Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20260126_JAWS_Osaka
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Takuya Yonezawa
January 26, 2026
Technology
0
6
20260126_JAWS_Osaka
Takuya Yonezawa
January 26, 2026
Tweet
Share
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
takuyay0ne
4
680
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
150
20250920_ServerlessDays
takuyay0ne
9
4k
20250913_JAWS_sysad_kobe
takuyay0ne
2
370
20250719_JAWS_kobe
takuyay0ne
1
300
20250708_JAWS_opscdk
takuyay0ne
2
220
20250509_reCheers
takuyay0ne
1
220
20250416_CB_Kansai
takuyay0ne
3
85
20250122_FinJAWS
takuyay0ne
2
620
Other Decks in Technology
See All in Technology
Kusakabe_面白いダッシュボードの表現方法
ykka
0
390
AI時代にあわせたQA組織戦略
masamiyajiri
4
2k
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
200
AIとともに歩む情報セキュリティ / Information Security with AI
kanny
1
620
さくらのクラウドでのシークレット管理を考える/tamachi.sre#2
fujiwara3
1
210
Vivre en Bitcoin : le tutoriel que votre banquier ne veut pas que vous voyiez
rlifchitz
0
360
アウトプットはいいぞ / output_iizo
uhooi
0
140
The Engineer with a Three-Year Cycle - 2
e99h2121
0
180
Claude Codeベストプラクティスまとめ
minorun365
41
23k
プロダクトエンジニアこそ必要なPMスキル 〜デリバリー力を最大化し、価値を届け続けるために〜
layerx
PRO
0
120
Databricks Free Editionで始めるLakeflow SDP
taka_aki
0
200
GitHub Copilot CLI 現状確認会議
torumakabe
12
4.4k
Featured
See All Featured
The Curious Case for Waylosing
cassininazir
0
220
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Are puppies a ranking factor?
jonoalderson
1
2.6k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
180
Optimising Largest Contentful Paint
csswizardry
37
3.6k
Marketing to machines
jonoalderson
1
4.6k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
50
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.2k
Tell your own story through comics
letsgokoyo
1
790
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
110
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
85
Claude Code のすすめ
schroneko
67
210k
Transcript
1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap
2 © 2026 Japan Digital Design, Inc. 自己紹介
3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:
4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!
最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい
5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに
自動生成したい
6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/
7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている! これは開発者は期待しちゃうね!
8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM
Policy Autopilotの性能とやらを
9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish
10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了
11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋
12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK
権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる
13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!
14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete
15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!
16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない
17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない
18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas
19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい
20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける
Thank you. 21 © 2026 Japan Digital Design, Inc.
takuyay0ne
ykka
masamiyajiri
nagisa53
kanny
fujiwara3
rlifchitz
uhooi
e99h2121
minorun365
layerx
taka_aki
torumakabe
cassininazir
panda_program
jonoalderson
uxyall
csswizardry
livdayseo
kevinliebholz
letsgokoyo
mkilby
.png){kind=avatar}
helenjbeal
schroneko
