Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

hiyanger
February 25, 2024
Technology
0
140

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

2024/2/26
(セゾン情報システムズ)color is【クラウドLT大会vol.7】フリーテーマ!
https://saison-coloris.connpass.com/event/308746/

hiyanger

February 25, 2024
Tweet

More Decks by hiyanger

See All by hiyanger
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
9
2.4k
テックブログのレベルを上げるために 抑えておくべき3つのポイント
hiyanger
0
85
もくもく会はなぜ良いのか?
hiyanger
0
67
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
110
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
560
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
330
技術領域や裁量を飛躍させる転職
hiyanger
0
53
AWS環境にTenableしたら わらわら問題がでた話
hiyanger
0
110

Other Decks in Technology

See All in Technology
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Platform Engineering for Software Developers and Architects
syntasso
1
520
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
Terraform Stacks入門 #HashiTalks
msato
0
350
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
250
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
TypeScript、上達の瞬間
sadnessojisan
46
13k

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
GraphQLとの向き合い方2022年版
quramy
43
13k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
860
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k

Transcript

  1. AWS Codeシリーズで構築した Terraformパイプラインの ユーザー側IAM

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね! 趣味:弾き語り 好きなAWSサービス:CloudFormation https://speakerdeck.com/hiyanger

  3. もくじ 全体構成 運用者/IAMポリシー 商用環境での管理者/IAMポリシー MFAポリシーとCodeCommit認証 検証環境での管理者/IAMポリシー 簡易設計

  4. 全体構成

  5. 全体構成 クロスアカウントにより、developブランチは検証、mainブランチは商用というリポジトリの一元管理を行っている。 developブランチは主に運用者、mainブランチは管理者で操作という大まかなイメージ。 ※黒線:パイプラインのメイン動作 緑線:アーティファクト系の動作 オレンジ線:Terraformのバックエンド動作

  6. 簡易設計

  7. IAM 簡易設計 ▪ 基本  ActionやResourceでアスタリスク(*)の使用でリスクを伴う場合は使用を避ける。  全アクションやリソースが許可されたりして、意図しない操作ができるようになってしまったりする。  (参考元をそのまま使うと*のままになってるパターンが多い) ▪ 管理者/運用者 共通

     ・リポジトリは削除できない  ・mainブランチにはpushできない  ・develop/mainブランチは削除できない ▪ 運用者(検証環境のみ)  ・別のリポジトリは全アクションできない  ・developブランチにpushできない  ・mainブランチへのマージはできない  ・全設定変更できない 忙しさに負けてポリシーをゆるくしてし まいがちですが、最大限の努力をして最 小権限のポリシーを作り上げましょう!

  8. 運用者/IAMポリシー

  9. 運用者/IAMポリシー A/運用者はdevelopブランチまでの操作、 検証環境でのパイプライン操作が可能

  10. 運用者/IAMポリシー ※権限はホワイトリスト形式で作成 ▪ CodeCommit  ・全般的なCodeCommit利用権限(*は使わずに)  ・developブランチやmainブランチにpushやdeleteをさせない  ・developブランチだけにマージができる ▪ CodePipeline  ・全般的な閲覧とBuild間の承認が可能

    ▪ CodeBuild  ・CodePipeline動作時のログ確認が可能(logs権限も必要) { "Action": [ "codecommit:GitPush", "codecommit:DeleteBranch" ], "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] }, "Null": { "codecommit:References": "false" } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:${env}-codecommit" }, ブランチの指定が可能 テストは大変です

  11. 管理者/IAMポリシー

  12. 【検証環境】管理者/IAMポリシー B/管理者は検証環境で全操作と商用環境での パイプライン承認が可能

  13. 【検証環境】管理者/IAMポリシー ※権限はブラックリスト形式で作成  (PowerUserあり) ▪CodeCommit  ・リポジトリを削除させない  ・develop、mainブランチを削除させない  ・mainブランチにはpushできない { "Action": "codecommit:DeleteBranch",

    "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:*" }, pushじゃなければnullの 記述はなくてOK

  14. 【商用環境】管理者/IAMポリシー ※権限はホワイトリスト形式で作成 (ReadOnlyあり) ▪CodePipeline  ・Build間のApprovalを承認できる { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Action": "codepipeline:PutApprovalResult", "Resource": "arn:aws:codepipeline:ap-northeast-1:${account-id}:prd-codepipeline-terraform/Approval/plan-app roval" } ] }

  15. MFAポリシーと CodeCommit認証

  16. MFAポリシーとCodeCommit認証 MFAのポリシー利用が設定されてる場合は CodeCommitの許可設定が必要

  17. MFAポリシーとCodeCommit認証 CodeCommitは認証時にhttpsを利用しているた め、MFAを設定(MFAを利用していない場合は 操作できない)していると、アクセスが拒否 される。 そのため、CodeCommitはMFA認証の対象から除 外する必要がある。 { "Sid": "DenyActionWithoutMFA",

    "Effect": "Deny", "NotAction": [ "codecommit:GitPull", "codecommit:GitPush", "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } { "Sid": "DenyKMSActionWithoutMFA", "Effect": "Deny", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "NotResource": "arn:aws:kms:ap-northeast-1:${account-id}:key/${aws-codecommit-k ey-id}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ①CodeCommitとKMS関連しないMFAアクセスを拒否 (CodeCommitとKMSは許可) ②CodeCommitに関連しないKMSアクセスを拒否

  18. Thanks!! ・構築中の忙しさに負けてポリシーをゆるくしていまわないよう、  最大限の努力をして最小権限のポリシーを作り上げましょう! ・権限の作り方によっては細かいテストが必要になります。  正常異常含め網羅性のあるテスト実施をしましょう。 ・IAMまわりは思ったより工数がかかるので、  事前に十分な工数確保しておきましょう。 本資料 https://speakerdeck.com/hiyanger/aws-codesirizudegou-zhu-sitaterraform paipurainnoyuzace-iam

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://speakerdeck.com/hiyanger https://zenn.dev/hiyanger 過去のスライド Codeシリーズで作るTerraformのCICDパイプラインの概要 https://speakerdeck.com/hiyanger/codesirizudezuo-ruterraformnocicdpa ipurain AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方 https://speakerdeck.com/hiyanger/aws-codesirizuwoshi-tuta-terraformn ocicdpaipurainnozuo-rifang