Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
3つのアーキテクチャで試す、IAM Policy Autopilot
Search
Shota Kawasaki
December 27, 2025
0
150
3つのアーキテクチャで試す、IAM Policy Autopilot
Shota Kawasaki
December 27, 2025
Tweet
Share
More Decks by Shota Kawasaki
See All by Shota Kawasaki
初心者CDKコントリビューターによる、初心者CDKコントリビューターのためのJSII入門
kawaaaas
0
12
5分でわかって、明日からCDKを使いたくなる!個人的感動機能10選!
kawaaaas
0
150
なぜconsole.logはTokenになるのか?もうハマらないためにTokenをちゃんと理解する
kawaaaas
1
440
初心者を卒業したい! CDKをちゃんと理解するためにAspectsを覗いてみる
kawaaaas
3
240
2026年はアウトプットに挑戦したい!
kawaaaas
0
7
作って学ぶ!Kiro Powers
kawaaaas
0
120
Featured
See All Featured
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
320
Raft: Consensus for Rubyists
vanstee
141
7.3k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
110
Building an army of robots
kneath
306
46k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.6k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
590
Automating Front-end Workflow
addyosmani
1371
200k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
170
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.2k
What does AI have to do with Human Rights?
axbom
PRO
0
2k
How to build a perfect <img>
jonoalderson
1
4.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
34k
Transcript
3 つのアーキテクチャで試す、 IAM Policy Autopilot JAWS-UG 横浜 #93 AWS re:Invent
2025 re:Cap AI 2025/12/27 Shota Kawasaki
出身: 千葉県 所属: SIer 年次: 1 年目(今回2 回目の登壇です!) 好きなサービス: CloudFront,
Kiro : @kawaaaas Shota Kawasaki
re:Invent では多くの新サービスが公開されましたね! https://www.youtube.com/watch?v=gji8oATVGUI&list=LL&index=3
https://github.com/awslabs/iam-policy-autopilot ※ ステータスは2025/12/24 時点
IAM Policy Autopilot とは? AI コーディングアシスタントがIAM アイデンティティベース のポリシーを生成するのを支援するためのツール Python 、Go
、TypeScript をサポートしておりソースコードを 解析して必要なIAM ポリシーを自動生成する Kiro やClaude Code 、Cursor などのAI エージェントと統合し MCP サーバーとして利用できる他、CLI ツールとしても利用 可能 → ソースコードを解析して必要なIAM ポリシーを自動 生成してくれるツール
素早さ IAM Policy Autopilot の特徴3 点 IAM ポリシーの検討にかける時間を 短縮し、開発を加速する 信頼性
コード分析により動作可能なポリシー を生成する 最新性 生成されたポリシーに、AWS の 最新サービスの情報が反映されている
Kiro を使用してMCP サーバーとして 3 つの環境で実際に生成してみる! A Lambda + S3 B
SQS + Lambda + DynamoDB C Lambda + Bedrock + S3 + KMS + Secret Manager
環境A では、Lambda がS3 のテキストファイルを 読み取るシンプルなアーキテクチャを採用
環境A で実際に生成されたポリシー 今回のアプリケーションには 不必要な権限も一部含まれている ソースコードからの取得できない情報 に関して、ワイルドカード指定となる
環境B ではSQS からのメッセージをLambda が受け取り、 DynamoDB に格納するアーキテクチャを採用
環境B で実際に生成されたポリシー Lambda ソース内でSQS のSDK を呼 ばないため、SQS の権限はつかない
環境C では以下のアーキテクチャを採用 1.Secret Manager から仮想のWebhook URL を取得 2. 用意したプロンプトでBedrock を実行
3. 応答結果をS3 (KMS による暗号化)に保存 4.EventBridge にイベントを送信
環境C で実際に生成されたポリシー① ソースコードからの取得できない情報 に関して、ワイルドカード指定となる 今回のアプリケーションには 不必要な権限も一部含まれている
環境C で実際に生成されたポリシー② 呼び出すサービスが多いが、 漏れなく動作する権限が生成できている
触ってみた所感 動作するIAM ポリシーを素早く生成できるのはとても便利 今回の検証で生成させたIAM ポリシーにおいて、呼び出すサービス数 が多くても権限周りのエラーは出ずに1 発で動作した アプリケーションを素早く実装する点においては有用 生成されるポリシーは最小権限ではない点には注意 あくまでも、安全に動作する可能性が高い権限セット
今回はKiro にて、Claude Opus 4.5 を使用したが、十分賢くかつIaC で 実装する際は実行環境のコンテキストを持つため、むしろ生成された ポリシーから不要な権限を積極的に削減しようとしていた AI エージェントの実装補助としての利用や、人目でのレビューが必要
皆さんもIAM ポリシー生成に困ったときは IAM Policy Autopilot を!
kawaaaas
portentint
vanstee
katarinadahlin
kneath
jcasabona
baasie
addyosmani
cassininazir
irinanazarova
axbom
jonoalderson
eileencodes
