ID とアクセス
ロールベースアクセス制御(RBAC)
別称: RBAC
定義
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
ロールベースアクセス制御では、「請求管理者」「読み取り専用監査担当」といった抽象的なロールに権限を付与し、ユーザーをロールに割り当てることでアクセス権を与えます。この間接化により管理が容易になり、職務分掌を実現しやすく、権限がユーザー単位ではなくロール単位で記録されるため監査も明確になります。RBAC は企業 IAM、クラウド(AWS IAM、Azure RBAC、Kubernetes RBAC)、ERP において主流のモデルです。一方、業務粒度が細かい大規模組織では「ロール爆発」が発生しやすく、属性ベースのルールと組み合わせるハイブリッド型に向かう傾向があります。
例
- "sre" グループにバインドされた Pod 一覧取得を許可する Kubernetes ClusterRole。
- CI/CD パイプラインが引き受ける、EC2 への読み取り専用権限を持つ AWS IAM ロール。
関連用語
属性ベースアクセス制御(ABAC)
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
強制アクセス制御(MAC)
リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。
任意アクセス制御(DAC)
リソース所有者が、誰にどの操作を許可するかを自由に決定するアクセス制御モデル。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
認可
認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。