Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
3つのアーキテクチャで試す、IAM Policy Autopilot
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shota Kawasaki
December 27, 2025
190
0
Share
3つのアーキテクチャで試す、IAM Policy Autopilot
Shota Kawasaki
December 27, 2025
More Decks by Shota Kawasaki
See All by Shota Kawasaki
CloudFormationから理解するCDKのAwsCustomResourceの使用法
kawaaaas
1
33
CDKとは?からコントリビュートまで〜半年間のCDK学習振り返りとこれから〜
kawaaaas
1
110
アーキテクト・CDK・OSSを一気に学ぶ!L3 Construct実装のススメ
kawaaaas
0
77
おばけのアイコン可愛い、で終わらせない!KiroのSpec駆動開発に再入門
kawaaaas
0
25
初心者CDKコントリビューターによる、初心者CDKコントリビューターのためのJSII入門
kawaaaas
0
30
5分でわかって、明日からCDKを使いたくなる!個人的感動機能10選!
kawaaaas
1
340
なぜconsole.logはTokenになるのか?もうハマらないためにTokenをちゃんと理解する
kawaaaas
1
1.4k
初心者を卒業したい! CDKをちゃんと理解するためにAspectsを覗いてみる
kawaaaas
3
290
2026年はアウトプットに挑戦したい!
kawaaaas
0
19
Featured
See All Featured
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
310
Code Review Best Practice
trishagee
74
20k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
BBQ
matthewcrist
89
10k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
760
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
3.3k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
320
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
520
Abbi's Birthday
coloredviolet
2
7.8k
Transcript
3 つのアーキテクチャで試す、 IAM Policy Autopilot JAWS-UG 横浜 #93 AWS re:Invent
2025 re:Cap AI 2025/12/27 Shota Kawasaki
出身: 千葉県 所属: SIer 年次: 1 年目(今回2 回目の登壇です!) 好きなサービス: CloudFront,
Kiro : @kawaaaas Shota Kawasaki
re:Invent では多くの新サービスが公開されましたね! https://www.youtube.com/watch?v=gji8oATVGUI&list=LL&index=3
https://github.com/awslabs/iam-policy-autopilot ※ ステータスは2025/12/24 時点
IAM Policy Autopilot とは? AI コーディングアシスタントがIAM アイデンティティベース のポリシーを生成するのを支援するためのツール Python 、Go
、TypeScript をサポートしておりソースコードを 解析して必要なIAM ポリシーを自動生成する Kiro やClaude Code 、Cursor などのAI エージェントと統合し MCP サーバーとして利用できる他、CLI ツールとしても利用 可能 → ソースコードを解析して必要なIAM ポリシーを自動 生成してくれるツール
素早さ IAM Policy Autopilot の特徴3 点 IAM ポリシーの検討にかける時間を 短縮し、開発を加速する 信頼性
コード分析により動作可能なポリシー を生成する 最新性 生成されたポリシーに、AWS の 最新サービスの情報が反映されている
Kiro を使用してMCP サーバーとして 3 つの環境で実際に生成してみる! A Lambda + S3 B
SQS + Lambda + DynamoDB C Lambda + Bedrock + S3 + KMS + Secret Manager
環境A では、Lambda がS3 のテキストファイルを 読み取るシンプルなアーキテクチャを採用
環境A で実際に生成されたポリシー 今回のアプリケーションには 不必要な権限も一部含まれている ソースコードからの取得できない情報 に関して、ワイルドカード指定となる
環境B ではSQS からのメッセージをLambda が受け取り、 DynamoDB に格納するアーキテクチャを採用
環境B で実際に生成されたポリシー Lambda ソース内でSQS のSDK を呼 ばないため、SQS の権限はつかない
環境C では以下のアーキテクチャを採用 1.Secret Manager から仮想のWebhook URL を取得 2. 用意したプロンプトでBedrock を実行
3. 応答結果をS3 (KMS による暗号化)に保存 4.EventBridge にイベントを送信
環境C で実際に生成されたポリシー① ソースコードからの取得できない情報 に関して、ワイルドカード指定となる 今回のアプリケーションには 不必要な権限も一部含まれている
環境C で実際に生成されたポリシー② 呼び出すサービスが多いが、 漏れなく動作する権限が生成できている
触ってみた所感 動作するIAM ポリシーを素早く生成できるのはとても便利 今回の検証で生成させたIAM ポリシーにおいて、呼び出すサービス数 が多くても権限周りのエラーは出ずに1 発で動作した アプリケーションを素早く実装する点においては有用 生成されるポリシーは最小権限ではない点には注意 あくまでも、安全に動作する可能性が高い権限セット
今回はKiro にて、Claude Opus 4.5 を使用したが、十分賢くかつIaC で 実装する際は実行環境のコンテキストを持つため、むしろ生成された ポリシーから不要な権限を積極的に削減しようとしていた AI エージェントの実装補助としての利用や、人目でのレビューが必要
皆さんもIAM ポリシー生成に困ったときは IAM Policy Autopilot を!
kawaaaas
skoyamalab
trishagee
rmw
matthewcrist
keithpitt
akademiya2063
nmsamuel
garrettdimon
szymonslowik
dougneiner
marktimemedia
coloredviolet
