Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
3つのアーキテクチャで試す、IAM Policy Autopilot
Search
Shota Kawasaki
December 27, 2025
0
160
3つのアーキテクチャで試す、IAM Policy Autopilot
Shota Kawasaki
December 27, 2025
Tweet
Share
More Decks by Shota Kawasaki
See All by Shota Kawasaki
おばけのアイコン可愛い、で終わらせない!KiroのSpec駆動開発に再入門
kawaaaas
0
9
初心者CDKコントリビューターによる、初心者CDKコントリビューターのためのJSII入門
kawaaaas
0
23
5分でわかって、明日からCDKを使いたくなる!個人的感動機能10選!
kawaaaas
0
160
なぜconsole.logはTokenになるのか?もうハマらないためにTokenをちゃんと理解する
kawaaaas
1
1.3k
初心者を卒業したい! CDKをちゃんと理解するためにAspectsを覗いてみる
kawaaaas
3
240
2026年はアウトプットに挑戦したい!
kawaaaas
0
14
作って学ぶ!Kiro Powers
kawaaaas
0
150
Featured
See All Featured
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
240
sira's awesome portfolio website redesign presentation
elsirapls
0
170
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
270
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8k
How to Ace a Technical Interview
jacobian
281
24k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Ethics towards AI in product and experience design
skipperchong
2
210
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
620
Transcript
3 つのアーキテクチャで試す、 IAM Policy Autopilot JAWS-UG 横浜 #93 AWS re:Invent
2025 re:Cap AI 2025/12/27 Shota Kawasaki
出身: 千葉県 所属: SIer 年次: 1 年目(今回2 回目の登壇です!) 好きなサービス: CloudFront,
Kiro : @kawaaaas Shota Kawasaki
re:Invent では多くの新サービスが公開されましたね! https://www.youtube.com/watch?v=gji8oATVGUI&list=LL&index=3
https://github.com/awslabs/iam-policy-autopilot ※ ステータスは2025/12/24 時点
IAM Policy Autopilot とは? AI コーディングアシスタントがIAM アイデンティティベース のポリシーを生成するのを支援するためのツール Python 、Go
、TypeScript をサポートしておりソースコードを 解析して必要なIAM ポリシーを自動生成する Kiro やClaude Code 、Cursor などのAI エージェントと統合し MCP サーバーとして利用できる他、CLI ツールとしても利用 可能 → ソースコードを解析して必要なIAM ポリシーを自動 生成してくれるツール
素早さ IAM Policy Autopilot の特徴3 点 IAM ポリシーの検討にかける時間を 短縮し、開発を加速する 信頼性
コード分析により動作可能なポリシー を生成する 最新性 生成されたポリシーに、AWS の 最新サービスの情報が反映されている
Kiro を使用してMCP サーバーとして 3 つの環境で実際に生成してみる! A Lambda + S3 B
SQS + Lambda + DynamoDB C Lambda + Bedrock + S3 + KMS + Secret Manager
環境A では、Lambda がS3 のテキストファイルを 読み取るシンプルなアーキテクチャを採用
環境A で実際に生成されたポリシー 今回のアプリケーションには 不必要な権限も一部含まれている ソースコードからの取得できない情報 に関して、ワイルドカード指定となる
環境B ではSQS からのメッセージをLambda が受け取り、 DynamoDB に格納するアーキテクチャを採用
環境B で実際に生成されたポリシー Lambda ソース内でSQS のSDK を呼 ばないため、SQS の権限はつかない
環境C では以下のアーキテクチャを採用 1.Secret Manager から仮想のWebhook URL を取得 2. 用意したプロンプトでBedrock を実行
3. 応答結果をS3 (KMS による暗号化)に保存 4.EventBridge にイベントを送信
環境C で実際に生成されたポリシー① ソースコードからの取得できない情報 に関して、ワイルドカード指定となる 今回のアプリケーションには 不必要な権限も一部含まれている
環境C で実際に生成されたポリシー② 呼び出すサービスが多いが、 漏れなく動作する権限が生成できている
触ってみた所感 動作するIAM ポリシーを素早く生成できるのはとても便利 今回の検証で生成させたIAM ポリシーにおいて、呼び出すサービス数 が多くても権限周りのエラーは出ずに1 発で動作した アプリケーションを素早く実装する点においては有用 生成されるポリシーは最小権限ではない点には注意 あくまでも、安全に動作する可能性が高い権限セット
今回はKiro にて、Claude Opus 4.5 を使用したが、十分賢くかつIaC で 実装する際は実行環境のコンテキストを持つため、むしろ生成された ポリシーから不要な権限を積極的に削減しようとしていた AI エージェントの実装補助としての利用や、人目でのレビューが必要
皆さんもIAM ポリシー生成に困ったときは IAM Policy Autopilot を!
kawaaaas
tammyeverts
elsirapls
skipperchong
chriscoyier
eileencodes
jacobian
reverentgeek
afnizarnur
kastner
rmw
kimpetersen
