Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう!
Search
アキキー
March 26, 2025
1
550
Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう!
アキキー
March 26, 2025
Tweet
Share
More Decks by アキキー
See All by アキキー
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
4
640
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
280
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
3
390
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
36
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
660
Amazon Bedrockマルチエージェントコラボレーションを諦めてLangGraphに入門してみた
akihisaikeda
1
440
JAWS_DAYS_2025_アーキテクチャ道場発表資料_ブラックサンダーズ
akihisaikeda
0
750
Amazon Bedrock Agentsで始める サーバーレスAIエージェント
akihisaikeda
0
150
Featured
See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
47
9.6k
It's Worth the Effort
3n
185
28k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Speed Design
sergeychernyshev
32
1.1k
Facilitating Awesome Meetings
lara
54
6.5k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
How STYLIGHT went responsive
nonsquared
100
5.7k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.3k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Become a Pro
speakerdeck
PRO
29
5.5k
Transcript
JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! Amazon Q Developer CLIと一緒に 最小権限の原則を守ったIAMポリシーを作ろう! 2025.03.26(水) 池田
晃尚(@akikii__) 1
自己紹介 アキキー(池田 晃尚) ALH株式会社(SES) AWSエンジニア 好きなサービス:CDK, Bedrock 出身:石川県 金沢市 趣味:コーヒー
Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを 作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 2
Agenda Amazon Q Developer CLIとは? IAMポリシーとは? IAMポリシー:ホワイトリストパターンのつらみ IAMポリシーをQ CLIと一緒に作ってみよう! まとめ
Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 3
Amazon Q Developer CLIとは? AWSが提供している生成AIを利用したAIエージェントが搭載されている AWSに強く、実際にAWS環境にアクセスしてくれる Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう!
JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 4
Q CLIが利用できるツール ツール:AIエージェントが外部とやりとりでき るアプリ use_aws:AWS CLIコマンドの実行 execute_bash:Bashコマンドの実行 fs_read:ファイルの読み込み fs_write:ファイルの書き込み Amazon
Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 5
IAMポリシーとは? • AWSの各リソースに対しての操作権限を管理する仕組み • 「許可/拒否」 「どの操作を」 「どのリソースに対して」 「どのような条件で」を定義 { "Effect":
"Allow", "Action": ["s3:GetObject"], "Resource": ["arn:aws:s3:::example-bucket/*"] } 「IAMユーザー」 「IAMグループ」 「IAMロール」に紐づけて使う Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 6
IAMポリシー:ホワイトリストパタ ーンのつらみ 明示的に許可されたアクションのみを実行可 明示的な許可: 特定のアクション、リソー ス、条件のみを明示的に許可 デフォルト拒否: 明示的に許可されていな いすべてのアクションはデフォルトで拒否 最小権限:
必要最低限の権限のみを付与 → 全てのAPIアクションを理解して作るにはか なり労力がかかる Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 7
IAMポリシーをQ CLIと一緒に作ってみよう! Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 8
設計するポリシーの要件 開発者が特定のLambda関数にたいし全ての権限をもちたい 関連するリソース(Logs, IAMロールなど)は見れるようにしたい Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS
Expert視聴後のLT会! 9
プロンプト IAMポリシーを作成・IAMユーザーに アタッチするプロンプトを作りまし た resources: 指定するリソース environment: AWS環境 operation: ポリシーの要件
Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを 作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 10
Q CLIにリクエストしてみる それっぽいIAMポリシーができた Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを 作ろう! JAWS-UG初心者支部#63 AWS
Expert視聴後のLT会! 11
よくみると... 大きい権限をもってしまっ ている Amazon Q Developer CLIと一緒に最小権限の原則を守った IAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS
Expert視聴後のLT会! 12
最小権限の原則とは 必要な権限だけを与え、それ以上は与えな いという考え セキュリティリスクを最小限に抑え、意図 しないアクセスや誤操作によるリスクを軽 減することが目的 今回だとLambda関数: first-sample-functionに 関連しないリソースの操作を与えない Amazon
Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 13
Q CLIにリクエスト Sid:AllowRelatedResourcesView 最小権限の原則を適用して 結果(Logsのみ抜粋): 対象関数のログのみ閲覧できるように絞れた! Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう!
JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 14
それではポリシーの作成&アタッチをしてもらいます Q CLIにリクエスト IAMポリシーを作成して指定したIAMユーザーにアタッチして Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS
Expert視聴後のLT会! 15
IAMポリシーが作成された Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを 作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 16
IAMポリシーがIAMユーザーにアタッ チされた Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを 作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会!
17
IAMポリシーがアタッチできたのでLambda関数の画面を開いてみる Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 18
開けてる〜〜 Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 19
ログも見れる〜〜〜 Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 20
アッ Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 21
でも大丈夫!! Q CLIがいるから!! Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会!
22
エラーメッセージを Q CLIにリクエストしてみる ユーザー: arn:aws:iam::xxx:user/q-cli-sample-user アクション: iam:GetPolicy リソース : arn:aws:iam::xxx:policy/service-role/AWSLambdaBasicExecutionRole-xxx
コンテキスト: no identity-based policy allows the action Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 23
ステートメントを 追加してくれた Amazon Q Developer CLIと一緒に最小権限の原則を守った IAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会!
24
IAMポリシーを 更新してくれた Amazon Q Developer CLIと一緒に最小権限の原則を守った IAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会!
25
アクセスできるようになった! Amazon Q Developer CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 26
まとめ IAMポリシー作成の労力を大幅に削減できる 最小権限の原則を守りながら効率的にポリシーを作れる 足りない権限があればQ CLIに聞きながら追加できる Q CLIは面倒臭い作業における最強の味方! Amazon Q Developer
CLIと一緒に最小権限の原則を守ったIAMポリシーを作ろう! JAWS-UG初心者支部#63 AWS Expert視聴後のLT会! 27
akihisaikeda
mongodb
3n
bluesmoon
iamctodd
bkeepers
sergeychernyshev
lara
addyosmani
nonsquared
garrettdimon
samlambert
speakerdeck
