Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20260126_JAWS_Osaka
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Takuya Yonezawa
January 26, 2026
Technology
60
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20260126_JAWS_Osaka
Takuya Yonezawa
January 26, 2026
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
4
690
20260422_Midosuji_Tech
takuyay0ne
2
64
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
takuyay0ne
3
540
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
690
20260204_Midosuji_Tech
takuyay0ne
1
230
20260129_CB_Kansai
takuyay0ne
1
360
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
takuyay0ne
4
780
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
200
20250920_ServerlessDays
takuyay0ne
9
4.3k
Other Decks in Technology
See All in Technology
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
htokoyo
1
220
「コーディング」しない人のための Claude Code 入門 ChatGPT の次の一歩 — 業務に組み込む 育成・共有・自動化
rfdnxbro
2
1.2k
Rancherの紹介&Update情報(RancherJP Online Meetup #09)
yoshiyuki_kono
0
130
関西に縁あるMicrosoft MVPsが語るCopilotの未来
kasada
0
1.2k
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
yoshidashingo
0
150
エンジニアリング戦略の作り方 / Crafting Engineering Strategy
iwashi86
7
900
Agentic Defenseとともにセキュリティエンジニアが輝き続けるには / How Security Engineers Can Keep Excelling with Agentic Defense
yuj1osm
0
130
社内 AI エージェント Synapse と セマンティックレイヤーの育て方
hiroakis
0
380
PHP と TypeScript の型システム比較:AI 時代の「型」は誰のためにあるのか? #frontend_phpcon_do / frontend_phpcon_do_2026
shogogg
1
260
運用を見据えたAIエージェント設計実践
amacbee
1
3.2k
AI Testing Talks: Challenges of Applying AI in Software Testing: From Hype to Practical Use
exactpro
PRO
1
140
Mastering Ruby Box
tagomoris
3
150
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
720
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.9k
The Curious Case for Waylosing
cassininazir
1
380
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
600
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
360
Everyday Curiosity
cassininazir
0
220
Test your architecture with Archunit
thirion
1
2.3k
Building Applications with DynamoDB
mza
96
7.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Transcript
1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap
2 © 2026 Japan Digital Design, Inc. 自己紹介
3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:
4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!
最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい
5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに
自動生成したい
6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/
7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている! これは開発者は期待しちゃうね!
8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM
Policy Autopilotの性能とやらを
9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish
10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了
11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋
12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK
権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる
13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!
14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete
15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!
16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない
17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない
18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas
19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい
20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける
Thank you. 21 © 2026 Japan Digital Design, Inc.
SiteGround - Reliable hosting with speed, security, and support you can count on.
takuyay0ne
htokoyo
rfdnxbro
yoshiyuki_kono
kasada
yoshidashingo
iwashi86
yuj1osm
hiroakis
shogogg
amacbee
exactpro
tagomoris
marcduiker
katarinadahlin
.jpg){kind=avatar}
cargoodrich
honnibal
cassininazir
tammyeverts
akashhashmi
thirion
mza
eileencodes
maggiecrowley
