AWSの権限周りが難しい話

IAMって難しいですよね。
私は最近ようやくルートユーザーを卒業しました。でも、ただのAdminユーザー料金周りが見えないのが不便ですね。料金が見えるユーザーあるプロジェクト用のユーザーとしっかりと管理していきたいです。

AWSのIAMのポリシーはjsonでかけ

初めての場合JsonではなくGUIでのアタッチを選んでしまいがちです。便利だし。
ただし、細かいことをやりたいというケースや色々なサービスにまたがった時アタッチの上限に引っ掛り不便になります。そうなる前になんとなくjson出かけるようになりましょう。

サービス名:権限,
サービス名:権限

と言った形に羅列するだけなので比較的簡単にできてしまいます。
自分の権限の把握もそのあとがやりやすいので気軽に自分の権限をJSONで書いていきましょう。

Adminユーザーを作り多要素認証しろ

セキュリティ的に重要。いつまでrootユーザーでログインしてるんですか？という話になる。
ついでに、毎回可読性の低い文字を読む営みからも解放される。自分は多要素認証にGoogle Authenticatorを使っている。初期設定時に求められる2つの多要素認証コードというのに詰まったが、コードを発行したら1個目の数字コードとその次の数字コードを入力すればいいという意味である。難しい。
そのうちgithubActionのデプロイ時にもこれを入力しないといけなくなるんだろうな。
この辺の実装は来年への課題としたいと思います。

それでもエラーを吐く

SAMの実行ロールに権限なくて怒られることが多い。特にロールバック時のデリート権限なくて怒られた時は手動で止めないといけないため目も当てられない。削除ロールは(ロールバック用に適切な範囲で)セットで作っておくと良いだろう。その辺のJSONは私は感覚でやっているためアンチパターンも孕んでいるのだろうと思いつつ改善は来年への土産としておこうと思う。