AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた JAWS-UG初心者支部#71 年末振り返りLT会

目次 1. 自己紹介 2. 資格取得について 3. 腹落ちせずにモヤモヤ 4. 整理してみた 5.
まとめ 6. さいごに

自己紹介平井大登年次　　　　：2年目趣味　　　　：スノボ、音楽フェス AWS学習歴　：1年 @hiro_eng_ @hiro_217

　2025年4月：CLF取得　2025年6月：SAA取得　2025年8月：SAP取得（2025年11月：AIF取りたいな〜、、） CLF取れたしこの勢いで SAA、SAPも取るぞー！資格取得について

資格は取れたけど、IAMらへんは大雑把な理解しかできてないな、、腹落ちせずにモヤモヤ

腹落ちせずにモヤモヤ ①許可ポリシーと信頼ポリシーとりあえず何が違うのかよくわかんない！ ③AssumeRole なんかIAMロールの一時的バージョンみたいな感じ？？よくわからないけど使わない方がいいっぽい！
②アクセスキーとシークレットアクセスキー

機能の設計と画面の構成整理してみた IAM：Identity and Access Management 役割：AWSアカウントの認証と認可を制御する　　　ためのサービス「誰が（認証）何を（認可）行うことができるのか」
を正しく管理することで、セキュリティを向上させることができる！

機能の設計と画面の構成整理してみた ①許可ポリシーと信頼ポリシー

機能の設計と画面の構成許可ポリシー信頼ポリシー対象 IAMユーザ、グループ、ロール IAMロール主なキー Action, Resource,
Effect Principal, Action, Effect よく見るAction s3:GetObject, ec2:StartInstancesなど sts:AssumeRole 整理してみたいったん言葉での説明許可ポリシー：どの人が、どのAWSリソースに対して、どんな操作ができるか信頼ポリシー：誰がロールを引き受けることができるか

機能の設計と画面の構成整理してみた記述方法の違い（許可ポリシー）

機能の設計と画面の構成整理してみた記述方法の違い（信頼ポリシー）

機能の設計と画面の構成整理してみた ②アクセスキーとシークレットアクセスキー

機能の設計と画面の構成整理してみたアクセスキーとはアクセスキー：IAMユーザーまたはAWSアカウントのルートユーザーの　　　　　　　長期的な認証情報使用場面　　：AWS CLIやAWS APIにプログラムでリクエストに署名す　　　　　　　ることができる
（アクセスキーはアクセスキーIDとシークレットアクセスキーの2つで構成されている！）

機能の設計と画面の構成整理してみたアクセスキーの使用は非推奨？？引用

機能の設計と画面の構成整理してみたなんでアクセスキーの使用が非推奨なの？ ①永続的な認証情報だから　キーの情報が漏洩した場合、リソースにアクセスし放題 ②アプリやプロジェクト領域に組み込むと、セキュリティ上の脆弱性となる　①と同じ理由 ③キーを共有すると、誰が実施したのかわからない ④キーの管理が煩雑になりがち
　ユーザーが増えるほど、キー管理のコストが増える

機能の設計と画面の構成整理してみた ③AssumeRole

機能の設計と画面の構成整理してみた AssumeRoleとは AssumeRole：IAMロールを一時的に引き受けること Assume→引き受ける、役割を担う AssumeRoleというロールはありません（←今日はこれだけ覚えて！） IAMロールを借りる行為のことを指します

機能の設計と画面の構成 AssumeRole したいな整理してみた AssumeRoleの流れ ①AssumeRole API ②一時クレデンシャルこれを使いなさ
い

AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること機能の設計と画面の構成整理してみた AssumeRoleとは STS（Security Token Service）：AWSリソースへのアクセスに必要な、短時間で有効な　　　　　　　　　　　　　　　一時クレデンシャルを生成するサービス
一時クレデンシャル　①アクセスキーID 　②シークレットアクセスキー　③セッショントークンセッショントークン：認証情報の有効期限を設定するトークン　　　　　　　　　　15分〜12時間で設定可能、デフォルトは1時間

AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること機能の設計と画面の構成整理してみた一時クレデンシャルの中身

AWSリソースへのアクセスに必要な、短時間で有効な「一時的な認証情報」を生成するサービスAssumeRole：IAMロールを一時的に引き受けること AssumeRole：IAMロールを一時的に引き受けること機能の設計と画面の構成整理してみた AssumeRoleの何が魅力的なの ①有効期限付きのキーなので、漏洩した時のリスクが少ない ②キーの管理はSTSが自動で行ってくれるので、運用コストが少ない

機能の設計と画面の構成アクセスキー一時クレデンシャル有効期限無制限 15分〜12時間管理者人間 STS
まとめ ①許可ポリシーと信頼ポリシー ②③アクセスキー、AssumeRole 許可ポリシー：どの人が、どのAWSリソースに対して、どんな操作ができるか信頼ポリシー：誰がロールを引き受けることができるか

機能の設計と画面の構成さいごに（告知） Qiita Advent Calendar 2025 「Japan AWS Jr.Champions
2026を志す者達」 https://qiita.com/advent-calendar/2025/to- be-japan-aws-jr-champions

ご清聴ありがとうございました! 今回のLTについて質問事項、指摘等ありましたら、ご連絡いただけると幸いです！ @hiro_eng_

AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

AWS資格は取ったけどIAMロールを腹落ちできてなかったので、年内に整理してみた

Hiroto

More Decks by Hiroto

Other Decks in Technology

Featured

Transcript