2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

[JAWS-UG CLI] CloudFormation:#4 ハンズオン用IAMユーザの作成 (AWS管理ポリシ: Administrator)

Last updated at Posted at 2015-04-13

AWS CLIとCloudFormationを利用して、フルアクセスが可能なIAMユーザを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。
  • CloudFormationに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.7.39
    • AWS CLI 1.7.22
    • AWS CLI 1.7.18
コマンド
aws --version
結果(例)
aws-cli/1.7.39 Python/2.7.5 Darwin/13.4.0
  1. 準備
    =======

0.1. リージョンの決定

作成するユーザのデフォルトリージョンを決めます。
(カレントユーザが利用するカレントリージョンも切り変わります。)

コマンド(東京リージョンの場合)
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. 変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFullCf-prjZ-mbp13            env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION
  1. 事前作業
    ===========

1.1. 組織名、プロジェクト名の決定

今回のハンズオンでは、IAMユーザ名にプロジェクト名と作業場所を埋め込みます。

コマンド
PRJ_NAME=<プロジェクト名>
LOC_NAME=<作業場所名>

1.2. IAMグループの決定

コマンド
aws iam list-groups \
  --query 'Groups[].GroupName'

表示されたグループから選択して、変数に定義します。

コマンド
IAM_GROUP_NAME="administrator"

1.3. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。

コマンド
aws iam list-attached-group-policies \
  --group-name ${IAM_GROUP_NAME}
結果
      {
        "AttachedPolicies": [
          {
              "PolicyName": "AdministratorAccess",
              "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/AdministratorAccess"
          }
        ],
        "IsTruncated": false
      }
コマンド
IAM_POLICY_NAME="AdministratorAccess"

ARNを取得します。

コマンド
IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].Arn" \
    --output text \
) \
  && echo ${IAM_POLICY_ARN}
結果(例)
      arn:aws:iam::XXXXXXXXXXXX:policy/AdministratorAccess

ポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
  aws iam list-policies \
    --query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].DefaultVersionId" \
    --output text \
) \
  && echo ${IAM_POLICY_VERSION}
結果(例)
      v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
  --policy-arn ${IAM_POLICY_ARN} \
  --version-id ${IAM_POLICY_VERSION}
結果(例)
      (略)

1.4. IAMユーザの決定

コマンド
IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}" \
  && echo ${IAM_USER_NAME}

同じ名前のIAMユーザが存在しないことを確認します。

コマンド
aws iam get-user \
  --user-name ${IAM_USER_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name administrator-prjz-mbp13 cannot be found.

1.5. パスワードの決定

マネジメントコンソールログイン用のパスワードを決定します。

コマンド
IAM_PASSWORD_NEW='#userPass123'
  1. CloudFormationテンプレートの作成
    ===================================

テンプレートを作成します。

コマンド
CF_DESC="${IAM_GROUP_NAME} for handson."
CF_USER_NAME=`echo ${IAM_USER_NAME} | sed 's/[-_]//g'`
CF_GROUP_NAME=`echo ${IAM_GROUP_NAME} | sed 's/[-_]//g'`
FILE_CF_TEMPLATE="cf-${IAM_GROUP_NAME}-handson.template"
変数の確認
cat << ETX

        IAM_USER_NAME:    ${IAM_USER_NAME}
        IAM_PASSWORD_NEW: ${IAM_PASSWORD_NEW}
        IAM_GROUP_NAME:   ${IAM_GROUP_NAME}
        CF_DESC:          ${CF_DESC}
        CF_USER_NAME:     ${CF_USER_NAME}
        FILE_CF_TEMPLATE: ${FILE_CF_TEMPLATE}

ETX
コマンド
cat << EOF > ${FILE_CF_TEMPLATE}
{
        "AWSTemplateFormatVersion": "2010-09-09",
        "Description": "${CF_DESC}",
        "Resources": {
          "${CF_USER_NAME}": {
            "Type": "AWS::IAM::User",
            "Properties": {
              "LoginProfile": {
                "Password": "${IAM_PASSWORD_NEW}"
              }
            }
          },
          "${CF_IAM_NAME}BelongGroups": {
            "Type": "AWS::IAM::UserToGroupAddition",
            "Properties": {
              "GroupName": "${IAM_GROUP_NAME}",
              "Users": [
                {
                  "Ref": "${CF_USER_NAME}"
                }
              ]
            }
          }
        },
        "Outputs" : {
          "UserName" : {
            "Value" : { "Ref" : "${CF_USER_NAME}" },
            "Description" : "UserName of new user"
          }
        }
}
EOF

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_CF_TEMPLATE}

エラーが出力されなければOKです。

validate-templateサブコマンドで、簡単な検証ができます。

コマンド
aws cloudformation validate-template \
  --template-body file://${FILE_CF_TEMPLATE}
結果(例)
      {
        "CapabilitiesReason": "The following resource(s) require capabilities: [AWS::IAM::User, AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::UserToGroupAddition]",
        "Description": "administrator for handson.",
        "Parameters": [],
        "Capabilities": [
          "CAPABILITY_IAM"
        ]
      }
  1. CloudFormationスタックの作成
    ===============================

3.1. スタックの作成

コマンド
CF_STACK_NAME="${IAM_USER_NAME}"
変数の確認
cat << ETX

        CF_STACK_NAME:    ${CF_STACK_NAME}
        FILE_CF_TEMPLATE: ${FILE_CF_TEMPLATE}

ETX
コマンド
aws cloudformation create-stack \
  --stack-name "${CF_STACK_NAME}" \
  --template-body file://${FILE_CF_TEMPLATE} \
  --capabilities 'CAPABILITY_IAM'
結果(例)
      {
        "StackId": "arn:aws:cloudformation:ap-northeast-1:XXXXXXXXXXX:stack/administrator-prjz-mbp13/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
      }

3.2. スタックのステータス確認

コマンド
CF_STACK_STATUS=$( \
  aws cloudformation list-stacks \
    --query "StackSummaries[?contains(StackName, \`${CF_STACK_NAME}\`)].StackStatus" \
    --output text \
) \
  && echo ${CF_STACK_STATUS}
結果
CREATE_COMPLETE

'CREATE_COMPLETE'になっていれば作成は完了です。

それ以外が表示されている場合は、下記コマンドでFailedの文字が出ている前後を見て原因を調べます。

コマンド
aws cloudformation describe-stack-events \
  --stack-name ${CF_STACK_NAME}

3.3. スタックの内容確認

作成されたスタックの内容を確認します。

コマンド
aws cloudformation get-template \
  --stack-name ${CF_STACK_NAME}
結果(例)
      {
        "TemplateBody": {
          "AWSTemplateFormatVersion": "2010-09-09",
          "Outputs": {
              "UserName": {
                  "Description": "UserName of new user",
                  "Value": {
                      "Ref": "administratorprj05mbp13"
                  }
              }
          },
          "Description": "administrator for handson.",
          "Resources": {
              "administratorprj05mbp13": {
                  "Type": "AWS::IAM::User",
                  "Properties": {
                      "LoginProfile": {
                          "Password": "#userPass123"
                      }
                  }
              },
              "BelongGroups": {
                  "Type": "AWS::IAM::UserToGroupAddition",
                  "Properties": {
                      "GroupName": "administrator",
                      "Users": [
                          {
                              "Ref": "administratorprj05mbp13"
                          }
                      ]
                  }
              }
          }
        }
      }

3.4. スタックのユーザ名取得

コマンド
CF_STACK_OUTPUT_KEY='UserName'
コマンド
STR_QUERY="Stacks[].Outputs[?OutputKey==\`${CF_STACK_OUTPUT_KEY}\`].OutputValue" \
  && echo ${STR_QUERY}

CF_STACK_OUTPUT_VALUE=$( \
  aws cloudformation describe-stacks \
    --stack-name ${CF_STACK_NAME} \
    --query ${STR_QUERY} \
    --output text \
) \
  && echo ${CF_STACK_OUTPUT_VALUE}
コマンド
IAM_USER_NAME=${CF_STACK_OUTPUT_VALUE}
  1. 確認
    =======

4.1. ユーザの確認

コマンド
aws iam get-user \
  --user-name ${IAM_USER_NAME}
結果(例)
      {
        "User": {
          "UserName": "administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B",
          "Path": "/",
          "CreateDate": "2015-02-06T01:23:45Z",
          "UserId": "AIDAXXXXXXXXXXXXXXXXX",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B"
        }
      }

4.2. ユーザのグループ所属確認

IAMユーザが、所属しているIAMグループを確認します。

コマンド
IAM_GROUP_NAME=`aws iam list-groups-for-user \
  --user-name ${IAM_USER_NAME} \
  --query 'Groups[].GroupName' \
  --output text` \
  && echo ${IAM_GROUP_NAME}
結果
administrator

4.3. IAMグループの確認

IAMユーザが所属しているIAMグループの詳細を確認します。

コマンド
aws iam get-group \
  --group-name ${IAM_GROUP_NAME}
結果
      {
        "Group": {
          "Path": "/",
          "CreateDate": "2015-02-06T01:23:45Z",
          "GroupId": "AGPAJSBNUPBB4HP3BZBII",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/administrator",
          "GroupName": "administrator"
        },
        "Users": [
          {
              "UserName": "administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B",
              "Path": "/",
              "CreateDate": "2015-02-06T01:23:45Z",
              "UserId": "AIDAXXXXXXXXXXXXXXXXX",
              "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B"
          }
        ]
      }
  1. ユーザのAPIアクセス設定
    ==========================

5.1. access keyの作成と取得

変数の確認
cat << ETX

        IAM_USER_NAME:  ${IAM_USER_NAME}

ETX
コマンド
aws iam create-access-key \
  --user-name ${IAM_USER_NAME} \
  > ${IAM_USER_NAME}.json \
  && cat ${IAM_USER_NAME}.json
結果
      {
        "AccessKey": {
          "UserName": "administrator-prjz-mbp13-administratorprjzmbp13-1PNNTXCPADD3B",
          "Status": "Active",
          "CreateDate": "2015-04-06T13:00:44.596Z",
          "SecretAccessKey": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
          "AccessKeyId": "AKIAXXXXXXXXXXXXXXXXX"
        }
      }

5.2. 認証情報の作成

sourceディレクトリ作成

コマンド
mkdir -p ~/.aws/source
結果
      (戻り値なし)

rcファイル作成

コマンド
cat ${IAM_USER_NAME}.json |\
  jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
  sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
  sed 's/AccessKeyId/aws_access_key_id/' |\
  sed 's/SecretAccessKey/aws_secret_access_key/' \
  > ~/.aws/source/${IAM_USER_NAME}.rc \
  && cat ~/.aws/source/${IAM_USER_NAME}.rc
結果
aws_access_key_id=AKIAXXXXXXXXXXXXXXXXX
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

configファイル(単体)作成

コマンド
REGION_AWS_CONFIG="${AWS_DEFAULT_REGION}"
コマンド
FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"

echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
  && echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
  && echo "" >> ${FILE_USER_CONFIG} \
  && cat ${FILE_USER_CONFIG}
結果
[profile user-project-sample]
region=us-west-2

~/.aws/credentials作成

バックアップ
cp ~/.aws/credentials ~/.aws/credentials.old
コマンド
file="${HOME}/.aws/credentials"
if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for i in `ls ${HOME}/.aws/source/*.rc`; do \
  name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
  && echo "[$name]" >> ${file} \
  && cat $i >> ${file} \
  && echo "" >> ${file} ;done \
  && cat ${file}
結果
[user-project-sample]
aws_access_key_id=AKIAXXXXXXXXXXXXXXXXX
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

~/.aws/config作成

バックアップ
cp ~/.aws/config ~/.aws/config.old
コマンド
cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \
  && cat ${HOME}/.aws/config
結果
[profile user-project-sample]
region=ap-northeast-1
  1. ユーザの切り替え
    ===================

6.1. 現在のユーザの確認

変数の確認
aws configure list | grep profile
結果(例)
      profile      iamFullCf-prjZ-mbp13    env   AWS_DEFAULT_PROFILE

6.2. 切替後ユーザの確認

変数の確認
cat << ETX

        new:     IAM_USER_NAME:       ${IAM_USER_NAME}

ETX

6.3. ユーザの切り替え

コマンド
export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}
echo ${AWS_DEFAULT_PROFILE}

6.4. コマンドテスト

コマンド
aws ec2 describe-vpcs 
結果(例)
      {
          "Vpcs": [
              {
                  "VpcId": "vpc-XXXXXXXX", 
                  "InstanceTenancy": "default", 
                  "State": "available", 
                  "DhcpOptionsId": "dopt-XXXXXXXX", 
                  "CidrBlock": "172.31.0.0/16", 
                  "IsDefault": true
              }
          ]
      }
  1. 認証ファイルの削除
    =====================
コマンド
rm ${IAM_USER_NAME}.json

完了

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?