る、が正解です。

ユーザー・グループ・ロール・ポリシー

IAMの登場人物(と道具)は4つ。この関係がわかると、IAMの問題はぐっと解きやすくなります。

ユーザーをグループにまとめ、ポリシーで許可・拒否を定義し、ロールは一時的に権限を与えることを示す図
図:ユーザーをグループにまとめ、ポリシー(許可・拒否のルール)を割り当てる。ロールは人やサービスが“一時的にかぶる権限”です。
用語 意味 たとえ
ユーザー 人やアプリ1つに対応するID 社員証1枚
グループ 同じ権限のユーザーをまとめる箱 「経理部」などの部署
ポリシー 何を許可/拒否するかのルール(JSON) 入室許可証の中身
ロール 一時的に引き受ける権限(キー不要) 来客が借りる“一日パス”

ポイント:EC2などのAWSサービスに権限を渡すときは「ロール」を使うのが定石です(アクセスキーを埋め込まなくてよく安全)。人の管理は「ユーザーをグループに入れてポリシーを当てる」が基本形です。

最小権限の原則(Least Privilege)

セキュリティの大原則が最小権限=「業務に必要な権限だけを与える」こと。とりあえず広い権限を与えるのは事故のもと。必要になったら足す、が正解です。冒頭の図で「必要な扉だけが開く」と表したのがこの考え方です。

MFAと認証の強化

MFA(多要素認証)は、パスワード(知っているもの)に加えてスマホのワンタイムコードなど(持っているもの)を要求し、本人確認を2段構えにする仕組み。パスワードが漏れても突破されにくくなります。rootと重要なIAMユーザーには必ずMFA、が鉄則です。

そのほかの認証まわりの道具:パスワードポリシー(強度の強制)、AWS Secrets Manager / Systems Manager(パスワードやAPIキーなど機密情報の安全な保管)も押さえておきましょう。

IAM Identity Center(複数アカウント・SSO)

会社で複数のAWSアカウントを使う場合や、社内IDで一括ログインしたい場合はAWS IAM Identity Center(旧AWS SSO)が便利です。1か所でユーザーとアクセスを管理し、シングルサインオン(SSO)で各アカウントに入れます。社外のIDプロバイダと連携するフェデレーションもここで実現します。

確認クイズ

Q1. AWSアカウントのrootユーザーの扱いとして、ベストプラクティスはどれですか?

A. 日常の作業はすべてrootで行う
B. rootにMFAを設定し、普段はIAMユーザーを使う
C. rootのアクセスキーを発行してアプリに埋め込む
D. rootのパスワードをチームで共有する

Q2. EC2インスタンス上のアプリからS3バケットにアクセスさせたい。最も安全な権限の渡し方は?

A. アクセスキーをアプリの設定ファイルに直接書く
B. IAMロールをEC2に割り当てる
C. rootの認証情報を使う
D. バケットを全世界に公開する

Q3. 新入社員10人に同じ権限を与えたい。IAMで最も効率的な方法は?

A. 10人それぞれに個別ポリシーを手で貼る
B. グループを作りポリシーを当て、10人を入れる
C. 全員でrootユーザーを共有する
D. 全員に管理者権限を付与する

Q4. パスワードが万一漏れても不正ログインされにくくするために、まず有効化すべきものは?

A. アクセスキーの追加発行
B. MFA(多要素認証)
C. バケットの公開
D. すべてのユーザーに管理者権限

よくある質問(FAQ)

Q. rootユーザーとIAMユーザーの違いは?

A. rootはアカウント作成時の最強IDで何でもできます。IAMユーザーは必要な権限だけを与えた作業用ID。普段はIAMユーザーを使い、rootは厳重に保管して特権操作の時だけ使います。

Q. ロールとユーザーはどう使い分ける?

A. 人やアプリの恒常的なID=ユーザー一時的に引き受ける権限=ロールです。とくにEC2などのサービスに権限を渡すときはロールを使い、アクセスキーの埋め込みを避けます。

Q. 最小権限って具体的にどうすれば?

A. 「とりあえず広く」ではなく「必要になったら足す」。最初は狭く与え、業務で足りなければ権限を追加していくのが安全です。グループ+ポリシーで管理すると運用が楽になります。

まとめ

  • IAM=「誰が・何を・できるか」を決める仕組み(利用は無料・利用者の責任)
  • rootは最強→MFA必須・日常使いしない。一部の特権操作の時だけ使う
  • 人はユーザー→グループ→ポリシー、サービスへの権限はロール
  • 最小権限MFAが安全運用の二本柱。複数アカウントはIAM Identity Center
🎯 次のステップ

※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。

コメント

タイトルとURLをコピーしました