Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20251108_SecJAWS_IAMSp
Search
snowwhite
November 07, 2025
0
26
20251108_SecJAWS_IAMSp
Security JAWS IAM Special by 20251108
snowwhite
November 07, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20250730_AWS_AmazonQ
yuri_snowwhite
1
88
20250601_storage_and_bigdate_JAWS
yuri_snowwhite
1
70
250226_SecurityJAWS
yuri_snowwhite
2
1.1k
20250521 yumemi_grow _ finatext
yuri_snowwhite
2
330
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
1
760
Security.Any #2
yuri_snowwhite
1
150
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
81
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
77
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
940
Featured
See All Featured
New Earth Scene 8
popppiees
0
1.2k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
580
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
0
3.4k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
190
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
65
35k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.3k
Facilitating Awesome Meetings
lara
57
6.7k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
0
210
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
290
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
80
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
110
Transcript
AWS外でもIAMロールを利用しよう 2025/11/08 白"雪姫" a.k.a Yuki Sunaoka
アジェンダ • 自己紹介 • IAM ロールとは? • AWS外でIAM Roleを使うときの悩み •
IAM Roles Anywhere でAWSプリンシパル以外 にもIAM Roleを使用可能にする • 実際にやってみた • まとめ
自己紹介 • Name ◦ 白"雪姫"(しらゆき) a.k.a Yuki Sunaoka • Company
◦ 某話題のベンチャー企業 • Jobs ◦ SRE/Architect/Security • Community ◦ JAWS-UG クラウド女子会運営 ◦ JAWS-UG 情シス支部 運営 ◦ AWS Global Community Gatherings 運営 ◦ AWS Community Builders (Security) • SNS ID ◦ yuri_snowwhite • AWS Service ◦ AWS Inspector ↑大体この辺のアイコンで す
IAM Roleとは アカウントで作成できるアイデンティティのプリンシパルの 1つ 必要な人が任意に引き受けられる権限で長期認証情報が無い ロールを引き受けると一時的な認証情報を取得できる 永続的な認証情報ではないので仮に漏洩したとしても、 影響を小さくできる 基本的にはAWSプリンシパル以外は使えない AWS公式文書参照:
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_role s.html
AWSプリンシパルではない、オンプレミスやローカル環境でも一 時的な認証情報を使ってAWSサービスを利用するにはどうしたら よいか ↓ AssumeRole(SwitchRole)のみを行えるIAMユーザー(AWSプリンシパル)の永続 的認証情報を使って、AssumeRole で任意のIAMロールを引き受けるなどが考 えられる →最小権限とはいえ永続的な認証情報はやはり必要。 どーしよっか?!
AWS外でIAM Roleを使うときの悩み
IAM Roles Anywhere でAWSプリンシパル以 外にもIAM Roleを使用可能にする AWS外からS3へのアクセスや各種AWSサービスの操作を行う際 にIAM Roleを引き受けることができる AWS
IAM はグローバルサービスなのに対して、 IAM Roles Anywareはリージョナルサービスのため、必要なリージョンごと に設定を行う。
実際にやってみた 構成図 • IAM Roles Anywhereに必要なCA 局をAWSに構築 • IAM Roles
Anywhereを設定 • オンプレミス環境でIAM Roleを引き 受けられることを確認 • バックアップイメージを作ってS3バ ケットにアップロード • S3バケット内のオブジェクトをロー テーション
まとめ • 保守や構築といった人が操作する際には、 IAM Identity Centerを 利用してアクセス情報をできるだけ保持しない、永続化しない • AWS内のアプリケーションなどは、IAM Roleを使う
• オンプレミス環境やAWS外のアプリケーションなどからAWSサービ スを利用する際にはIAM Roles Anywhereを利用し、セキュリティを 担保するベストプラクティス • 必要に応じた適切なセキュリティサービスの選定をしましょう!
余談 第37回での登壇の際に話した、ポリシーの ”拒否の許可”が思っ ている以上にパワーワード化してて笑いました。 この詳細でもまた登壇したいです。
yuri_snowwhite
popppiees
nmsamuel
katarinadahlin
tmiket
akihiro_kokubo
sergeychernyshev
lara
reverentgeek
ivargrimstad
.png){kind=avatar}
helenjbeal
techseoconnect
