Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

Avatar for hiyanger hiyanger
February 25, 2024
Technology
250
0

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

2024/2/26
(セゾン情報システムズ)color is【クラウドLT大会vol.7】フリーテーマ!
https://saison-coloris.connpass.com/event/308746/

Avatar for hiyanger

hiyanger

February 25, 2024

More Decks by hiyanger

See All by hiyanger
SREに優しいTerraform構成 modulesとstateの組み方
Avatar for hiyanger hiyanger
2
210
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
Avatar for hiyanger hiyanger
14
4k
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
Avatar for hiyanger hiyanger
4
140
CIer に在籍した 3年間 でやったこと
Avatar for hiyanger hiyanger
2
370
これからクラウドエンジニアになるために本当に必要なスキル 5選
Avatar for hiyanger hiyanger
1
800
クラウド食堂とは?
Avatar for hiyanger hiyanger
0
440
Amazon ECS とマイクロサービスから考えるシステム構成
Avatar for hiyanger hiyanger
2
1.5k
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
Avatar for hiyanger hiyanger
0
130
Terraform で作る Amazon ECS の CI/CD パイプライン
Avatar for hiyanger hiyanger
1
500

Other Decks in Technology

See All in Technology
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
Avatar for 株式会社出前館 demaecan
1
740
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
Avatar for usanchuu usanchuu
3
140
LayerXにおけるセキュリティ管理の現在地と次の一手
Avatar for tosho tosho
0
170
アンオフィシャルな、オフィシャルからのお願い
Avatar for wataru yamazaki (DevRel) wyamazak_devrel
0
100
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
Avatar for ebiken ebiken
PRO
2
300
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
Avatar for Hiroshi Tokoyo htokoyo
2
600
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
970
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
Avatar for zhang.william moulongzhang
2
310
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
2k
MCP Appsを作ってみよう
Avatar for iwamot iwamot
PRO
4
610
自宅LLMの話
Avatar for Kazuto Kusama jacopen
1
530
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
Avatar for MUSUBI musubi
0
150

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
610
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
22k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
3.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
210k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.9k
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
310
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.3k

Transcript

  1. AWS Codeシリーズで構築した Terraformパイプラインの ユーザー側IAM

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね! 趣味:弾き語り 好きなAWSサービス:CloudFormation https://speakerdeck.com/hiyanger

  3. もくじ 全体構成 運用者/IAMポリシー 商用環境での管理者/IAMポリシー MFAポリシーとCodeCommit認証 検証環境での管理者/IAMポリシー 簡易設計

  4. 全体構成

  5. 全体構成 クロスアカウントにより、developブランチは検証、mainブランチは商用というリポジトリの一元管理を行っている。 developブランチは主に運用者、mainブランチは管理者で操作という大まかなイメージ。 ※黒線:パイプラインのメイン動作 緑線:アーティファクト系の動作 オレンジ線:Terraformのバックエンド動作

  6. 簡易設計

  7. IAM 簡易設計 ▪ 基本  ActionやResourceでアスタリスク(*)の使用でリスクを伴う場合は使用を避ける。  全アクションやリソースが許可されたりして、意図しない操作ができるようになってしまったりする。  (参考元をそのまま使うと*のままになってるパターンが多い) ▪ 管理者/運用者 共通

     ・リポジトリは削除できない  ・mainブランチにはpushできない  ・develop/mainブランチは削除できない ▪ 運用者(検証環境のみ)  ・別のリポジトリは全アクションできない  ・developブランチにpushできない  ・mainブランチへのマージはできない  ・全設定変更できない 忙しさに負けてポリシーをゆるくしてし まいがちですが、最大限の努力をして最 小権限のポリシーを作り上げましょう!

  8. 運用者/IAMポリシー

  9. 運用者/IAMポリシー A/運用者はdevelopブランチまでの操作、 検証環境でのパイプライン操作が可能

  10. 運用者/IAMポリシー ※権限はホワイトリスト形式で作成 ▪ CodeCommit  ・全般的なCodeCommit利用権限(*は使わずに)  ・developブランチやmainブランチにpushやdeleteをさせない  ・developブランチだけにマージができる ▪ CodePipeline  ・全般的な閲覧とBuild間の承認が可能

    ▪ CodeBuild  ・CodePipeline動作時のログ確認が可能(logs権限も必要) { "Action": [ "codecommit:GitPush", "codecommit:DeleteBranch" ], "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] }, "Null": { "codecommit:References": "false" } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:${env}-codecommit" }, ブランチの指定が可能 テストは大変です

  11. 管理者/IAMポリシー

  12. 【検証環境】管理者/IAMポリシー B/管理者は検証環境で全操作と商用環境での パイプライン承認が可能

  13. 【検証環境】管理者/IAMポリシー ※権限はブラックリスト形式で作成  (PowerUserあり) ▪CodeCommit  ・リポジトリを削除させない  ・develop、mainブランチを削除させない  ・mainブランチにはpushできない { "Action": "codecommit:DeleteBranch",

    "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:*" }, pushじゃなければnullの 記述はなくてOK

  14. 【商用環境】管理者/IAMポリシー ※権限はホワイトリスト形式で作成 (ReadOnlyあり) ▪CodePipeline  ・Build間のApprovalを承認できる { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Action": "codepipeline:PutApprovalResult", "Resource": "arn:aws:codepipeline:ap-northeast-1:${account-id}:prd-codepipeline-terraform/Approval/plan-app roval" } ] }

  15. MFAポリシーと CodeCommit認証

  16. MFAポリシーとCodeCommit認証 MFAのポリシー利用が設定されてる場合は CodeCommitの許可設定が必要

  17. MFAポリシーとCodeCommit認証 CodeCommitは認証時にhttpsを利用しているた め、MFAを設定(MFAを利用していない場合は 操作できない)していると、アクセスが拒否 される。 そのため、CodeCommitはMFA認証の対象から除 外する必要がある。 { "Sid": "DenyActionWithoutMFA",

    "Effect": "Deny", "NotAction": [ "codecommit:GitPull", "codecommit:GitPush", "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } { "Sid": "DenyKMSActionWithoutMFA", "Effect": "Deny", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "NotResource": "arn:aws:kms:ap-northeast-1:${account-id}:key/${aws-codecommit-k ey-id}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ①CodeCommitとKMS関連しないMFAアクセスを拒否 (CodeCommitとKMSは許可) ②CodeCommitに関連しないKMSアクセスを拒否

  18. Thanks!! ・構築中の忙しさに負けてポリシーをゆるくしていまわないよう、  最大限の努力をして最小権限のポリシーを作り上げましょう! ・権限の作り方によっては細かいテストが必要になります。  正常異常含め網羅性のあるテスト実施をしましょう。 ・IAMまわりは思ったより工数がかかるので、  事前に十分な工数確保しておきましょう。 本資料 https://speakerdeck.com/hiyanger/aws-codesirizudegou-zhu-sitaterraform paipurainnoyuzace-iam

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://speakerdeck.com/hiyanger https://zenn.dev/hiyanger 過去のスライド Codeシリーズで作るTerraformのCICDパイプラインの概要 https://speakerdeck.com/hiyanger/codesirizudezuo-ruterraformnocicdpa ipurain AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方 https://speakerdeck.com/hiyanger/aws-codesirizuwoshi-tuta-terraformn ocicdpaipurainnozuo-rifang