Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hiroto
November 12, 2025
Technology
340
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた
JAWS-UG初心者支部#71 年末振り返りLT会
https://jawsug-bgnr.connpass.com/event/372952/
Hiroto
November 12, 2025
More Decks by Hiroto
See All by Hiroto
IMDSとセキュリティ ~SSRF攻撃から学ぶ、EC2メタデータの作り方~
hiro_eng_
0
66
ソリューションアーキテクトについて考えたい
hiro_eng_
0
15
AWSの上限値の話
hiro_eng_
0
35
AWS 若手LT会 #1(オープニング、クロージング資料)
hiro_eng_
0
39
S3 vectorsの可能性
hiro_eng_
0
59
2025年振り返りLT
hiro_eng_
0
81
kiroを用いたspec開発
hiro_eng_
0
290
aws loginで楽に安全に
hiro_eng_
0
210
Other Decks in Technology
See All in Technology
AI Adaptable なテストを整える工夫 / Ways to Make Your Tests AI-Adaptable
bitkey
PRO
3
220
あなたの AI ワークスペースに、 専門コーダーを連れてくる - Amazon Quick Desktop 最新情報
kawaji_scratch
1
110
AI Testing Talks: Challenges of Applying AI in Software Testing: From Hype to Practical Use
exactpro
PRO
1
140
地元にいないローカルオーガナイザーの立ち回り
uvb_76
1
1.1k
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
0
210
ブロックチェーン / Blockchain
ks91
PRO
0
110
Diagnosing performance problems without the guesswork
elenatanasoiu
0
170
価格.comをAI駆動で全面刷新する ー 30年分の技術的負債を返し、次の30年の土台をつくる ー / AI Engineering Summit Tokyo 2026
tkyowa
50
56k
データ基盤をDataformで整えた話 〜 開発環境を添えて 〜
takapy
0
130
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
shibayu36
0
150
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
oracle4engineer
PRO
1
220
Terraformモジュールは、なぜ「魔境」化するのか
hayama17
2
220
Featured
See All Featured
SEO for Brand Visibility & Recognition
aleyda
0
4.6k
Context Engineering - Making Every Token Count
addyosmani
9
950
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
23k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
290
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
The browser strikes back
jonoalderson
0
1.2k
Unsuck your backbone
ammeep
672
58k
Transcript
AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会
目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.
まとめ 6. さいごに
自己紹介 平井大登 年次 :2年目 趣味 :スノボ、音楽フェス AWS学習歴 :1年 @hiro_eng_ @hiro_217
2025年4月:CLF取得 2025年6月:SAA取得 2025年8月:SAP取得 (2025年11月:AIF取りたいな〜、 、 ) CLF取れたしこの勢いで SAA、SAPも取るぞー! 資格取得について
資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ
腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない! ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ?? よくわからないけど使わない 方がいいっぽい!
②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた IAM:Identity and Access Management 役割:AWSアカウントの認証と認可を制御する ためのサービス 「誰が(認証)何を(認可)行うことができるのか」
を正しく管理することで、セキュリティを向上させる ことができる!
機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー
機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,
Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 整理してみた 記述方法の違い(許可ポリシー)
機能の設計と 画面の構成 整理してみた 記述方法の違い(信頼ポリシー)
機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー
機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー:IAMユーザーまたはAWSアカウントのルートユーザーの 長期的な認証情報 使用場面 :AWS CLIやAWS APIにプログラムでリクエストに署名す ることができる
(アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている!)
機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨?? 引用
機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの? ①永続的な認証情報だから キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる ①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち
ユーザーが増えるほど、キー管理のコストが増える
機能の設計と 画面の構成 整理してみた ③AssumeRole
機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole:IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません(←今日はこれだけ覚えて!) IAMロールを借りる行為のことを指します
機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ
い
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS(Security Token Service):AWSリソースへのアクセスに必要な、短時間で有効な 一時クレデンシャルを生成するサービス
一時クレデンシャル ①アクセスキーID ②シークレットアクセスキー ③セッショントークン セッショントークン:認証情報の有効期限を設定するトークン 15分〜12時間で設定可能、デフォルトは1時間
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身
AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない
機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS
まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか
機能の設計と 画面の構成 さいごに(告知) Qiita Advent Calendar 2025 「Japan AWS Jr.Champions
2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions
ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです! @hiro_eng_
hiro_eng_
bitkey
kawaji_scratch
exactpro
uvb_76
soudai
ks91
elenatanasoiu
tkyowa
takapy
shibayu36
oracle4engineer
hayama17
aleyda
addyosmani
rkaga
keithpitt
akademiya2063
danielanewman
geshan
retrage
sergeychernyshev
jonoalderson
ammeep
