Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20260126_JAWS_Osaka
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Takuya Yonezawa
January 26, 2026
Technology
1
37
20260126_JAWS_Osaka
Takuya Yonezawa
January 26, 2026
Tweet
Share
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260204_Midosuji_Tech
takuyay0ne
1
170
20260129_CB_Kansai
takuyay0ne
1
290
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
takuyay0ne
4
720
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
170
20250920_ServerlessDays
takuyay0ne
9
4.1k
20250913_JAWS_sysad_kobe
takuyay0ne
2
380
20250719_JAWS_kobe
takuyay0ne
1
310
20250708_JAWS_opscdk
takuyay0ne
2
230
20250509_reCheers
takuyay0ne
1
240
Other Decks in Technology
See All in Technology
SchooでVue.js/Nuxtを技術選定している理由
yamanoku
3
390
Context Engineeringの取り組み
nutslove
0
440
Cloud Runでコロプラが挑む 生成AI×ゲーム『神魔狩りのツクヨミ』の裏側
colopl
0
230
Oracle Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
3
1.4k
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.4k
Cosmos World Foundation Model Platform for Physical AI
takmin
0
1k
Amazon Rekognitionで 「信玄餅きなこ問題」を解決する
usanchuu
1
220
GitHub Copilot CLI を使いやすくしよう
tsubakimoto_s
0
160
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
tsukaman
1
240
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
oqtopus
0
300
ZOZO.swift #2
zozotech
PRO
0
130
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
230
Featured
See All Featured
Designing for humans not robots
tammielis
254
26k
Odyssey Design
rkendrick25
PRO
1
510
From π to Pie charts
rasagy
0
130
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
450
Being A Developer After 40
akosma
91
590k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
490
Build your cross-platform service in a week with App Engine
jlugia
234
18k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
240
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
840
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
360
Raft: Consensus for Rubyists
vanstee
141
7.3k
Transcript
1 © 2026 Japan Digital Design, Inc. Takuya Yonezawa 2026.01.26
最小権限 1分 クッキング JAWS-UG大阪 re:Invent re:Cap
2 © 2026 Japan Digital Design, Inc. 自己紹介
3 © 2026 Japan Digital Design, Inc. 最小権限 それは 呪いの言葉
である An error occurred (AccessDenied) when calling the xxx operation:
4 © 2026 Japan Digital Design, Inc. あるある言いたい このLambdaには 最小権限を付与してます!
最小権限ポリス これはガチでマジで 最小権限になっとるんか? 多分(ほぼ)最小権限です。。 そんなことばっかり言うから 権限エラーとか起きて 開発スピード落ちるねん あとポリシー運用しんどい
5 © 2026 Japan Digital Design, Inc. あるある言いたい 最小権限ポリシーを ええ感じに
自動生成したい
6 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/
7 © 2026 Japan Digital Design, Inc. 神アップデート?現る https://aws.amazon.com/jp/about-aws/whats-new/2025/11/iam-policy-autopilot-generate-iam-policies-code/ アップデートのタイトルにわざわざ
「ビルダー」と入っている! これは開発者は期待しちゃうね!
8 © 2026 Japan Digital Design, Inc. お手並み拝見 見せてもらおうか IAM
Policy Autopilotの性能とやらを
9 © 2026 Japan Digital Design, Inc. Case.1 S3バケット内のオブジェクトRead +
SQSメッセージ送信 Lambda (Python+boto3) S3 SQS Read Publish
10 © 2026 Japan Digital Design, Inc. Case.1 /// 中身のStatementは次のページで
/// 200行弱のLambdaコードが 1秒未満で解析終了
11 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋
12 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 リソース句が広いがまあOK
権限広すぎかと思いきや肝心の オブジェクトコピー権限が無い! てかバケットの設定変えられる ようになってるやんけ! 君は一体どこから来たんだい? KMS暗号化した SQSへのメッセージ送信を 考慮したポリシーだと思われる 無くてもOK。 そしてリソース句が広すぎる
13 © 2026 Japan Digital Design, Inc. Case.1 生成されたポリシーのStatementブロックを抜粋 AWSLambdaBasicExecutionRole
相当の権限が付いていない! CloudWatch Logsのログ記録無し! まさに漢運用!!
14 © 2026 Japan Digital Design, Inc. Case.2 S3への Read/Copy
+ Aurora/DynamoDBへのWrite/Delete S3 (Input) Aurora DynamoDB S3 (Archive) Lambda (Python+boto3+VPC) SQS Read Copy Write Write/ Delete
15 © 2026 Japan Digital Design, Inc. Case.2 生成されたポリシーのStatementブロックを抜粋 省略!
16 © 2026 Japan Digital Design, Inc. 感想 Resource句広すぎ問題 アクセス先リソースは環境変数で渡している。
Resource句も厳密に設定してもらうには IaCコードまで解析対象を伸ばさなければいけない 現状 IAM Policy Autopilotではサポート外、 Lambdaコードの解析のみ可能。 これはしゃーない
17 © 2026 Japan Digital Design, Inc. 感想 生成される許可アクションが斜め上な件 Lambda
Powertoolsや Aurora接続用のORMライブラリ、 boto3 Resource API、 Layerで挟み込んでいる自作ラッパー起因か。 純粋なboto3 Client APIであれば もう少し精度が良くなると思われる これもしゃーない
18 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas
19 © 2026 Japan Digital Design, Inc. 感想 https://www.youtube.com/watch?v=vgA_sq99Kas Autopilotで生成されるIAMポリシーは
最小権限を保証するものではない より良い最小権限のスタートポイント として活用して欲しい
20 © 2026 Japan Digital Design, Inc. まとめ ツールに完璧を求めるな! IAM職人はまだまだ食っていける
Thank you. 21 © 2026 Japan Digital Design, Inc.
takuyay0ne
yamanoku
nutslove
colopl
oracle4engineer
yuu26
takmin
usanchuu
tsubakimoto_s
tsukaman
oqtopus
zozotech
keiichiito1978
tammielis
rkendrick25
rasagy
reverentgeek
akosma
kimpetersen
jlugia
greggifford
cassininazir
tammyeverts
konakalab
vanstee
