SREチームの橋本です。SRE連載の11月号になります。 AWSの多くのリソースはIAMでアクセスを一元管理されていますが、Lambdaではユーザーが実行したり他のAWSサービスから実行されたりする都合上、様々なポリシーが絡んでいます。 特に「Lambdaを呼び出す許可」についてはID(アイデンティティ)ベースのポリシーとリソースベースのポリシーで内容が被るため、どちらで設定するか混乱しているケースも見られます。 本記事ではこうしたポリシー事情をterraformの例と共に整理し、権限設定のベストプラクティスも検討します。 そもそもIAMのポリシーについて ドキュメントによればAWSのポリシーは実に6種類ものタイプがありますが、「使用頻度の高いものから」とあるように最初のIDベースが非常に多くのサービスで共通して使われており、次いで2番目のリソースベースが一部サービスで必要になるでしょう。
[非公式] Account Factory for Terraform (AFT) 環境の維持コストを最小化する | DevelopersIO
どうも、ちゃだいん(@chazuke4649)です。 AFT環境のコストを最小化したい Account Factory for Terraform (AFT) はControl TowerをTerraformで管理する上でとても便利なソリューションです。 しかし、利用頻度が多い訳ではないワークロードにおいては、その維持コストが気になったりすることがあります。特にPoC/検証環境などなら尚更でしょう。 今回は、非公式な方法ではありますが、AFTの維持コストを最小化してみます。 2024.5.2追記)AFTのversion1.12のアップデートにより、VPC関連リソース利用をOFFできるようになり、そこで当記事のやること1,2が不要になる見込みです。詳細は以下のブログをどうぞ。 [アップデート] Account Factory for Terraform (AFT) でVPCの利用有無とAWS
![[非公式] Account Factory for Terraform (AFT) 環境の維持コストを最小化する | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/59c451a57e0ff6fdcfaec229feb1d9d96b4fcfde/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-control-tower.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Lambda のアクセス許可を紐解く - KAYAC Engineers' Blog