[JAWS-UG CLI] IAM #82 IAMロールの作成 (aws-opsworks-service-role)

  • 0
    いいね
  • 0
    コメント

    前提条件

    IAMへの権限

    IAMに対してフル権限があること。

    AWS CLIのバージョン

    以下のバージョンで動作確認済

    • AWS CLI 1.11.14
    コマンド
    aws --version
    

    結果(例):

      aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33
    

    バージョンが古い場合は最新版に更新しましょう。

    コマンド
    sudo -H pip install -U awscli
    

    0. 準備

    まず変数の確認をします。

    変数の確認
    cat << ETX
    
            AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
    
    ETX
    

    結果(例):

      AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
    

    変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
    行います。

    0.1. プロファイルの指定

    プロファイルの一覧を確認します。

    コマンド
    cat ~/.aws/credentials \
           | grep '\[' \
           | sed 's/\[//g' | sed 's/\]//g'
    

    結果(例):

      iamFull-prjz-mbpr13
      <IAMのフル権限を許可されたプロファイル>
    
    変数の設定
    export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
    

    最終確認

    変数の確認
    cat << ETX
    
            AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
    
    ETX
    

    結果(例):

      AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
    

    1. 事前作業

    1.1. IAMロール名の指定

    変数の設定
    IAM_ROLE_NAME='aws-opsworks-service-role'
    

    同じ名前のIAMロールが存在しないことを確認します。

    コマンド
    aws iam get-role \
             --role-name ${IAM_ROLE_NAME}
    

    結果(例):

      An error occurred (NoSuchEntity) when calling the GetRole operation: Role not found for aws-opsworks-service-role
    

    1.2. プリンシパルの指定

    変数の設定
    IAM_PRINCIPAL='opsworks.amazonaws.com'
    

    1.3. assumeロールポリシドキュメントの作成

    変数の設定
    FILE_INPUT="${IAM_ROLE_NAME}.json" \
            && echo ${FILE_INPUT}
    
    変数の確認
    cat << ETX
    
            FILE_INPUT:    ${FILE_INPUT}
            IAM_PRINCIPAL: ${IAM_PRINCIPAL}
    
    ETX
    
    コマンド
    cat << EOF > ${FILE_INPUT}
    {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Action": "sts:AssumeRole",
                "Principal": {
                  "Service": "${IAM_PRINCIPAL}"
                },
                "Effect": "Allow",
                "Sid": ""
              }
            ]
    }
    EOF
    
    cat ${FILE_INPUT}
    

    JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

    コマンド
    jsonlint -q ${FILE_INPUT}
    

    エラーが出力されなければOKです。

    2. 本作業

    IAMロールの作成

    変数の確認
    cat << ETX
    
            IAM_ROLE_NAME: ${IAM_ROLE_NAME}
            FILE_INPUT:    ${FILE_INPUT}
    
    ETX
    
    コマンド
    aws iam create-role \
            --role-name ${IAM_ROLE_NAME} \
            --assume-role-policy-document file://${FILE_INPUT}
    

    結果(例):

      {
         "Role": {
           "AssumeRolePolicyDocument": {
               "Version": "2012-10-17",
               "Statement": [
                   {
                       "Action": "sts:AssumeRole",
                       "Sid": "",
                       "Effect": "Allow",
                       "Principal": {
                           "Service": "opsworks.amazonaws.com"
                       }
                   }
               ]
           },
           "RoleId": "AROAXXXXXXXXXXXXXXXXX",
           "CreateDate": "2017-04-17T01:23:45.678Z",
           "RoleName": "aws-opsworks-service-role",
           "Path": "/",
           "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/aws-opsworks-service-role"
         }
       }
    

    3. 事後作業

    IAMロールの確認

    コマンド
    aws iam get-role \
             --role-name ${IAM_ROLE_NAME}
    

    結果(例):

      {
          "Role": {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Action": "sts:AssumeRole",
                        "Principal": {
                            "Service": "opsworks.amazonaws.com"
                        },
                        "Effect": "Allow",
                        "Sid": ""
                    }
                ]
            },
            "RoleId": "AROAXXXXXXXXXXXXXXXXX",
            "CreateDate": "2017-04-17T01:23:45Z",
            "RoleName": "aws-opsworks-service-role",
            "Path": "/",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/aws-opsworks-service-role"
          }
      }
    

    完了