Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
Search
ezqy
July 01, 2025
Technology
0
4
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
2025/06/30 TC3主催イベントでの登壇資料です
https://tc3.connpass.com/event/348419/
ezqy
July 01, 2025
Tweet
Share
More Decks by ezqy
See All by ezqy
MCP Serverを使った効率的なインフラ開発
ezqy
3
690
Other Decks in Technology
See All in Technology
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
layerx
PRO
8
1.6k
Mambaで物体検出 完全に理解した
shirarei24
2
180
バクラクによるコーポレート業務の自動運転 #BetAIDay
layerx
PRO
1
670
Unson OS|48時間で「売れるか」を判定する AI 市場検証プラットフォーム
unson
0
160
【CEDEC2025】現場を理解して実現!ゲーム開発を効率化するWebサービスの開発と、利用促進のための継続的な改善
cygames
PRO
0
660
みんなのSRE 〜チーム全員でのSRE活動にするための4つの取り組み〜
kakehashi
PRO
2
120
【2025 Japan AWS Jr. Champions Ignition】点から線、線から面へ〜僕たちが起こすコラボレーション・ムーブメント〜
amixedcolor
1
110
「育てる」サーバーレス 〜チーム開発研修で学んだ、小さく始めて大きく拡張するAWS設計〜
yu_kod
1
230
AI コードレビューが面倒すぎるのでテスト駆動開発で解決しようとして読んだら、根本的に俺の勘違いだった
mutsumix
0
140
クマ×共生 HACKATHON - 熊対策を『特別な行動」から「生活の一部」に -
pharaohkj
0
280
LLMでAI-OCR、実際どうなの? / llm_ai_ocr_layerx_bet_ai_day_lt
sbrf248
0
410
大規模イベントを支える ABEMA の アーキテクチャ 変遷 2025
nagapad
6
620
Featured
See All Featured
Designing Experiences People Love
moore
142
24k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Become a Pro
speakerdeck
PRO
29
5.5k
Side Projects
sachag
455
43k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
1k
The World Runs on Bad Software
bkeepers
PRO
70
11k
The Cult of Friendly URLs
andyhume
79
6.5k
Making the Leap to Tech Lead
cromwellryan
134
9.4k
RailsConf 2023
tenderlove
30
1.2k
How to Think Like a Performance Engineer
csswizardry
25
1.8k
Transcript
実例公開! AWS IAM Identity Center権限管理 お手軽自動化 tc3-japan @_ezqy 2025/06/30 最新AI
x 認証 技術勉強会
Ezaki Takaya / TC3 @_ezqy Platform Engineering / DevOps /
SRE
AWS IAM Identity Centerとは - シングルサインオン(SSO)機能 - 1度のアクセスで複数アカウントへアクセス - 柔軟なアクセス管理
- 細かく権限をカスタマイズ可能 - IDプロバイダーとの統合 - 外部IdPとの連携 (Google workspace, Okta等)
弊社でのアクセス権限の管理/運用方法について - 弊社ではお客様や環境単位でAWSアカウントを分離しており AWSアカウントを作成したタイミングで 自動的に以下のAWS IAM Identity Centerのグループが作成されるようにしています (会社の規模的にあまり細かい権限制御はしていません) -
<Account Name>-PowerUser (そのアカウントに対して割となんでもできる) - <Account Name>-ReadOnlyUser(そのアカウントに対してReadだけできる) - これらに必要に応じて管理者(私)がユーザーを追加していました
当時の課題と方針 課題 - 権限付与や削除に管理者への依頼が必要 - 待ち時間がある - 管理者の負荷が高い - 再申請が面倒なので削除依頼をサボりがち
方針 - 工数はできるだけ少なく - 半日ぐらいで実現できるやつ - なのでセキュリティは程々に - その日誰が何をしているか分かればそれで良い
処理概要 1. プロジェクトのリポジトリからWorkflowを実行 2. Github actionsから入力値のチェックをしたあとに指定 されたグループに対してユーザーを追加 3. Slackへ完了通知 4.
Lambdaで毎晩全ての権限をまとめて削除
1.Workflowを実行
2.入力値チェック • ユーザー名/アカウント/ロールをinput として受け取る • 入力可能な値は事前に定義しておく • Workflow内でチェック
3.ユーザー追加 • aws cliからユーザー追加 • 完了したらSlackへ通知
改善点とまとめ 改善点(もっと安全にしたい場合) • AWS Cliを直接使うのではなくIaCで管理する • ユーザー単位で有効期限を管理し、期限を短くする • ユーザー単位で申請可能なアカウントや権限を管理する まとめ
• マルチAWSアカウントの管理はIdentity Centerが便利 • プロジェクトの規模に応じてセキュリティ要件を決めよう