前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.14
コマンド
aws --version
結果(例):
aws-cli/1.11.28 Python/2.7.10 Darwin/15.6.0 botocore/1.4.85
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
変数の確認
プロファイルが想定のものになっていることを確認します。
コマンド
aws configure list
結果(例)
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjz-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
- 事前作業
===========
1.1. IAMロール名の決定
変数の設定
IAM_ROLE_NAME='RDSMonitoringRole'
同じ名前のIAMロールが存在しないことを確認します。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
An error occurred (NoSuchEntity) when calling the GetRole operation: Unknown
1.2. プリンシパルの決定
変数の設定
IAM_PRINCIPAL='monitoring.rds.amazonaws.com'
1.3. assumeロールポリシドキュメントの作成
変数の設定
FILE_INPUT="${IAM_ROLE_NAME}.json" \
&& echo ${FILE_INPUT}
変数の確認
cat << ETX
FILE_INPUT: ${FILE_INPUT}
IAM_PRINCIPAL: ${IAM_PRINCIPAL}
ETX
コマンド
cat << EOF > ${FILE_INPUT}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "${IAM_PRINCIPAL}"
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
cat ${FILE_INPUT}
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
jsonlint -q ${FILE_INPUT}
エラーが出力されなければOKです。
- 本作業
=========
IAMロールの作成
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
FILE_INPUT: ${FILE_INPUT}
ETX
コマンド
aws iam create-role \
--role-name ${IAM_ROLE_NAME} \
--assume-role-policy-document file://${FILE_INPUT}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "monitoring.rds.amazonaws.com"
}
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-12-18T01:23:45.678Z",
"RoleName": "RDSMonitoringRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/RDSMonitoringRole"
}
}
- 事後作業
===========
4.1. IAMロールの確認
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "monitoring.rds.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-12-18T01:23:45Z",
"RoleName": "RDSMonitoringRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/RDSMonitoringRole"
}
}