AWS CLIを利用して、CodeBuild用のIAMポリシを作成してみます。
前提条件
IAMへの権限
- IAMに対してフル権限があること。
STSへの権限
- get-caller-identityサブコマンドを実行する権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.14
コマンド
aws --version
結果(例):
aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
まず変数の確認をします。
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。
0.1. プロファイルの確認
プロファイルの一覧を確認します。
コマンド
cat ~/.aws/credentials \
| grep '\[' \
| sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13
<IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
再確認
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
ETX
結果(例):
AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
- 事前作業
===========
1.1. IAMポリシー名の決定
ポリシー名を決めます。
変数の設定
IAM_POLICY_NAME='CodeBuildServiceRolePolicy'
同じ名前のポリシーが無いことを確認します。
コマンド
aws iam list-policies \
--scope Local \
--max-items 1000 \
--query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[]
1.2. IAMポリシードキュメントの作成
ポリシードキュメントのファイル名を決めます。
変数の設定
FILE_INPUT="${IAM_POLICY_NAME}.json" \
&& echo ${FILE_INPUT}
変数の確認
cat << EOF
FILE_INPUT: ${FILE_INPUT}
EOF
コマンド
cat << EOF > ${FILE_INPUT}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}
EOF
cat ${FILE_INPUT}
結果(例):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
jsonlint -q ${FILE_INPUT}
エラーが出力されなければOKです。
- 本作業
=========
IAMポリシーの作成
変数の確認
cat << ETX
IAM_POLICY_NAME: ${IAM_POLICY_NAME}
FILE_INPUT: ${FILE_INPUT}
ETX
コマンド
aws iam create-policy \
--policy-name ${IAM_POLICY_NAME} \
--policy-document file://${FILE_INPUT}
結果(例):
{
"Policy": {
"PolicyName": "CodeBuildServiceRolePolicy",
"CreateDate": "2017-04-17T01:23:45.678Z",
"AttachmentCount": 0,
"IsAttachable": true,
"PolicyId": "ANPAXXXXXXXXXXXXXXXXX",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam:::XXXXXXXXXXXXpolicy/CodeBuildServiceRolePolicy",
"UpdateDate": "2017-04-17T01:23:45.678Z"
}
}
- 事後作業
===========
IAMポリシーの確認
ARNを取得します。
変数の設定
IAM_POLICY_ARN=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRolePolicy
ポリシのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例):
{
"PolicyVersion": {
"CreateDate": "2017-04-17T01:23:45Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
},
"IsDefaultVersion": true
}
}