[JAWS-UG CLI] IAM #83 IAMロールへのポリシーの追加 (aws-opsworks-service-role)

  • 0
    いいね
  • 0
    コメント

    AWS CLIを利用して、opsworks利用に必要な権限をIAMロールに追加してみます。

    前提条件

    IAMへの権限

    IAMに対してフル権限があること。

    AWS CLIのバージョン

    以下のバージョンで動作確認済

    • AWS CLI 1.11.14
    コマンド
    aws --version
    

    結果(例):

      aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33
    

    バージョンが古い場合は最新版に更新しましょう。

    コマンド
    sudo -H pip install -U awscli
    

    0. 準備

    まず変数の確認をします。

    変数の確認
    cat << ETX
    
            AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
            IAM_ROLE_NAME        (0.2) ${IAM_ROLE_NAME}
            IAM_POLICY_ARN       (0.3) ${IAM_POLICY_ARN}
    
    ETX
    

    結果(例):

      AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
      IAM_ROLE_NAME        (0.2) aws-opsworks-service-role
      IAM_POLICY_ARN       (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/aws-opsworks-service-role
    

    変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
    行います。

    0.1. プロファイルの指定

    プロファイルの一覧を確認します。

    コマンド
    cat ~/.aws/credentials \
           | grep '\[' \
           | sed 's/\[//g' | sed 's/\]//g'
    

    結果(例):

      iamFull-prjz-mbpr13
      <IAMのフル権限を許可されたプロファイル>
    
    変数の設定
    export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
    

    0.2. IAMロール名の指定

    変数の設定
    IAM_ROLE_NAME='aws-opsworks-service-role'
    

    0.3. IAMロールポリシーの決定

    今回必要となる権限については、すでにカスタマ管理ポリシーで
    'aws-opsworks-service-policy'という名前で作成済みです。

    'aws-opsworks-service-policy'というキーワードでAWS管理ポリシーから検索
    してみましょう。

    変数の設定
    SEARCH_KEYWORD='aws-opsworks-service-policy'
    
    コマンド
    aws iam list-policies \
            --scope Local \
            --max-items 1000 \
            --query "Policies[?contains(PolicyName, \`${SEARCH_KEYWORD}\`)].PolicyName"
    

    結果(例):

      [
        "aws-opsworks-service-policy"
      ]
    

    利用するIAMポリシーを指定します。

    変数の設定
    IAM_POLICY_NAME='aws-opsworks-service-policy'
    

    ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。

    変数の設定
    IAM_POLICY_ARN=$( \
            aws iam list-policies \
              --max-items 1000 \
              --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
              --output text \
    ) \
            && echo "${IAM_POLICY_ARN}"
    

    結果(例):

      arn:aws:iam::XXXXXXXXXXXX:policy/aws-opsworks-service-policy
    

    最終確認

    変数の確認
    cat << ETX
    
            AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
            IAM_ROLE_NAME        (0.2) ${IAM_ROLE_NAME}
            IAM_POLICY_ARN       (0.3) ${IAM_POLICY_ARN}
    
    ETX
    

    結果(例):

      AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
      IAM_ROLE_NAME        (0.2) aws-opsworks-service-role
      IAM_POLICY_ARN       (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/aws-opsworks-service-role
    

    1. 事前作業

    1.1. IAMポリシーの確認

    IAMポリシのバージョンを取得します。

    コマンド
    IAM_POLICY_VERSION=$( \
            aws iam list-policies \
              --max-items 1000 \
              --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
              --output text \
    ) \
            && echo ${IAM_POLICY_VERSION}
    

    結果(例)

      v1
    

    ポリシの内容を見てみましょう。

    コマンド
    aws iam get-policy-version \
            --policy-arn ${IAM_POLICY_ARN} \
            --version-id ${IAM_POLICY_VERSION}
    

    結果(例):

    1.2. IAMロールの確認

    コマンド
    aws iam get-role \
             --role-name ${IAM_ROLE_NAME}
    

    結果(例):

      {
          "Role": {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Action": "sts:AssumeRole",
                        "Principal": {
                            "Service": "opsworks.amazonaws.com"
                        },
                        "Effect": "Allow",
                        "Sid": ""
                    }
                ]
            },
            "RoleId": "AROAXXXXXXXXXXXXXXXXX",
            "CreateDate": "2017-04-17T01:23:45Z",
            "RoleName": "aws-opsworks-service-role",
            "Path": "/",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/aws-opsworks-service-role"
          }
      }
    

    1.3. ロールポリシーの確認

    IAMロールのロールポリシーを確認します。

    コマンド
    aws iam list-attached-role-policies \
            --role-name ${IAM_ROLE_NAME}
    

    結果:

      {
          "AttachedPolicies": [], 
      }
    

    2. ロールポリシーの適用

    ロールポリシーの適用

    ロールポリシーをIAMロールに適用します。

    変数の確認
    cat << ETX
    
            IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
            IAM_POLICY_ARN: ${IAM_POLICY_ARN}
    
    ETX
    
    コマンド
    aws iam attach-role-policy \
            --role-name ${IAM_ROLE_NAME} \
            --policy-arn ${IAM_POLICY_ARN}
    

    結果:

      (戻り値なし)
    

    3. 事後作業

    ロールポリシの確認

    コマンド
    aws iam list-attached-role-policies \
            --role-name ${IAM_ROLE_NAME}
    

    結果(例):

      {
        "AttachedPolicies": [
          {
            "PolicyName": "aws-opsworks-service-policy",
            "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/aws-opsworks-service-policy"
          }
        ]
      }
    

    完了