Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロール再作成時の罠とインスタンスプロファイルの仕組み
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Shun Kawamoto
April 22, 2025
Technology
38
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
IAMロール再作成時の罠とインスタンスプロファイルの仕組み
Shun Kawamoto
April 22, 2025
More Decks by Shun Kawamoto
See All by Shun Kawamoto
セキュリティサービスの全体像&SecurityHub
kwmoon911
0
9
新しいサーバレスの形 Lambda ManagedInstancesで並列実行してみる
kwmoon911
0
5
オンプレDNSでAWSサービスの名前解決にハマった話
kwmoon911
0
130
CloudFormationを用いた簡単なAWSネットワーク構築.pdf
kwmoon911
0
34
Other Decks in Technology
See All in Technology
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
300
Comment regagner la souveraineté de vos données tout en étant payé grâce à Nostr !
rlifchitz
0
160
WebGIS AI Agentの紹介
_shimizu
0
510
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
ezaki
0
150
フィジカル版Github Onshapeの紹介
shiba_8ro
0
310
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
220
感情と身体を置き去りにしない、エンジニアの生きのこり方 ──いまから、ここから「自分の状態」を扱うという選択
saorimurooka
0
280
AIチャット検索改善の3週間
kworkdev
PRO
2
160
データレイクの「見えない問題」を可視化する
sansantech
PRO
1
180
千葉での単身赴任からAWSをやり続け、千葉に戻ってきた話
yama3133
1
100
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
7
3.4k
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
220
Featured
See All Featured
It's Worth the Effort
3n
188
29k
Building the Perfect Custom Keyboard
takai
2
800
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
170
Speed Design
sergeychernyshev
33
1.9k
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
230
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
210
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
540
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Reality Check: Gamification 10 Years Later
codingconduct
0
2.2k
Technical Leadership for Architectural Decision Making
baasie
3
420
Mind Mapping
helmedeiros
PRO
1
260
Transcript
© JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION IAMロール再作成時の罠とインスタンスプロファイルの 仕組み
河本 瞬 豊洲会 #LT大会
© JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介
© JSOL CORPORATION 2 自己紹介 河本 瞬(かわもと しゅん) データ&テクノロジー事業本部 プラットフォームコンサルティング第一部
第一課 SAP basis・インフラ領域を担当 社会人歴:2年目 好きなAWSのサービス:Amazon Route 53 趣味:筋トレ、カメラ
© JSOL CORPORATION 3
© JSOL CORPORATION 4
© JSOL CORPORATION 5 EC2にIAMロールがアタッチされてい るのになぜか権限が効かなかった。。。
© JSOL CORPORATION 6 © JSOL CORPORATION 6 発生した問題
© JSOL CORPORATION 7 発生した問題 AWS Cloud test-role-ec2 IAMロール ①
EC2インスタンスにIAMロールをアタッチ ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 8 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 9 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続NG! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 10 発生した問題 AWS Cloud test-role-ec2 IAMロール ③同じ名前でIAMロールを再作成
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG! my-test-server
© JSOL CORPORATION 11 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server
© JSOL CORPORATION 12 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server
© JSOL CORPORATION 13 発生した問題 AWS Cloud my-test-server test-role-ec2 IAMロール
SSMと接続できなくなってしまった...orz ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG!
© JSOL CORPORATION 14 © JSOL CORPORATION 14 インスタンスプロファイル
© JSOL CORPORATION 15 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル
IAMロール IAMポリシー
© JSOL CORPORATION 16 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル
IAMロール IAMポリシー
© JSOL CORPORATION 17 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している インスタンス プロファイル EC2
instance インスタンスプロファイル IAMロール IAMポリシー
© JSOL CORPORATION 18 インスタンスプロファイルとは マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 インスタンスプロファイル
( test-role-ec2 ) IAMロール( test-role-ec2 ) IAMポリシー ①IAMロール作成 ②内部で自動で作成される
© JSOL CORPORATION 19 インスタンスプロファイルとは インスタンスプロファイル ( test-role-ec2 ) IAMロール(
test-role-ec2 ) IAMポリシー ①IAMロール作成 紐づけ:IAMロール名 AWS内部での実態識別:一意の識別ID 参考:aws公式 「IAM ID」 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html 例:AIDAJQABLZS4A3QDU576Q マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 ②内部で自動で作成される
© JSOL CORPORATION 20 © JSOL CORPORATION 20 事象の整理
© JSOL CORPORATION 21 内部で何が起きていたのか?(仮説) EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2
一意の識別ID:AAABBBCCC... IAMポリシー ロールを削除してもインタンスプロファイルは削除されず、EC2にアタッチされたままになる EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 インスタンスプロ ファイルは残る!! IAMロール削除
© JSOL CORPORATION 22 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC...
IAMポリシー 削除済み 内部で何が起きていたのか?(仮説)
© JSOL CORPORATION 23 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...
IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説)
© JSOL CORPORATION 24 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...
IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。
© JSOL CORPORATION 25 しかし、内部IDが異なるため実態として再リンクされるわけではない。 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2
一意の識別ID:XXXYYYZZZ... IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。
© JSOL CORPORATION 26 © JSOL CORPORATION 26 まとめ
© JSOL CORPORATION 27 ✓EC2にロールをアタッチする際はインスタンスプロファイルを介することを意 識する ✓ロール削除時は、事前にEC2からインスタンスプロファイルをデタッチする ことで余計なトラブルを防止できる ✓トラブル調査では「見た目」ではなく、「実体」をチェックする習慣をつける まとめ
SiteGround - Reliable hosting with speed, security, and support you can count on.
kwmoon911
rince
rlifchitz
_shimizu
ezaki
shiba_8ro
ryooob
saorimurooka
kworkdev
sansantech
yama3133
takasyou
nori_shinoda
3n
takai
khoart
techseoconnect
sergeychernyshev
dugsong
marcoroth
honzajavorek
zakiyama
codingconduct
baasie
helmedeiros
