前提条件
本手順はJAWS-UG CLI専門支部の実施したハンズオン手順です。
全工程については下記総合案内をご確認ください。
#91 Amazon Inspector 入門 (CloudWatch Eventで定期診断編)
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.122
コマンド
aws --version
結果(例):
aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
まず変数の確認をします。
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。
0.1. プロファイルの指定
プロファイルの一覧を確認します。
コマンド
cat ~/.aws/credentials \
| grep '\[' \
| sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13
<IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
最終確認
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
- 事前作業
===========
1.1. IAMロール名の指定
変数の設定
IAM_ROLE_NAME='inspector_role'
同じ名前のIAMロールが存在しないことを確認します。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
An error occurred (NoSuchEntity) when calling the GetRole operation: Role not found for inspector_role
1.2. プリンシパルの指定
変数の設定
IAM_PRINCIPAL='inspector.amazonaws.com'
1.3. assumeロールポリシドキュメントの作成
変数の設定
FILE_INPUT="${IAM_ROLE_NAME}.json" \
&& echo ${FILE_INPUT}
変数の確認
cat << ETX
FILE_INPUT: ${FILE_INPUT}
IAM_PRINCIPAL: ${IAM_PRINCIPAL}
ETX
コマンド
cat << EOF > ${FILE_INPUT}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "${IAM_PRINCIPAL}"
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
cat ${FILE_INPUT}
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
jsonlint -q ${FILE_INPUT}
エラーが出力されなければOKです。
- 本作業
=========
IAMロールの作成
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
FILE_INPUT: ${FILE_INPUT}
ETX
コマンド
aws iam create-role \
--role-name ${IAM_ROLE_NAME} \
--assume-role-policy-document file://${FILE_INPUT}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "inspector.amazonaws.com"
}
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2017-07-20T01:34:52.621Z",
"RoleName": "inspector_role",
"Path": "/",
"Arn": "arn:aws:iam::xxxxxxxx:role/inspector_role"
}
}
- 事後作業
===========
IAMロールの確認
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "inspector.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAJCUROUTJMXLQXFJIS",
"CreateDate": "2017-07-20T01:34:52Z",
"RoleName": "inspector_role",
"Path": "/",
"Arn": "arn:aws:iam::788058654294:role/inspector_role"
}
}
IAMロールのARN確認
コマンド
IAM_ROLE_ARN=$( \
aws iam get-role \
--role-name ${IAM_ROLE_NAME} \
--query 'Role.Arn' \
--output text \
) \
&& echo "${IAM_ROLE_ARN}"
結果(例):
arn:aws:iam::xxxxx:role/inspector_role