Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[JAWSDAYS2026]Who is responsible for IAM

Avatar for Mizuki TSUJI Mizuki TSUJI
March 09, 2026
Technology
0
110

[JAWSDAYS2026]Who is responsible for IAM

JAWS DAYS 2026 登壇資料(20分セッション)

その IAM 運用、いつか詰まります。

Cloud Infrastructure チームがすべての IAM や AWS リソース作成を担う設計は、一見安全に見えます。しかしサービスやチームが増えるにつれ、いつの間にか Infra がボトルネックになります。

この資料では、IAM の問題ではなく「責任の構造」に着目し、

- なぜ IAM 運用は詰まるのか
- Infra が全部やる設計はなぜ破綻するのか
- 「責任」と「操作」を分離する設計

を整理します。

最終責任は Infra、操作は全員。
その状態を実現する IAM 設計の考え方を紹介します。

--------------------------------
Your IAM operations will eventually get stuck.

A model where the Cloud Infrastructure team owns all IAM and AWS resource creation may look safe at first. But as services and teams scale, Infra gradually becomes the bottleneck.

This slide deck explains that the real problem is not IAM itself — but how responsibility is structured.

Topics covered:
Why IAM operations eventually break down
Why “Infra does everything” doesn’t scale
Separating responsibility from operations

The goal is simple:

Infra owns the final responsibility. Everyone owns the operations.

Avatar for Mizuki TSUJI

Mizuki TSUJI

March 09, 2026
Tweet

Other Decks in Technology

See All in Technology
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
Avatar for yuriemori yuriemori
0
170
「ストレッチゾーンに挑戦し続ける」ことって難しくないですか? メンバーの持続的成長を支えるEMの環境設計
Avatar for SansanTech sansantech
PRO
3
400
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
530
「ヒットする」+「近い」を同時にかなえるスマートサジェストの作り方.pdf
Avatar for なかしょ nakasho
0
150
聲の形にみるアクセシビリティ
Avatar for tomokusaba tomokusaba
0
150
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
8
7.1k
Abuse report だけじゃない。AWS から緊急連絡が来る状況とは?昨今の攻撃や被害の事例の紹介と備えておきたい考え方について
Avatar for kazzpapa3 kazzpapa3
1
160
SaaSからAIへの過渡期の中で現在、組織内で起こっている変化 / SaaS to AI Paradigm Shift
Avatar for AEON aeonpeople
0
110
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
Avatar for Takaaki Yayoi taka_aki
0
360
白金鉱業Meetup_Vol.22_Orbital Senseを支える衛星画像のマルチモーダルエンベディングと地理空間のあいまい検索技術
Avatar for BrainPad brainpadpr
2
260
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
Avatar for Markus Harrer feststelltaste
1
220
バクラクのSREにおけるAgentic AIへの挑戦/Our Journey with Agentic AI
Avatar for SadayoshiTada taddy_919
2
1.1k

Featured

See All Featured
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
3
360
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
280
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
280
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
81
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
0
260
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
60
42k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.8k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
330
40k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
64

Transcript

  1. JAWS DAYS 2026 Mashup for the Future AWS IAM は誰の責任か?

    Cloud Infrastructure チーム が全部守る設計はなぜ失敗するのか 辻 水月 / KINTOテクノロジーズ

  2. #jawsug #jawsdays2026 #jawsdays2026_x 名前:辻 水月 / TSUJI Mizuki 所属:KINTOテクノロジーズ 役割:マネージャー

    クラウドアーキテクト X :@mizukibbb 自己紹介

  3. #jawsug #jawsdays2026 #jawsdays2026_x 今日のゴール 詰まりの構造を整理して、現象を言語化 1 IAMが「なぜ壊れるのか」を、責任範囲の視点で整理します 2 最終責任はInfraのまま、操作を委ねる設計の考え方を共有します 3

  4. そのIAM運用、 いつか詰まります

  5. #jawsug #jawsdays2026 #jawsdays2026_x KINTOテクノロジーズの組織構造 そのIAM運用、いつか詰まります セキュリティ組織 プラットフォーム開発部 Cloud Infrastructure SRE,

    DBRE Platform Engineering Security Operation SCoE A プロダクトチーム B プロダクトチーム C プロダクト X プロダクト サービス サービス サービス サービス サービス サービス サービス • トヨタ自動車グループの一員として一定基準以上のセキュリティを満たす必要性 • 統制と品質を担保しながら、素早くサービス立ち上げするスピードの維持

  6. #jawsug #jawsdays2026 #jawsdays2026_x → いつの間にかInfraがボトルネック こんな状態ありませんか? そのIAM運用、いつか詰まります • Lambdaを追加したい •

    そのたびにInfraへ依頼 • 関数定義もIAM RoleもInfraが作成 • 作成待ちで開発が止まる

  7. #jawsug #jawsdays2026 #jawsdays2026_x • 権限は中央で管理できていた • 例外対応もInfraが握れていた • 大きな事故は起きていなかった それでも限界が見えたのは、技術ではなく構造の問題でした

    でも、セキュリティは守れていた そのIAM運用、いつか詰まります

  8. 問題はIAMではなく 「責任」だった

  9. #jawsug #jawsdays2026 #jawsdays2026_x どの様な責任分担していたか? 問題はIAMではなく「責任」だった Cloud Infrastructure • AWS内の全システムのリソースを作成/管理 •

    CloudFront Distribution • Lambda関数定義 / IAM ロール • SFNステートマシン定義 / IAM ロール など プロダクト チーム • 自身で作成したソースや定義などを管理 • Lambdaソース • SFnコード など

  10. #jawsug #jawsdays2026 #jawsdays2026_x Lambdaなどの責任ポイント 問題はIAMではなく「責任」だった Cloud Infrastructure Lambdaなどはアプリケーションサービスのため、 個別のLambdaのアプリの責任点はプロダクトにある だから“操作”もプロダクトに寄せないと詰まる

    プロダクト チーム • 責任ポイント • ランタイム選択 • ビジネスロジック • エラーハンドリング • 冪等性の担保 • etc • 責任ポイント • IAM権限 • 同時実行数 • ログ出力先 • etc 例えばLambdaだったら・・・

  11. #jawsug #jawsdays2026 #jawsdays2026_x 責任と操作を分離し委任する 問題はIAMではなく「責任」だった Cloud Infraが責任を持ちつつ、 プロダクトチームへ操作を委任できればボトルネックの解消が可能に プロダクト チーム

    Cloud Infrastructure 責任 操作 操作 委任

  12. #jawsug #jawsdays2026 #jawsdays2026_x どうやって分離する? 問題はIAMではなく「責任」だった = ルールを決めて守らせる IAMで「責任」と「操作」を分けます 責任 操作

    =そのルールの範囲で使う なぜ分けられる? → ルール(Policy)と、使う主体(Role)を分離できるから

  13. #jawsug #jawsdays2026 #jawsdays2026_x IAMは誰の責任か? 問題はIAMではなく「責任」だった Cloud Infrastructure (最終責任) 決める /

    守らせる 責任 プロダクトチーム (操作委任) 作る/運用する 操作 IAM Policy 標準IAMポリシー (ABAC) SCP 最低限のSCP IAM Role サービス用ロール IAM Policy 標準IAMポリシー アタッチ 運用方針/手順 Lambda Function 関数定義 ソースコード

  14. Infraが “全部やらない”と決めた日

  15. #jawsug #jawsdays2026 #jawsdays2026_x 方針転換(Infraは“作る”から“設計する”へ) Cloud Infraが“全部やらない”と決めた日 • InfraがIAM Role/リソースを作る やめた

    • 最終責任はInfra(統制と品質) 守った • 標準(ABAC)+禁止(SCP) 作った

  16. #jawsug #jawsdays2026 #jawsdays2026_x ABACで「委ねられる」状態を作る Cloud Infraが“全部やらない”と決めた日 ポイント:ポリシーは汎用化し、差分(アクセス範囲)はタグで表現する Cloud Infrastructure プロダクト

    チーム 【定義】 標準ポリシー(ABAC) を用意 【識別】 AWSリソースに 「属性(タグ)」を付与 【自律】 開発者が「枠内」で 自由に操作 タグが一致する範囲で開発 者が自ら変更可能に! 自分のプロジェクトタグが 付いたリソースなら操作 OK system=kinto env=dev など 1 2 3

  17. #jawsug #jawsdays2026 #jawsdays2026_x ABACの落とし穴と対策 Cloud Infraが“全部やらない”と決めた日 落とし穴 対策(ガードレール) タグ無しリソースが残る タグが正しくない・偽装される

    Create系操作にConditionでtag必須に 命名がブレる 命名規約 をポリシーで制御 例外が恒久化して“標準”が育たない 期限付き + 振り返りで標準へ昇格(プロセス化) タグ一致で許可(ABAC)/ タグが無いものは許可しない

  18. #jawsug #jawsdays2026 #jawsdays2026_x • 委ねるには『標準(ABAC)』と『禁止(SCP)』を最小限に定義 する 委ねるための仕組み(最低限) Cloud Infraが“全部やらない”と決めた日 線引き(ガードレール)

    = 禁止 / 標準 / 委譲 禁止(SCP) • 管理者系の付与 • 無制限な *:* 標準(ABAC) • 標準ポリシー • 命名 / タグルール 委譲(開発) • Role 作成 • 日々の変更

  19. #jawsug #jawsdays2026 #jawsdays2026_x • 待ちが減り、Infraは設計/改善へ。 • 責任が明確になり運用が持続可能に 結果 Cloud Infraが“全部やらない”と決めた日

    Before / After(効果) 項目 Before(依頼→待ち) After(自律+ガードレール) 開発スピード 待ちが発生 自律的に進む Infra負荷 作業が集中 設計 / 改善へ 責任 混在しがち 明確になる

  20. 最終責任はInfra、操作は全員

  21. #jawsug #jawsdays2026 #jawsdays2026_x 持ち帰ってほしいこと(3つ) 最終責任はInfra、操作は全員 Infraが「最終責任」だけでなく「作業」まで抱えていないか? 責任範囲(誰が決めて、誰が作るか)が言語化されているか? ガードレールは『最低限』になっているか?

  22. お知らせ

  23. #jawsug #jawsdays2026 #jawsdays2026_x • ブース出展してます! • ぜひお話しましょう! • ガチャガチャでトミカ当たったりします

  24. #jawsug #jawsdays2026 #jawsdays2026_x AWS主催 の グローバル なイベントである 10,000 AIdeas Competition

    セミファイナル出場コンテンツも展示してます!

  25. Fin