Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
Search
Hiroto
November 12, 2025
Technology
330
0
Share
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
JAWS-UG初心者支部#71 年末振り返りLT会
https://jawsug-bgnr.connpass.com/event/372952/
Hiroto
November 12, 2025
More Decks by Hiroto
See All by Hiroto
ソリューションアーキテクトについて考えたい
hiro_eng_
0
11
AWSの上限値の話
hiro_eng_
0
30
AWS 若手LT会 #1(オープニング、クロージング資料)
hiro_eng_
0
34
S3 vectorsの可能性
hiro_eng_
0
57
2025年振り返りLT
hiro_eng_
0
74
kiroを用いたspec開発
hiro_eng_
0
270
aws loginで楽に安全に
hiro_eng_
0
200
Other Decks in Technology
See All in Technology
Building a Study Buddy AI Agent from Scratch: From Passive Chatbots to Autonomous Systems
itchimonji
0
140
CyberAgent YJC Connect
shimaf4979
1
160
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
kaz1437
0
240
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.4k
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
bengo4com
1
3.5k
国内外の生成AIセキュリティの最新動向 & AIガードレール製品「chakoshi」のご紹介 / Latest Trends in Generative AI Security (Domestic & International) & Introduction to AI Guardrail Product "chakoshi"
nttcom
4
1.7k
世界の中心でApp Runnerを叫ぶ FINAL
tsukuboshi
0
240
巨大プラットフォームを進化させる「第3のROI」
recruitengineers
PRO
2
2.4k
バイブコーディングで3倍早く⚪⚪を作ってみた
samakada
0
220
[Oracle TechNight#99] 生成AI時代のAI/ML入門 ~ AIとオラクルデータベースの関係 (前半)
oracle4engineer
PRO
2
220
GitHub Copilot CLI と VS Code Agent Mode の使い分け
tomokusaba
0
140
Reasoning Models in Practice: From Inference- Time to Training-Time Scaling on Verifiable Tasks
nptdat
0
110
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
220
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
400
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
290
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
380
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
430
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.1k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
140
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.4k
Transcript
AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会
目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.
まとめ 6. さいごに
自己紹介 平井大登 年次 :2年目 趣味 :スノボ、音楽フェス AWS学習歴 :1年 @hiro_eng_ @hiro_217
2025年4月:CLF取得 2025年6月:SAA取得 2025年8月:SAP取得 (2025年11月:AIF取りたいな〜、 、 ) CLF取れたしこの勢いで SAA、SAPも取るぞー! 資格取得について
資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ
腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない! ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ?? よくわからないけど使わない 方がいいっぽい!
②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた IAM:Identity and Access Management 役割:AWSアカウントの認証と認可を制御する ためのサービス 「誰が(認証)何を(認可)行うことができるのか」
を正しく管理することで、セキュリティを向上させる ことができる!
機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー
機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,
Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 整理してみた 記述方法の違い(許可ポリシー)
機能の設計と 画面の構成 整理してみた 記述方法の違い(信頼ポリシー)
機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー:IAMユーザーまたはAWSアカウントのルートユーザーの 長期的な認証情報 使用場面 :AWS CLIやAWS APIにプログラムでリクエストに署名す ることができる
(アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている!)
機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨?? 引用
機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの? ①永続的な認証情報だから キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる ①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち
ユーザーが増えるほど、キー管理のコストが増える
機能の設計と 画面の構成 整理してみた ③AssumeRole
機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole:IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません(←今日はこれだけ覚えて!) IAMロールを借りる行為のことを指します
機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ
い
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS(Security Token Service):AWSリソースへのアクセスに必要な、短時間で有効な 一時クレデンシャルを生成するサービス
一時クレデンシャル ①アクセスキーID ②シークレットアクセスキー ③セッショントークン セッショントークン:認証情報の有効期限を設定するトークン 15分〜12時間で設定可能、デフォルトは1時間
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない
機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS
まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 さいごに(告知) Qiita Advent Calendar 2025 「Japan AWS Jr.Champions
2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions
ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです! @hiro_eng_
hiro_eng_
itchimonji
shimaf4979
kaz1437
ewa
bengo4com
nttcom
tsukuboshi
recruitengineers
samakada
oracle4engineer
tomokusaba
nptdat
samlambert
sonatard
samtorres
marktimemedia
szymonslowik
mfonobong
reverentgeek
marcduiker
tammyeverts
marketingsoph
aleyda
