Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260126_JAWS_Osaka

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Takuya Yonezawa Takuya Yonezawa
January 26, 2026
Technology
47
1

 20260126_JAWS_Osaka

Avatar for Takuya Yonezawa

Takuya Yonezawa

January 26, 2026

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
Avatar for Takuya Yonezawa takuyay0ne
3
440
20260228_JAWS_Beginner_Kansai
Avatar for Takuya Yonezawa takuyay0ne
5
650
20260204_Midosuji_Tech
Avatar for Takuya Yonezawa takuyay0ne
1
220
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
330
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Avatar for Takuya Yonezawa takuyay0ne
4
740
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
180
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
4.2k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
410
20250719_JAWS_kobe
Avatar for Takuya Yonezawa takuyay0ne
1
320

Other Decks in Technology

See All in Technology
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
400
NOSTR, réseau social et espace de liberté décentralisé
Avatar for Renaud Lifchitz rlifchitz
0
150
LLM とプロンプトエンジニアリング/チューターを定義する / LLMs and Prompt Engineering, and Defining Tutors
Avatar for Kenji Saito ks91
PRO
0
330
仕様通り動くの先へ。Claude Codeで「使える」を検証する
Avatar for Gota gotalab555
8
3.2k
Eight Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
3
7.2k
Data Hubグループ 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
2.9k
ふりかえりがなかった職能横断チームにふりかえりを導入してみて学んだこと 〜チームのふりかえりを「みんなで未来を考える場」にするプロローグ設計〜
Avatar for Masahiro Shimokawa masahiro1214shimokawa
0
340
暗黙知について一歩踏み込んで考える - 暗黙知の4タイプと暗黙考・暗黙動へ
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
1.3k
Master Dataグループ紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.6k
あるアーキテクチャ決定と その結果/architecture-decision-and-its-result
Avatar for Ryo Tomidokoro hanhan1978
2
570
2026年度新卒技術研修 サイバーエージェントのデータベース 活用事例とパフォーマンス調査入門
Avatar for CyberAgent cyberagentdevelopers
PRO
6
7.5k
CC Workflow Studio
Avatar for breaking-brake seiyakobayashi
0
270

Featured

See All Featured
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
890
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
180
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
93
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2.7k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.8k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
190
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.4k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.2k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k

Transcript

  1. 1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

    最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap

  2. 2 © 2026 Japan Digital Design, Inc. 自己紹介

  3. 3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉

    である An error occurred (AccessDenied) when calling the xxx operation:

  4. 4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!

    最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい

  5. 5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに

    自動生成したい

  6. 6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

  7. 7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

    「ビルダー」と入っている! これは開発者は期待しちゃうね!

  8. 8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM

    Policy Autopilotの性能とやらを

  9. 9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

    SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish

  10. 10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

    /// 200行弱のLambdaコードが 1秒未満で解析終了

  11. 11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

  12. 12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK

    権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる

  13. 13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

    相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!

  14. 14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

    + Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete

  15. 15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!

  16. 16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。

    Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない

  17. 17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda

    Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない

  18. 18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

  19. 19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

    最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい

  20. 20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける

  21. Thank you. 21 © 2026 Japan Digital Design, Inc.