前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLI
以下のバージョンで動作確認済
- AWS CLI 1.10.60
コマンド
aws --version
結果(例)
aws-cli/1.11.14 Python/2.7.10 Darwin/15.6.0 botocore/1.4.71
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
0.1. 変数の確認
プロファイルが想定のものになっていることを確認します。
変数の確認
aws configure list
結果(例)
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjz-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
今回は、IAMでの作業となるため、リージョンはどこになっていても影響ありません。
0.2. ロールに適用するIAMポリシーの決定
利用するIAMポリシーを決めます。
変数の設定
IAM_POLICY_NAME='AWSIoTLoggingPutRolePolicy'
次に、ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。
変数の設定
IAM_POLICY_ARN=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例)
arn:aws:iam::aws:policy/service-role/AWSIoTLoggingPutRolePolicy
ポリシーの内容を見るために、そのポリシーの最新バージョン名を取得します
。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシーの最新バージョンの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例)
{
"PolicyVersion": {
"CreateDate": "2016-11-17T01:23:45Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:PutMetricFilter",
"logs:PutRetentionPolicy"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
- 事前作業
===========
1.1. IAMロール名の決定
作成するIAMロールの名称を決定します。
変数の設定
IAM_ROLE_NAME='AWSIoTLoggingPutRole'
同じ名前のIAMロールが存在しないことを確認します。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name AWSIoTRole cannot be found.
1.2. プリンシパルの指定
作成するIAMロールを利用することができるサービス(プリンシパル)を指定し
ます。
変数の設定
IAM_PRINCIPAL='iot.amazonaws.com'
上記の場合、このIAMロールを利用することができるのはiot.amazonaws.comで
動作するサービスに限定されます。
- IAMロールの作成
==================
IAMロールを作成していきます。
2.1. assumeロールポリシードキュメントの作成
IAMロールを作成するために、まずassumeロールポリシーを記述したドキュメ
ントをJSON形式で作成します。
変数の設定
FILE_INPUT="${IAM_ROLE_NAME}.json" \
&& echo ${FILE_INPUT}
変数の確認
cat << ETX
FILE_INPUT: ${FILE_INPUT}
IAM_PRINCIPAL: ${IAM_PRINCIPAL}
ETX
コマンド
cat << EOF > ${FILE_INPUT}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "${IAM_PRINCIPAL}"
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
cat ${FILE_INPUT}
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
jsonlint -q ${FILE_INPUT}
エラーが出力されなければOKです。
2.2. IAMロールの作成
assumeロールポリシーを記述したら、次に実際にIAMロールを作成します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
FILE_INPUT: ${FILE_INPUT}
ETX
コマンド
aws iam create-role \
--role-name ${IAM_ROLE_NAME} \
--assume-role-policy-document file://${FILE_INPUT}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "iot.amazonaws.com"
}
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-11-17T01:23:45.678Z",
"RoleName": "AWSIoTRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/AWSIoTRole"
}
}
2.3. IAMロールの確認
作成したIAMロールの内容を確認しましょう。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "iot.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-11-17T01:23:45Z",
"RoleName": "AWSIoTRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/AWSIoTRole"
}
}
出力結果の'AssumeRolePolicyDocument'が、assumeロールポリシードキュメントと同一の内容になっていれば、問題ありません。
この時点で、'iot.amazonaws.com'で動作するサービスからこのIAMロールを利
用することが可能となりました。
- IAMポリシーの適用
====================
3.1. IAMポリシーの確認
IAMロールに適用されているIAMポリシーを確認してみましょう。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果
{
"AttachedPolicies": [],
}
作成直後のIAMロールには、適用されているIAMポリシーはありません。
3.2. IAMポリシーの適用
IAMロールにIAMポリシーを適用します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_POLICY_ARN: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果
(戻り値なし)
3.3. ポリシーの確認
IAMロールに適用されているIAMポリシーを再度確認してみましょう。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果(例)
{
"AttachedPolicies": [
{
"PolicyName": "AWSIoTLoggingPutRolePolicy",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AWSIoTLoggingPutRolePolicy"
}
]
}
完了
以上で、IAMロールの作成は完了です。