【免責事項】
本投稿は正確性・完全性を保証するものではありません。
万が一、本情報に基づいて被ったいかなる損害についても、一切の責任を負いかねます。
あらかじめご了承ください。
AWSを触り始めると必ず出てくる「ルートユーザー / IAMユーザー / IAMロール」という3つの概念。
これはAWSを安全に使うための基礎中の基礎なので、最初にしっかり整理しておきましょう。
1. ルートユーザー(Root User)
- AWSアカウント作成時に自動で作られる“親ユーザー”
- 唯一すべての操作が可能な存在(例: 支払い設定、サポートプラン変更、アカウント閉鎖など)
⚠️ ルートユーザー利用の鉄則
- 普段の作業では 絶対に使わない
- MFA必須(多要素認証を必ず有効化)
- パスワード・回復情報は オフライン保管
- アクセスキーは 絶対に作らない
👉 ルートユーザー = 封印しておくお宝
スライド👇
2. IAMユーザー(IAM User)
AWSアカウント内で作成できる「恒久的な認証情報を持つユーザー」。
ルール
- 原則作らない(どうしても必要な場合のみ)
- 1人1ユーザー、共有は禁止
- 権限は直接付与せず、グループにポリシーをつけて所属させる
- MFA必須
- アクセスキーは原則作らない(必要な場合は最小権限・有効期限・ローテーション必須)
👉 IAMユーザーは“最後の手段”
スライド👇
3. IAMロール(IAM Role)
IAMロールは「必要なときだけ引き受けることができる、一時的な権限セット」です。
特徴
-
一時的な認証情報を発行(長期的なユーザー名・パスワードを不要にできる)
-
サービスやアプリに埋め込まなくてもOK(漏洩リスクを減らせる)
-
最小権限ポリシーで細かく制御可能
- 例: このS3バケットにだけアクセス可
使い方のイメージ
- EC2インスタンスにロールをアタッチ → S3やDynamoDBへアクセス
- 人間ユーザーもフェデレーション経由でロールを引き受けて作業
👉 AWS運用の基本はロール
スライド👇
4. フェデレーション & AWS IAM Identity Center
今は、人がログインするときに IAMユーザーを直接使わないのが主流 です。
- 会社のアカウントやGoogleアカウントなど、外部IDプロバイダー(IdP) で認証
- その後、AWSでIAMロールを引き受けて作業
- 入口の役割を果たすのが AWS IAM Identity Center(旧 AWS SSO)
👉 外部IDでログイン → ロールをアシューム → AWS操作 という流れが推奨
スライド👇
まとめ
整理すると次のようになります👇
| 種類 | 特徴 | 原則 |
|---|---|---|
| ルートユーザー | 最強の権限を持つ唯一のユーザー | 普段は使わない、封印 |
| IAMユーザー | 恒久的な認証情報を持つ | 必要最小限、最後の手段 |
| IAMロール | 一時的に権限を引き受ける | 基本はこれを使う |
| Identity Center | 外部IDでログインしてロールを利用 | 人のログインはこれが主流 |
スライド👇
今日のキーワード
- ルートユーザー → 封印
- IAMユーザー → 最小限
- IAMロール → 基本の運用手段
- Identity Center → 人のログインはこれ
これを覚えておけば、AWSの認証まわりはかなりスッキリ整理できます ✅
🎥 参考:解説動画はこちら
YouTubeでもこの内容を図解とともに解説しています👇
👉 【一緒に学ぶ】【AWS初心者向け】ルートユーザー/IAMユーザー/IAMロールについて
🙌 最後に
この内容が役に立った方は、ぜひ「いいね」お願いします!
ご指摘・補足コメントも大歓迎です。
👤 この投稿を書いた人
- フリーランスエンジニア
- 現場の学びを「等身大で整理」する発信中
- YouTube / Qiita / X で自分の勉強の整理をしつつ、みんなも一緒に学べる
図解・スライド・動画をゆるく投稿しています
主のコンテンツ
Active Directoryの基礎※ハンズオン形式
Active Directoryの基礎 グループポリシー編※ハンズオン形式
情シスヘルプデスク入門※一部ハンズオン形式
X
Youtube