Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260126_JAWS_Osaka

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Takuya Yonezawa Takuya Yonezawa
January 26, 2026
Technology
58
1

 20260126_JAWS_Osaka

Avatar for Takuya Yonezawa

Takuya Yonezawa

January 26, 2026

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
20260516_SecJAWS_Days
Avatar for Takuya Yonezawa takuyay0ne
3
600
20260422_Midosuji_Tech
Avatar for Takuya Yonezawa takuyay0ne
2
55
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
Avatar for Takuya Yonezawa takuyay0ne
3
510
20260228_JAWS_Beginner_Kansai
Avatar for Takuya Yonezawa takuyay0ne
5
680
20260204_Midosuji_Tech
Avatar for Takuya Yonezawa takuyay0ne
1
230
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
360
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Avatar for Takuya Yonezawa takuyay0ne
4
760
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
200
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
4.3k

Other Decks in Technology

See All in Technology
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
Avatar for ichihara naoichihara
15
14k
TSKaigi 2026 - enumよ、さようなら
Avatar for teamLab teamlab
PRO
3
540
キャリア25年目にしてTypeScript に出会うまで - 「型」を通じて振り返るプログラミング言語遍歴 / Meeting TypeScript After 25 Years in Tech - Looking Back at My Programming Language Journey Through "Types"
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
2
280
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
Avatar for kazuho kazuho
3
610
【禁断】Obsidianの第二の脳に「知の巨人」と呼ばれた師匠の脳をロードしてみた
Avatar for 長津孝輔 nagatsu
0
6.4k
layerx-fde-practices
Avatar for cipepser cipepser
6
2.7k
権限管理設計を完全に理解した
Avatar for r-sugi rsugi
2
200
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
Avatar for 冨澤宝斗 takatty
0
120
AIコーディングエージェントの活用で、コードは静かに肥大化した
Avatar for 篠田 陽介 yosukeshinoda
1
360
Loadbalancing exporter internals
Avatar for ymotongpoo ymotongpoo
1
130
AIが変えた"品質の守り方"
Avatar for kkakizaki kkakizaki
7
2.3k
コーポレートサイトのアクセシビリティ改善とJIS準拠への実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
2
140

Featured

See All Featured
Visualization
Avatar for Eitan Lees eitanlees
151
17k
Done Done
Avatar for chrislema chrislema
186
16k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.8k
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
280
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
66
8.5k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
780
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.3k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
140
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
350
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.9k

Transcript

  1. 1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

    最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap

  2. 2 © 2026 Japan Digital Design, Inc. 自己紹介

  3. 3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉

    である An error occurred (AccessDenied) when calling the xxx operation:

  4. 4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!

    最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい

  5. 5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに

    自動生成したい

  6. 6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

  7. 7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

    「ビルダー」と入っている! これは開発者は期待しちゃうね!

  8. 8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM

    Policy Autopilotの性能とやらを

  9. 9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

    SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish

  10. 10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

    /// 200行弱のLambdaコードが 1秒未満で解析終了

  11. 11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

  12. 12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK

    権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる

  13. 13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

    相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!

  14. 14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

    + Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete

  15. 15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!

  16. 16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。

    Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない

  17. 17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda

    Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない

  18. 18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

  19. 19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

    最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい

  20. 20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける

  21. Thank you. 21 © 2026 Japan Digital Design, Inc.