0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

[JAWS-UG CLI] IAM #47 IAMロールの作成 (CodePileline)

Last updated at Posted at 2016-10-10

AWS CLIを利用して、IAMユーザが管理者(administrator)権限を得るためのIAMロールを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.2
コマンド
aws --version
結果(例)
      aws-cli/1.11.2 Python/2.7.11 Darwin/15.6.0 botocore/1.4.60

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli
  1. 準備
    =======

変数の確認

プロファイルが想定のものになっていることを確認します。

コマンド
aws configure list

結果(例)

        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile         iamFull-prjZ-mbp13        env    AWS_DEFAULT_PROFILE
  access_key     ****************XXXX shared-credentials-file
  secret_key     ****************XXXX shared-credentials-file
      region                         ap-northeast-1  env    AWS_DEFAULT_REGION

AssumeRoleを利用している場合はprofileが '<not set>'と表示されます。 そ
れ以外のときにprofileが '<not set>' と表示される場合は、以下を実行して
ください。

   変数の設定:

         export AWS_DEFAULT_PROFILE=<IAMユーザ名>
  1. 事前作業
    ===========

1.1. IAMロール名の決定

変数の設定
IAM_ROLE_NAME='oneClick_AWS-CodePipeline-Service'

同じ名前のIAMロールが存在しないことを確認します。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name oneClick_AWS-CodePipeline-Service cannot be found.

1.2. assumeロールポリシドキュメントの作成

変数の設定
FILE_ROLE_DOC="${IAM_ROLE_NAME}.json" \
          && echo ${FILE_ROLE_DOC}
変数の確認
cat << ETX

          FILE_ROLE_DOC: ${FILE_ROLE_DOC}

ETX
コマンド
cat << EOF > ${FILE_ROLE_DOC}
{
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Principal": {
                      "Service": "codepipeline.amazonaws.com"
                  },
                  "Effect": "Allow",
                  "Sid": ""
              }
          ]
}
EOF

cat ${FILE_ROLE_DOC}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_ROLE_DOC}
結果
      (戻り値なし)

1.3. IAMロールポリシーの決定

存在するユーザ管理ポリシーを確認します。

コマンド
aws iam list-policies \
          --scope Local \
          --max-items 1000 \
          --query 'Policies[].PolicyName'

利用するIAMポリシーを決めます。

変数の設定
IAM_POLICY_NAME='CodePipelineAccess'

ARNを取得します。

変数の設定
IAM_POLICY_ARN=$( \
          aws iam list-policies \
            --scope Local \
            --max-items 1000 \
            --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
            --output text \
        ) \
          && echo "${IAM_POLICY_ARN}"
結果(例)
      arn:aws:iam::XXXXXXXXXXXX:policy/CodePipelineAccess

ポリシのバージョンを取得します。

変数の設定
IAM_POLICY_VERSION=$( \
          aws iam list-policies \
            --scope Local \
            --max-items 1000 \
            --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
            --output text \
        ) \
          && echo ${IAM_POLICY_VERSION}
結果(例)
      v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
          --policy-arn ${IAM_POLICY_ARN} \
          --version-id ${IAM_POLICY_VERSION}
結果(例)
      {
          "PolicyVersion": {
          "CreateDate": "2016-10-09T04:19:24Z",
          "VersionId": "v1",
          "Document": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": [
                          "s3:GetObject",
                          "s3:GetObjectVersion",
                          "s3:GetBucketVersioning"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "s3:PutObject"
                      ],
                      "Resource": [
                          "arn:aws:s3:::codepipeline*",
                          "arn:aws:s3:::elasticbeanstalk*"
                      ],
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "codecommit:CancelUploadArchive",
                          "codecommit:GetBranch",
                          "codecommit:GetCommit",
                          "codecommit:GetUploadArchiveStatus",
                          "codecommit:UploadArchive"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "codedeploy:CreateDeployment",
                          "codedeploy:GetApplicationRevision",
                          "codedeploy:GetDeployment",
                          "codedeploy:GetDeploymentConfig",
                          "codedeploy:RegisterApplicationRevision"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "elasticbeanstalk:*",
                          "ec2:*",
                          "elasticloadbalancing:*",
                          "autoscaling:*",
                          "cloudwatch:*",
                          "s3:*",
                          "sns:*",
                          "cloudformation:*",
                          "rds:*",
                          "sqs:*",
                          "ecs:*",
                          "iam:PassRole"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "lambda:InvokeFunction",
                          "lambda:ListFunctions"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  },
                  {
                      "Action": [
                          "opsworks:CreateDeployment",
                          "opsworks:DescribeApps",
                          "opsworks:DescribeCommands",
                          "opsworks:DescribeDeployments",
                          "opsworks:DescribeInstances",
                          "opsworks:DescribeStacks",
                          "opsworks:UpdateApp",
                          "opsworks:UpdateStack"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          },
          "IsDefaultVersion": true
        }
      }
  1. 本作業
    =========

IAMロールの作成

変数の確認
cat << ETX

          IAM_ROLE_NAME: ${IAM_ROLE_NAME}
          FILE_ROLE_DOC: ${FILE_ROLE_DOC}

ETX
コマンド
aws iam create-role \
          --role-name ${IAM_ROLE_NAME} \
          --assume-role-policy-document file://${FILE_ROLE_DOC}
結果(例)
      (yet)
  1. ロールポリシーの適用
    =======================

3.1. ロールポリシーの確認

IAMロールのロールポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
          --role-name ${IAM_ROLE_NAME}
結果
      {
          "AttachedPolicies": [],
      }

3.2. ロールポリシーの適用

ロールポリシーをIAMロールに適用します。

変数の確認
cat << ETX

          IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
          IAM_ROLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
          --role-name ${IAM_ROLE_NAME} \
          --policy-arn ${IAM_POLICY_ARN}
結果
      (戻り値なし)
  1. 事後作業
    ===========

4.1. IAMロールの確認

コマンド
aws iam get-role \
           --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "Role": {
          "AssumeRolePolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": "sts:AssumeRole",
                      "Principal": {
                          "Service": "codepipeline.amazonaws.com"
                      },
                      "Effect": "Allow",
                      "Sid": ""
                  }
              ]
          },
          "RoleId": "AROAXXXXXXXXXXXXXXXXX",
          "CreateDate": "10月 09, 2016T01:23:45Z",
          "RoleName": "oneClick_AWS-CodePipeline-Service",
          "Path": "/",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/oneClick_AWS-CodePipeline-Service"
        }
      }

4.2. ロールポリシの確認

コマンド
aws iam list-attached-role-policies \
          --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "AttachedPolicies": [
          {
              "PolicyName": "CodePipelineAccess",
              "PolicyArn": "arn:aws:iam::aws:policy/service-role/CodePipelineAccess"
          }
        ],
      }

完了

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?