Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20260126_JAWS_Osaka
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Takuya Yonezawa
January 26, 2026
Technology
58
1
Share
20260126_JAWS_Osaka
Takuya Yonezawa
January 26, 2026
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
3
650
20260422_Midosuji_Tech
takuyay0ne
2
58
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
takuyay0ne
3
530
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
680
20260204_Midosuji_Tech
takuyay0ne
1
230
20260129_CB_Kansai
takuyay0ne
1
360
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
takuyay0ne
4
760
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
200
20250920_ServerlessDays
takuyay0ne
9
4.3k
Other Decks in Technology
See All in Technology
AI フレンドリーなエラー監視を TypeScript で実現する
shinyaigeek
2
190
layerx-fde-practices
cipepser
6
2.9k
CloudFront VPCオリジンとVPC Latticeサービスの内部ALBをマルチアカウントで一元利用しよう
duelist2020jp
5
260
NFLコンペ2026 解法
lycorptech_jp
PRO
0
130
Kaggle未経験社員をメダリストに育てる「AIドラゴン桜」
lycorptech_jp
PRO
0
650
string地獄を脱出する
sansantech
PRO
1
100
Agentic Design Patterns
glaforge
0
280
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
cm_yasuhara
0
390
GitHub Copilot CLIでWebアクセシビリティを改善した話
tomokusaba
0
120
AIが変えた"品質の守り方"
kkakizaki
13
5.4k
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
xpmatteo
0
510
Java正規表現エンジン(NFA)の仕組みと パフォーマンスを維持するための最適化手法
takeuchi_132917
0
150
Featured
See All Featured
Color Theory Basics | Prateek | Gurzu
gurzu
0
320
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.3k
Speed Design
sergeychernyshev
33
1.8k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.5k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
Accessibility Awareness
sabderemane
1
130
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
270
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.5k
Mind Mapping
helmedeiros
PRO
1
210
Building a Scalable Design System with Sketch
lauravandoore
463
34k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Transcript
1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap
2 © 2026 Japan Digital Design, Inc. 自己紹介
3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:
4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!
最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい
5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに
自動生成したい
6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/
7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている! これは開発者は期待しちゃうね!
8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM
Policy Autopilotの性能とやらを
9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish
10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了
11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋
12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK
権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる
13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!
14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete
15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!
16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない
17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない
18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas
19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい
20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける
Thank you. 21 © 2026 Japan Digital Design, Inc.
takuyay0ne
shinyaigeek
cipepser
duelist2020jp
lycorptech_jp
sansantech
glaforge
cm_yasuhara
tomokusaba
kkakizaki
xpmatteo
takeuchi_132917
gurzu
charlesmeaden
inesmontani
sergeychernyshev
samanthasiow
sabderemane
minecr
ipullrank
helmedeiros
lauravandoore
afnizarnur
