AWS CLIを利用して、IAMユーザがKinesisFirehoseに必要な権限を得るためのIAロールを作成してみます。
前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.14
コマンド
aws --version
結果(例):
aws-cli/1.11.34 Python/2.7.10 Darwin/15.6.0 botocore/1.4.91
バージョンが古い場合は最新版に更新しましょう。
コマンド
sudo -H pip install -U awscli
- 準備
=======
0.1. プロファイルの確認
プロファイルが想定のものになっていることを確認します。
変数の確認
aws configure list
結果(例):
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
0.2. IAMロールの指定
ポリシーをアタッチするIAMロールを指定します。
変数の設定
IAM_ROLE_NAME='LambdaMicroserviceHttpEndpointRole'
- 事前作業
===========
1.1. 追加するポリシーの指定
変数の設定
IAM_POLICY_NAME='LambdaMicroserviceHttpEndpointRolePolicy'
1.2. IAMポリシーのARN取得
ARNを取得します。
変数の設定
IAM_POLICY_ARN=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/LambdaMicroserviceHttpEndpointRolePolicy
1.3. IAMポリシーの内容確認
ポリシのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例):
{
"PolicyVersion": {
"CreateDate": "2016-12-31T01:23:45Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:Scan",
"dynamodb:UpdateItem",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:PutMetricFilter",
"logs:PutRetentionPolicy"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
- ポリシーの追加
=================
2.1. 現在のポリシーの確認
ポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果:
{
"AttachedPolicies": [],
}
2.2. ポリシーの適用
ポリシーをロールに適用します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_POLICY_ARN: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果:
(戻り値なし)
- 事後作業
===========
ポリシーの確認
ポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"AttachedPolicies": [
{
"PolicyName": "LambdaMicroserviceHttpEndpointRolePolicy",
"PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/LambdaMicroserviceHttpEndpointRolePolicy"
}
]
}