[注意] クラスメソッドメンバーズのCloudTrailの初期設定が、リージョンごとではなく、全リージョン対応Trailを一つのリージョン(東京)に作る方針に変更されました。
ひとつのリージョンにデプロイを行う場合はこちらを参照してください。
従来通り全リージョンにデプロイを行う場合は、本ドキュメントをご覧ください。
CloudFormationテンプレートのデプロイ
クラスメソッドメンバーズの初期設定ではリージョンごとにCloudTrailが設定されています。そのためCloudFormationスタックセットを使用してリージョンごとにデプロイを行います。
CloudFormationテンプレートによるデプロイのサマリです。
- サービスロールの作成
- サービスロールのポリシー設定
- CloudFormationスタックセットの作成
- サブスクライブの確認
前提条件
前提条件については以下の通りです。
- 「CIS 2.1 全リージョンでCloudTrailが有効であること」に対応していること
- 「CIS 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること」に対応していること
- CloudWatch Logsのロググループ名がすべてのリージョンで同じであること
チェック項目についてはこちらをご確認ください。
サービスロールの作成
CloudFormationスタックセットは異なるアカウントへのデプロイなどに用いられます。管理者アカウントからターゲットアカウントへのデプロイを実行するために、サービスロールを作成します。
AWSドキュメントのCloudFormationテンプレートを使用して以下のIAMロールを作成します。
- 管理者アカウント用IAMロール: AWSCloudFormationStackSetAdministrationRole
- ターゲットアカウント用IAMロール: AWSCloudFormationStackSetExecutionRole
本ドキュメントでは管理者カウントとターゲットアカウントが同じAWSアカウントであることを想定して記載しています。
サービスロールのポリシー設定
AWSCloudFormationStackSetExecutionRoleにはAdministratorAccessポリシーがアタッチされています。CIS 1.24で「制限なしのアクセス許可を指定したIAMポリシーを利用しない」ことをチェックしていますので、必要な権限のみに絞ります。
- AWSCloudFormationStackSetExecutionRoleからAdministratorAccessポリシーをデタッチします。
- 以下のインラインポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "cloudwatch:*", "iam:*", "lambda:*", "logs:*", "sns:*" ], "Resource": "*" } ] }
CloudFormationスタックセットの作成
AWSマネジメントコンソールよりCloudFormationスタックセットを作成します。
1. CloudFormationマネジメントコンソールより「StackSets」をクリックします。

2. 「スタックセットの作成」をクリックします。

3. 「テンプレートをAmazon S3にアップロード」を選択、CloudFormationテンプレートをアップロードし、「次へ」をクリックします。

4. 項目の入力値は下記の通りです。

スタックセット名: 任意のスタックセット名
(Require) Log group name of CloudTrail: CloudTrailの配信設定をしたCloudWatch Logsロググループ名
(Require) Email Address: アラーム通知先メールアドレス(必須)
(Optional) Email Address: アラーム通知先メールアドレス(任意)
(Optional) Email Address: アラーム通知先メールアドレス(任意)
5. 「スタックをアカウントにデプロイ」をクリックし、AWSアカウントIDを入力します。

6. 「リージョンの指定」では「すべて追加」をクリックし、すべてのリージョンを追加します。

7. 「デプロイオプション」はデフォルト値のままで問題ありません。

8. 「タグ」にはCloudFormationスタックセットで作成されるAWSリソースを判別しやすいようにNameタグを設定します。

9. 「Permissions」では「既存のロールの使用」を選択し「次へ」をクリックします。
10. 「AWS CloudFormation によって IAM リソースが作成される場合があることを承認します。」にチェックを入れ、「作成」をクリックします。

Amazon SNSからのサブスクライブ確認
リージョンごとのAmazon SNSからサブスクライブ確認のメールを受信するので「Confirm subscription」のリンクをクリックします。
コメント
0件のコメント
記事コメントは受け付けていません。