「AWSの薄い本 IAMのマニアックな話」に続き、同じ著者の本です。この本はIAM以外のAWSセキュリティサービスについて詳しく解説されています。
AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー
GuardDutyやConfig、CloudTrailなどAWSを本格的に利用するためには必須のセキュリティサービスについて実用的な内容が書かれており、大変参考になりました。
ただし、半分くらいはマルチアカウントをAWS Oraganizationsで管理することを前提にした内容になっています。その点、私は実務上、一つのアカウントの管理しか実施していないため、ピンとこない部分もありましたが、マルチアカウントを管理されている方にはとても有用な情報が多かったと思います。
例えば、所属するアカウントの初期設定を自動化するCloudFormationのStackSetsなどは知っているのと知らないのでは大違いだと思います。
説明がとても分かりやすいので、この著者の他のテーマ(EC2やRDSなど)の薄い本が発行されたら即買いしたいと思います。
CloudFormationでEC2インスタンスに既存のIAMロールを設定する場合には、ロールを設定したインスタンスプロファイルを作成して、インスタンスプロファイルをEC2インスタンスにセットする必要があります。
インスタンスプロファイルとは。。。
インスタンスプロファイルは IAM ロールのコンテナであり、インスタンスの起動時に EC2 インスタンスにロール情報を渡すために使用できます。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html
CloudFormationで既存のIAMロール(TESTROLE)をEC2に設定する場合の例↓
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Resources: MyEC2Instance: Type: AWS::EC2::Instance Properties: InstanceType: "t2.micro" IamInstanceProfile: !Ref MyInstanceProfile MyInstanceProfile: Type: AWS::IAM::InstanceProfile Properties: Path: "/" Roles: - "TESTROLE" |
“TESTROLE”の箇所を設定したいロール名にセットすればOKです。
AWS::EC2::Instanceの仕様
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html
AWS::IAM::InstanceProfileの仕様
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-iam-instanceprofile.html
会社でAWSの管理者のような立ち位置になり始めて、自分以外にも会社のAWSアカウントを使うようになった。自分だけで使っていた時には味わうことが無かった難しさがある。
それは、アカウント、セキュリティの管理維持である。
どのようなIAMグループを作成して、どのようなポリシーを割り当てるべきなのか?よりセキュアな環境のために、IPアドレス制限、MFA(多要素認証)を考えなければならない。
他の人はどうやってるの?自分のやり方は合ってるの?と自問自答する日々が続いたが、この書籍に出会ってモヤモヤが晴れました。
この本はIAMのみにフォーカスして、具体的なユースケースで解説されています。あるべき論を気持ちよく語っている本はよくありますが、この本はより現実的に運用できる具体的な方法論が語られており、ここ最近読んだ本の中で一番内容の濃いものでした。
もう一回書きますが、本当に具体的な方法論が書かれています。AWSを管理する人は必携の本と思います。
そして、実践するためのIAMグループ、ポリシーを作成するCloudFormationテンプレートが付いています!これ使い始めるだけでも、だいぶレベルアップできる。
あと、今まで同人誌というものを買ったことが無かったのですが、このようなニッチ??な内容の本があって、これもありだなと思いました。
