最小権限なデプロイメント構成は、CDK のデフォルトにお任せしよう by hassaku

本発表では CI 環境での実行や、クロスアカウントでのデプロイメントのシナリオをカバーする CDK 標準の仕組みを解説します。

本発表で想定している主な状況は、GitHub Actions のような CI ツールでデプロイを行う場合や、Organizations の統制側で複数のメンバーアカウントに共通の仕組みを展開する場合です。自前でデプロイ用に強い権限 (e.g. Administrator) を持つ IAM Role を構成していませんか？

実際のところ、cdk deploy の実行主体となるクレデンシャルに必要な権限はほとんどありません。CDK の使い方を覚えたばかりのユーザーにとってキャッチアップの意識が後回しになりやすいであろうデプロイ権限構成の問題について、より安全な権限構成を「仕組みを理解して」使えるようになっていただくことを、この発表のゴールとしています。