$30 off During Our Annual Pro Sale. View Details »

AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

Avatar for Hiroto Hiroto
November 12, 2025
Technology
0
290

 AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

JAWS-UG初心者支部#71 年末振り返りLT会
https://jawsug-bgnr.connpass.com/event/372952/

Avatar for Hiroto

Hiroto

November 12, 2025
Tweet

More Decks by Hiroto

See All by Hiroto
kiroを用いたspec開発
Avatar for Hiroto hiro_eng_
0
45
aws loginで楽に安全に
Avatar for Hiroto hiro_eng_
0
140

Other Decks in Technology

See All in Technology
100以上の新規コネクタ提供を可能にしたアーキテクチャ
Avatar for yu-kioo ooyukioo
0
240
子育てで想像してなかった「見えないダメージ」 / Unforeseen "hidden burdens" of raising children.
Avatar for Pauli pauli
2
320
20251218_AIを活用した開発生産性向上の全社的な取り組みの進め方について / How to proceed with company-wide initiatives to improve development productivity using AI
Avatar for yayoi_dd yayoi_dd
0
640
20251203_AIxIoTビジネス共創ラボ_第4回勉強会_BP山崎.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
130
AIエージェント開発と活用を加速するワークフロー自動生成への挑戦
Avatar for shibuiwilliam shibuiwilliam
4
820
TED_modeki_共創ラボ_20251203.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
140
Amazon Bedrock Knowledge Bases × メタデータ活用で実現する検証可能な RAG 設計
Avatar for Tomoaki tomoaki25
6
2.2k
M&Aで拡大し続けるGENDAのデータ活用を促すためのDatabricks権限管理 / AEON TECH HUB #22
Avatar for GENDA genda
0
230
まだ間に合う! Agentic AI on AWSの現在地をやさしく一挙おさらい
Avatar for みのるん minorun365
17
2.5k
日本の AI 開発と世界の潮流 / GenAI Development in Japan
Avatar for Yoshitaka Haribara hariby
1
270
通勤手当申請チェックエージェント開発のリアル
Avatar for WHIsaiyo whisaiyo
3
430
Agent Skillsがハーネスの垣根を超える日
Avatar for Gota gotalab555
6
4k

Featured

See All Featured
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
186
22k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
1
210
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
50
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
160
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.7k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
88
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
0
130
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
1
1.5k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
355
21k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
400

Transcript

  1. AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会

  2. 目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.

    まとめ 6. さいごに

  3. 自己紹介 平井大登 年次    :2年目 趣味    :スノボ、音楽フェス AWS学習歴 :1年 @hiro_eng_ @hiro_217

  4.  2025年4月:CLF取得  2025年6月:SAA取得  2025年8月:SAP取得 (2025年11月:AIF取りたいな〜、 、 ) CLF取れたしこの勢いで SAA、SAPも取るぞー! 資格取得について

  5. 資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ

  6. 腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない! ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ?? よくわからないけど使わない 方がいいっぽい!

    ②アクセスキーと シークレットアク セスキー

  7. 機能の設計と 画面の構成 整理してみた IAM:Identity and Access Management 役割:AWSアカウントの認証と認可を制御する    ためのサービス 「誰が(認証)何を(認可)行うことができるのか」

    を正しく管理することで、セキュリティを向上させる ことができる!

  8. 機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー

  9. 機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,

    Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか

  10. 機能の設計と 画面の構成 整理してみた 記述方法の違い(許可ポリシー)

  11. 機能の設計と 画面の構成 整理してみた 記述方法の違い(信頼ポリシー)

  12. 機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー

  13. 機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー:IAMユーザーまたはAWSアカウントのルートユーザーの        長期的な認証情報 使用場面  :AWS CLIやAWS APIにプログラムでリクエストに署名す        ることができる

    (アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている!)

  14. 機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨?? 引用

  15. 機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの? ①永続的な認証情報だから  キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる  ①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち

     ユーザーが増えるほど、キー管理のコストが増える

  16. 機能の設計と 画面の構成 整理してみた ③AssumeRole

  17. 機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole:IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません(←今日はこれだけ覚えて!) IAMロールを借りる行為のことを指します

  18. 機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ

  19. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS(Security Token Service):AWSリソースへのアクセスに必要な、短時間で有効な                一時クレデンシャルを生成するサービス

    一時クレデンシャル  ①アクセスキーID  ②シークレットアクセスキー  ③セッショントークン セッショントークン:認証情報の有効期限を設定するトークン           15分〜12時間で設定可能、デフォルトは1時間

  20. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身

  21. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない

  22. 機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS

    まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか

  23. 機能の設計と 画面の構成 さいごに(告知) Qiita Advent Calendar 2025 「Japan AWS Jr.Champions

    2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions

  24. ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです! @hiro_eng_