Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260126_JAWS_Osaka

Avatar for Takuya Yonezawa Takuya Yonezawa
January 26, 2026
Technology
0
6

 20260126_JAWS_Osaka

Avatar for Takuya Yonezawa

Takuya Yonezawa

January 26, 2026
Tweet

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Avatar for Takuya Yonezawa takuyay0ne
4
680
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
150
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
4k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
370
20250719_JAWS_kobe
Avatar for Takuya Yonezawa takuyay0ne
1
300
20250708_JAWS_opscdk
Avatar for Takuya Yonezawa takuyay0ne
2
220
20250509_reCheers
Avatar for Takuya Yonezawa takuyay0ne
1
220
20250416_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
3
85
20250122_FinJAWS
Avatar for Takuya Yonezawa takuyay0ne
2
620

Other Decks in Technology

See All in Technology
AWS Amplify Conference 2026 - 仕様からリリースまで一気通貫 生成 AI 時代のフルスタック開発
Avatar for Riku INADA inariku
3
380
フロントエンド開発者のための「厄払い」
Avatar for OPTiM optim
0
170
OCI技術資料 : OS管理ハブ 概要
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
2
4.2k
AI アクセラレータチップ AWS Trainium/Inferentia に 今こそ入門
Avatar for yoshimi0227 yoshimi0227
1
320
エンジニアとして長く走るために気づいた2つのこと_大賀愛一郎
Avatar for oga_aiichiro nanaism
1
240
プロダクトエンジニアこそ必要なPMスキル 〜デリバリー力を最大化し、価値を届け続けるために〜
Avatar for LayerX layerx
PRO
0
120
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
590
習慣とAIと環境 — 技術探求を続ける3つの鍵
Avatar for azukiazusa azukiazusa1
3
760
20260114_データ横丁 新年LT大会:2026年の抱負
Avatar for タロウ taromatsui_cccmkhd
0
380
AI開発の落とし穴 〜馬には乗ってみよAIには添うてみよ〜
Avatar for SansanTech sansantech
PRO
8
3.1k
ファシリテーション勉強中 その場に何が求められるかを考えるようになるまで / 20260123 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
3
360
AI時代にあわせたQA組織戦略
Avatar for Masami Yajiri masamiyajiri
4
2k

Featured

See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.2k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
1
110
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
84
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.4k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
2
3.9k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
84
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
120
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
420
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
100
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
370

Transcript

  1. 1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

    最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap

  2. 2 © 2026 Japan Digital Design, Inc. 自己紹介

  3. 3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉

    である An error occurred (AccessDenied) when calling the xxx operation:

  4. 4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!

    最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい

  5. 5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに

    自動生成したい

  6. 6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

  7. 7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

    「ビルダー」と入っている! これは開発者は期待しちゃうね!

  8. 8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM

    Policy Autopilotの性能とやらを

  9. 9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

    SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish

  10. 10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

    /// 200行弱のLambdaコードが 1秒未満で解析終了

  11. 11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

  12. 12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK

    権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる

  13. 13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

    相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!

  14. 14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

    + Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete

  15. 15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!

  16. 16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。

    Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない

  17. 17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda

    Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない

  18. 18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

  19. 19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

    最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい

  20. 20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける

  21. Thank you. 21 © 2026 Japan Digital Design, Inc.