Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実例公開! AWS IAM Identity Center権限管理 お手軽自動化

Avatar for ezqy ezqy
July 01, 2025
Technology
10
0

実例公開! AWS IAM Identity Center権限管理 お手軽自動化

2025/06/30 TC3主催イベントでの登壇資料です
https://tc3.connpass.com/event/348419/

Avatar for ezqy

ezqy

July 01, 2025

More Decks by ezqy

See All by ezqy
MCP Serverを使った効率的なインフラ開発
Avatar for ezqy ezqy
3
880

Other Decks in Technology

See All in Technology
老舗OCIクラウドインテグレーターが語る-現場で培ったクラウドリフトのリアルと成功のカギ
Avatar for Shinya Omori shinpy
0
120
TypeScriptとAngular Signal で実現する保守性の高いアプリケーション設計 - 3層アーキテクチャによる責務分離の実践(たつかわ) https://2026.tskaigi.org/talks/10
Avatar for Nealle nealle
1
340
AI時代に改めて考える、ドメイン駆動設計 - モデリングが「AIへの共通言語」になる
Avatar for Koichiro Matsuoka littlehands
7
2.3k
Agentic Design Patterns
Avatar for Guillaume Laforge glaforge
0
170
エムスリーテクノロジーズ株式会社 エンジニア向け紹介資料 / M3 Technologies Company Deck
Avatar for M3 Engineering m3_engineering
0
230
AIAgentと取り組むKaggle
Avatar for shuto goya 508shuto
2
550
TypeScript で Platform SDK を作る技術
Avatar for Akira HIGUCHI toiroakr
1
260
TSKaigi 2026 - Auth.jsからBetter Authへの 移行に見る「型とランタイム」の 設計思想の変化
Avatar for teamLab teamlab
PRO
1
260
AI駆動開発でなんでもハンズオン環境をつくってみた
Avatar for yoshimi0227 yoshimi0227
0
120
ソフトウェアサプライチェーン攻撃対策として今からサクッとできること
Avatar for GMO Flatt Security flatt_security
2
130
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
Avatar for TomokiYasuhara cm_yasuhara
0
290
組織の中で自分を経営する技術
Avatar for shoota shoota
0
130

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
900
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
380
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.8k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
530
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.2k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
190
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
820
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
450
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k

Transcript

  1. 実例公開! AWS IAM Identity Center権限管理 お手軽自動化 tc3-japan @_ezqy 2025/06/30 最新AI

    x 認証 技術勉強会

  2. Ezaki Takaya / TC3  @_ezqy Platform Engineering / DevOps /

    SRE

  3. AWS IAM Identity Centerとは - シングルサインオン(SSO)機能 - 1度のアクセスで複数アカウントへアクセス - 柔軟なアクセス管理

    - 細かく権限をカスタマイズ可能 - IDプロバイダーとの統合 - 外部IdPとの連携 (Google workspace, Okta等)

  4. 弊社でのアクセス権限の管理/運用方法について - 弊社ではお客様や環境単位でAWSアカウントを分離しており AWSアカウントを作成したタイミングで 自動的に以下のAWS IAM Identity Centerのグループが作成されるようにしています (会社の規模的にあまり細かい権限制御はしていません) -

    <Account Name>-PowerUser (そのアカウントに対して割となんでもできる) - <Account Name>-ReadOnlyUser(そのアカウントに対してReadだけできる) - これらに必要に応じて管理者(私)がユーザーを追加していました

  5. 当時の課題と方針 課題 - 権限付与や削除に管理者への依頼が必要 - 待ち時間がある - 管理者の負荷が高い - 再申請が面倒なので削除依頼をサボりがち

    方針 - 工数はできるだけ少なく - 半日ぐらいで実現できるやつ - なのでセキュリティは程々に - その日誰が何をしているか分かればそれで良い

  6. 処理概要 1. プロジェクトのリポジトリからWorkflowを実行 2. Github actionsから入力値のチェックをしたあとに指定 されたグループに対してユーザーを追加 3. Slackへ完了通知 4.

    Lambdaで毎晩全ての権限をまとめて削除

  7. 1.Workflowを実行

  8. 2.入力値チェック • ユーザー名/アカウント/ロールをinput として受け取る • 入力可能な値は事前に定義しておく • Workflow内でチェック

  9. 3.ユーザー追加 • aws cliからユーザー追加 • 完了したらSlackへ通知

  10. 改善点とまとめ 改善点(もっと安全にしたい場合) • AWS Cliを直接使うのではなくIaCで管理する • ユーザー単位で有効期限を管理し、期限を短くする • ユーザー単位で申請可能なアカウントや権限を管理する まとめ

    • マルチAWSアカウントの管理はIdentity Centerが便利 • プロジェクトの規模に応じてセキュリティ要件を決めよう