aws copilotを試しに使う④

今回からタイトルのM1を削除しています。

手元のintelがなくなったので基本M1チップでの作業です。

(ローカルで作成したdockerイメージがもしかすると何かあるかも)

さて、今回はcopilot env init/deleteを実行していき不足の権限をつけてみます。

今回copilotで作成する環境はLoad Balanced Web Serviceになります。

ではまずは前回実行できるようにしたcopilot app initをしていきます。

ちなみにcopilot app initを実行するとcopilotディレクトリが実行環境に作成されますので管理するのに都合のいい場所で実行するのがいいと思います。

copilot app init を実行すると以下のようになります。

userName demo % copilot app init

Application name: demo

✔ Created the infrastructure to manage services under application demo.

✔ The directory copilot will hold service manifests for application demo.

Recommended follow-up actions:

- Run `copilot init` to add a new service to your application.

順調！順調！

applicationができたところで環境の作成をするためにcopilot env initを実行していきます。

そうするとやはり不足した権限が出てきました。

iam:getRolePolicy

ecs:DescribeClusters

ecs:DeleteCluster

ec2:CreateInternetGateway

elasticloadbalancing:*

servicediscovery:CreatePrivateDnsNamespace

servicediscovery:TagResource

servicediscovery:DeleteNamespace

cloudformation:DescribeStackSet

cloudformation:UpdateStackSet

cloudformation:DescribeStackSetOperation

cloudformation:CreateStackInstances

tag:GetResources

lambda:CreateFunction

lambda:DeleteFunction

lambda:TagResource

s3:*

cloudformation:GetTemplate

・・・

copilot app delete/copilot env deteleも実行してエラーが発生するたびに確認して追加していたのですが私思いました。2回目の実行時にエラーになったりでminimumで権限付与して最適を探すのは現状では苦労するので、本来の目的であるcopilotを試せないのは本末転倒だと思ってしまってきています。

なので作成したcopilot cliの実行ユーザーに既存のポリシーをアタッチして利用するところに立ち戻り開始します。

AmazonEC2FullAccess

AmazonS3FullAccess

AdministratorAccess

AmazonECS_FullAccess

AmazonSSMFullAccess

AWSCloudFormationFullAccess

これらを付与したユーザーで開始したいと思います。

本来はベストプラクティスを探してみたかったのですが、copilot全体を触ってみてプロダクトとして利用するときに考えたいと思います。

んー、無念。。