Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IAMロール再作成時の罠とインスタンスプロファイルの仕組み

Avatar for Shun Kawamoto Shun Kawamoto
April 22, 2025
Technology
0
20

 IAMロール再作成時の罠とインスタンスプロファイルの仕組み

Avatar for Shun Kawamoto

Shun Kawamoto

April 22, 2025
Tweet

More Decks by Shun Kawamoto

See All by Shun Kawamoto
オンプレDNSでAWSサービスの名前解決にハマった話
Avatar for Shun Kawamoto kwmoon911
0
11
CloudFormationを用いた簡単なAWSネットワーク構築.pdf
Avatar for Shun Kawamoto kwmoon911
0
19

Other Decks in Technology

See All in Technology
AIとTDDによるNext.js「隙間ツール」開発の実践
Avatar for Makoto Tateno makotot
4
180
Goss: New Production-Ready Go Binding for Faiss #coefl_go_jp
Avatar for 弁護士ドットコム bengo4com
0
1.1k
AWSの最新サービスでAIエージェント構築に楽しく入門しよう
Avatar for みのるん minorun365
PRO
10
600
開発と脆弱性と脆弱性診断についての話
Avatar for su3158 su3158
1
1.1k
kintone開発チームの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
73k
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
Avatar for Yuki Anzai yanzm
0
250
歴代のWeb Speed Hackathonの出題から考えるデグレしないパフォーマンス改善
Avatar for did0es shuta13
6
580
AIが住民向けコンシェルジュに? Amazon Connectと生成AIで実現する自治体AIエージェント!
Avatar for yuyeah yuyeah
0
260
Amazon Bedrock AgentCore でプロモーション用動画生成エージェントを開発する
Avatar for Kiminori Yokoi nasuvitz
6
390
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
Avatar for tascj tascj
11
1.6k
Preferred Networks (PFN) とLLM Post-Training チームの紹介 / 第4回 関東Kaggler会 スポンサーセッション
Avatar for Preferred Networks pfn
PRO
1
140
広島発!スタートアップ開発の裏側
Avatar for Sankyo Toshio tsankyo
0
200

Featured

See All Featured
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.4k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
61k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.6k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
338
57k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
25
1.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
131
19k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.2k

Transcript

  1. © JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION IAMロール再作成時の罠とインスタンスプロファイルの 仕組み

    河本 瞬 豊洲会 #LT大会

  2. © JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介

  3. © JSOL CORPORATION 2 自己紹介 河本 瞬(かわもと しゅん) データ&テクノロジー事業本部 プラットフォームコンサルティング第一部

    第一課 SAP basis・インフラ領域を担当 社会人歴:2年目 好きなAWSのサービス:Amazon Route 53 趣味:筋トレ、カメラ

  4. © JSOL CORPORATION 3

  5. © JSOL CORPORATION 4

  6. © JSOL CORPORATION 5 EC2にIAMロールがアタッチされてい るのになぜか権限が効かなかった。。。

  7. © JSOL CORPORATION 6 © JSOL CORPORATION 6 発生した問題

  8. © JSOL CORPORATION 7 発生した問題 AWS Cloud test-role-ec2 IAMロール ①

    EC2インスタンスにIAMロールをアタッチ ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server

  9. © JSOL CORPORATION 8 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server

  10. © JSOL CORPORATION 9 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続NG! SSM利用のための基本権限 my-test-server

  11. © JSOL CORPORATION 10 発生した問題 AWS Cloud test-role-ec2 IAMロール ③同じ名前でIAMロールを再作成

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG! my-test-server

  12. © JSOL CORPORATION 11 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server

  13. © JSOL CORPORATION 12 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server

  14. © JSOL CORPORATION 13 発生した問題 AWS Cloud my-test-server test-role-ec2 IAMロール

    SSMと接続できなくなってしまった...orz ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG!

  15. © JSOL CORPORATION 14 © JSOL CORPORATION 14 インスタンスプロファイル

  16. © JSOL CORPORATION 15 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル

    IAMロール IAMポリシー

  17. © JSOL CORPORATION 16 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル

    IAMロール IAMポリシー

  18. © JSOL CORPORATION 17 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している インスタンス プロファイル EC2

    instance インスタンスプロファイル IAMロール IAMポリシー

  19. © JSOL CORPORATION 18 インスタンスプロファイルとは マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 インスタンスプロファイル

    ( test-role-ec2 ) IAMロール( test-role-ec2 ) IAMポリシー ①IAMロール作成 ②内部で自動で作成される

  20. © JSOL CORPORATION 19 インスタンスプロファイルとは インスタンスプロファイル ( test-role-ec2 ) IAMロール(

    test-role-ec2 ) IAMポリシー ①IAMロール作成 紐づけ:IAMロール名 AWS内部での実態識別:一意の識別ID 参考:aws公式 「IAM ID」 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html 例:AIDAJQABLZS4A3QDU576Q マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 ②内部で自動で作成される

  21. © JSOL CORPORATION 20 © JSOL CORPORATION 20 事象の整理

  22. © JSOL CORPORATION 21 内部で何が起きていたのか?(仮説) EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2

    一意の識別ID:AAABBBCCC... IAMポリシー ロールを削除してもインタンスプロファイルは削除されず、EC2にアタッチされたままになる EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 インスタンスプロ ファイルは残る!! IAMロール削除

  23. © JSOL CORPORATION 22 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC...

    IAMポリシー 削除済み 内部で何が起きていたのか?(仮説)

  24. © JSOL CORPORATION 23 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...

    IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説)

  25. © JSOL CORPORATION 24 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...

    IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。

  26. © JSOL CORPORATION 25 しかし、内部IDが異なるため実態として再リンクされるわけではない。 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2

    一意の識別ID:XXXYYYZZZ... IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。

  27. © JSOL CORPORATION 26 © JSOL CORPORATION 26 まとめ

  28. © JSOL CORPORATION 27 ✓EC2にロールをアタッチする際はインスタンスプロファイルを介することを意 識する ✓ロール削除時は、事前にEC2からインスタンスプロファイルをデタッチする ことで余計なトラブルを防止できる ✓トラブル調査では「見た目」ではなく、「実体」をチェックする習慣をつける まとめ