Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20251108_SecJAWS_IAMSp
Search
snowwhite
November 07, 2025
0
24
20251108_SecJAWS_IAMSp
Security JAWS IAM Special by 20251108
snowwhite
November 07, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20250730_AWS_AmazonQ
yuri_snowwhite
1
86
20250601_storage_and_bigdate_JAWS
yuri_snowwhite
1
68
250226_SecurityJAWS
yuri_snowwhite
2
1.1k
20250521 yumemi_grow _ finatext
yuri_snowwhite
2
330
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
1
740
Security.Any #2
yuri_snowwhite
1
140
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
78
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
75
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
930
Featured
See All Featured
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
380
Balancing Empowerment & Direction
lara
5
780
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Why You Should Never Use an ORM
jnunemaker
PRO
60
9.6k
[RailsConf 2023] Rails as a piece of cake
palkan
58
6.1k
YesSQL, Process and Tooling at Scale
rocio
174
15k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.5k
Designing for Performance
lara
610
69k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Navigating Team Friction
lara
191
16k
Transcript
AWS外でもIAMロールを利用しよう 2025/11/08 白"雪姫" a.k.a Yuki Sunaoka
アジェンダ • 自己紹介 • IAM ロールとは? • AWS外でIAM Roleを使うときの悩み •
IAM Roles Anywhere でAWSプリンシパル以外 にもIAM Roleを使用可能にする • 実際にやってみた • まとめ
自己紹介 • Name ◦ 白"雪姫"(しらゆき) a.k.a Yuki Sunaoka • Company
◦ 某話題のベンチャー企業 • Jobs ◦ SRE/Architect/Security • Community ◦ JAWS-UG クラウド女子会運営 ◦ JAWS-UG 情シス支部 運営 ◦ AWS Global Community Gatherings 運営 ◦ AWS Community Builders (Security) • SNS ID ◦ yuri_snowwhite • AWS Service ◦ AWS Inspector ↑大体この辺のアイコンで す
IAM Roleとは アカウントで作成できるアイデンティティのプリンシパルの 1つ 必要な人が任意に引き受けられる権限で長期認証情報が無い ロールを引き受けると一時的な認証情報を取得できる 永続的な認証情報ではないので仮に漏洩したとしても、 影響を小さくできる 基本的にはAWSプリンシパル以外は使えない AWS公式文書参照:
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_role s.html
AWSプリンシパルではない、オンプレミスやローカル環境でも一 時的な認証情報を使ってAWSサービスを利用するにはどうしたら よいか ↓ AssumeRole(SwitchRole)のみを行えるIAMユーザー(AWSプリンシパル)の永続 的認証情報を使って、AssumeRole で任意のIAMロールを引き受けるなどが考 えられる →最小権限とはいえ永続的な認証情報はやはり必要。 どーしよっか?!
AWS外でIAM Roleを使うときの悩み
IAM Roles Anywhere でAWSプリンシパル以 外にもIAM Roleを使用可能にする AWS外からS3へのアクセスや各種AWSサービスの操作を行う際 にIAM Roleを引き受けることができる AWS
IAM はグローバルサービスなのに対して、 IAM Roles Anywareはリージョナルサービスのため、必要なリージョンごと に設定を行う。
実際にやってみた 構成図 • IAM Roles Anywhereに必要なCA 局をAWSに構築 • IAM Roles
Anywhereを設定 • オンプレミス環境でIAM Roleを引き 受けられることを確認 • バックアップイメージを作ってS3バ ケットにアップロード • S3バケット内のオブジェクトをロー テーション
まとめ • 保守や構築といった人が操作する際には、 IAM Identity Centerを 利用してアクセス情報をできるだけ保持しない、永続化しない • AWS内のアプリケーションなどは、IAM Roleを使う
• オンプレミス環境やAWS外のアプリケーションなどからAWSサービ スを利用する際にはIAM Roles Anywhereを利用し、セキュリティを 担保するベストプラクティス • 必要に応じた適切なセキュリティサービスの選定をしましょう!
余談 第37回での登壇の際に話した、ポリシーの ”拒否の許可”が思っ ている以上にパワーワード化してて笑いました。 この詳細でもまた登壇したいです。
yuri_snowwhite
tammyeverts
lara
wjessup
sstephenson
bkeepers
jnunemaker
palkan
rocio
jcasabona
thoeni
