AWS CDKでリソースを作成する際の 判断フロー

Transcript

1. みんなのAWS CDK事情⼤公開スペシャル#3 製造ビジネステクノロジー部 コネクティッドカーチーム ⼩林 翔⾺ AWS CDKでリソースを作成する際の 判断フロー

2. ⾃⼰紹介 2 • ⾼校卒業 • トラックの運ちゃん • ⾼知県で漁師 • SES

   ◦ ビッグデータ分析基盤開発 • ⾃社開発 ◦ 労務管理WEBアプリケーション開発 • 2025.03~ クラスメソッド⼊社  ◦ ⾃動⾞のコネクティッドサービス開発 ▪ サーバーサイドエンジニア • 最近の出来事 ◦ 茨城県の⿓神バンジーで100mバンジー ◦ クラスメソッドベトナムオフィスに突撃 • 部署 ◦ 製造ビジネステクノロジー部 コネクティッドカーチーム • 名前 ◦ ⼩林 翔⾺ • 住まい ◦ 東京 • 2025 Japan All AWS Certifications Engineers

3. 今⽇お話しすること 3 1. 背景（きっかけ） 2. 結論 3. CDK化の判断フロー 4. 実践例：Security

   Hub の新コントロールをCDKで実装 5. まとめ

4. 前提 4 • AWS のリソースを CDK (TypeScript) で実装したい⽅

5. 背景 Security Hub の新コントロール [SSM.7] への対応

6. きっかけ 6 • AWS Security Hub に新しいコントロール [SSM.7] がリリースされた •

   これにより、Security Hub から MEDIUM のアラートが発⽣ • アラートを抑制するためにリソースを修正する⽅針となった https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/doc-history.html

7. いつも通り L2 コンストラクトで実装しよう😎

8. きっかけ 8 • 壁にぶつかる ◦ 第⼀の困惑 ▪ ドキュメントを確認 • 「あれ？L2に該当するプロパティがない...」

   ◦ 第⼆の困惑 ▪ 「さらに調べると...L1でも⾒つからない。どうしよう...？」

9. きっかけ 9 • 壁にぶつかる ◦ 第⼀の困惑 ▪ ドキュメントを確認 • 「あれ？L2に該当するプロパティがない...」

   ◦ 第⼆の困惑 ▪ 「さらに調べると...L1でも⾒つからない。どうしよう...？」 困った....😔

10. 先輩からのアドバイス 「AWS の実装をCDK化する際の考え⽅があるんやで😎」

11. 結論 1 1 • AWS の実装をCDK化したい場合は、以下の順で実装可能性を検 討していくと良い ◦ L2 コンストラクト

    ◦ L1 コンストラクト ◦ カスタムリソース ◦ CLI‧マネコン L2 コンストラクト L1 コンストラクト カスタムリソース CLI ‧マネコン 上から順に 検討してい くと良い

12. なぜこの順番なのか？🧐 深掘りしてみる

13. CDK のレイヤーについておさらい 1 3 https://cloud.nri-net.com/reports/aws-cdk-report-2404/ 細かい制御が可能だが、抽象 化はされない。名前の接頭辞 に「Cfn」が利⽤される L1 Constructにデフォルト

    値や関数を加えて抽象化し たもの 複数のAWSリソースを組み 合わせてたもの（(API Gateway-Lambda-Dynamo DB等)）

14. L2 コンストラクトが良い理由 1 4 • 適切なデフォルトプロパティ設定、ベストプラクティスが設定 されている • ⾼度な抽象化が提供されており、少ないコードで実装可能

15. ベストプラクティスの設定がされている 1 5 S3 バケットを L2 コンストラクトで作成 S3バケットをL2コンストラクトでインスタ ンス化して作成したら、⾃動でパブリック アクセスブロックが付与される！😎

    S3 バケットを L1 コンストラクトで作成 パブリックアクセス のブロックは明⽰的 に記載する必要があ る🥺

16. ⾼度な抽象化が提供されており、少ないコードで実装可能 1 6 S3 バケット‧Lambda を L1 コンストラクトで作成 S3 バケット‧Lambda

    を L2 コンストラクトで作成 600⽂字 1688⽂字🥺 書ききれない！ grantRead で必要なIAMポリシーを⾃動作成

17. L2 コンストラクトが良い理由 1 7 • 開発効率とセキュリティの両⾯で⼤きなメリットがあるため、 CDK化をする際には、最初に検討すべき選択肢となる

18. L1 コンストラクト 1 8 • 抽象化はおこなわず、AWS CloudFormation リソースに直接 マッピングされる •

    CloudFormationリソースと1対1で対応しており、細かい制御 が可能 • こんな時に使う ◦ 細かいカスタマイズが必要な場合 ◦ L2で未対応の新しいプロパティを使いたい場合 ⚠ コード量が多くなりがち ⚠ AWSベストプラクティスは⾃分で実装する必要

19. カスタムリソース 1 9 • ⾃分でLambda関数を実装せずに、AWS APIを宣⾔的に呼び出 し、⼿動設定をコード化して⼀元管理できる • こんなときに使う ◦

    CDKでサポートされていないAWSサービスや複雑なロジッ クが必要な場合 ⚠ 実⾏タイミング：onCreate/onUpdate/onDelete を適切に選択 ⚠ Lambda実⾏時間制限：最⼤15分でタイムアウト

20. カスタムリソースについての詳細はこちらを 2 0 https://www.youtube.com/watch?v=KgA41_aZ9o0 morimorikochanさん https://dev.classmethod.jp/articles/shoma-security -hub-control-ssm7-block-public-sharing-settings-en abled-with-custom-resource/

21. CLI‧マネジメントコンソール 2 1 • CDKでの⾃動化が困難、または⼀時的な作業の場合の最終⼿段 として⼿動操作を検討する ⚠ 『再現性の低下』や『設定ミスのリスク』があるためCDKでの実 装を⽬指す上では最終⼿段となる

22. 実際にCDK化を⾏った際のフロー

23. SecurityHubコントロール [SSM.7] の対応 • 要件 ◦ Security Hubの新コントロール [SSM.7] のアラート対応

    ◦ SSMドキュメントのパブリック共有ブロックを有効化する ことで、 [SSM.7] のアラートを 解消する

24. SecurityHubコントロール [SSM.7] の対応 • 実際におこなったCDK化のフロー L2 コンストラクトの調査 方法 APIリファレンス等でSSM関連の L2コンストラクトを確認

    結果 パブリック共有ブロック設定のプ ロパティが見つからない ❌ Step 1 Step 2 Step 3 L1 コンストラクトの調査 方法 APIリファレンス等でSSM関連の L1コンストラクトを確認 結果 パブリック共有ブロック設定のプ ロパティが見つからない ❌ カスタムリソース の調査 方法 AWS CLIドキュメントでSSM関連の APIコマンドを調査 結果 aws ssm update-service-settingコ マンドで設定変更が可能！ ✅󰢏

25. SecurityHubコントロール [SSM.7] の対応 • L2、L1から実装可能性を検討し、最後にカスタムリソースで実装 • このフローに則ることで、CDKのメリットを最⼤限に活かしつつ、 AWSリソースをコードで管理していくことが可能になるのかなと思い ます

26. まとめ 2 6 • AWS の実装をCDK化したい場合は、以下の順で実装可能性 を検討していくと良い！ ◦ L2 コンストラクト

    ◦ L1 コンストラクト ◦ カスタムリソース ◦ CLI‧マネコン

27. ご清聴ありがとうございました