Help us understand the problem. What is going on with this article?

aws-session-token を取得して環境変数に入れるシェルスクリプト

aws-session-token を取得して環境変数に入れるシェルスクリプト

経緯

AWS のIAMでは設定でMFA認証を強制させるポリシーを作成することができます。
AWS CLIから利用する際にはコンソールから発行できるアクセスキー(アクセスキーとシークレットキー)を~/.aws/credentials に発行されたキーを登録して利用します。しかし、MFAを設定している場合には、このアクセスキーを利用して一時的なトークンを取得し、これを利用してCLIを利用することになります。

いちいち取得した変数を登録するのが面倒だったため関数を作成してbashrcに追加しておくことで、その作業を楽にしました。

設定

1.まず、自分のMFAデバイスのarnを取得します(MFA デバイスの割り当て のARNです)。IAMのユーザの項目から探すことができます。
tempsnip.png
2.~/.aws/confingmfa-deviceを追記します。

[profile hogehoge]
region = ap-northeast-1
output = json
mfa-device = arn:aws:iam::************:mfa/user #この行

3.bashrc に以下を追記します。

set-awssession-token() {
    profile_name=$1
    code=$2

    mfa_device=$(cat ~/.aws/config | grep -A 4 $profile_name | grep mfa-device | cut -f 3 -d " ")
    session_token=$(aws sts get-session-token --serial-number $mfa_device --token-code $code --profile $profile_name)
    export AWS_ACCESS_KEY_ID=$(echo $session_token | jq -r .Credentials.AccessKeyId)
    export AWS_SECRET_ACCESS_KEY=$(echo $session_token | jq -r .Credentials.SecretAccessKey)
    export AWS_SESSION_TOKEN=$(echo $session_token | jq -r .Credentials.SessionToken)
}

release-awssession-token() {
    export -n AWS_ACCESS_KEY_ID
    export -n AWS_SECRET_ACCESS_KEY
    export -n AWS_SESSION_TOKEN
}

4.設定が完了しました。

source ~/.bashrc
set-awssession-token hogehoge {{ MFA_CODE }}

とすることで一時的なトークンが環境変数にセットされるので心置きなくCLIが叩けるようになります。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away