Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実例公開! AWS IAM Identity Center権限管理 お手軽自動化

Avatar for ezqy ezqy
July 01, 2025
Technology
16
0

実例公開! AWS IAM Identity Center権限管理 お手軽自動化

2025/06/30 TC3主催イベントでの登壇資料です
https://tc3.connpass.com/event/348419/

Avatar for ezqy

ezqy

July 01, 2025

More Decks by ezqy

See All by ezqy
MCP Serverを使った効率的なインフラ開発
Avatar for ezqy ezqy
3
900

Other Decks in Technology

See All in Technology
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.9k
SONiCの統計情報を取得したい
Avatar for SONiC Users Group Japan sonic
0
160
気軽に使える"情報のハブ"としてのNotion活用 〜フロー情報の集積点 と、 Claude Code × Notion AI〜
Avatar for Ryo Okubo syucream
1
110
"何を作るか"を任される エンジニアは、どう育つのか
Avatar for ofuji-works yutaokafuji
1
680
Bedrock AgentCore RuntimeでAuth0 Changelog調査AIをアップグレードした話
Avatar for t.t t5u8a5a
1
150
Snowflakeと仲良くなる第一歩
Avatar for あべ coco_se
4
470
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
Avatar for MUSUBI musubi
0
180
Kubernetesにおける学習基盤とLLMOpsの概要
Avatar for ry ry
1
310
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
Avatar for Koji Miyata miyatakoji
0
660
FinOps × AIエージェントで実現する コストインシデントの自動調査
Avatar for T.REX oasis1994liveforever
0
140
あなたの知らないPDFのアクセシビリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
190
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1k

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
530
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
730
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
Avatar for Aleyda Solis aleyda
1
2.1k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.5k
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
1
330
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.8k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6.2k

Transcript

  1. 実例公開! AWS IAM Identity Center権限管理 お手軽自動化 tc3-japan @_ezqy 2025/06/30 最新AI

    x 認証 技術勉強会

  2. Ezaki Takaya / TC3  @_ezqy Platform Engineering / DevOps /

    SRE

  3. AWS IAM Identity Centerとは - シングルサインオン(SSO)機能 - 1度のアクセスで複数アカウントへアクセス - 柔軟なアクセス管理

    - 細かく権限をカスタマイズ可能 - IDプロバイダーとの統合 - 外部IdPとの連携 (Google workspace, Okta等)

  4. 弊社でのアクセス権限の管理/運用方法について - 弊社ではお客様や環境単位でAWSアカウントを分離しており AWSアカウントを作成したタイミングで 自動的に以下のAWS IAM Identity Centerのグループが作成されるようにしています (会社の規模的にあまり細かい権限制御はしていません) -

    <Account Name>-PowerUser (そのアカウントに対して割となんでもできる) - <Account Name>-ReadOnlyUser(そのアカウントに対してReadだけできる) - これらに必要に応じて管理者(私)がユーザーを追加していました

  5. 当時の課題と方針 課題 - 権限付与や削除に管理者への依頼が必要 - 待ち時間がある - 管理者の負荷が高い - 再申請が面倒なので削除依頼をサボりがち

    方針 - 工数はできるだけ少なく - 半日ぐらいで実現できるやつ - なのでセキュリティは程々に - その日誰が何をしているか分かればそれで良い

  6. 処理概要 1. プロジェクトのリポジトリからWorkflowを実行 2. Github actionsから入力値のチェックをしたあとに指定 されたグループに対してユーザーを追加 3. Slackへ完了通知 4.

    Lambdaで毎晩全ての権限をまとめて削除

  7. 1.Workflowを実行

  8. 2.入力値チェック • ユーザー名/アカウント/ロールをinput として受け取る • 入力可能な値は事前に定義しておく • Workflow内でチェック

  9. 3.ユーザー追加 • aws cliからユーザー追加 • 完了したらSlackへ通知

  10. 改善点とまとめ 改善点(もっと安全にしたい場合) • AWS Cliを直接使うのではなくIaCで管理する • ユーザー単位で有効期限を管理し、期限を短くする • ユーザー単位で申請可能なアカウントや権限を管理する まとめ

    • マルチAWSアカウントの管理はIdentity Centerが便利 • プロジェクトの規模に応じてセキュリティ要件を決めよう