AWS CLIを利用して、フルアクセス(Administrator)が可能なIAMロールをIAMユーザに付与してみます。
(AssumeRole権限のあるユーザで作業します。)
前提条件
AssumeRoleへの権限
- AssumeRoleに対してフル権限があること。
AWS CLIのバージョン
-
以下のバージョンで動作確認済
- AWS CLI 1.9.15
コマンド
aws --version
結果(例)
aws-cli/1.9.15 Python/2.7.5 Darwin/13.4.0 botocore/1.3.15
- 準備
=======
変数の確認
プロファイルとリージョンが想定のものになっていることを確認します。
変数の確認
export AWS_DEFAULT_PROFILE='taro-prjZ-mbp13'
変数の確認
aws configure list
結果(例)
Name Value Type Location
---- ----- ---- --------
profile taro-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************LOAQ shared-credentials-file
secret_key ****************I1O1 shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
- 事前作業
===========
1.1. IAMロール名の指定
変数の設定
IAM_ROLE_NAME='AdministratorforAssumeRole'
IAMロールのARNを取得します。
コマンド
IAM_ROLE_ARN=$(\
aws iam get-role \
--role-name ${IAM_ROLE_NAME} \
--query 'Role.Arn' \
--output text \
) \
&& echo ${IAM_ROLE_ARN}
1.2. トークンの有効期間の指定
15-60の間の値を指定します。
変数の設定
EXPIRATION_MINITES='60'
- トークンの発行
=================
変数の設定
EXPIRATION_SECONDS=$(expr 60 \* ${EXPIRATION_MINITES})
FILE_ASSUME_ROLE_OUTPUT="${IAM_ROLE_NAME}-output.json"
ROLE_SESSION_NAME="${IAM_ROLE_NAME}-session"
AssumeRoleTokenを取得します。
変数の確認
cat << ETX
IAM_ROLE_ARN: ${IAM_ROLE_ARN}
EXPIRATION_SECONDS: ${EXPIRATION_SECONDS}
FILE_ASSUME_ROLE_OUTPUT: ${FILE_ASSUME_ROLE_OUTPUT}
ROLE_SESSION_NAME: ${ROLE_SESSION_NAME}
ETX
コマンド
aws sts assume-role \
--role-arn ${IAM_ROLE_ARN} \
--role-session-name ${ROLE_SESSION_NAME} \
--duration-seconds ${EXPIRATION_SECONDS} \
> ${FILE_ASSUME_ROLE_OUTPUT} \
&& cat ${FILE_ASSUME_ROLE_OUTPUT}
トークン発行時刻を確認しておきましょう。
コマンド
date
- トークンの利用
=================
3.1. トークン情報の抽出
ここでは環境変数を利用してAssumeRoleTokenを利用します。
変数の設定
FILE_ASSUME_ROLE_ENV="${IAM_ROLE_NAME}.env"
コマンド
cat ${FILE_ASSUME_ROLE_OUTPUT} | \
awk '
$1 == "\"AccessKeyId\":" {
gsub(/\"/,""); gsub(/,/,""); print "export AWS_ACCESS_KEY_ID="$2
}
$1 == "\"SecretAccessKey\":" {
gsub(/\"/,""); gsub(/,/,""); print "export AWS_SECRET_ACCESS_KEY="$2
}
$1 == "\"SessionToken\":" {
gsub(/\"/,""); gsub(/,/,""); print "export AWS_SESSION_TOKEN="$2
}
' \
> ${FILE_ASSUME_ROLE_ENV} \
&& cat ${FILE_ASSUME_ROLE_ENV}
3.2. 一時認証の利用
コマンド
unset AWS_DEFAULT_PROFILE
source ${FILE_ASSUME_ROLE_ENV}
-
(任意) マネージメントコンソールでのロール切り替え
==================================================== -
メニュー > アカウント名 > ロールの切り替え
-
ロールの切り替え(画面)
アカウント: AWS IDを入力します。
参考(コマンドでのAWS-IDの取得方法)
AWS_ID=$( \
aws iam get-role \
--role-name ${IAM_ROLE_NAME} \
--query 'Role.Arn' \
--output text | \
sed 's/^.*:://' | \
sed 's/:.*$//' \
) \
&& echo ${AWS_ID}
結果(例)
XXXXXXXXXXXX
ロール: 以下のロール名を入力します。
AdministratorforAssumeRole
- ロールの切り替え(ボタン)を押す。
参考. 有効期間終了後
コマンド
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN