AWSのIAMの見直しをしました。
やったことは、ユーザからAWSのリソースを変更する権限を削除して、Roleに書き込み、Switch Roleするように変更しました。
CLI実行のためAccess key接続をする、ユーザを作ろうと思っていました。
CLIではEC2の起動停止をしたかったのですが、起動停止してよいかどうかをEC2のTagの設定を見て実施できるようにしたいと思いました。その再EC2のタグを参照できるようにするため、ec2:DescribeInstancesの権限を与えないといけないことがわかりました。この権限を与えてしまうと、EC2のインスタンスIDを知られてしまうので、この権限付きのAccess Key接続ユーザを作りたくないと思いました。
なので、認証と認可をわけるため、認可部分であるRoleをユーザ認証から分離するようにしました。
どうせやるなら、ということで、普段ログインしているアカウントにも実施しました。私は、U2Fのデバイスでログインしているので、デバイスごとのユーザを作って、それぞれSwitch Roleするようにしました。CFnで作成したので、これからはCFnで管理していこうと思っています。
