RBAC 入門 — ロールベースアクセス制御の仕組み・ABAC との違い・実装例(AWS / Kubernetes)
RBAC(Role-Based Access Control:ロールベースアクセス制御)とは、ユーザーに直接権限を与えず、ロールを介して権限を管理する仕組みです。 AWS の IAM、Kubernetes、GitHub、Microsoft 365 など、現代のほとんどのプラットフォームがこの考え方を基盤にしています。 一言で言うと、「社員一人ひとりに鍵を渡すのではなく、役職ごとのマスターキーを管理する」仕組みです。本記事では RBAC の基本構造、必要性、ABAC との違い、AWS IAM・Kubernetes での実装例までをまとめます。 RBAC の基本構造 RBAC は主に 3 つの要素の組み合わせで成り立っています。 ユーザー (User) — システムを利用する個人 ロール (Role) — 「管理者」「編集者」「閲覧者」といった役割。権限の集合体 パーミッション (Permission) — 「ファイルの読み取り」「データの削除」といった具体的な操作権限 ユーザーは直接パーミッションを持つのではなく、ロールを介して権限を獲得します。この「間接化」が RBAC の本質です。 なぜ RBAC が必要なのか 従来の ACL ベースの管理(ユーザーごとにリソースの権限を個別に設定する方式)では、組織が大きくなるにつれて管理が破綻します。RBAC を導入することで、以下のメリットが得られます。 1. 管理の効率化 異動や入社があった際、個別に何十もの設定を変更する必要がなく、適切な「ロール」を割り当てるだけで済みます。退職時もロールを外せば一括で権限が剥奪されます。 2. セキュリティの向上(最小権限の原則) 業務に必要な権限だけをセットにしたロールを作成することで、過剰な権限付与によるリスクを防げます。最小権限の原則(Principle of Least Privilege)を組織的に実現する手段として最も普及しているのが RBAC です。 3. コンプライアンスの強化 「誰がどのような権限を持っているのか」をロール単位で把握できるため、監査が容易になります。SOC 2、ISO 27001、PCI DSS などのコンプライアンス監査では、アクセス権限のレビューが必須項目になっており、RBAC ベースの設計だとレポート作成が圧倒的に楽になります。 具体例:ドキュメント管理システム ユーザー 割り当てられたロール 実行できる操作 (パーミッション) 佐藤さん 管理者 (Admin) 作成、編集、削除、ユーザー追加 鈴木さん 編集者 (Editor) 作成、編集 高橋さん 閲覧者 (Viewer) 閲覧のみ もし鈴木さんが管理者に昇進した場合、鈴木さんの設定を一つずつ変えるのではなく、付与するロールを「編集者」から「管理者」へ切り替えるだけで、すべての権限が更新されます。 ...