Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロール再作成時の罠とインスタンスプロファイルの仕組み
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Shun Kawamoto
April 22, 2025
Technology
38
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
IAMロール再作成時の罠とインスタンスプロファイルの仕組み
Shun Kawamoto
April 22, 2025
More Decks by Shun Kawamoto
See All by Shun Kawamoto
セキュリティサービスの全体像&SecurityHub
kwmoon911
0
9
新しいサーバレスの形 Lambda ManagedInstancesで並列実行してみる
kwmoon911
0
5
オンプレDNSでAWSサービスの名前解決にハマった話
kwmoon911
0
130
CloudFormationを用いた簡単なAWSネットワーク構築.pdf
kwmoon911
0
34
Other Decks in Technology
See All in Technology
Comment regagner la souveraineté de vos données tout en étant payé grâce à Nostr !
rlifchitz
0
150
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
790
徹底討論!ECS vs EKS!
daitak
3
1.3k
SONiCの統計情報を取得したい
sonic
0
280
ザ・データベース、MySQL ~ OSC 2026 Sendai ~
sakaik
0
180
脱SaaS!FDEを支えるプロビジョニングと分離設計
knih
0
260
レガシーな広告配信システムでのAI駆動開発/運用の挑戦
i16fujimoto
0
110
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
moulongzhang
5
1.6k
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
ebiken
PRO
2
460
複数のSONiCディストリビューションを触りながら比較してみた
sonic
0
110
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
seike460
PRO
0
260
AIのReact習熟度を測る
uhyo
2
670
Featured
See All Featured
The SEO identity crisis: Don't let AI make you average
varn
0
500
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
630
Git: the NoSQL Database
bkeepers
PRO
432
67k
4 Signs Your Business is Dying
shpigford
187
22k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
YesSQL, Process and Tooling at Scale
rocio
174
15k
Context Engineering - Making Every Token Count
addyosmani
9
980
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.3k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
The untapped power of vector embeddings
frankvandijk
2
1.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
440
Transcript
© JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION IAMロール再作成時の罠とインスタンスプロファイルの 仕組み
河本 瞬 豊洲会 #LT大会
© JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介
© JSOL CORPORATION 2 自己紹介 河本 瞬(かわもと しゅん) データ&テクノロジー事業本部 プラットフォームコンサルティング第一部
第一課 SAP basis・インフラ領域を担当 社会人歴:2年目 好きなAWSのサービス:Amazon Route 53 趣味:筋トレ、カメラ
© JSOL CORPORATION 3
© JSOL CORPORATION 4
© JSOL CORPORATION 5 EC2にIAMロールがアタッチされてい るのになぜか権限が効かなかった。。。
© JSOL CORPORATION 6 © JSOL CORPORATION 6 発生した問題
© JSOL CORPORATION 7 発生した問題 AWS Cloud test-role-ec2 IAMロール ①
EC2インスタンスにIAMロールをアタッチ ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 8 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続OK! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 9 発生した問題 AWS Cloud test-role-ec2 IAMロール ②EC2にロールが付いた状態でIAMロールを削除
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager 接続NG! SSM利用のための基本権限 my-test-server
© JSOL CORPORATION 10 発生した問題 AWS Cloud test-role-ec2 IAMロール ③同じ名前でIAMロールを再作成
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG! my-test-server
© JSOL CORPORATION 11 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server
© JSOL CORPORATION 12 発生した問題 AWS Cloud test-role-ec2 IAMロール ④再作成したIAMロールが自動的にEC2にアタッチされる
ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続 ? my-test-server
© JSOL CORPORATION 13 発生した問題 AWS Cloud my-test-server test-role-ec2 IAMロール
SSMと接続できなくなってしまった...orz ポリシー AmazonSSMManag edInstancecore AWS Systems Manager SSM利用のための基本権限 接続NG!
© JSOL CORPORATION 14 © JSOL CORPORATION 14 インスタンスプロファイル
© JSOL CORPORATION 15 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル
IAMロール IAMポリシー
© JSOL CORPORATION 16 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している EC2 instance インスタンスプロファイル
IAMロール IAMポリシー
© JSOL CORPORATION 17 インスタンスプロファイルとは EC2インスタンスとIAMロールを結び付けるための”入れ物” EC2にロールを設定するとき、実際には「インスタンスプロファイル」を介している インスタンス プロファイル EC2
instance インスタンスプロファイル IAMロール IAMポリシー
© JSOL CORPORATION 18 インスタンスプロファイルとは マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 インスタンスプロファイル
( test-role-ec2 ) IAMロール( test-role-ec2 ) IAMポリシー ①IAMロール作成 ②内部で自動で作成される
© JSOL CORPORATION 19 インスタンスプロファイルとは インスタンスプロファイル ( test-role-ec2 ) IAMロール(
test-role-ec2 ) IAMポリシー ①IAMロール作成 紐づけ:IAMロール名 AWS内部での実態識別:一意の識別ID 参考:aws公式 「IAM ID」 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html 例:AIDAJQABLZS4A3QDU576Q マネジメントコンソール上でIAMロールを作成した際は、同じ名前のインスタンスプロファイルが自動で作成 される ※CLIで作成する際は、インスタンスプロファイルを明示的に作成する。その際インスタンスプロファイル名 はIAMロール名と異なっていてもよい。 ②内部で自動で作成される
© JSOL CORPORATION 20 © JSOL CORPORATION 20 事象の整理
© JSOL CORPORATION 21 内部で何が起きていたのか?(仮説) EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2
一意の識別ID:AAABBBCCC... IAMポリシー ロールを削除してもインタンスプロファイルは削除されず、EC2にアタッチされたままになる EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 インスタンスプロ ファイルは残る!! IAMロール削除
© JSOL CORPORATION 22 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC...
IAMポリシー 削除済み 内部で何が起きていたのか?(仮説)
© JSOL CORPORATION 23 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...
IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説)
© JSOL CORPORATION 24 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2 一意の識別ID:XXXYYYZZZ...
IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。
© JSOL CORPORATION 25 しかし、内部IDが異なるため実態として再リンクされるわけではない。 EC2 instance:my-test-server インスタンスプロファイル: Test-role-ec2 IAMロール:test-role-ec2
一意の識別ID:XXXYYYZZZ... IAMポリシー IAMロール:test-role-ec2 一意の識別ID:AAABBBCCC... IAMポリシー ①同名のIAMロールを作成 削除済み 内部で何が起きていたのか?(仮説) ②誤認識により、IAMロールがコンソー ル上では古いインスタンスプロファイル に紐づいているように表示される。
© JSOL CORPORATION 26 © JSOL CORPORATION 26 まとめ
© JSOL CORPORATION 27 ✓EC2にロールをアタッチする際はインスタンスプロファイルを介することを意 識する ✓ロール削除時は、事前にEC2からインスタンスプロファイルをデタッチする ことで余計なトラブルを防止できる ✓トラブル調査では「見た目」ではなく、「実体」をチェックする習慣をつける まとめ
kwmoon911
rlifchitz
yoshimi0227
daitak
sonic
sakaik
knih
i16fujimoto
moulongzhang
ebiken
seike460
uhyo
varn
katarinadahlin
bkeepers
shpigford
tammyeverts
rocio
addyosmani
inesmontani
jnunemaker
frankvandijk
eileencodes
davetheseo
