AWS CLIを利用して、EC2がS3の読み取り権限を得るためのIAMロールとインスタンスプロファイルを作成してみます。
前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.2
コマンド
aws --version
結果(例)
aws-cli/1.11.2 Python/2.7.11 Darwin/15.6.0 botocore/1.4.60
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
変数の確認
プロファイルが想定のものになっていることを確認します。
コマンド
aws configure list
結果(例)
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region us-east-1 env AWS_DEFAULT_REGION
AssumeRoleを利用している場合はprofileが ''と表示されます。 それ以外のときにprofileが '' と表示される場合は、以下を実行してください。
変数の設定
export AWS_DEFAULT_PROFILE=<IAMユーザ名>
- 事前作業
===========
1.1. IAMロール名の決定
変数の設定
IAM_ROLE_NAME='S3ReadOnlyAccessAssumeRole'
同じ名前のIAMロールが存在しないことを確認します。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name S3ReadOnlyAccessAssumeRolecannot be found.
1.2. assumeロールポリシドキュメントの作成
変数の設定
FILE_ROLE_DOC="${IAM_ROLE_NAME}.json" \
&& echo ${FILE_ROLE_DOC}
変数の確認
cat << ETX
FILE_ROLE_DOC: ${FILE_ROLE_DOC}
ETX
コマンド
cat << EOF > ${FILE_ROLE_DOC}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
cat ${FILE_ROLE_DOC}
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
jsonlint -q ${FILE_ROLE_DOC}
結果
(戻り値なし)
1.3. IAMロールポリシーの決定
存在するユーザ管理ポリシーを確認します。
コマンド
aws iam list-policies \
--scope AWS \
--max-items 1000 \
--query 'Policies[].PolicyName'
利用するIAMポリシーを決めます。
変数の設定
IAM_POLICY_NAME='AmazonS3ReadOnlyAccess'
ARNを取得します。
変数の設定
IAM_POLICY_ARN=$( \
aws iam list-policies \
--scope AWS \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例)
arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
ポリシのバージョンを取得します。
変数の設定
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--scope AWS \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例)
{
"PolicyVersion": {
"CreateDate": "2015-02-06T18:40:59Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
- 本作業
=========
IAMロールの作成
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
FILE_ROLE_DOC: ${FILE_ROLE_DOC}
ETX
コマンド
aws iam create-role \
--role-name ${IAM_ROLE_NAME} \
--assume-role-policy-document file://${FILE_ROLE_DOC}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-10-10T01:23:45.678Z",
"RoleName": "S3ReadOnlyAccessAssumeRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/S3ReadOnlyAccessAssumeRole"
}
}
- ロールポリシーの適用
=======================
3.1. ロールポリシーの確認
IAMロールのロールポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果
{
"AttachedPolicies": [],
}
3.2. ロールポリシーの適用
ロールポリシーをIAMロールに適用します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_ROLICY_ARN: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果
(戻り値なし)
- 事後作業
===========
4.1. IAMロールの確認
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-10-10T01:23:45Z",
"RoleName": "S3ReadOnlyAccessAssumeRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/S3ReadOnlyAccessAssumeRole"
}
}
4.2. ロールポリシの確認
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果(例)
{
"AttachedPolicies": [
{
"PolicyName": "AmazonS3ReadOnlyAccess",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AmazonS3ReadOnlyAccess"
}
],
}
- インスタンスプロファイルの作成
=================================
5.1. インスタンスプロファイル名の指定
変数の設定
IAM_INSTANCE_PROFILE_NAME='S3ReadOnlyAccess'
同名のインスタンスプロファイルが存在しないことを確認します。
コマンド
aws iam get-instance-profile \
--instance-profile-name ${IAM_INSTANCE_PROFILE_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetInstanceProfile operation: Instance Profile S3ReadOnlyAccess cannot be found.
5.2. インスタンスプロファイルの作成
変数の確認
cat << ETX
IAM_INSTANCE_PROFILE_NAME: ${IAM_INSTANCE_PROFILE_NAME}
ETX
コマンド
aws iam create-instance-profile \
--instance-profile-name ${IAM_INSTANCE_PROFILE_NAME}
結果(例)
{
"InstanceProfile": {
"InstanceProfileId": "AIPAxxxxxxxxxxxxxxxxx",
"Roles": [],
"CreateDate": "2016-10-10T01:23:45.678",
"InstanceProfileName": "S3ReadOnlyAccess",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:instance-profile/S3ReadOnlyAccess"
}
}
5.3. IAMロールの適用
コマンド
aws iam add-role-to-instance-profile \
--instance-profile-name ${IAM_INSTANCE_PROFILE_NAME} \
--role-name ${IAM_ROLE_NAME}
結果
(戻り値なし)
5.4. インスタンスプロファイルの確認
コマンド
aws iam get-instance-profile \
--instance-profile-name ${IAM_INSTANCE_PROFILE_NAME}
結果(例)
{
"InstanceProfiles": [
{
"InstanceProfileId": "AIPAJRUJIZXNNQU4R6VZM",
"Roles": [
{
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2016-10-10T01:23:45Z",
"RoleName": "S3ReadOnlyAccessAssumeRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/S3ReadOnlyAccessAssumeRole"
}
],
"CreateDate": "2016-10-10T01:23:45Z",
"InstanceProfileName": "S3ReadOnlyAccess",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:instance-profile/S3ReadOnlyAccess"
}
]
}