http://jawsug-cli.doorkeeper.jp/events/13796 でのハンズオン資料です。
このハンズオンでは、一般ユーザとしてIAMユーザの下記の設定を行ないます。
- アクセスキーの管理 (作成、変更、削除)
- パスワードの変更
- アクセスキー作成
====================
まず、アクセスキーを作成してみましょう。
1.1. アクセスキーの作成
コマンド
$ aws iam create-access-key --user-name ${IAM_USER_NAME}
結果(例):
{
"AccessKey": {
"UserName": "taro",
"Status": "Active",
"CreateDate": "2014-09-07T21:15:22.168Z",
"SecretAccessKey": "0xx00XXx0xx0XxX00XX0xx0xxxxxXX0X0xX0xXxx",
"AccessKeyId": "AKIAJxxxxxxxxxxxxxxx"
}
}
AccessKeyIdがアクセスキーIDで、SecretAccessKeyがシークレットアクセスキーになります。
[参考] アクセスキーは1ユーザあたり2つまでしか作成できないので、3回目には下記のエラーメッセージが表示されます。
A client error (LimitExceeded) occurred when calling the CreateAccessKey operation: Cannot exceed quota for AccessKeysPerUser: 2
1.2. アクセスキーの確認
アクセスキーの一覧を表示してみましょう。
コマンド
$ aws iam list-access-keys --user-name ${IAM_USER_NAME}
結果(例):
{
"AccessKeyMetadata": [
{
"UserName": "taro",
"Status": "Active",
"CreateDate": "2014-09-07T21:15:22Z",
"AccessKeyId": "AKIAXXXXXXXXXXXXXXXX"
}
]
}
アクセスキーは2つまで作成できます。
- パスワードの変更
====================
カレントIAMユーザのパスワードを変更することができます。
事前にlogin profileの設定をしておく必要があります。
コマンド
$ IAM_PASSWORD_OLD='userPass'
$ IAM_PASSWORD_NEW='newPass'
コマンド
$ aws iam change-password --old-password ${IAM_PASSWORD_OLD} --new-password ${IAM_PASSWORD_NEW}
- アクセスキー非活性化/再活性化
===============================
一時的に使わなくなったアクセスキーの非活性化や、再び使うことになったときの再活性化も可能です。
3.1. 非活性化
IAM_KEY_IDは、list-access-keyコマンドで調べます。
コマンド(例)
$ IAM_KEY_ID='AKIAXXXXXXXXXXXXXXXX'
コマンド
$aws iam update-access-key --user-name ${IAM_USER_NAME} --access-key-id ${IAM_KEY_ID} --status Inactive
結果
(戻り値なし)
3.2. 再活性化
IAM_KEY_IDは、list-access-keyコマンドで調べます。
コマンド(例)
$ IAM_KEY_ID='AKIAXXXXXXXXXXXXXXXX'
コマンド
$aws iam update-access-key --user-name ${IAM_USER_NAME} --access-key-id ${IAM_KEY_ID} --status Active
結果
(戻り値なし)
- アクセスキー削除
===============================
使わなくなったアクセスキーは必ず削除しておきましょう。
IAM_KEY_IDは、list-access-keyコマンドで調べます。
コマンド(例)
$ IAM_KEY_ID='AKIAXXXXXXXXXXXXXXXX'
コマンド
$ aws iam delete-access-key --user-name ${IAM_USER_NAME} --access-key-id ${IAM_KEY_ID}
結果
(戻り値なし)