<aside class="msg message">!<div class="msg-content">
※本記事は、AWS CDK Advent Calendar 2023 の 2 日目の記事です
</div></aside>
かわごえです
稀にCDKのコードを見ていると、せっかくCDKを使っているのにIAMのポリシーやSGのルールを書いているコードを見かけます。
また、IConnectableやIGrantableについての日本語記事もなかなか見かけないのでポエムを書いてみようと思った次第です。
<h2 id="igrantable%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#igrantable%E3%81%A8%E3%81%AF" aria-hidden="true"></a> IGrantableとは</h2>
<a href="https://docs.aws.amazon.com/cdk/api/v2/docs/aws-cdk-lib.aws_iam.IGrantable.html" target="_blank" rel="nofollow noopener noreferrer">IGrantable</a>とは、権限を付与することできるプリンシパルが関連づけられたオブジェクトです。
利用する際には、以下のようにgrantメソッドと共に利用します。
<div class="code-block-container"><pre class="language-typescript"><code class="language-typescript">// IGrantable
const s3 = new Bucket(stack, 'Bucket')
const role = new Role(stack, 'Role')
s3.grantPut(role) // Role=&gt;S3にPutが可能な権限が付与される
</code></pre></div>このように、リソースのクラスに実装されているgrantメソッドを利用することで、権限の付与を簡単に実現することが可能です。S3バケットの場合はgrantPutやgrantReadなど、S3の操作のユースケースに合わせてメソッドが定義されています。grantを利用することで、それぞれのリソースごとにユースケースに合わせた最小権限を簡単に実装することが可能です。
この際、権限を付与するプリンシパルとして利用できるのがIGrantableをしたクラスです。みんな大好きNodejsFunctionやRole、Instanceなど数多くのL2コンストラクトに実装がされています。
<h2 id="iconnectable%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#iconnectable%E3%81%A8%E3%81%AF" aria-hidden="true"></a> IConnectableとは</h2>
<a href="https://docs.aws.amazon.com/cdk/api/v2/docs/aws-cdk-lib.aws_ec2.IConnectable.html" target="_blank" rel="nofollow noopener noreferrer">IConnectable</a>とは、IGrantableと同様、通信の許可を付与することができるコンポーネントが関連づけられたオブジェクトのことです。
Connectionsと共に利用し、通信を許可するコンポーネントを指定することで、SGの通信をこちらも最小権限に近い形で実装することができます。
<div class="code-block-container"><pre class="language-typescript"><code class="language-typescript">const instance = new Instance(this, "Instance", {...});
const db = new DatabaseCluster(this, "Database", {...});
instance.connections.allowTo(db, Port.tcp(5432)); // DBのセキュリティグループにinstanceからのTCP 5432の通信が許可される
</code></pre></div>こちらもVPCが必要なリソースの大半のL2に実装がされています。
<h2 id="%E3%81%9D%E3%82%82%E3%81%9D%E3%82%82%E3%81%AA%E3%81%9Ciam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%2Fsg%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%AB%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E3%81%AE%E3%81%8B">
<a class="header-anchor-link" href="#%E3%81%9D%E3%82%82%E3%81%9D%E3%82%82%E3%81%AA%E3%81%9Ciam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%2Fsg%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%AB%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E3%81%AE%E3%81%8B" aria-hidden="true"></a> そもそもなぜIAMポリシー/SGのルールが必要なのか</h2>
当初やりたかったことは、IAMポリシーの場合「AがBに対してリソースの操作することを許可する」ことであったはずです。しかしCloudFormationやCLI、マネジメントコンソールでAWSリソースを作成し、IAMやSGを作成する・書くことに慣れてしまったためCDKを利用しているのにも関わらず今までやっていたのと同じ書き方で書いていたりしないでしょうか？？？
直接IAMポリシーやSGのルールの中身をCDKで書けばその分コード量も増えますし、リソースがどういう権限を持っているか・どういう通信が可能になっているかを確認したい場合にIAMポリシーやSGのルールを読み解くという作業が発生します。grantやConnectionのメソッドで利用されているようなものは直感的にもわかりやすいだけでなく、実装やメンテナンスに割く時間を大幅に短縮できると考えてます。 
このような理由から、CDKのコードレビューをする際にも 「CDKでIAMポリシーやSGのルールを直接書くのは出来るだけ避けてください」 と口酸っぱく言うようにしてます。
いままでこういうやり方をしてたから、ではなく、本来やりたいことは何なのかをきちんと考えましょうね。という話でした。
このIGrantable/IConnectableのおかげで、CDKにおいてはIAM権限の付与や通信の許可をかなり簡潔に定義できるようになっています。ありがたい機能ですし全てにL2が実装された際にはIAMポリシーやSGを書かなくてもいい世界が訪れることでしょう。(そうなってくれ)
<h2 id="%E3%81%8A%E3%81%BE%E3%81%91">
<a class="header-anchor-link" href="#%E3%81%8A%E3%81%BE%E3%81%91" aria-hidden="true"></a> おまけ</h2>
どのようにaws-cdk-libで実装されているかを確認したい方は、IFunctionの実装やBaseFunctionの実装を見ていただくと理解しやすいかなと思います。
<iframe id="zenn-embedded__5b3cb35e9d995" src="https://embed.zenn.studio/github#zenn-embedded__5b3cb35e9d995" data-content="https%3A%2F%2Fgithub.com%2Faws%2Faws-cdk%2Fblob%2Fmain%2Fpackages%2Faws-cdk-lib%2Faws-lambda%2Flib%2Ffunction-base.ts%23L17-L158" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/aws/aws-cdk/blob/main/packages/aws-cdk-lib/aws-lambda/lib/function-base.ts#L17-L158" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/aws/aws-cdk/blob/main/packages/aws-cdk-lib/aws-lambda/lib/function-base.ts#L17-L158</a>
<iframe id="zenn-embedded__22afce48866e6" src="https://embed.zenn.studio/github#zenn-embedded__22afce48866e6" data-content="https%3A%2F%2Fgithub.com%2Faws%2Faws-cdk%2Fblob%2Fmain%2Fpackages%2Faws-cdk-lib%2Faws-lambda%2Flib%2Ffunction-base.ts%23L230-L693" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/aws/aws-cdk/blob/main/packages/aws-cdk-lib/aws-lambda/lib/function-base.ts#L230-L693" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/aws/aws-cdk/blob/main/packages/aws-cdk-lib/aws-lambda/lib/function-base.ts#L230-L693</a>

CDKでIAMポリシーやSGのルールを直接書くのは出来るだけ避けよう

そもそもなぜIAMポリシー/SGのルールが必要なのか

Discussion