読み方 : アイエーエムロール
IAMロール【IAM role】
IAMロールとは?
ITシステムで特定の権限をまとめた「役割」(role)を定義し、利用者やプログラムに一時的に割り当てる仕組み。個々の利用者に固定の権限を直接付与するのではなく、用途や機能に応じた役割を貸し出す形で権限を管理する。IAM(Identity and Access Management)で用いられる仕組みである。
IAMロールには、どのサービスやデータへアクセスできるか、どの操作を許可するかといった情報が設定される。利用者やアプリケーションは必要に応じてロールを引き受け、その間だけ定義された権限を利用する。一般的なユーザーアカウントは特定の個人に紐付くが、IAMロールは「管理者」「監査担当」「バックアップ担当」のように用途単位で作成されるため、同じロールを複数の利用者やシステムで共有できる。
クラウドサービスでは、仮想サーバやアプリケーションにIAMロールを割り当てる構成が広く用いられる。例えば、クラウド上のアプリケーションがストレージへ接続する際、認証情報をプログラム内に保存せず、IAMロールを通じて一時的に権限を取得する。この権限には有効期限が設けられており、期限が切れると自動的に無効となる。
従来の手法では、システムごとのIDやアクセスキーをプログラムに直接書き込む必要があり、ソースコードの流出が不正アクセスに直結するリスクがあった。IAMロールを用いることで、認証情報をコードに記述せずに済むため、漏洩時の影響を抑えられる。また、操作のために必要最小限の権限のみを与える「最小権限の原則」に沿った管理がしやすくなる。
複数のアカウントや外部組織との連携にも活用される。あるシステムに対して限定的な権限だけを外部へ付与し、一定条件を満たした場合のみアクセスを許可する設定が行われる。利用者の異動や退職が生じた際も、ロールの割り当て先を変更するだけで対応できるため、運用負担の軽減につながる。
共有ボタンをタップ