[Spike] amazon-cloudfront-secure-static-site

Memo

us-east1 縛り
- fork して ap-northeast-1 にして動かないかなー、と思ったがたぶん動かなさそう
AWS SSO からの AdministrotorAccess Role 許可セットユーザーでは、ACM で証明書作成できない
- 勘違いの可能性あるが、SwitchRole して AdministoratorAccess の Policy を付加した Role になって回避した
Route53 は同一アカウントの管理下でないとダメ
- 証明書作成のときに CNAME レコードだけ作ればいいのでは？と期待してみたがうまくいかなかった
タイムアウトは設定しない方が良さそう
- 10分で作りきれなかったらロールバック、にしてたら、最終処理の段階で 10分をオーバーして全部リセットされやがった w

CustomResource 作成時に CloudWatch Log グループも作成されている
- CloudFormation の Stack 削除しても残るので不要となったときに削除が必要
構築失敗時の S3 は CloudFormation の Stack 削除しても残るので何らかのクリーンアップ作業が必要

掃除したはずの構築失敗時の S3 バケット 2 x 6 くらいが、なんだか勝手に復活してきて謎
aws s3 ls したら名前だけ出てきて、中身を見ようとすると「ありません」となる。。

出来上がった後にリソースを terraformer で回収、というのとやろうとしたが、いくつかつまずいた。

M1 Mac でできなさそう -> Linux 環境で
terraform v0.13.7 まで下げないとダメそう -> 下げた
aws provider 3系でないとダメそう -> 3.75.2 に固定した
shared_credentials_files がおこられた -> shared_credentials_file にした
S3 は何も回収できない。こまかな import が必要。。
- 3.75.2 であることを意識しないと想定通りの import にならないので注意（v4系の形式では「採れない」）

参考記事

Cloudfront の ACL 設定時に見たのを追記

CloudFormation で Stack 削除したあとに謎に残る件、Retain の設定によるものか？（追ってはいない）

prevent_destroy 設定は現状の S3 の設定には見当たらない

Cloudfront の retain_on_delete の設定が絡んでたのかな？

このへんでリージョンとかいじるだけでいけるならこれもアリかも