IAM(Identity and Access Management)は、誰がどのリソースに何をできるかを管理する仕組みです。ユーザーやサービスアカウントなどの主体に、権限(ロール)を付与してアクセス制御を行います。データ基盤では、参照できるデータ範囲や操作の可否を統制するための土台になります。
実務では最小権限の原則で、必要な権限だけを付与する設計が基本です。個人アカウントで自動処理を動かすと管理が破綻しやすいので、処理専用のサービスアカウントへ権限を割り当てると安定します。権限変更の承認フロー、監査ログ、定期的な棚卸しまで回すと、過剰権限や退職者アカウントの放置を減らせるでしょう。
