はじめに
勝手に始めました。今更ながら CloudFormatin シリーズ。今日は、GuardDuty 編です。
最終的には複数アカウントの紐づけまでやる予定なんで、マスターアカウント想定で作ります。
つくってみた
つくるもの
- GuardDuty の有効化
- IAM ユーザ(リードオンリーのイメージで)
テンプレートの例
安定の yaml で。
AWSTemplateFormatVersion: '2010-09-09'
Description: "GuardDuty Test"
Parameters:
Username:
Default: gd-user
Type: String
Resources:
GDIAMUserGroup:
Type: 'AWS::IAM::Group'
Properties:
GroupName: GuardDutyReadOnlyGroup
GDGroupPolicy:
Type: 'AWS::IAM::Policy'
Properties:
Groups:
- !Ref GDIAMUserGroup
PolicyName: 'GuardDutyReadOnly'
PolicyDocument:
Version: "2012-10-17"
Statement:
-
Effect: "Allow"
Action:
- "guardduty:ListMembers"
- "guardduty:GetMembers"
- "guardduty:ListInvitations"
- "guardduty:ListDetectors"
- "guardduty:GetDetector"
- "guardduty:ListFindings"
- "guardduty:GetFindings"
- "guardduty:ListIPSets"
- "guardduty:GetIPSet"
- "guardduty:ListThreatIntelSets"
- "guardduty:GetThreatIntelSet"
- "guardduty:GetMasterAccount"
- "guardduty:GetInvitationsCount"
- "guardduty:GetFindingsStatistics"
Resource: "*"
GDIAMUser:
Type: 'AWS::IAM::User'
Properties:
Groups:
- !Ref GDIAMUserGroup
UserName: !Ref Username
GDIAMAccess:
Type: 'AWS::IAM::AccessKey'
Properties:
Status: Active
UserName: !Ref GDIAMUser
GDSettings:
Type: 'AWS::GuardDuty::Detector'
Properties:
Enable: true
困ったこと
特になし?
おまけ
Organization 登録がされたみたい。今後にこうご期待ください。
仲間募集中
弊社ではエンジニアを募集中です。インフラからアプリ、ユーザサポートまで幅広く業務を行ってます。
https://www.nittsu-infosys.com/recruit/2019/index.html