CDK の良い点・悪い点

CDK diff コマンドの仕様なのかわからないが、CloudFormation の Stack で管理している内容とコードの差分は出てくるが、Stack と実際のリソースに差分が発生したとしても diff には出てこない。

AWS Console で CloudFormaint の drift を確認してもリソースのdriftが検出できないケースもあるので、CloudFormation の問題なのかも？

grantXxxx(<principal>) のようなメソッドがリソース毎に用意されてて、対象 <principal> に対して権限を付与できるのがすごく便利。

自分で Policy を書くこともできるけど、そうなると煩雑なのでつい広めの権限付与してしまいがちだけど、 grantXxxx() メソッドであればおよそ必要な権限を必要な対象に付与できるのでラク。

以下のワーニングメッセージ問題について調査している際に気づいたが、CDK で diff や deploy を実行するのに必要な権限は、bootstrap プロセスであらかじめ Role が用意されているらしい。

よって、CDKを利用する IAM User に対して Assume Role する権限を与えるだけで権限の付与が完結するのは楽で良い。