AWS
俺でもわかるシリーズ
Insightwatch

Insightwatchを利用してえっ私のAWSアカウントやばすぎ...?をチェックしよう

俺です。

クラスメソッドさんが提供している、私のAWSアカウントやばすぎ..?をチェックしてくれるサービスInsightwatchが気になってたので使ってみました。

アカウント登録

  • サインアップを終わらせて会社情報を設定します。

image.png

  • ホーム画面

image.png

組織の登録

  • メニューの組織一覧をクリックします

image.png

  • 組織一覧の右に表示されている[+]をクリックします
  • かっこいい組織名を登録します

image.png

組織へプロジェクトの割当

  • 作成した組織の中にプロジェクトを作成します

image.png

  • かっこいいプロジェクトコードを設定します

image.png

  • プロジェクトにAWSアカウントを連携させます
  • IAM Roleを作成ボタンをクリックします

image.png

  • ウチの会社IAM UserじゃなくてPing Identity社の提供しているPingFederate使ってたからログインできねーわ

image.png

image.png

PingFederateな俺向け

ということで別タブでターゲットAWSアカウントへのセッションはります

  • PingFederateログイン

image.png

image.png

image.png

image.png

Insightwatchが利用するIAM Roleの作成

IAM Roleを作成のボタンを右クリックしてリンクのアドレスをコピーします

image.png

  • AWSへログインセッションを張ったブラウザでURLを貼り付けます
  • InsightwatchとクロスアカウントアクセスをおこなうIAM Roleを作成します

image.png

  • CloudForrmationの出力に表示されているAccountIDとIAM RoleNameをInsightwatchのAccountIDとIAMRoleNameに貼り付けます

image.png

image.png

  • AWSアカウント名を入力して作成ボタンをクリックします

image.png

  • Insightwatchからおれのさいきょうのアカウントを登録することができました

image.png

チェック実行してみましょう

チェック実行がクリックできないかなC

image.png

と思ったら組織とプロジェクト選択が必要でした

image.png

image.png

  • 果報は寝て待てまつぜ

image.png

  • チェック実行完了後にチェック結果を確認します

PingFederate移行前のIAM User残ってたダサすぎ...

image.png

このツールで指摘される重要項目は、予めCFn StackSetsで潰せるようにしておくとよさそうですね。
超弊社的な話だとPingFederate使ってるのでInsightwatchへのログインはSSO対応してほしいところです。

appendix

MFAの設定

QR読み取りが仮想MFAアプリケーションと連携します。
自分ところはPingFederate連携できたらありがたいところだけども、とりあえずAuthyを使いました。

image.png

バーコードリーダーを使いQRコードをよみとります

image.png