IAMユーザーARN — 個別ユーザーの識別
IAMユーザーARNを解析し、個々のAWSユーザーがどのように識別されるかを理解します。ユーザーパス、ユーザーとロールARNの違い、ルートアカウントARNについて解説。
IAM
詳細な説明
IAMユーザーの識別
IAMユーザーARNは、AWSアカウント内の個々の人間またはプログラマティックユーザーを識別します。すべてのIAM ARNと同様に、IAMはグローバルサービスであるため、リージョンフィールドは空です。
ARNの例
arn:aws:iam::123456789012:user/developers/jane.doe
解析されたコンポーネント
| コンポーネント | 値 |
|---|---|
| Partition | aws |
| Service | iam |
| Region | (空) |
| Account ID | 123456789012 |
| Resource Type | user |
| Resource ID | developers/jane.doe |
組織のためのユーザーパス
パスdevelopers/は組織的なグループ化メカニズムです。/developers/、/admins/、/service-accounts/のようなパスでユーザーを作成し、ワイルドカードを使って特定のパスを対象とするIAMポリシーを記述できます。
ルートアカウントARN
すべてのAWSアカウントには、異なる形式のルートユーザーARNもあります:
arn:aws:iam::123456789012:root
ルートARNにはリソースタイププレフィックスがなく、rootをリソースとして直接使用します。このARNは「このアカウントの任意のプリンシパル」を表すために、信頼ポリシーとKMSキーポリシーで頻繁に使用されます。
ユーザーとロールの比較
ユーザーARN(user/name)が長期認証情報(アクセスキー)を持つ永続的なアイデンティティを識別するのに対し、ロールARN(role/name)は一時的な認証情報を持つ引き受け可能なアイデンティティを識別します。AWSのベストプラクティスでは、人間とプログラマティックアクセスの両方でユーザーよりもロールを強く推奨しています。
ユースケース
CloudTrailログからユーザーARNを解析して、どの特定のユーザーがアクションを実行したかを特定するIAM設定の監査。リソースベースのポリシーで特定の個人に権限を付与する場合にも使用されます。