Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
jaws-days 2013 yokohama IAM
Search
maroon1st
March 29, 2013
Programming
460
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
jaws-days 2013 yokohama IAM
JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。
maroon1st
March 29, 2013
More Decks by maroon1st
See All by maroon1st
JAWS-UG横浜 #102 AWSサ終供養LT会 成仏できない AWS サービスたち 〜本日、三体供養します〜
maroon1st
0
71
ついに来た!本格的なマルチクラウド時代の Google Cloud
maroon1st
0
630
JAWS-UG横浜 #100 祝・第100回スペシャルAWS は VPC レスの時代へ
maroon1st
0
350
re:Invent 2025 のイケてるサービスを紹介する
maroon1st
0
350
Graviton と Nitro と私
maroon1st
0
410
実は歴史的なアップデートだと思う AWS Interconnect - multicloud
maroon1st
0
880
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
maroon1st
0
450
[JAWS DAYS 2025] 最近の DB の競合解決の仕組みが分かった気になってみた
maroon1st
0
680
ハワイアン航空 ステータスへの道 #HAairstudy
maroon1st
0
520
Other Decks in Programming
See All in Programming
Developing with AI Agents — Codex, Claude Code & Cowork Practical Guide
x5gtrn
PRO
0
1.4k
【SRE NEXT 2026 Lunch Session】一人目専任SREの立ち上げを加速する ― AIと進めたオンボーディングで2分を0.04秒にした話
pkshadeck
PRO
0
2.3k
任せる範囲はこう広がった / How the Scope of AI Delegation Has Expanded
nrslib
1
250
「なぜそう決めたのか」を残し続ける仕組み ― Notion AI カスタムエージェント × Slack連携による設計判断の自動記録 - NIKKEI Tech Talk #47
niftycorp
PRO
0
260
act1-costs.pdf
sumedhbala
0
210
吝嗇家のためのAI活用 / AI development for miser - ChatGPT + Issue Driven Development
tooppoo
0
180
コーディングルールの鮮度を保ちたい for SRE NEXT 2026 / keep-fresh-go-internal-conventions-sre-next-2026
handlename
0
140
Even G2とAWSで推しのエージェントを召喚しよう!
har1101
1
160
The Bowling Game- From Imperative to Functional Programming - Part 1
philipschwarz
PRO
0
310
共通化で考えるべきは、実装より公開する型だった
codeegg
0
210
Generative UI & AI-Assistants for Your Angular Solutions
manfredsteyer
PRO
1
160
そのテスト、説明できますか?~LWテスト戦略FW~のご紹介
nakahara
0
200
Featured
See All Featured
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
210
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
630
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.4k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
880
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
How to Think Like a Performance Engineer
csswizardry
28
2.7k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Ethics towards AI in product and experience design
skipperchong
2
330
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
410
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
We Have a Design System, Now What?
morganepeng
55
8.2k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
220
Transcript
Do you use the IAM ? 如何にIAMを使いこなすか
お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア
↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン
みんな IAM使ってる?
通常操作で AWSアカウントを使っては
ダメ。ゼッタイ。
普通の操作を rootでしないのと 同じ!
IAMで 何ができる? 初級編
IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!
IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •
etc.
IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意
IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html
IAMで 何ができる? 上級編 その1
IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?
IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御
IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }
IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress
でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?
IAMで 何ができる? 上級編 その2
IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?
IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能
IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }
IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date
IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html
IAMで 何ができる? 上級編 その3
IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!
IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能
IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":
" " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/
IAMで何ができる?上級編 その3 IAMでAWSサポート !!
IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意
まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •
IAMには色々な権限がある
IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!