LoginSignup
4
5

More than 5 years have passed since last update.

@tcsh(Hirokazu HATANO)

[JAWS-UG CLI] STS: #2 AssumeRoleによる権限の付与 (Administrator)

Last updated at Posted at 2016-01-03

AWS CLIを利用して、フルアクセス(Administrator)が可能なIAMロールをIAMユーザに付与してみます。

(AssumeRole権限のあるユーザで作業します。)

前提条件

AssumeRoleへの権限

  • AssumeRoleに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.9.15
コマンド
aws --version
結果(例)
      aws-cli/1.9.15 Python/2.7.5 Darwin/13.4.0 botocore/1.3.15

0. 準備

変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

変数の確認
export AWS_DEFAULT_PROFILE='taro-prjZ-mbp13'
変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile          taro-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. IAMロール名の指定

変数の設定
IAM_ROLE_NAME='AdministratorforAssumeRole'

IAMロールのARNを取得します。

コマンド
IAM_ROLE_ARN=$(\
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text \
      ) \
        && echo ${IAM_ROLE_ARN}

1.2. トークンの有効期間の指定

15-60の間の値を指定します。

変数の設定
EXPIRATION_MINITES='60'

2. トークンの発行

変数の設定
EXPIRATION_SECONDS=$(expr 60 \* ${EXPIRATION_MINITES})
FILE_ASSUME_ROLE_OUTPUT="${IAM_ROLE_NAME}-output.json"
ROLE_SESSION_NAME="${IAM_ROLE_NAME}-session"

AssumeRoleTokenを取得します。

変数の確認
cat << ETX

          IAM_ROLE_ARN:            ${IAM_ROLE_ARN}
          EXPIRATION_SECONDS:      ${EXPIRATION_SECONDS}
          FILE_ASSUME_ROLE_OUTPUT: ${FILE_ASSUME_ROLE_OUTPUT}
          ROLE_SESSION_NAME:       ${ROLE_SESSION_NAME}

ETX
コマンド
aws sts assume-role \
        --role-arn ${IAM_ROLE_ARN} \
        --role-session-name ${ROLE_SESSION_NAME} \
        --duration-seconds ${EXPIRATION_SECONDS} \
        > ${FILE_ASSUME_ROLE_OUTPUT} \
        && cat ${FILE_ASSUME_ROLE_OUTPUT}

トークン発行時刻を確認しておきましょう。

コマンド
date

3. トークンの利用

3.1. トークン情報の抽出

ここでは環境変数を利用してAssumeRoleTokenを利用します。

変数の設定
FILE_ASSUME_ROLE_ENV="${IAM_ROLE_NAME}.env"
コマンド
cat ${FILE_ASSUME_ROLE_OUTPUT} | \
awk '
        $1 == "\"AccessKeyId\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_ACCESS_KEY_ID="$2
        }
        $1 == "\"SecretAccessKey\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SECRET_ACCESS_KEY="$2
        }
        $1 == "\"SessionToken\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SESSION_TOKEN="$2
        }
        ' \
      > ${FILE_ASSUME_ROLE_ENV} \
        && cat ${FILE_ASSUME_ROLE_ENV}

3.2. 一時認証の利用

コマンド
unset AWS_DEFAULT_PROFILE
source ${FILE_ASSUME_ROLE_ENV}

4. (任意) マネージメントコンソールでのロール切り替え

  1. メニュー > アカウント名 > ロールの切り替え

  2. ロールの切り替え

  3. ロールの切り替え(画面)

アカウント: AWS IDを入力します。

参考(コマンドでのAWS-IDの取得方法)
AWS_ID=$( \
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text | \
          sed 's/^.*:://' | \
          sed 's/:.*$//' \
      ) \
        && echo ${AWS_ID}
結果(例)
XXXXXXXXXXXX

ロール: 以下のロール名を入力します。

     AdministratorforAssumeRole
  • ロールの切り替え(ボタン)を押す。

参考. 有効期間終了後

コマンド
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

完了

4
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
5