Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260126_JAWS_Osaka

Avatar for Takuya Yonezawa Takuya Yonezawa
January 26, 2026
Technology
1
31

 20260126_JAWS_Osaka

Avatar for Takuya Yonezawa

Takuya Yonezawa

January 26, 2026
Tweet

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
20260204_Midosuji_Tech
Avatar for Takuya Yonezawa takuyay0ne
1
160
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
290
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Avatar for Takuya Yonezawa takuyay0ne
4
710
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
170
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
4.1k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
380
20250719_JAWS_kobe
Avatar for Takuya Yonezawa takuyay0ne
1
310
20250708_JAWS_opscdk
Avatar for Takuya Yonezawa takuyay0ne
2
230
20250509_reCheers
Avatar for Takuya Yonezawa takuyay0ne
1
230

Other Decks in Technology

See All in Technology
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
Avatar for adachi.ryo rvirus0817
1
1.6k
OpenShiftでllm-dを動かそう!
Avatar for jpishikawa jpishikawa
0
130
Webhook best practices for rock solid and resilient deployments
Avatar for Guillaume Laforge glaforge
2
300
広告の効果検証を題材にした因果推論の精度検証について
Avatar for ZOZO Developers zozotech
PRO
0
210
Context Engineeringの取り組み
Avatar for nutslove nutslove
0
370
【Ubie】AIを活用した広告アセット「爆速」生成事例 | AI_Ops_Community_Vol.2
Avatar for Yoshiki yoshiki_0316
1
110
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
1
480
SREチームをどう作り、どう育てるか ― Findy横断SREのマネジメント
Avatar for adachi.ryo rvirus0817
0
320
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
Avatar for kekke-n kekke_n
1
510
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
Avatar for soudai sone soudai
PRO
12
5.6k
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.6k
StrandsとNeptuneを使ってナレッジグラフを構築する
Avatar for やくも yakumo
1
120

Featured

See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
67
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
110
Scaling GitHub
Avatar for Zach Holman holman
464
140k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
8k
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
140
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k

Transcript

  1. 1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

    最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap

  2. 2 © 2026 Japan Digital Design, Inc. 自己紹介

  3. 3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉

    である An error occurred (AccessDenied) when calling the xxx operation:

  4. 4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!

    最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい

  5. 5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに

    自動生成したい

  6. 6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

  7. 7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

    「ビルダー」と入っている! これは開発者は期待しちゃうね!

  8. 8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM

    Policy Autopilotの性能とやらを

  9. 9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

    SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish

  10. 10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

    /// 200行弱のLambdaコードが 1秒未満で解析終了

  11. 11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

  12. 12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK

    権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる

  13. 13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

    相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!

  14. 14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

    + Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete

  15. 15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!

  16. 16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。

    Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない

  17. 17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda

    Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない

  18. 18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

  19. 19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

    最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい

  20. 20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける

  21. Thank you. 21 © 2026 Japan Digital Design, Inc.