AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

Transcript

1. AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会

2. 目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.

   まとめ 6. さいごに

3. 自己紹介 平井大登 年次　　　　：2年目 趣味　　　　：スノボ、音楽フェス AWS学習歴　：1年 @hiro_eng_ @hiro_217

4. 　2025年4月：CLF取得 　2025年6月：SAA取得 　2025年8月：SAP取得 （2025年11月：AIF取りたいな〜、 、 ） CLF取れたしこの勢いで SAA、SAPも取るぞー！ 資格取得について

5. 資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ

6. 腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない！ ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ？？ よくわからないけど使わない 方がいいっぽい！

   ②アクセスキーと シークレットアク セスキー

7. 機能の設計と 画面の構成 整理してみた IAM：Identity and Access Management 役割：AWSアカウントの認証と認可を制御する 　　　ためのサービス 「誰が（認証）何を（認可）行うことができるのか」

   を正しく管理することで、セキュリティを向上させる ことができる！

8. 機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー

9. 機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,

   Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー：どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー：誰がロールを引き受けることができるか

10. 機能の設計と 画面の構成 整理してみた 記述方法の違い（許可ポリシー）

11. 機能の設計と 画面の構成 整理してみた 記述方法の違い（信頼ポリシー）

12. 機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー

13. 機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー：IAMユーザーまたはAWSアカウントのルートユーザーの 　　　　　　　長期的な認証情報 使用場面　　：AWS CLIやAWS APIにプログラムでリクエストに署名す 　　　　　　　ることができる

    （アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている！）

14. 機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨？？ 引用

15. 機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの？ ①永続的な認証情報だから 　キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる 　①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち

    　ユーザーが増えるほど、キー管理のコストが増える

16. 機能の設計と 画面の構成 整理してみた ③AssumeRole

17. 機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole：IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません（←今日はこれだけ覚えて！） IAMロールを借りる行為のことを指します

18. 機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ

    い

19. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS（Security Token Service）：AWSリソースへのアクセスに必要な、短時間で有効な 　　　　　　　　　　　　　　　一時クレデンシャルを生成するサービス

    一時クレデンシャル 　①アクセスキーID 　②シークレットアクセスキー 　③セッショントークン セッショントークン：認証情報の有効期限を設定するトークン 　　　　　　　　　　15分〜12時間で設定可能、デフォルトは1時間

20. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身

21. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない

22. 機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS

    まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー：どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー：誰がロールを引き受けることができるか

23. 機能の設計と 画面の構成 さいごに（告知） Qiita Advent Calendar 2025 「Japan AWS Jr.Champions

    2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions

24. ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです！ @hiro_eng_