Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260126_JAWS_Osaka

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Takuya Yonezawa Takuya Yonezawa
January 26, 2026
Technology
1
42

 20260126_JAWS_Osaka

Avatar for Takuya Yonezawa

Takuya Yonezawa

January 26, 2026
Tweet

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
20260228_JAWS_Beginner_Kansai
Avatar for Takuya Yonezawa takuyay0ne
5
470
20260204_Midosuji_Tech
Avatar for Takuya Yonezawa takuyay0ne
1
190
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
310
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Avatar for Takuya Yonezawa takuyay0ne
4
720
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
180
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
4.2k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
390
20250719_JAWS_kobe
Avatar for Takuya Yonezawa takuyay0ne
1
320
20250708_JAWS_opscdk
Avatar for Takuya Yonezawa takuyay0ne
2
240

Other Decks in Technology

See All in Technology
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.1k
JAWS Days 2026 楽しく学ぼう! 認証認可 入門/20260307-jaws-days-novice-lane-auth
Avatar for opelab opelab
10
1.7k
製造業ドメインにおける LLMプロダクト構築: 複雑な文脈へのアプローチ
Avatar for recruiting@caddi.jp caddi_eng
1
540
PMBOK第8版は第7版から何が変わったのか(PMBOK第8版概要解説) / 20260304 Takeshi Watarai
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
100
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
Avatar for wkm2 wkm2
4
460
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
Avatar for jyoshise jyoshise
0
210
[JAWSDAYS2026][D8]その起票、愛が足りてますか?AWSサポートを味方につける、技術的「ラブレター」の書き方
Avatar for hirosys hirosys_
3
110
20260311 技術SWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
130
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
Avatar for hrpnx kido_engineer
2
160
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
130
EMからICへ、二周目人材としてAI全振りのプロダクト開発で見つけた武器
Avatar for Yuji Yamaguchi yug1224
5
510
組織全体で実現する標準監視設計
Avatar for Yuto Obayashi yuobayashi
2
440

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
150
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
87
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
9.7k
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
300
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
10
1.1k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
240k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
77

Transcript

  1. 1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26

    最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap

  2. 2 © 2026 Japan Digital Design, Inc. 自己紹介

  3. 3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉

    である An error occurred (AccessDenied) when calling the xxx operation:

  4. 4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!

    最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい

  5. 5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに

    自動生成したい

  6. 6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/

  7. 7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ

    「ビルダー」と入っている! これは開発者は期待しちゃうね!

  8. 8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM

    Policy Autopilotの性能とやらを

  9. 9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +

    SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish

  10. 10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで

    /// 200行弱のLambdaコードが 1秒未満で解析終了

  11. 11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋

  12. 12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK

    権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる

  13. 13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole

    相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!

  14. 14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy

    + Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete

  15. 15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!

  16. 16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。

    Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない

  17. 17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda

    Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない

  18. 18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas

  19. 19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは

    最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい

  20. 20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける

  21. Thank you. 21 © 2026 Japan Digital Design, Inc.