【要約】AWS 全リージョンのデフォルト VPC を一括削除する CLI ツールを作った [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
AWSのインフラ管理者が、セキュリティガバナンスを維持する際に直面する課題について記述する。デフォルトVPCはパブリックサブネットのみで構成される。これが意図しないリソース構成を招くリスクとなる。詳細は以下の通りである。
- ・EC2起動時にパブリックIPが自動付与される。
- ・マネジメントコンソールでデフォルトVPCが初期選択される。
- ・全リージョンに対して手動で削除を行うのは極めて煩雑である。
// Approach
開発者が、手動作業の煩雑さと設定ミスを防ぐために、専用のCLIツールを開発した。ツール名は「aws-default-vpc-cleaner」である。主な手法は以下の通りである。
- ・全リージョンまたは指定リージョンを対象に処理を行う。
- ・
--dry-runオプションで削除対象を事前にリストアップする。 - ・Internet GatewayやSubnetを含む関連リソースを順次削除する。
- ・LinuxおよびWindows向けのビルド済みバイナリを提供する。
// Result
運用担当者が、AWS環境の初期クリーンアップを迅速かつ安全に行えるようになった。本ツールの導入により、以下の成果が得られる。
- ・全リージョンのデフォルトVPCを一括削除できる。
- ・
--dry-runにより、削除対象の誤認を防げる。 - ・
--yesオプションにより、確認プロセスをスキップできる。
Senior Engineer Insight
> セキュリティの観点から、デフォルトVPCの排除は正しい判断だ。本ツールは、Landing Zone構築時の初期設定を自動化する優れた手段となる。ただし、実行には強力なIAM権限が必要だ。誤操作を防ぐため、
--dry-run の活用は必須である。大規模環境では、CI/CDパイプラインへの組み込みも検討すべきだ。