Edited at

Insightwatchを利用してえっ私のAWSアカウントやばすぎ...?をチェックしよう

俺です。

クラスメソッドさんが提供している、私のAWSアカウントやばすぎ..?をチェックしてくれるサービスInsightwatchが気になってたので使ってみました。


アカウント登録


  • サインアップを終わらせて会社情報を設定します。

image.png


  • ホーム画面

image.png


組織の登録


  • メニューの組織一覧をクリックします

image.png


  • 組織一覧の右に表示されている[+]をクリックします

  • かっこいい組織名を登録します

image.png


組織へプロジェクトの割当


  • 作成した組織の中にプロジェクトを作成します

image.png


  • かっこいいプロジェクトコードを設定します

image.png


  • プロジェクトにAWSアカウントを連携させます

  • IAM Roleを作成ボタンをクリックします

image.png


  • ウチの会社IAM UserじゃなくてPing Identity社の提供しているPingFederate使ってたからログインできねーわ

image.png

image.png


PingFederateな俺向け

ということで別タブでターゲットAWSアカウントへのセッションはります


  • PingFederateログイン

image.png

image.png

image.png

image.png


Insightwatchが利用するIAM Roleの作成

IAM Roleを作成のボタンを右クリックしてリンクのアドレスをコピーします

image.png


  • AWSへログインセッションを張ったブラウザでURLを貼り付けます

  • InsightwatchとクロスアカウントアクセスをおこなうIAM Roleを作成します

image.png


  • CloudForrmationの出力に表示されているAccountIDとIAM RoleNameをInsightwatchのAccountIDとIAMRoleNameに貼り付けます

image.png

image.png


  • AWSアカウント名を入力して作成ボタンをクリックします

image.png


  • Insightwatchからおれのさいきょうのアカウントを登録することができました

image.png


チェック実行してみましょう

チェック実行がクリックできないかなC

image.png

と思ったら組織とプロジェクト選択が必要でした

image.png

image.png


  • 果報は寝て待てまつぜ

image.png


  • チェック実行完了後にチェック結果を確認します

PingFederate移行前のIAM User残ってたダサすぎ...

image.png

このツールで指摘される重要項目は、予めCFn StackSetsで潰せるようにしておくとよさそうですね。

超弊社的な話だとPingFederate使ってるのでInsightwatchへのログインはSSO対応してほしいところです。


appendix


MFAの設定

QR読み取りが仮想MFAアプリケーションと連携します。

自分ところはPingFederate連携できたらありがたいところだけども、とりあえずAuthyを使いました。

image.png

バーコードリーダーを使いQRコードをよみとります

image.png