Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hiroto
November 12, 2025
Technology
340
0
Share
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
JAWS-UG初心者支部#71 年末振り返りLT会
https://jawsug-bgnr.connpass.com/event/372952/
Hiroto
November 12, 2025
More Decks by Hiroto
See All by Hiroto
IMDSとセキュリティ ~SSRF攻撃から学ぶ、EC2メタデータの作り方~
hiro_eng_
0
18
ソリューションアーキテクトについて考えたい
hiro_eng_
0
12
AWSの上限値の話
hiro_eng_
0
32
AWS 若手LT会 #1(オープニング、クロージング資料)
hiro_eng_
0
35
S3 vectorsの可能性
hiro_eng_
0
58
2025年振り返りLT
hiro_eng_
0
74
kiroを用いたspec開発
hiro_eng_
0
270
aws loginで楽に安全に
hiro_eng_
0
200
Other Decks in Technology
See All in Technology
How to learn AWS Well-Architected with AWS BuilderCards: Security Edition
coosuke
PRO
0
190
20260515 OpenIDファウンデーション・ジャパンご紹介
oidfj
0
260
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
k_adachi_01
6
1.9k
"スキルファースト"で作る、AIの自走環境
subroh0508
1
650
[みん強]AIの価値を最大化するデータ基盤戦略:Self-Service型Data Meshへの転換とAgentic AI Meshに向けた取り組み with Snowflake他
y_matsubara
1
160
コーディングエージェントはTypeScriptの 型エラーをどう自己修正しているのか
melonps
3
260
GitHub Copilot CLI で考える複数エージェント設計
tomokusaba
0
140
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
olmdrd
PRO
0
200
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
harutiro
1
140
AWS運用におけるAI Agent活用術 / JAWS-UG 神戸 #11 LT大会
genda
1
320
キャリア25年目にしてTypeScript に出会うまで - 「型」を通じて振り返るプログラミング言語遍歴 / Meeting TypeScript After 25 Years in Tech - Looking Back at My Programming Language Journey Through "Types"
bitkey
PRO
2
130
Purview Endpoint DLP 動かしてみた
kozakigh
1
460
Featured
See All Featured
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
390
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
The Spectacular Lies of Maps
axbom
PRO
1
750
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.9k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
Ruling the World: When Life Gets Gamed
codingconduct
0
230
Google's AI Overviews - The New Search
badams
0
1k
BBQ
matthewcrist
89
10k
A Soul's Torment
seathinner
6
2.8k
How to train your dragon (web standard)
notwaldorf
97
6.6k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
370
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.7k
Transcript
AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会
目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.
まとめ 6. さいごに
自己紹介 平井大登 年次 :2年目 趣味 :スノボ、音楽フェス AWS学習歴 :1年 @hiro_eng_ @hiro_217
2025年4月:CLF取得 2025年6月:SAA取得 2025年8月:SAP取得 (2025年11月:AIF取りたいな〜、 、 ) CLF取れたしこの勢いで SAA、SAPも取るぞー! 資格取得について
資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ
腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない! ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ?? よくわからないけど使わない 方がいいっぽい!
②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた IAM:Identity and Access Management 役割:AWSアカウントの認証と認可を制御する ためのサービス 「誰が(認証)何を(認可)行うことができるのか」
を正しく管理することで、セキュリティを向上させる ことができる!
機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー
機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,
Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 整理してみた 記述方法の違い(許可ポリシー)
機能の設計と 画面の構成 整理してみた 記述方法の違い(信頼ポリシー)
機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー:IAMユーザーまたはAWSアカウントのルートユーザーの 長期的な認証情報 使用場面 :AWS CLIやAWS APIにプログラムでリクエストに署名す ることができる
(アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている!)
機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨?? 引用
機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの? ①永続的な認証情報だから キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる ①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち
ユーザーが増えるほど、キー管理のコストが増える
機能の設計と 画面の構成 整理してみた ③AssumeRole
機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole:IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません(←今日はこれだけ覚えて!) IAMロールを借りる行為のことを指します
機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ
い
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS(Security Token Service):AWSリソースへのアクセスに必要な、短時間で有効な 一時クレデンシャルを生成するサービス
一時クレデンシャル ①アクセスキーID ②シークレットアクセスキー ③セッショントークン セッショントークン:認証情報の有効期限を設定するトークン 15分〜12時間で設定可能、デフォルトは1時間
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない
機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS
まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 さいごに(告知) Qiita Advent Calendar 2025 「Japan AWS Jr.Champions
2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions
ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです! @hiro_eng_
hiro_eng_
coosuke
.png){kind=avatar}
oidfj
k_adachi_01
subroh0508
y_matsubara
melonps
tomokusaba
olmdrd
harutiro
genda
bitkey
kozakigh
reverentgeek
eileencodes
axbom
bluesmoon
jnunemaker
codingconduct
badams
matthewcrist
seathinner
notwaldorf
davetheseo
inesmontani
