AWS CLIを利用して、S3へのフルアクセスが可能なIAMユーザを作成してみます。
前提条件
- [JAWS-UG CLI] 総合案内: http://qiita.com/tcsh/items/14c3278f69ab073afe0f を確認して、必要な手順を終えていること。
IAMへの権限
- IAMに対してフル権限があること。
AWS CLIのバージョン
-
以下のバージョンで動作確認済
- AWS CLI 1.7.39
- AWS CLI 1.7.14
コマンド
aws --version
結果(例)
aws-cli/1.7.39 Python/2.7.5 Darwin/13.4.0
0. 準備
0.1. リージョンの決定
作成するユーザのデフォルトリージョンを決めます。
(カレントユーザが利用するカレントリージョンも切り変わります。)
コマンド(東京リージョンの場合)
export AWS_DEFAULT_REGION='ap-northeast-1'
0.2. 変数の確認
プロファイルとリージョンが想定のものになっていることを確認します。
コマンド
aws configure list
結果
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************LOAQ shared-credentials-file
secret_key ****************I1O1 shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
1. 事前作業
1.1. プロジェクト名、作業場所名の決定
今回のハンズオンでは、IAMグループやIAMユーザ名にプロジェクト名と作業場所を埋め込みます。
コマンド
PRJ_NAME=<プロジェクト名>
LOC_NAME=<作業場所名>
1.2. IAMグループの決定
コマンド
aws iam list-groups \
--query 'Groups[].GroupName'
表示されたグループから選択して、変数に定義します。
コマンド
IAM_GROUP_NAME="s3Full"
1.3. IAMグループポリシーの確認
IAMグループのグループポリシーを確認します。
コマンド
aws iam list-attached-group-policies \
--group-name ${IAM_GROUP_NAME}
結果
{
"AttachedPolicies": [
{
"PolicyName": "AmazonS3FullAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
}
],
"IsTruncated": false
}
コマンド
IAM_POLICY_NAME="AmazonS3FullAccess"
ARNを取得します。
コマンド
IAM_POLICY_ARN=$( \
aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].Arn" \
--output text \
) \
&& echo ${IAM_POLICY_ARN}
結果(例)
arn:aws:iam::aws:policy/AmazonS3FullAccess
ポリシのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例)
{
"PolicyVersion": {
"CreateDate": "2015-02-06T18:40:58Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:*",
"Resource": "*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
1.4. IAMユーザの決定
コマンド
IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}" \
&& echo ${IAM_USER_NAME}
同じ名前のIAMユーザが存在しないことを確認します。
コマンド
aws iam get-user \
--user-name ${IAM_USER_NAME}
結果
A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name s3Full-prjz-mbp13 cannot be found.
2. ユーザの作成
2.1. 作成
IAMユーザを作成します。
変数の確認
cat << ETX
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
コマンド
aws iam create-user \
--user-name ${IAM_USER_NAME}
結果
{
"User": {
"UserName": "s3Full-prjz-mbp13",
"Path": "/",
"CreateDate": "2015-02-06T01:23:45.678Z",
"UserId": "AIDAIxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/s3Full-prjz-mbp13"
}
}
2.2. IAMユーザの確認
作成したIAMユーザが存在することを確認します。
コマンド
aws iam get-user \
--user-name ${IAM_USER_NAME}
結果
{
"User": {
"UserName": "s3_full",
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/s3Full-prjz-mbp13"
}
}
3. グループへのユーザ追加
3.1. 追加
IAMユーザに権限を付与するために、IAMグループに追加します。
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
コマンド
aws iam add-user-to-group \
--group-name ${IAM_GROUP_NAME} \
--user-name ${IAM_USER_NAME}
結果
(戻り値なし)
3.2. ユーザのグループ所属確認
IAMユーザが、IAMグループに所属していることを確認します。
コマンド
aws iam list-groups-for-user \
--user-name ${IAM_USER_NAME} \
--query "Groups[?contains(GroupName, \`${IAM_GROUP_NAME}\`)]"
結果
{
"Path": "/",
"CreateDate": "2015-01-18T02:03:09Z",
"GroupId": "AGPAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/s3Full",
"GroupName": "s3Full"
}
3.3. グループへのユーザ所属確認
IAMグループにIAMユーザが所属していることを確認します。
コマンド
aws iam get-group \
--group-name ${IAM_GROUP_NAME} \
--query "Users[?contains(UserName,\`${IAM_USER_NAME}\`)]"
結果
{
"UserName": "",
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/s3Full-prjz-mbp13"
}
4. ユーザのAPIアクセス設定
4.1. access keyの作成と取得
変数の確認
cat << ETX
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
コマンド
aws iam create-access-key \
--user-name ${IAM_USER_NAME} \
> ${IAM_USER_NAME}.json \
&& cat ${IAM_USER_NAME}.json
結果
{
"AccessKey": {
"UserName": "s3Full-prjz-mbp13",
"Status": "Active",
"CreateDate": "2015-02-06T01:23:45.678Z",
"SecretAccessKey": "XXxxxxxXXXxXXXXxXXxXxXXXXXxxxXxXxXXXXXXX",
"AccessKeyId": "AKIAxxxxxxxxxxxxxxxx"
}
}
4.2. 認証情報の作成 (単体)
sourceディレクトリ作成
コマンド
mkdir -p ~/.aws/source
結果
(戻り値なし)
rcファイル作成
コマンド(jp.pyの場合)
cat ${IAM_USER_NAME}.json \
| jp.py 'AccessKey.{aws_access_key_id: AccessKeyId, aws_secret_access_key: SecretAccessKey}' \
| sed 's/\": \"/=/' | sed 's/\", *$//' | sed 's/\"//g' | sed 's/^ *//' \
|grep aws_ \
> ~/.aws/source/${IAM_USER_NAME}.rc\
&& cat ~/.aws/source/${IAM_USER_NAME}.rc
コマンド(jqコマンドの場合)
cat ${IAM_USER_NAME}.json |\
jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
sed 's/AccessKeyId/aws_access_key_id/' |\
sed 's/SecretAccessKey/aws_secret_access_key/' \
> ~/.aws/source/${IAM_USER_NAME}.rc \
&& cat ~/.aws/source/${IAM_USER_NAME}.rc
結果
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
configファイル(単体)作成
コマンド
REGION_AWS_CONFIG="${AWS_DEFAULT_REGION}"
コマンド
FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"
echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
&& echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
&& echo "" >> ${FILE_USER_CONFIG} \
&& cat ${FILE_USER_CONFIG}
結果
[profile user-project-sample]
region=ap-northeast-1
4.3. 認証情報の転送 (リモート環境の場合)
変数の設定
EC2_PUBLIC_IP=<EC2インスタンスのIPアドレス>
FILE_SSH_KEY=<秘密鍵ファイルの位置>
変数の確認
cat << ETX
FILE_SSH_KEY: ${FILE_SSH_KEY}
EC2_PUBLIC_IP: ${EC2_PUBLIC_IP}
ETX
コマンド
scp -i ${FILE_SSH_KEY} ~/.aws/source/${IAM_USER_NAME}.rc ec2-user@${EC2_PUBLIC_IP}:.aws/source/
scp -i ${FILE_SSH_KEY} ${FILE_USER_CONFIG} ec2-user@${EC2_PUBLIC_IP}:.aws/source/
コマンド
ssh -i ${FILE_SSH_KEY} ec2-user@${EC2_PUBLIC_IP}
コマンド
IAM_USER_NAME=<転送した認証情報の所有者ユーザ名>
4.4. 認証情報の登録
~/.aws/credentials更新
バックアップ
cp ~/.aws/credentials ~/.aws/credentials.old
コマンド
file="${HOME}/.aws/credentials"
if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for i in `ls ${HOME}/.aws/source/*.rc`; do \
name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
&& echo "[$name]" >> ${file} \
&& cat $i >> ${file} \
&& echo "" >> ${file} ;done \
&& cat ${file}
結果
[user-project-sample]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
~/.aws/config更新
バックアップ
cp ~/.aws/config ~/.aws/config.old
コマンド
cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \
&& cat ${HOME}/.aws/config
結果
(略)
[profile user-project-sample]
region=ap-northeast-1
5. ユーザの切り替え
5.1. 現在のユーザの確認
変数の確認
aws configure list | grep profile
結果(例)
profile iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
5.2. 切替後ユーザの確認
変数の確認
cat << ETX
new: IAM_USER_NAME: ${IAM_USER_NAME}
ETX
5.3. ユーザの切り替え
コマンド
export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}
echo ${AWS_DEFAULT_PROFILE}
5.4. コマンドテスト
コマンド
aws s3 ls
6. 認証ファイルの削除
認証ファイルを作成したディレクトリで、削除コマンドを実行します。
コマンド
rm ${IAM_USER_NAME}.json