Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20260126_JAWS_Osaka
Search
Takuya Yonezawa
January 26, 2026
Technology
63
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20260126_JAWS_Osaka
Takuya Yonezawa
January 26, 2026
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
4
770
20260422_Midosuji_Tech
takuyay0ne
2
77
脱 雰囲気実装!AgentCoreを良い感じにWEBアプリケーションに組み込むために
takuyay0ne
3
560
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
700
20260204_Midosuji_Tech
takuyay0ne
1
240
20260129_CB_Kansai
takuyay0ne
1
370
こんな時代だからこそ! 想定しておきたいアクセスキー漏洩後のムーブ
takuyay0ne
4
800
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
220
20250920_ServerlessDays
takuyay0ne
9
4.7k
Other Decks in Technology
See All in Technology
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
140
AI・ロボティクスと自動化社会 / AI, Robotics, and the Automated Society
ks91
PRO
0
150
どうして今サーバーサイドKotlinを選択したのか
nealle
0
190
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
330
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
450
5分でわかるDuckDB Quack
chanyou0311
4
300
次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo
shift_evolve
PRO
5
1.7k
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
430
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
190
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
180
Terraform 101 (初心者向け) 資料
shuadachi
0
160
Claude Codeとハーネスについて考えてみる
oikon48
11
4.2k
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
The SEO identity crisis: Don't let AI make you average
varn
0
510
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
55k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
480
Faster Mobile Websites
deanohume
310
32k
Transcript
1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap
2 © 2026 Japan Digital Design, Inc. 自己紹介
3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:
4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!
最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい
5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに
自動生成したい
6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/
7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている! これは開発者は期待しちゃうね!
8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM
Policy Autopilotの性能とやらを
9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish
10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了
11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋
12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK
権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる
13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!
14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete
15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!
16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない
17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない
18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas
19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい
20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける
Thank you. 21 © 2026 Japan Digital Design, Inc.