俺です。

クラスメソッドさんが提供している、私のAWSアカウントやばすぎ..?をチェックしてくれるサービスInsightwatchが気になってたので使ってみました。

アカウント登録

• サインアップを終わらせて会社情報を設定します。

• ホーム画面

組織の登録

• メニューの組織一覧をクリックします

• 組織一覧の右に表示されている[+]をクリックします
• かっこいい組織名を登録します

組織へプロジェクトの割当

• 作成した組織の中にプロジェクトを作成します

• かっこいいプロジェクトコードを設定します

• プロジェクトにAWSアカウントを連携させます
• IAM Roleを作成ボタンをクリックします

• ウチの会社IAM UserじゃなくてPing Identity社の提供しているPingFederate使ってたからログインできねーわ

PingFederateな俺向け

ということで別タブでターゲットAWSアカウントへのセッションはります

• PingFederateログイン

Insightwatchが利用するIAM Roleの作成

IAM Roleを作成のボタンを右クリックしてリンクのアドレスをコピーします

• AWSへログインセッションを張ったブラウザでURLを貼り付けます
• InsightwatchとクロスアカウントアクセスをおこなうIAM Roleを作成します

• CloudForrmationの出力に表示されているAccountIDとIAM RoleNameをInsightwatchのAccountIDとIAMRoleNameに貼り付けます

• AWSアカウント名を入力して作成ボタンをクリックします

• Insightwatchからおれのさいきょうのアカウントを登録することができました

チェック実行してみましょう

チェック実行がクリックできないかなC

と思ったら組織とプロジェクト選択が必要でした

• 果報は寝て待てまつぜ

• チェック実行完了後にチェック結果を確認します

PingFederate移行前のIAM User残ってたダサすぎ...

このツールで指摘される重要項目は、予めCFn StackSetsで潰せるようにしておくとよさそうですね。
超弊社的な話だとPingFederate使ってるのでInsightwatchへのログインはSSO対応してほしいところです。

appendix

MFAの設定

QR読み取りが仮想MFAアプリケーションと連携します。
自分ところはPingFederate連携できたらありがたいところだけども、とりあえずAuthyを使いました。

バーコードリーダーを使いQRコードをよみとります

完