AWS IAMロールとは？初心者でもわかりやすい実務への応用例

クラウド開発•2025/1/28

はじめに

皆さんは AWS (Amazon Web Services) を使っていると、認証やアクセス制御をどのように管理すればいいのか悩むことはないでしょうか。 AWSはさまざまなサービスを提供していますが、それぞれのサービスにアクセス権限を付与する方法はとても重要です。ここで活躍するのが IAM (Identity and Access Management) というサービスです。 IAMには複数の機能がありますが、その中でも IAMロール は柔軟なアクセス管理を実現するうえで役立つ存在です。本記事では、初心者の皆さんでも理解しやすいように、具体例を交えながらIAMロールを解説していきます。

この記事を読むとわかること

IAMロール の基本的な概念
IAMユーザーとの違い
具体的な活用シーン
AWS CLI を用いた簡単な作成手順
運用上のポイント

IAMの基礎

AWSには、アカウントのセキュリティ管理を一元的に行うための仕組みとしてIAMがあります。 IAMユーザーを作成し、個別にアクセスキーやパスワードを割り当てることで、サービスへのアクセスを制御できるのが特徴です。しかし、外部サービスやAWS内の別のサービスにアクセスさせる場合に、常にアクセスキーを使う方法では管理やセキュリティ面での不安が出るかもしれません。そこで、一時的な権限や特定条件下での権限を管理しやすくする仕組みとしてIAMロールが用意されています。 IAMロールを正しく使うと、キーローテーションの手間を減らしたり、アプリケーションが無駄に強い権限を持つ状態を防ぎやすくなります。

IAMロールとは？

IAMロールは、AWSリソースや外部ユーザーに特定のアクセス権限を付与するための“役割”のようなものです。 IAMユーザーとは異なり、IAMロール自体は認証情報を直接持ちません。代わりに、ロールに設定されたポリシーを付与されたエンティティ（人やサービスなど）が、必要なタイミングだけ一時的な認証情報を取得してAWSリソースを操作します。この仕組みにより、アクセスキーを長期間保持し続けるリスクを下げることができるのです。また、環境に応じて権限を切り替えるためにも使いやすい仕組みといえます。

IAMユーザーとの比較

IAMユーザー:

メールアドレスやパスワードを持ち、コンソールへのログインが可能
アクセスキーを持ってサービスを利用できる

IAMロール:

直接ログインに使う認証情報は持たない
一時的な認証情報を払い出し、必要な権限を持たせる

IAMユーザーは実際の人が使うことが多いのに対して、IAMロールはAWSサービスや外部の仕組みに権限を与える場面で利用されることが一般的です。もちろん、人が複数のロールを使い分けるようなケースもありますが、どちらかといえばプログラムやサービス間の連携に適しています。

IAMロールの活用シーン

IAMロールはさまざまなシーンで利用されます。例えば、EC2インスタンス上のアプリケーションがAWSのS3にアクセスするときに、直接アクセスキーを設定しておくと管理が煩雑になります。ここでIAMロールを割り当てると、必要な権限だけを与え、かつアクセスキーをアプリケーションにハードコーディングすることなくアクセスできるようにできます。同様に、Lambda関数が他のAWSサービスを利用するときにも、IAMロールを使って安全に権限を渡すことが多いです。また、AWS Organizationsを使って複数のAWSアカウントを管理する際にも、親アカウントが子アカウントのリソースにアクセスするためにクロスアカウントロールを設定するケースがあります。このように、サービス間の連携や人為的なミスを減らすために役立つのがIAMロールです。

IAMロールを使うときは「最小限の権限を付与する」方針を心がけると安全性を高めやすいです。

IAMロールの作成と付与

AWSのマネジメントコンソールからIAMロールを作成する流れを簡単に見てみましょう。以下では流れだけをまとめていますが、実際のAWSコンソール上でクリック操作することで設定可能です。

1. IAMコンソールを開く

IAMサービスを選択し、「ロール」を開きます。

2. ロールの作成を開始

「ロールを作成」ボタンをクリックします。

3. ロールの使用方法を選択

たとえばEC2からのアクセスなら「AWSのサービス」を選択し、EC2を指定します。

4. ポリシーの選択

S3へのアクセスが必要なら、たとえば AmazonS3ReadOnlyAccess ポリシーなどを選択します。

5. ロールの名前を設定

わかりやすい名前を付けて作成します。

こうした手順でロールを作成すると、該当するEC2インスタンスがそのロールを引き受け、S3へのアクセスが可能になります。当然ですが、ロールに付与するポリシーは用途にあったものだけを最小限に絞ることが大切です。

AWS CLIでの具体例

IAMロールはコンソールだけでなく、AWS CLI からも作成や設定ができます。次の例は、簡単なトラストポリシー（どのサービスやアカウントがロールを使えるかを定義）を用意してIAMロールを作るフローです。


# トラストポリシーをJSONファイルに保存
cat > trust-policy.json <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
EOF

# IAMロールを作成
aws iam create-role \
  --role-name MyEC2Role \
  --assume-role-policy-document file://trust-policy.json

# ポリシー（S3読み取り用）をアタッチ
aws iam attach-role-policy \
  --role-name MyEC2Role \
  --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

上記のトラストポリシーはEC2インスタンスからこのロールを使えるようにする設定です。ロールを作成したら、インスタンス起動時にMyEC2RoleをアタッチすることでS3読み取りが可能になります。ほかにもCloudWatchやDynamoDBなど、必要な権限に応じてポリシーを選んでアタッチする方法は同じです。

注意点

ロールを作成しても、それだけでインスタンスやLambdaが自動的に権限を得るわけではありません。 EC2なら起動時にIAMロールを紐づける、Lambdaなら関数設定画面でロールを選択するなど、サービスごとにロールの設定が必要です。また、一度起動したEC2インスタンスに後からロールを付け加えるケースでは、EC2を再起動しなくてもアタッチができるようになりましたが、予期しない挙動がないか注意して運用しましょう。

運用上のベストプラクティス

ロールを使い始めると、手動での付け替えや権限の管理が複雑になる場合もあるでしょう。そのため、日常的な運用ではいくつかのポイントを押さえると混乱を避けやすくなります。

ロールの命名規則を決める

どのAWSサービスに使われるのかを名前に含めると管理しやすくなります。

権限の見直しを定期的に行う

古いロールや不要になったポリシーは残さず削除し、最小限の権限を維持します。

ローテーションの仕組みを導入

アクセスキーに依存しない分、定期的な見直しが遅れがちになります。定期的に監査する体制を整えておくと安心です。

マルチアカウント環境ではクロスアカウントロールを活用

1つのアカウントに集約しすぎると運用コストが増えがちなので、適切にアカウントを分割しつつロールで管理する方法がよく使われます。

権限管理は単純な設定ミスでも思わぬリソース削除や課金リスクにつながる可能性があります。そのため、常にポリシーを確認しながら慎重に設定してください。

まとめ

AWSの IAMロール は、IAMユーザーやアクセスキーを直接使わなくても、必要な権限を安全かつ柔軟に割り当てられる仕組みです。たとえばEC2インスタンスやLambda関数などのAWSサービス同士を連携させるときに、IAMロールを設定すれば、アクセスキーをハードコーディングする手間を省けるうえにセキュリティのリスクも抑えられます。さらに、ロールごとに細かい権限設定やクロスアカウントアクセスの制御ができるため、実務で複雑な要件が出てきても対応しやすくなるでしょう。皆さんも必要に応じてIAMロールを正しく使い、AWS上での運用をより安全なものにしてみてください。