Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
Search
ezqy
July 01, 2025
Technology
0
4
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
2025/06/30 TC3主催イベントでの登壇資料です
https://tc3.connpass.com/event/348419/
ezqy
July 01, 2025
Tweet
Share
More Decks by ezqy
See All by ezqy
MCP Serverを使った効率的なインフラ開発
ezqy
3
720
Other Decks in Technology
See All in Technology
つくって納得、つかって実感! 大規模言語モデルことはじめ
recruitengineers
PRO
18
4.2k
Preferred Networks (PFN) とLLM Post-Training チームの紹介 / 第4回 関東Kaggler会 スポンサーセッション
pfn
PRO
1
170
GitHub Copilot coding agent を推したい / AIDD Nagoya #1
tnir
2
4.5k
R-SCoRe: Revisiting Scene Coordinate Regression for Robust Large-Scale Visual Localization
takmin
0
430
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
tascj
12
1.7k
実践アプリケーション設計 ②トランザクションスクリプトへの対応
recruitengineers
PRO
2
120
制約理論(ToC)入門
recruitengineers
PRO
2
210
実践アプリケーション設計 ③ドメイン駆動設計
recruitengineers
PRO
1
130
開発と脆弱性と脆弱性診断についての話
su3158
1
1.1k
広島発!スタートアップ開発の裏側
tsankyo
0
230
帳票Vibe Coding
terurou
0
140
ソフトウェア エンジニアとしての 姿勢と心構え
recruitengineers
PRO
1
520
Featured
See All Featured
Reflections from 52 weeks, 52 projects
jeffersonlam
351
21k
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
BBQ
matthewcrist
89
9.8k
Designing for Performance
lara
610
69k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Statistics for Hackers
jakevdp
799
220k
Music & Morning Musume
bryan
46
6.7k
Thoughts on Productivity
jonyablonski
69
4.8k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.4k
Transcript
実例公開! AWS IAM Identity Center権限管理 お手軽自動化 tc3-japan @_ezqy 2025/06/30 最新AI
x 認証 技術勉強会
Ezaki Takaya / TC3 @_ezqy Platform Engineering / DevOps /
SRE
AWS IAM Identity Centerとは - シングルサインオン(SSO)機能 - 1度のアクセスで複数アカウントへアクセス - 柔軟なアクセス管理
- 細かく権限をカスタマイズ可能 - IDプロバイダーとの統合 - 外部IdPとの連携 (Google workspace, Okta等)
弊社でのアクセス権限の管理/運用方法について - 弊社ではお客様や環境単位でAWSアカウントを分離しており AWSアカウントを作成したタイミングで 自動的に以下のAWS IAM Identity Centerのグループが作成されるようにしています (会社の規模的にあまり細かい権限制御はしていません) -
<Account Name>-PowerUser (そのアカウントに対して割となんでもできる) - <Account Name>-ReadOnlyUser(そのアカウントに対してReadだけできる) - これらに必要に応じて管理者(私)がユーザーを追加していました
当時の課題と方針 課題 - 権限付与や削除に管理者への依頼が必要 - 待ち時間がある - 管理者の負荷が高い - 再申請が面倒なので削除依頼をサボりがち
方針 - 工数はできるだけ少なく - 半日ぐらいで実現できるやつ - なのでセキュリティは程々に - その日誰が何をしているか分かればそれで良い
処理概要 1. プロジェクトのリポジトリからWorkflowを実行 2. Github actionsから入力値のチェックをしたあとに指定 されたグループに対してユーザーを追加 3. Slackへ完了通知 4.
Lambdaで毎晩全ての権限をまとめて削除
1.Workflowを実行
2.入力値チェック • ユーザー名/アカウント/ロールをinput として受け取る • 入力可能な値は事前に定義しておく • Workflow内でチェック
3.ユーザー追加 • aws cliからユーザー追加 • 完了したらSlackへ通知
改善点とまとめ 改善点(もっと安全にしたい場合) • AWS Cliを直接使うのではなくIaCで管理する • ユーザー単位で有効期限を管理し、期限を短くする • ユーザー単位で申請可能なアカウントや権限を管理する まとめ
• マルチAWSアカウントの管理はIdentity Centerが便利 • プロジェクトの規模に応じてセキュリティ要件を決めよう
ezqy
recruitengineers
pfn
tnir
takmin
tascj
su3158
tsankyo
terurou
jeffersonlam
tanoku
marcelosomers
matthewcrist
lara
bkeepers
jakevdp
bryan
jonyablonski
smashingmag
kevinliebholz
garrettdimon
