ITインフラエンジニアのおつむの整理

ITインフラエンジニア(現ニート)の頭の整理場所。ほぼ日記になる予定。

AWSのCloudFormationでドラフト検出で少し混乱した

概要

  • CloudFormationでIAMポリシーを更新する機会があったが、ドリフトを検出
  • ドリフト検出内容は、更新するスタックで作成したIAMポリシーをアタッチしているロールが手動で追加されていたため(と思われる)
  • スタックを更新したが当該ロールからIAMポリシーは強制デタッチされることはなかった

背景

会社でIAMポリシーの新規作成の機会があり、自分のチームではCFnテンプレートを作成してスタックの更新で作成する方針となっている。
そのため既存のテンプレートに追記してスタックの更新をしようとしたが、ドリフトの検出があったので確認したが、どうも既存のテンプレート内容と実際のリソース内容で違う場所が見つけられない。
違いがポリシーがアタッチされているロールぐらいしか違いがなかったので、おそらくそこが原因と判断。CFnテンプレートのIAMポリシーの部分でアタッチ先も設定できるしね。そこの違いがドラフト検出されたんだと思う。

本当はもう少しちゃんと細かく確認したかったが業務時間が足らず、スタックの更新を実行(テスト環境)。
スタック更新後、問題と思われるロールからポリシーデタッチはされてなかった。
なんかいい感じに残しておいてくれるのね、とちょっとびっくり。

所感

  • 昔業務で対応した時も同じような躓きをした気がするが久しぶりの対応で忘れてた
  • てかそもそも自分はこの業務から離れているはずなのに、ここまで対応してるのおかしい。まぁ色々訳ありだが。。
  • なるべくブログ更新したいがネタが思いつかず、iPadからの急遽更新。ちゃんと投稿できるかな? →タグの付け方がわからない、、、後でPCからタグ付けか? →アプリからじゃなくて結局ブラウザで更新