20260126_JAWS_Osaka

1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分クッキング JAWS-UG大阪 re:Invent re:Cap

3 © 2026 Japan Digital Design, Inc. 最小権限それは呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:

4 © 2026 Japan Digital Design, Inc. あるある言いたいこのLambdaには最小権限を付与してます！
最小権限ポリスこれはガチでマジで最小権限になっとるんか？多分（ほぼ）最小権限です。。そんなことばっかり言うから権限エラーとか起きて開発スピード落ちるねんあとポリシー運用しんどい

5 © 2026 Japan Digital Design, Inc. あるある言いたい最小権限ポリシーをええ感じに
自動生成したい

7 © 2026 Japan Digital Design, Inc. 神アップデート？現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている！これは開発者は期待しちゃうね！

8 © 2026 Japan Digital Design, Inc. お手並み拝見見せてもらおうか IAM
Policy Autopilotの性能とやらを

9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda （Python+boto3） S3 SQS Read Publish

10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了

12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋リソース句が広いがまあOK
権限広すぎかと思いきや肝心のオブジェクトコピー権限が無い！てかバケットの設定変えられるようになってるやんけ！君は一体どこから来たんだい？ KMS暗号化した SQSへのメッセージ送信を考慮したポリシーだと思われる無くてもOK。そしてリソース句が広すぎる

13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない！ CloudWatch Logsのログ記録無し！まさに漢運用！！

14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda （Python+boto3+VPC） SQS Read Copy Write Write/ Delete

16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。これはしゃーない

17 © 2026 Japan Digital Design, Inc. 感想生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。純粋なboto3 Client APIであればもう少し精度が良くなると思われるこれもしゃーない

19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではないより良い最小権限のスタートポイントとして活用して欲しい

20260126_JAWS_Osaka

20260126_JAWS_Osaka

Takuya Yonezawa

More Decks by Takuya Yonezawa

Other Decks in Technology

Featured

Transcript

1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

2 © 2026 Japan Digital Design, Inc. 自己紹介

3 © 2026 Japan Digital Design, Inc. 最小権限それは呪いの言葉

4 © 2026 Japan Digital Design, Inc. あるある言いたいこのLambdaには最小権限を付与してます！

5 © 2026 Japan Digital Design, Inc. あるある言いたい最小権限ポリシーをええ感じに

6 © 2026 Japan Digital Design, Inc. 神アップデート？現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

7 © 2026 Japan Digital Design, Inc. 神アップデート？現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

8 © 2026 Japan Digital Design, Inc. お手並み拝見見せてもらおうか IAM

9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋リソース句が広いがまあOK

13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋省略！

16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題アクセス先リソースは環境変数で渡している。

17 © 2026 Japan Digital Design, Inc. 感想生成される許可アクションが斜め上な件 Lambda

18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

20 © 2026 Japan Digital Design, Inc. まとめツールに完璧を求めるな！ IAM職人はまだまだ食っていける

Thank you. 21 © 2026 Japan Digital Design, Inc.