「クラウド破産を回避するIaC実践ガイド」を読んでCDKで再実装しました

• クラウド破産を回避するInfrastructure as Code実践ガイド - KOS-MOS - BOOTH
  • 技術書典9で見つけました
  • AWSアカウントをセキュアに使うために、それ用のAWSリソースをTerraformで作成しようという内容

動機

• 全くノーガードだったものの、ちゃんとしたい気持ちは常にあった
  • AWSアカウントを作ったら最初にやるべきこと ～令和元年版～ | Developers.IO
    • こういうのもブックマークして積んだままになってた
    • 開発に 直接 関係しない部分だし…
  • とはいえ、毎月AWSにお金を払っているのだし、最低限のことはやっておきたい

やったこと

• Terraformで作成されているのを、AWS CDKで再実装
  • CDKの勉強にもなるし
  • 主に10章から18章、22章を対象にした
  • 作ったリソースは以下の通り
    • CloudTrail / AWS Config / GuardDuty / IAM Access Analyzer / Security Hub / Chatbot
    • これらに S3 / IAM / SNS らへんを連携させる
    • 22章では、月額の利用料金をSlack通知する Lambda Function を作成
• 作成したものはこちら
  • fourside/cloud-bankruptcy

やってみて

• IAMロールらへんの理解が曖昧だったのが、 少し 理解が進んだ
• AWS Config の料金が意外とかかる
  • ビジネスで使うなら微々たるものかもだけど、対象ルールが200弱で 1.9 USD/月 くらいになった
  • 逆にいうと、ほかはほとんどかからないのでやっておくのが得
• よくわからないタイミングでGuardDutyから通知がきて怖い…
  • Severity: LOW なので放置してしまっているが…
  • とはいえ、ちょっとしたことでも通知が来ることによる安心感のほうが大きい
• 利用料金のSlack通知が便利
  • 「普段ならこれくらいなのに、今月の予測値が高い」みたいな状況に気付ける
    • 後始末してなかったEC2リソース(インスタンスやElasticIP)があることに気づけた