AWS認定 クラウドプラクティショナー(CLF-C02)で配点最大級のドメイン2(30%)。その心臓部がIAM(IDとアクセス権限の管理)です。IAMは「誰が・どのサービスに・何をしてよいか」を管理する仕組みで、責任共有モデルでも“常に利用者の責任”とされる超重要分野。試験ではrootユーザーの保護・最小権限・MFAが繰り返し問われます。初めての方でも図でイメージできるよう解説します。全体像は CLF対策トップ へ。

IAMとは:クラウドの“入退室管理”
IAMは、AWSアカウントの中で「誰に・どのサービスへの・どんな操作を許すか」を細かく決める仕組みです。ビルの入退室管理に似ていて、社員証(ID)ごとに「入れる部屋」「できる操作」を割り当てるイメージ。IAMの利用自体は無料で、AWSを安全に使う土台になります。
rootユーザーは「最強アカウント」——だから守る
AWSアカウントを作った最初のID=rootユーザーは、何でもできる最強の権限を持ちます。便利な反面、漏れたら全てを失う危険があるため、試験でも「rootを日常使いしない・厳重に守る」が鉄則として問われます。

rootユーザーを守るベストプラクティスはシンプルです。
- rootにMFAを必ず設定する(パスワード+ワンタイムコード)
- 日常作業はrootを使わない。管理用のIAMユーザー(またはIAM Identity Center)を作って使う
- rootのアクセスキーは作らない・あれば削除する
アカウントの解約、アカウント設定(メール/名前)の変更、サポートプランの変更、特定の請求設定など、ごく一部の操作はrootユーザーでしか実行できません。これらの時だけrootを使い、終わったらまたIAMユーザーに戻る、が正解です。
ユーザー・グループ・ロール・ポリシー
IAMの登場人物(と道具)は4つ。この関係がわかると、IAMの問題はぐっと解きやすくなります。

| 用語 | 意味 | たとえ |
|---|---|---|
| ユーザー | 人やアプリ1つに対応するID | 社員証1枚 |
| グループ | 同じ権限のユーザーをまとめる箱 | 「経理部」などの部署 |
| ポリシー | 何を許可/拒否するかのルール(JSON) | 入室許可証の中身 |
| ロール | 一時的に引き受ける権限(キー不要) | 来客が借りる“一日パス” |
ポイント:EC2などのAWSサービスに権限を渡すときは「ロール」を使うのが定石です(アクセスキーを埋め込まなくてよく安全)。人の管理は「ユーザーをグループに入れてポリシーを当てる」が基本形です。
最小権限の原則(Least Privilege)
セキュリティの大原則が最小権限=「業務に必要な権限だけを与える」こと。とりあえず広い権限を与えるのは事故のもと。必要になったら足す、が正解です。冒頭の図で「必要な扉だけが開く」と表したのがこの考え方です。
MFAと認証の強化
MFA(多要素認証)は、パスワード(知っているもの)に加えてスマホのワンタイムコードなど(持っているもの)を要求し、本人確認を2段構えにする仕組み。パスワードが漏れても突破されにくくなります。rootと重要なIAMユーザーには必ずMFA、が鉄則です。
そのほかの認証まわりの道具:パスワードポリシー(強度の強制)、AWS Secrets Manager / Systems Manager(パスワードやAPIキーなど機密情報の安全な保管)も押さえておきましょう。
IAM Identity Center(複数アカウント・SSO)
会社で複数のAWSアカウントを使う場合や、社内IDで一括ログインしたい場合はAWS IAM Identity Center(旧AWS SSO)が便利です。1か所でユーザーとアクセスを管理し、シングルサインオン(SSO)で各アカウントに入れます。社外のIDプロバイダと連携するフェデレーションもここで実現します。
確認クイズ
Q1. AWSアカウントのrootユーザーの扱いとして、ベストプラクティスはどれですか?
Q2. EC2インスタンス上のアプリからS3バケットにアクセスさせたい。最も安全な権限の渡し方は?
Q3. 新入社員10人に同じ権限を与えたい。IAMで最も効率的な方法は?
Q4. パスワードが万一漏れても不正ログインされにくくするために、まず有効化すべきものは?
よくある質問(FAQ)
Q. rootユーザーとIAMユーザーの違いは?
A. rootはアカウント作成時の最強IDで何でもできます。IAMユーザーは必要な権限だけを与えた作業用ID。普段はIAMユーザーを使い、rootは厳重に保管して特権操作の時だけ使います。
Q. ロールとユーザーはどう使い分ける?
A. 人やアプリの恒常的なID=ユーザー、一時的に引き受ける権限=ロールです。とくにEC2などのサービスに権限を渡すときはロールを使い、アクセスキーの埋め込みを避けます。
Q. 最小権限って具体的にどうすれば?
A. 「とりあえず広く」ではなく「必要になったら足す」。最初は狭く与え、業務で足りなければ権限を追加していくのが安全です。グループ+ポリシーで管理すると運用が楽になります。
まとめ
- IAM=「誰が・何を・できるか」を決める仕組み(利用は無料・利用者の責任)
- rootは最強→MFA必須・日常使いしない。一部の特権操作の時だけ使う
- 人はユーザー→グループ→ポリシー、サービスへの権限はロール
- 最小権限+MFAが安全運用の二本柱。複数アカウントはIAM Identity Center
- ➡ 関連:責任共有モデル(データと権限は常に利用者の責任)
- ➡ CLF対策トップに戻る
※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。



コメント