Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IAMロール再作成時の罠とインスタンスプロファイルの仕組み

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Shun Kawamoto Shun Kawamoto
April 22, 2025
Technology
33
0

 IAMロール再作成時の罠とインスタンスプロファイルの仕組み

Avatar for Shun Kawamoto

Shun Kawamoto

April 22, 2025

More Decks by Shun Kawamoto

See All by Shun Kawamoto
新しいサーバレスの形 Lambda ManagedInstancesで並列実行してみる
Avatar for Shun Kawamoto kwmoon911
0
2
オンプレDNSでAWSサービスの名前解決にハマった話
Avatar for Shun Kawamoto kwmoon911
0
100
CloudFormationを用いた簡単なAWSネットワーク構築.pdf
Avatar for Shun Kawamoto kwmoon911
0
28

Other Decks in Technology

See All in Technology
Claude Code を安全に使おう勉強会 / Claude Code Security Basics
Avatar for MasahiroKawahara masahirokawahara
12
38k
CloudTrail を見つめ直してみる
Avatar for kazzpapa3 kazzpapa3
1
120
VespaのParent Childを用いたフィードパフォーマンスの改善
Avatar for 小野崇之 taking
0
120
M5Stack CoreS3とZephyr(RTOS)で Edge AIっぽいことしてみた
Avatar for misoji engineer iotengineer22
0
360
Expiration of Secure Boot Certificates for vSphere Virtual Machines
Avatar for MasahiroIrie mirie_sd
0
120
「AIに部下10人」を3ヶ月運用してわかった、生成AI駆動開発のリアル
Avatar for おしお yoheinabe777
0
110
AI時代における技術的負債への取り組み
Avatar for Tadashi Shigeoka codenote
1
1.8k
AgentCore Managed Harness を使ってみよう
Avatar for やくも yakumo
2
250
AI駆動1on1〜AIに自分を育ててもらう〜
Avatar for Yoshiaki Yasuda yoshiakiyasuda
0
150
AIでAIをテストする - 音声AIエージェントの品質保証戦略
Avatar for Morix morix1500
1
150
Percolatorを廃止し、マルチ検索サービスへ刷新した話 / Search Engineering Tech Talk 2026 Spring
Avatar for Visional Engineering & Design visional_engineering_and_design
0
170
AIが書いたコードを信じられない問題 〜レビュー負荷を下げるために変えたこと〜 / The AI Code Trust Gap: Reducing the Review Burden
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
8
1.4k

Featured

See All Featured
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
300
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
1k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.2k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.5k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
760
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
160
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
220
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
120
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k

Transcript

  1. © JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION IAMロール再作成時の罠とインスタンスプロファイルの 仕組み

    河本 瞬 豊洲会 #LT大会

  2. © JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介

  3. © JSOL CORPORATION 2 自己紹介 河本 瞬(かわもと しゅん) データ&テクノロジー事業本部 プラットフォームコンサルティング第一部

    第一課 SAP basis・インフラ領域を担当 社会人歴:2年目 好きなAWSのサービス:Amazon Route 53 趣味:筋トレ、カメラ

  4. © JSOL CORPORATION 3

  5. © JSOL CORPORATION 4

  6. © JSOL CORPORATION 5 EC2にIAMロールがアタッチされてい るのになぜか権限が効かなかった。。。

  7. © JSOL CORPORATION 6 © JSOL CORPORATION 6 発生した問題

  8. © JSOL CORPORATION 7 発生した問題 AWS Cloud test-role-ec2 IAMロール ①

    EC2インスタンスにIAMロールをアタッチ ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server

  9. © JSOL CORPORATION 8 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server

  10. © JSOL CORPORATION 9 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続NG! SSM利用のための基本権限 my-test-server

  11. © JSOL CORPORATION 10 発生した問題 AWS Cloud test-role-ec2 IAMロール ③同じ名前でIAMロールを再作成

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG! my-test-server

  12. © JSOL CORPORATION 11 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server

  13. © JSOL CORPORATION 12 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる

    ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server

  14. © JSOL CORPORATION 13 発生した問題 AWS Cloud my-test-server test-role-ec2 IAMロール

    SSMと接続できなくなってしまった...orz ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG!

  15. © JSOL CORPORATION 14 © JSOL CORPORATION 14 インスタンスプロファイル

  16. © JSOL CORPORATION 15 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル

    IAMロール IAMポリシー

  17. © JSOL CORPORATION 16 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル

    IAMロール IAMポリシー

  18. © JSOL CORPORATION 17 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している インスタンス プロファイル EC2

    instance インスタンスプロファイル IAMロール IAMポリシー

  19. © JSOL CORPORATION 18 インスタンスプロファイルとは マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 インスタンスプロファイル

    ( test-role-ec2 ) IAMロール( test-role-ec2 ) IAMポリシー ①IAMロール作成 ②内部で自動で作成される

  20. © JSOL CORPORATION 19 インスタンスプロファイルとは インスタンスプロファイル ( test-role-ec2 ) IAMロール(

    test-role-ec2 ) IAMポリシー ①IAMロール作成 紐づけ:IAMロール名 AWS内部での実態識別:一意の識別ID 参考:aws公式 「IAM ID」 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html 例:AIDAJQABLZS4A3QDU576Q マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 ②内部で自動で作成される

  21. © JSOL CORPORATION 20 © JSOL CORPORATION 20 事象の整理

  22. © JSOL CORPORATION 21 内部で何が起きていたのか?(仮説) EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2

    一意の識別ID:AAABBBCCC... IAMポリシー ロールを削除してもインタンスプロファイルは削除されず、EC2にアタッチされたままになる EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 インスタンスプロ ファイルは残る!! IAMロール削除

  23. © JSOL CORPORATION 22 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC...

    IAMポリシー 削除済み 内部で何が起きていたのか?(仮説)

  24. © JSOL CORPORATION 23 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...

    IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説)

  25. © JSOL CORPORATION 24 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...

    IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。

  26. © JSOL CORPORATION 25 しかし、内部IDが異なるため実態として再リンクされるわけではない。 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2

    一意の識別ID:XXXYYYZZZ... IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。

  27. © JSOL CORPORATION 26 © JSOL CORPORATION 26 まとめ

  28. © JSOL CORPORATION 27 ✓EC2にロールをアタッチする際はインスタンスプロファイルを介することを意 識する ✓ロール削除時は、事前にEC2からインスタンスプロファイルをデタッチする ことで余計なトラブルを防止できる ✓トラブル調査では「見た目」ではなく、「実体」をチェックする習慣をつける まとめ