AWS LambdaでIAMロールを設定して安全に権限管理する方法｜初心者向けサーバーレス解説

1. IAMとは？（Identity and Access Management）

1. IAMとは？（Identity and Access Management）

IAM（アイエーエム）とは、「Identity and Access Management」の略称で、AWSリソースへのアクセスを安全に管理するためのサービスです。簡単に言うと、AWSという巨大なマンションにおける「鍵（認証）」と「立ち入り許可証（認可）」を発行・管理するフロントデスクのような役割を果たします。

読み方は「アイエーエム」です。プログラミング未経験の方でも、「誰が（認証）」「何に対して、どんな操作ができるか（認可）」を定義するものだと考えると分かりやすいでしょう。例えば、以下のようなルールを定めるのがIAMの役割です。

AWS Lambdaのようなサーバーレス環境では、プログラムが自動で動くため、「人間がログインする」代わりに「プログラムに権限を貸し出す」設定が不可欠です。IAMを正しく理解し設定することは、不正アクセスや操作ミスから大切なデータやシステムを守るための第一歩となります。

具体的な設定内容（ポリシー）のイメージとして、JSON（ジェイソン）という形式で書かれた簡単な権限の例を見てみましょう。これは「S3のバケットの中身を見るだけ」という許可証のサンプルです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::my-test-bucket"
        }
    ]
}

このように、「どのリソース（Resource）」に「何の操作（Action）」を「許可（Allow）」するかを明確に決めるのが、IAMの基本的な仕組みです。

2. IAMロールとは？

2. IAMロールとは？

IAMロール（アイエーエム ロール）は、特定の権限をまとめた「役割」のようなものです。読み方は「アイエーエム ロール」です。通常のIAMユーザーは人間やアプリケーションがログインするためのものですが、IAMロールは一時的に権限を引き受ける仕組みです。

例えば、AWS Lambda関数がS3（エススリー）のバケットにアクセスする場合、そのLambda関数にIAMロールを割り当てることで、必要な権限を持たせることができます。これにより、セキュリティを保ちながらサービス同士を連携できます。

3. AWS LambdaとIAMロールの関係

3. AWS LambdaとIAMロールの関係

AWS Lambdaは、他のAWSサービスと連携することが多いです。例えばS3にファイルを保存したり、DynamoDB（ダイナモディービー）にデータを書き込んだりする場面があります。このとき、Lambda関数が勝手にサービスへアクセスできるわけではなく、必ずIAMロールを通じて許可を得る必要があります。

つまりIAMロールは、Lambda関数が「何をしていいか」を制御する安全の鍵なのです。

4. IAMロールを設定するメリット

4. IAMロールを設定するメリット

• 不要な権限を付与せず最小限の権限で安全に運用できる
• パスワードや秘密鍵をコードに書かなくても済む
• 監査や管理がしやすく、セキュリティリスクを減らせる

これらの理由から、AWS Lambdaの利用時には必ずIAMロールを正しく設定することが推奨されます。

5. IAMロールを設定する基本ステップ

5. IAMロールを設定する基本ステップ

AWS管理コンソールでIAMロールを設定し、Lambda関数に割り当てる手順は次の通りです。

1. AWS管理コンソールにログインし、「IAM」を開く
2. 「ロールの作成」をクリックする
3. 「Lambda」を選択し、どのサービスに使うロールかを指定する
4. 必要な権限ポリシーを選択する（例：S3へのアクセス権限）
5. ロールに名前を付けて作成する
6. Lambda関数を開き、「実行ロール」の項目から作成したロールを割り当てる

これでLambda関数がIAMロールを通じて安全にAWSサービスへアクセスできるようになります。

6. IAMポリシーとは？

6. IAMポリシーとは？

IAMポリシー（アイエーエム ポリシー）は、許可や拒否のルールをJSON形式で書いた設定ファイルです。読み方は「アイエーエム ポリシー」で、アクセスできるリソースや操作を細かく制御できます。

例えば「S3の特定バケットに対して読み取りだけを許可する」といったように、最小限の権限を割り当てることができます。この考え方を「最小権限の原則」と呼びます。

7. IAMロールの利用例

7. IAMロールの利用例

AWS LambdaでIAMロールを使う具体例を挙げると次のようになります。

• Lambda関数がS3にファイルを保存する
• Lambda関数がDynamoDBにデータを登録する
• Lambda関数がCloudWatch Logs（クラウドウォッチ ログ）にログを送信する

それぞれのケースで、IAMロールを設定しておけば余計な権限を持たせずに安全に処理を実行できます。

8. セキュリティ上の注意点

8. セキュリティ上の注意点

IAMロールを使う際には以下の点に注意が必要です。

• 不要な権限を付与しない（最小権限の原則を守る）
• 定期的に権限を見直す
• ポリシーをグループ化して管理しやすくする

これを徹底することで、AWS Lambdaを使ったシステムがより安全になります。

9. 学習の進め方

9. 学習の進め方

まずは小さなLambda関数にIAMロールを設定して、S3やCloudWatch Logsにアクセスできるようにしてみるのがおすすめです。実際に権限を付与したり制限したりすることで、IAMの仕組みが理解しやすくなります。

AWS Lambda（ラムダ）、IAM（アイエーエム）、IAMロール（アイエーエム ロール）、IAMポリシー（アイエーエム ポリシー）といったキーワードを意識して学習すれば、検索や情報収集もスムーズになります。

まとめ

まとめ

AWS Lambda（エーダブリュエス ラムダ）を活用したサーバーレス開発において、セキュリティの要となるのがIAM（アイエーエム）の正しい設定です。本記事では、IAMロールの基礎知識から具体的な設定方法、そしてセキュリティを強化するための「最小権限の原則」までを詳しく解説してきました。クラウドネイティブな開発では、従来のオンプレミス環境のような固定のIPアドレスやパスワードによる認証ではなく、IAMロールによる動的で安全な権限管理が主流となっています。

AWS LambdaとIAM運用のポイント再確認

Lambda関数を作成した際、デフォルトで作成される実行ロールでも最低限の動作は可能ですが、実運用においては、その関数が「本当に必要なリソース」だけにアクセスできるようポリシーを細かく定義することが重要です。例えば、Amazon S3（エススリー）からデータを読み取るだけの関数であれば、書き込み権限（PutObject）は不要であり、読み取り権限（GetObject）のみを付与したIAMポリシーを作成すべきです。

また、開発を進める中でコマンドラインから権限の確認を行うことも多々あります。以下に、現在Lambda関数に割り当てられているIAMロールの信頼ポリシーを確認するための、AWS CLI（エーダブリュエス シーエルアイ）を使用したコマンド例を記載します。

aws iam get-role --role-name my-lambda-execution-role
{
    "Role": {
        "Path": "/",
        "RoleName": "my-lambda-execution-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/my-lambda-execution-role",
        "CreateDate": "2026-01-20T10:00:00Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "lambda.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Python(Boto3)による具体的な権限確認のサンプル

実際にLambda関数（Python）の中から、自分自身の権限でどのような操作が可能かをテストするコードの書き方についても触れておきましょう。AWS SDKであるBoto3（ボートスリー）を使用すると、明示的にアクセスキーを記述することなく、IAMロールの権限を利用してシームレスに他のサービスを操作できます。

import boto3
import json

def lambda_handler(event, context):
    # S3クライアントの初期化（IAMロールの権限が自動的に適用される）
    s3 = boto3.client('s3')
    
    bucket_name = 'my-safe-storage-bucket'
    
    try:
        # バケット内のファイル一覧を取得する試行
        response = s3.list_objects_v2(Bucket=bucket_name)
        
        print(f"Successfully accessed {bucket_name}")
        return {
            'statusCode': 200,
            'body': json.dumps('Access Success!')
        }
    except Exception as e:
        # 権限がない場合はここでエラーがキャッチされる
        print(f"Access Denied: {str(e)}")
        return {
            'statusCode': 403,
            'body': json.dumps('Access Denied. Check your IAM Role Policy.')
        }

JSON形式のIAMポリシー例

IAMポリシーはJSON形式（ジェイソン形式）で記述されます。以下は、特定のS3バケットへの読み取り専用アクセスを許可する「インラインポリシー」の典型的な構成例です。これをIAMロールにアタッチすることで、Lambda関数の行動範囲を厳格に制限できます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-safe-storage-bucket",
                "arn:aws:s3:::my-safe-storage-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:ap-northeast-1:123456789012:*"
        }
    ]
}

このように、IAM（アイエーエム）をマスターすることは、AWS上でのシステム開発において「安全な土台」を作ることと同義です。最初は設定項目が多く複雑に感じるかもしれませんが、一つ一つのポリシーが「誰が（Principal）」「何に対して（Resource）」「何をするか（Action）」を定義していることを意識すれば、徐々に理解が深まっていくはずです。

本記事を通じて、AWS LambdaとIAMロールの関係性についての理解が深まり、よりセキュアなサーバーレスアプリケーションの開発に役立てていただければ幸いです。エラーが発生した際は、まず「IAMロールに適切な権限があるか」「信頼関係の設定は正しいか」をチェックする習慣をつけましょう。