AWS CLIを利用して、inspectorをキックする用のIAMポリシを作成してみます。
前提条件
本手順はJAWS-UG CLI専門支部の実施したハンズオン手順です。
全工程については下記総合案内をご確認ください。
#91 Amazon Inspector 入門 (CloudWatch Eventで定期診断編)
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.122
コマンド
aws --version
結果(例):
aws-cli/1.11.122 Python/2.7.10 Linux/4.1.27-25.49.amzn1.x86_64 botocore/1.5.85
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
まず変数の確認をします。
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
IAM_ROLE_NAME (0.2) ${IAM_ROLE_NAME}
IAM_POLICY_ARN (0.3) ${IAM_POLICY_ARN}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
IAM_ROLE_NAME (0.2) Inspector_Assessment_Policy
IAM_POLICY_ARN (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/Inspector_Assessment_Policy
変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。
0.1. プロファイルの指定
プロファイルの一覧を確認します。
コマンド
cat ~/.aws/credentials \
| grep '\[' \
| sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13
<IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
0.2. IAMロール名の指定
変数の設定
IAM_ROLE_NAME='Inspector_Assessment_Role'
0.3. IAMロールポリシーの決定
今回必要となる権限については、すでにカスタマ管理ポリシーで
'Inspector_Assessment_Policy'という名前で作成済みです。
'Inspector_Assessment_Policy'というキーワードでAWS管理ポリシーから検索
してみましょう。
変数の設定
SEARCH_KEYWORD='Inspector_Assessment_Policy'
コマンド
aws iam list-policies \
--scope Local \
--max-items 1000 \
--query "Policies[?contains(PolicyName, \`${SEARCH_KEYWORD}\`)].PolicyName"
結果(例):
[
"Inspector_Assessment_Policy"
]
利用するIAMポリシーを指定します。
変数の設定
IAM_POLICY_NAME='Inspector_Assessment_Policy'
ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。
変数の設定
IAM_POLICY_ARN=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/Inspector_Assessment_Policy
最終確認
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
IAM_ROLE_NAME (0.2) ${IAM_ROLE_NAME}
IAM_POLICY_ARN (0.3) ${IAM_POLICY_ARN}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
IAM_ROLE_NAME (0.2) Inspector_Assessment_Role
IAM_POLICY_ARN (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/Inspector_Assessment_Policy
- 事前作業
===========
1.1. IAMポリシーの確認
IAMポリシのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例):
{
"PolicyVersion": {
"CreateDate": "2017-07-28T06:35:52Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"inspector:StartAssessmentRun"
],
"Resource": "*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
1.2. IAMロールの確認
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "events.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAII4JTYAZOBLUFJxxx",
"CreateDate": "2017-08-10T04:11:50Z",
"RoleName": "Inspector_Assessment_Role",
"Path": "/",
"Arn": "arn:aws:iam::xxxxxx:role/Inspector_Assessment_Role"
}
}
1.3. ロールポリシーの確認
IAMロールのロールポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果:
{
"AttachedPolicies": [],
}
- ロールポリシーの適用
=======================
ロールポリシーの適用
ロールポリシーをIAMロールに適用します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_POLICY_ARN: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果:
(戻り値なし)
- 事後作業
===========
ロールポリシの確認
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"AttachedPolicies": [
{
"PolicyName": "Inspector_Assessment_Policy",
"PolicyArn": "arn:aws:iam::969698055101:policy/Inspector_Assessment_Policy"
}
]
}