【CLF/SAA試験対策&模擬問題】IAMの基本と試験対策&練習問題
作成日: 2026年4月1日 / 更新日: 2026年4月1日
- IAMの基本概念(認証と認可の違い)
- ルートユーザー保護や最小特権などのベストプラクティス
- IAMユーザー・グループ・ロール・ポリシー・STSの役割
- ポリシーの種類(アイデンティティベース・リソースベース・SCP)
- 試験で高得点を取るための重点学習ポイント
AWSにおけるIAMの重要性をご存知ですか?
AWSを学び始めた方や、AWS認定クラウドプラクティショナー(CLF)、ソリューションアーキテクト – アソシエイト(SAA)の取得を目指している方にとって、避けて通れない最重要サービスがAWS Identity and Access Management (IAM)です。
「IAMの全体像を正しく理解できていますか?」「なぜAWSの試験でこれほどまでにIAMが重視されるのでしょうか?」本記事では、AWSの公式資料に基づき、試験対策に直結するIAMの核心部分を、信頼性の高い情報として解説します。
IAMとは?
AWS Identity and Access Management (IAM)は、AWSリソースへのアクセスを安全に管理するためのウェブサービスです。主に以下の2つの役割を担います。
- 認証 (Authentication):「誰が」サインインしているかを確認します。IAMユーザー、IAMロール、フェデレーティッドプリンシパルなどが含まれます。
- 認可 (Authorization):認証されたプリンシパルが「どのリソースに対して」「どのような操作」を行う権利を持っているかを制御します。
IAMはAWSアカウントの機能として追加料金なしで提供されており、AWSを利用する上でのセキュリティの基盤となります。
IAMのベストプラクティス
AWSはセキュリティを維持するために、IAMの利用におけるベストプラクティスを定めています。試験でもこれらの方針に基づいた選択肢が正解となることが多いため、確実に押さえておきましょう。
- ルートユーザーの保護:AWSアカウント作成時のルートユーザーは、すべてのリソースへの完全なアクセス権を持ちます。日常的なタスクには使用せず、強力な多要素認証(MFA)を適用して保護してください。
- 最小特権の適用:ユーザーやロールには、そのタスクを実行するために必要な最小限の許可のみを付与します。
- 一時的な認証情報の活用:長期的な認証情報(アクセスキーなど)の使用を避け、IAMロールによる一時的な認証情報を利用することを推奨します。
- 多要素認証 (MFA) の有効化:ルートユーザーだけでなく、すべてのユーザーに対してMFAを必須とすることが推奨されます。
- IAM Access Analyzerの利用:外部からのアクセスや未使用の権限を分析し、ポリシーの検証や適正化を行います。
- AWS管理ポリシーから開始:一般的なユースケースにはAWSが提供する管理ポリシーを使い、習熟度に応じてカスタマー管理ポリシーに移行して最小特権を追求します。
試験では「最小特権の原則」と「一時的な認証情報の活用」が頻出テーマです。「セキュリティを向上させるには?」という問いには、長期アクセスキーよりもIAMロールを選ぶのが鉄則です。
ルートユーザーは日常利用せず、MFAで保護するという方針も必ず覚えておきましょう。
CLF、SAAで問われるIAMの試験範囲
IAM主要項目一覧
| 項目 | 概要 | 主な用途 |
|---|---|---|
| IAMユーザー | AWS内で作成される個別のID | 特定の個人やアプリケーションに永続的なIDを付与する |
| IAMグループ | ユーザーの集合体 | 複数のユーザーに共通の権限を一括で適用する |
| IAMロール | 一時的な権限を付与するエンティティ | EC2やLambda等のサービス、またはクロスアカウントアクセスに利用 |
| IAMポリシー | 許可・拒否を定義したJSON文書 | ユーザー、グループ、ロールにアタッチして権限を決定する |
| AWS STS | 一時的な認証情報を発行するサービス | ロールを引き受ける際に一時的なトークンを生成する |
各項目の詳細解説
ユーザーはAWSアカウント内の特定のエンティティです。グループを利用することで、管理者は個々のユーザーではなくグループに対してポリシーを適用でき、権限管理を効率化できます。
ユーザーやサービスが特定のタスクのために一時的に「なりきる」ための仕組みです。長期的なアクセスキーを保持する必要がないため、セキュリティ的に優れています。
- アイデンティティベースのポリシー:ユーザーやロールにアタッチし、何ができるかを定義します。
- リソースベースのポリシー:S3バケットなどのリソース側にアタッチし、誰がそのリソースにアクセスできるかを定義します。
- サービスコントロールポリシー (SCP):AWS Organizationsにおいて、アカウント全体の権限のガードレール(上限)を設定します。
試験対策向けの注意点・勉強すべき点
- 認証と認可の違いを明確にする:「誰か(認証)」と「何ができるか(認可)」のプロセスを区別して理解しましょう。
- ポリシーの評価論理:IAMはデフォルトで「すべて拒否」から始まり、明示的な拒否がある場合は、いかなる許可よりも優先されるという原則を覚えてください。
- 「一時的」か「長期」か:試験問題で「セキュリティを向上させるには」という文脈があれば、多くの場合、長期的なアクセスキー(IAMユーザー)よりも一時的な認証情報(IAMロール)が正解となります。
- IAM Access Analyzerの役割:ポリシーが正しい文法で書かれているか、意図しない外部公開が行われていないかをチェックするツールとして理解しましょう。
模擬問題
CLF対策 模擬問題
AWS Identity and Access Management (IAM) はどのような目的で使用されますか?
AWS IAMは、AWSリソースへのアクセスを安全に管理するためのサービスです。IAMを使用することで、ユーザー、グループ、および役割を作成し、それらに対してAWSリソースへのアクセス権限を細かく設定することができます。IAMは、ユーザーがどのAWSサービスにアクセスできるか、どの操作が実行できるかを制御するために使用され、高度なセキュリティとアイデンティティ管理を提供します。
ある企業がAWS IAMを使用しています。新しい従業員が入社し、彼女には限定的な権限で特定のS3バケットへのアクセスのみを許可したいと考えています。次のうち、この要件を満たす最も効果的な方法はどれでしょう。
AWS IAMのベストプラクティスに従い、各ユーザーには必要最低限の権限のみを付与する「最小権限の原則」が推奨されています。この場合、新しい従業員には個別のIAMユーザーアカウントを作成し、特定のS3バケットへのアクセス権限のみを付与するのが最も適切です。
SAA対策 模擬問題
A社は、AWSリソースへのアクセス管理を強化するためにAWS IAMを利用することを検討しています。以下の記述のうち、AWS IAMに関するものとして正しいものを選んでください。
AWS IAMは、AWSリソースへのアクセスをセキュアに管理するためのサービスです。IAMポリシーはユーザー、グループ、およびロールにアタッチでき、アクセス権限を細かく制御できます。IAMユーザーは複数のロールを引き受けることが可能で、IAMはMFAをサポートしています。また、IAMポリシーはJSON形式で定義されます。
A社のAWS運用管理者は、AWS上でのアプリケーション開発のために権限管理を実施する必要があります。開発者ユーザー、管理者ユーザーに適切な権限を付与するための設定方法を選択してください。
IAMポリシーを利用することでユーザーごとに様々な権限を付与することができます。その他の選択肢では、開発者ユーザー、管理者ユーザーごとに適切な権限を付与することができないため不正解です。
まとめ
IAMはAWSのセキュリティの門番であり、CLFやSAAといった認定資格において非常に高い配重を占めるサービスです。「最小特権の原則」や「一時的な認証情報の活用」といったベストプラクティスを理解することは、試験合格のみならず、実務での安全なAWS利用にも直結します。
まずは公式のユーザーガイドやチュートリアルに触れ、実際にポリシーを作成してみることで、その仕組みを体感的に学ぶことをお勧めします。