AWS CLIを利用して、S3へのフルアクセスが可能なIAMグループを作成してみます。
前提条件
- [JAWS-UG CLI] 総合案内: http://qiita.com/tcsh/items/14c3278f69ab073afe0f を確認して、必要な手順を終えていること。
IAMへの権限
- IAMに対してフル権限があること。
AWS CLIのバージョン
-
以下のバージョンで動作確認済
- AWS CLI 1.7.39
- AWS CLI 1.7.14
コマンド
aws --version
結果(例)
aws-cli/1.7.39 Python/2.7.5 Darwin/13.4.0
- 準備
=======
0.1. リージョンの決定
作成するユーザのデフォルトリージョンを決めます。
(カレントユーザが利用するカレントリージョンも切り変わります。)
コマンド(東京リージョンの場合)
export AWS_DEFAULT_REGION='ap-northeast-1'
0.2. 変数の確認
プロファイルとリージョンが想定のものになっていることを確認します。
コマンド
aws configure list
結果
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************LOAQ shared-credentials-file
secret_key ****************I1O1 shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
- 事前作業
===========
1.2. IAMグループ名の決定
コマンド
IAM_GROUP_NAME="s3Full"
同じ名前のIAMグループが存在しないことを確認します。
コマンド
aws iam get-group \
--group-name ${IAM_GROUP_NAME}
結果
A client error (NoSuchEntity) occurred when calling the GetGroup operation: The group with name s3Full cannot be found.
1.2. IAMポリシーの決定
存在するユーザ管理ポリシーを確認します。
コマンド
aws iam list-policies \
--scope AWS \
--max-items 1000 \
--query 'Policies[].PolicyName'
利用するIAMポリシーを決めます。
コマンド
IAM_POLICY_NAME='AmazonS3FullAccess'
1.3. IAMポリシーの確認
ARNを取得します。
コマンド
IAM_POLICY_ARN=$( \
aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].Arn" \
--output text \
) \
&& echo ${IAM_POLICY_ARN}
結果(例)
arn:aws:iam::aws:policy/AmazonS3FullAccess
ポリシのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例)
{
"PolicyVersion": {
"CreateDate": "2015-02-06T18:40:58Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:*",
"Resource": "*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
- グループの作成
=================
2.1. IAMグループの作成
IAMグループを作成します。
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
ETX
コマンド
aws iam create-group \
--group-name ${IAM_GROUP_NAME}
結果
{
"Group": {
"Path": "/",
"CreateDate": "2015-02-06T01:23:45.678Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/s3Full",
"GroupName": "s3Full"
}
}
2.2. IAMグループの確認
コマンド
aws iam get-group \
--group-name ${IAM_GROUP_NAME}
結果
{
"Group": {
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/s3Full",
"GroupName": "s3Full"
},
"Users": []
}
3.1. IAMグループポリシーの確認
IAMグループのグループポリシーを確認します。
コマンド
aws iam list-attached-group-policies \
--group-name ${IAM_GROUP_NAME}
結果(例)
{
"AttachedPolicies": [],
"IsTruncated": false
}
3.2. IAMグループポリシーの適用
マネージドポリシーをIAMグループに適用します。
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_GPOLICY_NAME: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-group-policy \
--group-name ${IAM_GROUP_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果(例)
(戻り値なし)
- IAMグループポリシーの確認
============================
IAMグループのグループポリシーを確認します。
コマンド
aws iam list-attached-group-policies \
--group-name ${IAM_GROUP_NAME}
結果(例)
{
"AttachedPolicies": [
{
"PolicyName": "CloudWatchFullAccess",
"PolicyArn": "arn:aws:iam::aws:policy/CloudWatchFullAccess"
}
],
"IsTruncated": false
}