Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
ezqy
July 01, 2025
Technology
0
7
実例公開! AWS IAM Identity Center権限管理 お手軽自動化
2025/06/30 TC3主催イベントでの登壇資料です
https://tc3.connpass.com/event/348419/
ezqy
July 01, 2025
Tweet
Share
More Decks by ezqy
See All by ezqy
MCP Serverを使った効率的なインフラ開発
ezqy
3
820
Other Decks in Technology
See All in Technology
Greatest Disaster Hits in Web Performance
guaca
0
300
AI駆動開発を事業のコアに置く
tasukuonizawa
1
400
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
daitak
1
390
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
480
22nd ACRi Webinar - 1Finity Tamura-san's slide
nao_sumikawa
0
110
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
200
ブロックテーマ、WordPress でウェブサイトをつくるということ / 2026.02.07 Gifu WordPress Meetup
torounit
0
210
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
kworkdev
PRO
1
520
茨城の思い出を振り返る ~CDKのセキュリティを添えて~ / 20260201 Mitsutoshi Matsuo
shift_evolve
PRO
1
430
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
260
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
130
Codex 5.3 と Opus 4.6 にコーポレートサイトを作らせてみた / Codex 5.3 vs Opus 4.6
ama_ch
0
220
Featured
See All Featured
Deep Space Network (abreviated)
tonyrice
0
67
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
68
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
34k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.3k
Utilizing Notion as your number one productivity tool
mfonobong
3
220
A better future with KSS
kneath
240
18k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
200
Ethics towards AI in product and experience design
skipperchong
2
200
The Mindset for Success: Future Career Progression
greggifford
PRO
0
240
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
60
42k
Navigating Weather and Climate Data
rabernat
0
110
Transcript
実例公開! AWS IAM Identity Center権限管理 お手軽自動化 tc3-japan @_ezqy 2025/06/30 最新AI
x 認証 技術勉強会
Ezaki Takaya / TC3 @_ezqy Platform Engineering / DevOps /
SRE
AWS IAM Identity Centerとは - シングルサインオン(SSO)機能 - 1度のアクセスで複数アカウントへアクセス - 柔軟なアクセス管理
- 細かく権限をカスタマイズ可能 - IDプロバイダーとの統合 - 外部IdPとの連携 (Google workspace, Okta等)
弊社でのアクセス権限の管理/運用方法について - 弊社ではお客様や環境単位でAWSアカウントを分離しており AWSアカウントを作成したタイミングで 自動的に以下のAWS IAM Identity Centerのグループが作成されるようにしています (会社の規模的にあまり細かい権限制御はしていません) -
<Account Name>-PowerUser (そのアカウントに対して割となんでもできる) - <Account Name>-ReadOnlyUser(そのアカウントに対してReadだけできる) - これらに必要に応じて管理者(私)がユーザーを追加していました
当時の課題と方針 課題 - 権限付与や削除に管理者への依頼が必要 - 待ち時間がある - 管理者の負荷が高い - 再申請が面倒なので削除依頼をサボりがち
方針 - 工数はできるだけ少なく - 半日ぐらいで実現できるやつ - なのでセキュリティは程々に - その日誰が何をしているか分かればそれで良い
処理概要 1. プロジェクトのリポジトリからWorkflowを実行 2. Github actionsから入力値のチェックをしたあとに指定 されたグループに対してユーザーを追加 3. Slackへ完了通知 4.
Lambdaで毎晩全ての権限をまとめて削除
1.Workflowを実行
2.入力値チェック • ユーザー名/アカウント/ロールをinput として受け取る • 入力可能な値は事前に定義しておく • Workflow内でチェック
3.ユーザー追加 • aws cliからユーザー追加 • 完了したらSlackへ通知
改善点とまとめ 改善点(もっと安全にしたい場合) • AWS Cliを直接使うのではなくIaCで管理する • ユーザー単位で有効期限を管理し、期限を短くする • ユーザー単位で申請可能なアカウントや権限を管理する まとめ
• マルチAWSアカウントの管理はIdentity Centerが便利 • プロジェクトの規模に応じてセキュリティ要件を決めよう
SiteGround - Reliable hosting with speed, security, and support you can count on.
ezqy
guaca
tasukuonizawa
daitak
zepprix
nao_sumikawa
keiichiito1978
torounit
kworkdev
shift_evolve
aeonpeople
kentosuzuki
ama_ch
tonyrice
davidcarrasco
thoeni
eileencodes
palkan
mfonobong
kneath
tamaranovitovic
skipperchong
greggifford
rkaga
rabernat
