Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

hiyanger
February 25, 2024
0
76

AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM

2024/2/26
(セゾン情報システムズ)color is【クラウドLT大会vol.7】フリーテーマ!
https://saison-coloris.connpass.com/event/308746/

hiyanger

February 25, 2024
Tweet

More Decks by hiyanger

See All by hiyanger
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
17
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
280
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
250
技術領域や裁量を飛躍させる転職
hiyanger
0
17
AWS環境にTenableしたら わらわら問題がでた話
hiyanger
0
37
IaC(CloudFormaitonでログ運用と監視システムを作ってみて)
hiyanger
0
26
CloudFormationとTerraformを 比較してみた
hiyanger
1
340
AWS CloudFormationで作るログ運用と監視システム
hiyanger
0
96

Featured

See All Featured
Thoughts on Productivity
jonyablonski
60
3.9k
Six Lessons from altMBA
skipperchong
22
3k
Unsuck your backbone
ammeep
664
57k
Building Flexible Design Systems
yeseniaperezcruz
320
37k
Into the Great Unknown - MozCon
thekraken
15
1.1k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Making the Leap to Tech Lead
cromwellryan
125
8.6k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
7k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Product Roadmaps are Hard
iamctodd
45
9.8k
Designing Experiences People Love
moore
136
23k

Transcript

  1. AWS Codeシリーズで構築した Terraformパイプラインの ユーザー側IAM

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね! 趣味:弾き語り 好きなAWSサービス:CloudFormation https://speakerdeck.com/hiyanger

  3. もくじ 全体構成 運用者/IAMポリシー 商用環境での管理者/IAMポリシー MFAポリシーとCodeCommit認証 検証環境での管理者/IAMポリシー 簡易設計

  4. 全体構成

  5. 全体構成 クロスアカウントにより、developブランチは検証、mainブランチは商用というリポジトリの一元管理を行っている。 developブランチは主に運用者、mainブランチは管理者で操作という大まかなイメージ。 ※黒線:パイプラインのメイン動作 緑線:アーティファクト系の動作 オレンジ線:Terraformのバックエンド動作

  6. 簡易設計

  7. IAM 簡易設計 ▪ 基本  ActionやResourceでアスタリスク(*)の使用でリスクを伴う場合は使用を避ける。  全アクションやリソースが許可されたりして、意図しない操作ができるようになってしまったりする。  (参考元をそのまま使うと*のままになってるパターンが多い) ▪ 管理者/運用者 共通

     ・リポジトリは削除できない  ・mainブランチにはpushできない  ・develop/mainブランチは削除できない ▪ 運用者(検証環境のみ)  ・別のリポジトリは全アクションできない  ・developブランチにpushできない  ・mainブランチへのマージはできない  ・全設定変更できない 忙しさに負けてポリシーをゆるくしてし まいがちですが、最大限の努力をして最 小権限のポリシーを作り上げましょう!

  8. 運用者/IAMポリシー

  9. 運用者/IAMポリシー A/運用者はdevelopブランチまでの操作、 検証環境でのパイプライン操作が可能

  10. 運用者/IAMポリシー ※権限はホワイトリスト形式で作成 ▪ CodeCommit  ・全般的なCodeCommit利用権限(*は使わずに)  ・developブランチやmainブランチにpushやdeleteをさせない  ・developブランチだけにマージができる ▪ CodePipeline  ・全般的な閲覧とBuild間の承認が可能

    ▪ CodeBuild  ・CodePipeline動作時のログ確認が可能(logs権限も必要) { "Action": [ "codecommit:GitPush", "codecommit:DeleteBranch" ], "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] }, "Null": { "codecommit:References": "false" } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:${env}-codecommit" }, ブランチの指定が可能 テストは大変です

  11. 管理者/IAMポリシー

  12. 【検証環境】管理者/IAMポリシー B/管理者は検証環境で全操作と商用環境での パイプライン承認が可能

  13. 【検証環境】管理者/IAMポリシー ※権限はブラックリスト形式で作成  (PowerUserあり) ▪CodeCommit  ・リポジトリを削除させない  ・develop、mainブランチを削除させない  ・mainブランチにはpushできない { "Action": "codecommit:DeleteBranch",

    "Condition": { "StringEqualsIfExists": { "codecommit:References": [ "refs/heads/develop", "refs/heads/main" ] } }, "Effect": "Deny", "Resource": "arn:aws:codecommit:ap-northeast-1:${account-id}:*" }, pushじゃなければnullの 記述はなくてOK

  14. 【商用環境】管理者/IAMポリシー ※権限はホワイトリスト形式で作成 (ReadOnlyあり) ▪CodePipeline  ・Build間のApprovalを承認できる { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Action": "codepipeline:PutApprovalResult", "Resource": "arn:aws:codepipeline:ap-northeast-1:${account-id}:prd-codepipeline-terraform/Approval/plan-app roval" } ] }

  15. MFAポリシーと CodeCommit認証

  16. MFAポリシーとCodeCommit認証 MFAのポリシー利用が設定されてる場合は CodeCommitの許可設定が必要

  17. MFAポリシーとCodeCommit認証 CodeCommitは認証時にhttpsを利用しているた め、MFAを設定(MFAを利用していない場合は 操作できない)していると、アクセスが拒否 される。 そのため、CodeCommitはMFA認証の対象から除 外する必要がある。 { "Sid": "DenyActionWithoutMFA",

    "Effect": "Deny", "NotAction": [ "codecommit:GitPull", "codecommit:GitPush", "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } { "Sid": "DenyKMSActionWithoutMFA", "Effect": "Deny", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "NotResource": "arn:aws:kms:ap-northeast-1:${account-id}:key/${aws-codecommit-k ey-id}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ①CodeCommitとKMS関連しないMFAアクセスを拒否 (CodeCommitとKMSは許可) ②CodeCommitに関連しないKMSアクセスを拒否

  18. Thanks!! ・構築中の忙しさに負けてポリシーをゆるくしていまわないよう、  最大限の努力をして最小権限のポリシーを作り上げましょう! ・権限の作り方によっては細かいテストが必要になります。  正常異常含め網羅性のあるテスト実施をしましょう。 ・IAMまわりは思ったより工数がかかるので、  事前に十分な工数確保しておきましょう。 本資料 https://speakerdeck.com/hiyanger/aws-codesirizudegou-zhu-sitaterraform paipurainnoyuzace-iam

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://speakerdeck.com/hiyanger https://zenn.dev/hiyanger 過去のスライド Codeシリーズで作るTerraformのCICDパイプラインの概要 https://speakerdeck.com/hiyanger/codesirizudezuo-ruterraformnocicdpa ipurain AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方 https://speakerdeck.com/hiyanger/aws-codesirizuwoshi-tuta-terraformn ocicdpaipurainnozuo-rifang