このセクションの記事

CloudFormationテンプレートのデプロイ(全リージョン対象)

佐伯 航
  • 更新
フォローする

[注意] クラスメソッドメンバーズのCloudTrailの初期設定が、リージョンごとではなく、全リージョン対応Trailを一つのリージョン(東京)に作る方針に変更されました。

ひとつのリージョンにデプロイを行う場合はこちらを参照してください。

従来通り全リージョンにデプロイを行う場合は、本ドキュメントをご覧ください。

 

CloudFormationテンプレートのデプロイ

クラスメソッドメンバーズの初期設定ではリージョンごとにCloudTrailが設定されています。そのためCloudFormationスタックセットを使用してリージョンごとにデプロイを行います。

CloudFormationテンプレートによるデプロイのサマリです。

  1. サービスロールの作成
  2. サービスロールのポリシー設定
  3. CloudFormationスタックセットの作成
  4. サブスクライブの確認

前提条件

前提条件については以下の通りです。

  • 「CIS 2.1 全リージョンでCloudTrailが有効であること」に対応していること
  • 「CIS 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること」に対応していること
  • CloudWatch Logsのロググループ名がすべてのリージョンで同じであること

チェック項目についてはこちらをご確認ください。

サービスロールの作成

CloudFormationスタックセットは異なるアカウントへのデプロイなどに用いられます。管理者アカウントからターゲットアカウントへのデプロイを実行するために、サービスロールを作成します。

AWSドキュメントのCloudFormationテンプレートを使用して以下のIAMロールを作成します。

  • 管理者アカウント用IAMロール: AWSCloudFormationStackSetAdministrationRole
  • ターゲットアカウント用IAMロール: AWSCloudFormationStackSetExecutionRole

本ドキュメントでは管理者カウントとターゲットアカウントが同じAWSアカウントであることを想定して記載しています。

サービスロールのポリシー設定

AWSCloudFormationStackSetExecutionRoleにはAdministratorAccessポリシーがアタッチされています。CIS 1.24で「制限なしのアクセス許可を指定したIAMポリシーを利用しない」ことをチェックしていますので、必要な権限のみに絞ります。

  1. AWSCloudFormationStackSetExecutionRoleからAdministratorAccessポリシーをデタッチします。
  2. 以下のインラインポリシーを追加します。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:*",
                "cloudwatch:*",
                "iam:*",
                "lambda:*",
                "logs:*",
                "sns:*"
            ],
            "Resource": "*"
        }
    ]
}

CloudFormationスタックセットの作成

AWSマネジメントコンソールよりCloudFormationスタックセットを作成します。

1. CloudFormationマネジメントコンソールより「StackSets」をクリックします。
insightwatch-cis-monitoring_001.png

2. 「スタックセットの作成」をクリックします。
insightwatch-cis-monitoring_002.png

3. 「テンプレートをAmazon S3にアップロード」を選択、CloudFormationテンプレートをアップロードし、「次へ」をクリックします。
insightwatch-cis-monitoring_003.png

4. 項目の入力値は下記の通りです。
insightwatch-cis-monitoring_004.png

スタックセット名: 任意のスタックセット名
(Require) Log group name of CloudTrail: CloudTrailの配信設定をしたCloudWatch Logsロググループ名
(Require) Email Address: アラーム通知先メールアドレス(必須)
(Optional) Email Address: アラーム通知先メールアドレス(任意)
(Optional) Email Address: アラーム通知先メールアドレス(任意)

5. 「スタックをアカウントにデプロイ」をクリックし、AWSアカウントIDを入力します。
insightwatch-cis-monitoring_005.png

6. 「リージョンの指定」では「すべて追加」をクリックし、すべてのリージョンを追加します。
insightwatch-cis-monitoring_006.png

7. 「デプロイオプション」はデフォルト値のままで問題ありません。
insightwatch-cis-monitoring_007.png

8. 「タグ」にはCloudFormationスタックセットで作成されるAWSリソースを判別しやすいようにNameタグを設定します。
insightwatch-cis-monitoring_008.png

9. 「Permissions」では「既存のロールの使用」を選択し「次へ」をクリックします。

insightwatch-cis-monitoring_008-01.png

10. 「AWS CloudFormation によって IAM リソースが作成される場合があることを承認します。」にチェックを入れ、「作成」をクリックします。
insightwatch-cis-monitoring_009.png

Amazon SNSからのサブスクライブ確認

リージョンごとのAmazon SNSからサブスクライブ確認のメールを受信するので「Confirm subscription」のリンクをクリックします。

関連記事

コメント

0件のコメント

記事コメントは受け付けていません。

Powered by Zendesk