Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20251108_SecJAWS_IAMSp
Search
snowwhite
November 07, 2025
0
26
20251108_SecJAWS_IAMSp
Security JAWS IAM Special by 20251108
snowwhite
November 07, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20250730_AWS_AmazonQ
yuri_snowwhite
1
88
20250601_storage_and_bigdate_JAWS
yuri_snowwhite
1
70
250226_SecurityJAWS
yuri_snowwhite
2
1.1k
20250521 yumemi_grow _ finatext
yuri_snowwhite
2
330
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
1
760
Security.Any #2
yuri_snowwhite
1
150
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
81
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
77
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
940
Featured
See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.7k
GitHub's CSS Performance
jonrohan
1032
470k
Designing for Performance
lara
610
69k
The agentic SEO stack - context over prompts
schlessera
0
560
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
31
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
69
Into the Great Unknown - MozCon
thekraken
40
2.2k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
61
47k
Automating Front-end Workflow
addyosmani
1371
200k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
120
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Transcript
AWS外でもIAMロールを利用しよう 2025/11/08 白"雪姫" a.k.a Yuki Sunaoka
アジェンダ • 自己紹介 • IAM ロールとは? • AWS外でIAM Roleを使うときの悩み •
IAM Roles Anywhere でAWSプリンシパル以外 にもIAM Roleを使用可能にする • 実際にやってみた • まとめ
自己紹介 • Name ◦ 白"雪姫"(しらゆき) a.k.a Yuki Sunaoka • Company
◦ 某話題のベンチャー企業 • Jobs ◦ SRE/Architect/Security • Community ◦ JAWS-UG クラウド女子会運営 ◦ JAWS-UG 情シス支部 運営 ◦ AWS Global Community Gatherings 運営 ◦ AWS Community Builders (Security) • SNS ID ◦ yuri_snowwhite • AWS Service ◦ AWS Inspector ↑大体この辺のアイコンで す
IAM Roleとは アカウントで作成できるアイデンティティのプリンシパルの 1つ 必要な人が任意に引き受けられる権限で長期認証情報が無い ロールを引き受けると一時的な認証情報を取得できる 永続的な認証情報ではないので仮に漏洩したとしても、 影響を小さくできる 基本的にはAWSプリンシパル以外は使えない AWS公式文書参照:
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_role s.html
AWSプリンシパルではない、オンプレミスやローカル環境でも一 時的な認証情報を使ってAWSサービスを利用するにはどうしたら よいか ↓ AssumeRole(SwitchRole)のみを行えるIAMユーザー(AWSプリンシパル)の永続 的認証情報を使って、AssumeRole で任意のIAMロールを引き受けるなどが考 えられる →最小権限とはいえ永続的な認証情報はやはり必要。 どーしよっか?!
AWS外でIAM Roleを使うときの悩み
IAM Roles Anywhere でAWSプリンシパル以 外にもIAM Roleを使用可能にする AWS外からS3へのアクセスや各種AWSサービスの操作を行う際 にIAM Roleを引き受けることができる AWS
IAM はグローバルサービスなのに対して、 IAM Roles Anywareはリージョナルサービスのため、必要なリージョンごと に設定を行う。
実際にやってみた 構成図 • IAM Roles Anywhereに必要なCA 局をAWSに構築 • IAM Roles
Anywhereを設定 • オンプレミス環境でIAM Roleを引き 受けられることを確認 • バックアップイメージを作ってS3バ ケットにアップロード • S3バケット内のオブジェクトをロー テーション
まとめ • 保守や構築といった人が操作する際には、 IAM Identity Centerを 利用してアクセス情報をできるだけ保持しない、永続化しない • AWS内のアプリケーションなどは、IAM Roleを使う
• オンプレミス環境やAWS外のアプリケーションなどからAWSサービ スを利用する際にはIAM Roles Anywhereを利用し、セキュリティを 担保するベストプラクティス • 必要に応じた適切なセキュリティサービスの選定をしましょう!
余談 第37回での登壇の際に話した、ポリシーの ”拒否の許可”が思っ ている以上にパワーワード化してて笑いました。 この詳細でもまた登壇したいです。
yuri_snowwhite
jnunemaker
jonrohan
lara
schlessera
techseoconnect
jdejongh
thekraken
nwiizo
addyosmani
tammyeverts
lemiorhan
