Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Hiroto Hiroto
November 12, 2025
Technology
0
320

 AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

JAWS-UG初心者支部#71 年末振り返りLT会
https://jawsug-bgnr.connpass.com/event/372952/

Avatar for Hiroto

Hiroto

November 12, 2025
Tweet

More Decks by Hiroto

See All by Hiroto
ソリューションアーキテクトについて考えたい
Avatar for Hiroto hiro_eng_
0
2
AWSの上限値の話
Avatar for Hiroto hiro_eng_
0
28
AWS 若手LT会 #1(オープニング、クロージング資料)
Avatar for Hiroto hiro_eng_
0
33
S3 vectorsの可能性
Avatar for Hiroto hiro_eng_
0
48
2025年振り返りLT
Avatar for Hiroto hiro_eng_
0
67
kiroを用いたspec開発
Avatar for Hiroto hiro_eng_
0
230
aws loginで楽に安全に
Avatar for Hiroto hiro_eng_
0
190

Other Decks in Technology

See All in Technology
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
200
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
Avatar for ryu rfdnxbro
0
420
クラウド時代における一時権限取得
Avatar for krrrr38 krrrr38
1
170
技術的負債の泥沼から組織を救う3つの転換点
Avatar for nwiizo nwiizo
8
3k
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
Avatar for jyoshise jyoshise
0
180
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
8
7.1k
ビズリーチにおける検索・推薦の取り組み / DEIM2026
Avatar for Visional Engineering & Design visional_engineering_and_design
1
110
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.4k
A Gentle Introduction to Transformers
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
2
920
Datadog の RBAC のすべて
Avatar for 株式会社ヌーラボ nulabinc
PRO
3
310
AIエージェント時代に備える AWS Organizations とアカウント設計
Avatar for Hajime KOSHIRO kossykinto
0
230
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
6
72k

Featured

See All Featured
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.1k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
1.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
280
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.1k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.4k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k

Transcript

  1. AWS資格は取ったけどIAMロールを 腹落ちできてなかったので、年内に 整理してみた JAWS-UG初心者支部#71 年末振り返りLT会

  2. 目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.

    まとめ 6. さいごに

  3. 自己紹介 平井大登 年次    :2年目 趣味    :スノボ、音楽フェス AWS学習歴 :1年 @hiro_eng_ @hiro_217

  4.  2025年4月:CLF取得  2025年6月:SAA取得  2025年8月:SAP取得 (2025年11月:AIF取りたいな〜、 、 ) CLF取れたしこの勢いで SAA、SAPも取るぞー! 資格取得について

  5. 資格は取れたけど、IAMら へんは大雑把な理解しか できてないな、、 腹落ちせずにモヤモヤ

  6. 腹落ちせずにモヤモヤ ①許可ポリシーと 信頼ポリシー とりあえず何が違うのかよく わかんない! ③AssumeRole なんかIAMロールの一時的バー ジョンみたいな感じ?? よくわからないけど使わない 方がいいっぽい!

    ②アクセスキーと シークレットアク セスキー

  7. 機能の設計と 画面の構成 整理してみた IAM:Identity and Access Management 役割:AWSアカウントの認証と認可を制御する    ためのサービス 「誰が(認証)何を(認可)行うことができるのか」

    を正しく管理することで、セキュリティを向上させる ことができる!

  8. 機能の設計と 画面の構成 整理してみた ①許可ポリシーと 信頼ポリシー

  9. 機能の設計と 画面の構成 許可ポリシー 信頼ポリシー 対象 IAMユーザ、グループ、ロール IAMロール 主なキー Action, Resource,

    Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみた いったん言葉での説明 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか

  10. 機能の設計と 画面の構成 整理してみた 記述方法の違い(許可ポリシー)

  11. 機能の設計と 画面の構成 整理してみた 記述方法の違い(信頼ポリシー)

  12. 機能の設計と 画面の構成 整理してみた ②アクセスキーと シークレットアク セスキー

  13. 機能の設計と 画面の構成 整理してみた アクセスキーとは アクセスキー:IAMユーザーまたはAWSアカウントのルートユーザーの        長期的な認証情報 使用場面  :AWS CLIやAWS APIにプログラムでリクエストに署名す        ることができる

    (アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている!)

  14. 機能の設計と 画面の構成 整理してみた アクセスキーの使用は非推奨?? 引用

  15. 機能の設計と 画面の構成 整理してみた なんでアクセスキーの使用が非推奨なの? ①永続的な認証情報だから  キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる  ①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち

     ユーザーが増えるほど、キー管理のコストが増える

  16. 機能の設計と 画面の構成 整理してみた ③AssumeRole

  17. 機能の設計と 画面の構成 整理してみた AssumeRoleとは AssumeRole:IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません(←今日はこれだけ覚えて!) IAMロールを借りる行為のことを指します

  18. 機能の設計と 画面の構成 AssumeRole したいな 整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャル これを使いなさ

  19. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleとは STS(Security Token Service):AWSリソースへのアクセスに必要な、短時間で有効な                一時クレデンシャルを生成するサービス

    一時クレデンシャル  ①アクセスキーID  ②シークレットアクセスキー  ③セッショントークン セッショントークン:認証情報の有効期限を設定するトークン           15分〜12時間で設定可能、デフォルトは1時間

  20. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた 一時クレデンシャルの中身

  21. AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole:IAMロールを一時的に引き受けること AssumeRole:IAMロールを一時的に引き受けること 機能の設計と 画面の構成 整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない

  22. 機能の設計と 画面の構成 アクセスキー 一時クレデンシャル 有効期限 無制限 15分〜12時間 管理者 人間 STS

    まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー:どの人が、どのAWSリソースに対して、どんな操作ができるか 信頼ポリシー:誰がロールを引き受けることができるか

  23. 機能の設計と 画面の構成 さいごに(告知) Qiita Advent Calendar 2025 「Japan AWS Jr.Champions

    2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions

  24. ご清聴ありがとう ございました! 今回のLTについて質問事項、指摘等ありまし たら、ご連絡いただけると幸いです! @hiro_eng_