AWSを使い始めると、多くの人が「アクセス方法」の壁にぶつかります。「IAMユーザー」「ロール」「AWSアカウント」といった言葉が出てきて、混乱してしまいがちです。
しかし、これらの関係は、私たちが普段から馴染みのある**「会社と従業員」の関係**に例えることで、驚くほどスッキリと理解できます。この記事では、この例えを使って、AWSの2つの主要なアクセス方法を解説します。
【大前提】AWSアカウント = 「会社」そのもの 🏢
まず、全ての土台となるのがAWSアカウントです。これはサーバーやデータベースといった資産(リソース)をすべて保管し、請求が発生する単位でもあります。
これを**「会社」**そのものだと考えてください。以降の話は、すべてこの「会社」に出入りする人の話です。
アクセス方法①:IAMユーザー = 「正社員」による直接出社 🧑💼
一つ目は、最も基本的なアクセス方法である IAMユーザー です。これは、会社に正式に籍を置く 「正社員」 に例えることができます。
- 身分: AWSアカウント(会社)の中に永続的に存在する、登録されたユーザーです。
- 認証: その会社専用の入館証(IAMユーザー名とパスワード)を使って、直接サインインします。
-
権限の与えられ方: 正社員の権限の与え方には、主に2つのパターンがあります。
- 直接的な権限付与: 社員証そのものに「一般フロアのみ入室可」と権限が直接書き込まれている状態。IAMユーザーに直接パーミッション(権限)が設定されます。
- ロール(役職)の利用: 社員が普段の業務に加え、必要に応じて「金庫番のベスト(ロール)」を着て、その時だけ金庫を開ける権限を得る状態。IAMユーザーが特定のロールを引き受けます。
この「正社員」モデルは、個人の開発者や小規模なチームでAWSを利用する際の基本となります。
アクセス方法②:IAM Identity Center = 「嘱託社員」による一時的な業務 👨🏫
二つ目は、主に企業で使われるIAM Identity Center(旧AWS SSO)を経由する方法です。これは、特定のプロジェクトのために契約した**「嘱託社員」**やフリーランスの専門家に例えることができます。
- 身分: AWSアカウント(会社)の中に、正社員としての籍(IAMユーザー)を持ちません。あくまで外部の人間です。
- 認証: まず会社の総合受付(IAM Identity Centerのポータル)で本人確認を行います。
- 権限の与えられ方: 本人確認後、受付で「本日は、このプロジェクトの『管理者』という役職(ロール)で作業をお願いします」と、**一時的な通行証(ロール)**を渡されます。嘱託社員は、常にこの一時的なロールを引き受ける形で権限を得ます。
この「嘱託社員」モデルは、複数のAWSアカウントや多数のユーザーを、安全かつ効率的に一元管理したい大企業などで採用されます。
まとめ:あなたAWSの「身分」はどっち?
| 比較項目 | 正社員 (IAMユーザー) | 嘱託社員 (IAM Identity Center) |
|---|---|---|
| 所属 | 会社(AWSアカウント)の内部 | 会社(AWSアカウント)の外部 |
| 身分 | 永続的な社員 | 一時的な訪問者 |
| 認証 | 会社専用のドアから直接サインイン | 総合受付で認証後、入室 |
| 権限の得方 | 直接付与、またはロールを借用 | 常にロールを借用 |
| 主な用途 | 個人利用、小規模チーム | 企業での複数アカウント管理 |
AWSのコンソール画面にサインインしたとき、右上に表示されるユーザー情報を見れば、自分の「身分」がどちらなのかを確認できます。
-
IAMユーザー名 @ アカウントID→ あなたは正社員です。 -
ロール名 / ユーザー名→ あなたは嘱託社員です。
この「正社員」と「嘱託社員」の違いを理解するだけで、AWSのアクセス管理に関する悩みは、きっと解決するはずです。