OpenSSLで自己署名CA証明書を作成し、オンプレからIAM Roles Anywhereを試す

Last updated at 2025-02-15Posted at 2025-02-15

はじめに

AWS IAM Roles Anywhereはオンプレミス＆外部システムから、PKI (Public Key Infrastructure) 認証を用いて、AWSリソースアクセスすることができます。

本記事ではハンズオンとして、OpenSSLを利用して自己署名CA証明書からクライアント証明書を作成し、IAM Roles AnywhereからS3バケットの一覧表示を試します。

感想についても最後に備忘録として残しておきます。

また、躓いたポイントがありましたので、トラブルシューティングが誰かの助けになれば幸いです。

想定するユースケース(記事から抜粋)

オンプレミスのデータを Amazon Simple Storage Service (Amazon S3) にバックアップする
オンプレミスの Kubernetes ワークロードに対して、Amazon DynamoDB や Amazon Simple Queue Service (Amazon SQS) などのネイティブ AWS サービスへのアクセスを提供する
AWS Secrets Manager に保存されているシークレットに対して AWS 外部のワークロードからアクセスする
オンプレミスのソースから AWS Security Hub にセキュリティ検出結果を送信する
ハイブリッドワークロードが段階的にマイグレーションしていく過程で AWS サービスにアクセスできるようにする

ゴール

AWS IAM Roles Anywhereを利用して、自宅VM上のOSからAWS CLIを叩いてS3バケットが表示されること
サービスの使い方の全体像が把握できること

筆者の環境

VM環境(ubuntu 24.04.01 arm)
OpenSSL 3.0.13 30
AWSのリソースは東京リージョン(ap-northeast-1)で作成しております
aws_signing_helper 1.4.0

前提条件

AWSの基本的な知識
PKI認証が概略レベルでわかること。(PKIの認証のおさらいとしてこちらが分かりやすかったです。)
AWS アカウントを持っていること
IAMに関連する基礎的な知識があること
IAM ロールと IAM Roles Anywhere に対する権限が付与されたIAMユーザーで操作していること

準備

aws_signing_helperをVM環境にダウンロード

IAM Roles Anywhereを利用してAWSリソースの操作をするために、一時的なセキュリティ資格情報(セッション情報)の取得をします
取得にはAWSが提供する IAM Roles Anywhere の資格情報ヘルパーツールを使用します
詳細については、Temporary security credentials in IAMをご参照ください

以下のリンクからaws_signing_helperをダウンロード

自環境ではLinux Aarch64をダウンロードしました

ダウンロード先

ダウンロードしたaws_signing_helperに実行権限の付与

$chmod +x aws_signing_helper

aws_signing_helperが実行できることを確認

$ ./aws_signing_helper version
1.4.0

OpenSSLがubuntu上でインストールされているかを確認する

$openssl version
OpenSSL 3.0.13 Jan 2024 (Library: OpenSSL 3.0.13 30 Jan 2024)

適当なS3バケットを作成する

(作成方法は省略します)

デモ用のバケット: s3-qiita-iamrolesanywhere

手順

1.OpenSSLで自己署名CA証明書を作成

信頼アンカーには ACM Private CA で発行した証明書または自己署名CA証明書を登録できます。※信頼アンカーについては4の手順にて説明します
ACMは利用せずに、opensslで自己署名CA証明書を作成します

1-1.自己署名CA用の秘密鍵を作成

自己署名CA用の 2048-bit RSA 秘密鍵を生成します
```
$openssl genrsa -out aws-ca-private-key.pem 2048
```

1-2.自己署名CA証明書の作成

作成する前に/etc/ssl/openssl.cnfを以下のように修正or追加します。※設定をミスするとクライアント証明書の作成が上手にいかない可能性があります

/etc/ssl/openssl.cnf

  [ v3_ca ]
  subjectKeyIdentifier=hash
  authorityKeyIdentifier=keyid:always,issuer
  basicConstraints = critical,CA:true
  keyUsage = cRLSign, keyCertSign

  ...

  [ v3_client ]
  basicConstraints = CA:FALSE
  keyUsage = digitalSignature, keyEncipherment
  extendedKeyUsage = clientAuth

「1-1.自己署名CA用の秘密鍵を作成」で作成した秘密鍵を使用し、1年間有効な認証局 (CA) の自己署名CA証明書を作成します
```
openssl req -x509 -new -key aws-ca-private-key.pem -sha256 -days 365 -out aws-ca-cert.pem -extensions v3_ca -config /etc/ssl/openssl.cnf
```
識別名は適当な値を入力します。私は以下の通り入力しました
識別名
```
C: JP
ST: AWS
L: Tokyo
O: ARI
OU: DEV
CN: ATSUSHI
E: None
```

1-3. 自己署名CA証明書の内容を表示

「1-2.自己署名CA証明書の作成」で作成した自己署名CA証明書の内容を表示します
```
$openssl x509 -in aws-ca-cert.pem -text -noout
```

作成したリソース

aws-ca-private-key.pem : 自己署名CA用の秘密鍵
aws-ca-cert.pem: 自己署名CA証明書

2.クライアントのCSR(証明書署名要求)を作成

2-1.クライアントの秘密鍵を作成

クライアント用の 2048-bit RSA 秘密鍵を生成します

$openssl genrsa -out aws-client-private-key.pem 2048

2-2.クライアントのCSR(証明書署名要求)を作成

クライアントのCSRを作成します

openssl req -new -key aws-client-private-key.pem -out aws-client-csr.pem

識別名は適当な値を入力します。私は以下の通り入力しました

識別名

C: JP
ST: AWS
L: Kyoto
O: ARI
OU: OPS
CN: TARO
E: None

作成したリソース

aws-client-private-key.pem : クライアント用の秘密鍵
aws-client-csr.pem: クライアントのCSR(証明書署名要求)

3.自己署名CA証明書からクライアント証明書を作成

3-1. クライアント証明書を自己署名CA証明書で作成

自己署名CAの秘密鍵と自己署名証明書を使用し、1年間有効なクライアント証明書を作成します

$openssl x509 -req -in aws-client-csr.pem -CA aws-ca-cert.pem -CAkey aws-ca-private-key.pem -CAcreateserial -out aws-client-cert.pem -days 365 -extensions v3_client -extfile /etc/ssl/openssl.cnf

3-2.クライアント証明書の内容を表示

$openssl x509 -in aws-client-cert.pem -text -noout

3-3.クライアント証明書の検証

以下のコマンドからクライアント証明書の検証を行います(OKだったら大丈夫です)

openssl verify -CAfile aws-ca-cert.pem aws-client-cert.pem

作成したリソース

aws-client-cert.pem : クライアント証明書

4.AWS IAM Roles Anywhereの設定

4-1.信頼アンカーの作成

信頼アンカーとは、認証局(CA)の証明書をAWSに登録し、CAが発行した証明書を信頼する仕組みです。これにより、適切に署名されたクライアント証明書を使用して、IAMロールを引き受けることが可能になります。

IAMロールの画面に移動。「信頼アンカーを作成する」を押下します

「信頼アンカー名」に値を入力します ※ハンスオンではaws-ca-cert-achorとします
ACMで発行した証明書の場合は「AWS証明書管理プライベートCA」にチェックをしますが、今回は自己署名CAなので「外部証明書ハンドル」を押下します
外部証明書ハンドルには「1-2.認証局 (CA) の自己署名証明書を作成」で作成済みのaws-ca-cert.pemの中身を転記します。空白など余計な文字を入力するとエラーが発生するので、ご注意ください
Notifications settingsは証明書の有効期限が切れた時、有効期限が切れる前にEvent Bridgeなどで通知ができる設定です
- CA certificate expiry event: 自己署名CA証明書の期限
- End Entity Certificate Expiry Event: クラアント証明書の期限

信頼アンカーが作成されたことを確認

4-2.IAMロールを作成

S3のバケットを表示するためのIAMロールを作成します(リソース名はs3-readonly-anywhereroles)
信頼されたエンティティタイプは「AWSのサービス」を選択
サービスまたはユースケースには「Roles Anywhere」を選択
「次へ」を押下します

ポリシーには「AmazonS3ReadOnlyAccess」をチェック
「次へ」を押下します

信頼ポリシーに以下のConditionセクションを追加します

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity",
                "sts:TagSession"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:rolesanywhere:ap-northeast-1:<アカウントID>:trust-anchor/08520eee-d730-41f5-a589-d60cefade923"
                }
            }
        }
    ]
}

以下の設定でリソースの権限範囲をクライアント証明書に限定することができます。証明書で設定した組織名を指定することも可能です

IAMロールの作成を確認

4-3.プロファイルを作成

プロファイルとはIAMロールと信頼アンカーを紐付けて、セッション情報を取得する設定です。期限や、追加でポリシーの付与が可能です。

「プロファイルを作成」を押下

プロファイル名に適当な値を入力します。※ハンスオンではaws-ca-cert-profileとします
IAMロールには「4-2.IAMロールを作成」で作成したIAMロールs3-readonly-anywhererolesを指定します。IAMロールを複数指定できますが、指定されたIAMロールは他のプロファイルで利用することができません
セッションポリシーはIAMロールにアクセス制限を追加で設定することができます。※ハンズオンでは設定しませんでした
Session Durationはセッション情報の時間設定です。15分 ~ 12時間の間で設定することができます。ハンズオンでは1時間で設定しました
Custom Role Session nameはセッション名に名前を付けられます。※ハンズオンでは設定しませんでした
「プロファイルを作成」を押下

プロファイルが作成されたことを確認

作成したリソース

aws-ca-cert-achor : 信頼アンカー
aws-ca-cert-profile : プロファイル
s3-readonly-anywhereroles : IAMロール

5.AWS CLIからS3バケットを表示

5-1. セッション情報を取得する設定

aws_signing_helper credential_processでセッション情報を取得します
セッション情報は実行するたびに変更されます
以下は引数の説明です

aws_signing_helper credential_process
    -- certificate: クライアント証明書ファイルのパスを指定します
    -- private-key: クライアント秘密鍵ファイルのパスを指定します
    -- trust-anchor-arn: 作成した信頼アンカーのARNを指定します
    -- profile-arn: 作成したプロファイルのARNを指定します
    -- role-arn: IAM Roles Anywhereで利用するIAMロールのARNを指定します

コマンドが長いため、以下のスクリプトを作成しております

sts.sh

#!/bin/bash

# aws_signing_helper credential-process
./aws_signing_helper credential-process \
  --certificate <クライアント証明書ファイル（aws-client-cert.pem） \
  --private-key クライアント秘密鍵ファイル（aws-client-private-key.pem） \
  --trust-anchor-arn 信頼アンカーARN(aws-ca-cert-achor) \
  --profile-arn プロファイルARN(aws-ca-cert-profile) \
  --role-arn IAMロールARN(s3-readonly-anywhereroles)

5-2. セッション情報を取得

「5-1.セッション情報を取得する設定」で作成したsts.shを実行します

$./sts.sh

実行結果からAccessKeyId、SecretAccessKey、SessionTokenを控えます
Expirationはセッションの期限を表しています
もう一度実行すると違うセッション情報を取得します
取得したセッション情報を~/.aws/configに追加

5-3. AWS CLIでS3バケットを表示

CLIからS3バケットの一覧を表示します

$aws s3 ls --profile roleanywhere-profile

S3バケットの表示を確認

5-4. クライアント証明書の有効期限が過ぎた時の表示

クライアント証明書の有効期限が過ぎた時に、再度セッション情報を取得しようとすると下記のように画面が出力されます

$./sts.sh
2025/02/15 05:32:50 AccessDeniedException: Untrusted signing certificate

最後に

IAM Roles Anywhereのハンスオンを試してみました。サーバの台数が多くなると証明書の管理やaws_signing_helperでセッション情報を取得する必要があるため、運用の負担は増えます。また、料金についても実運用だと証明書にACMを利用するのでコスト面でもやはり考慮する必要があります。

しかし、セキュリティはPKIを利用するため高く、要件が厳しいところでは機会があるのかなと思いました。

トラブルシューティング(追記予定)

aws_signing_helper credential-processの実行時にUntrusted certificateyやInsufficient certificateエラーが出力される場合。

設定(/etc/ssl/openssl.cnf)にミスがあるかもしれません
以下の設定と一緒に正しい記載かご確認ください

/etc/ssl/openssl.cnf

    [ v3_ca ]
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid:always,issuer
    basicConstraints = critical,CA:true
    keyUsage = cRLSign, keyCertSign

    ...

    [ v3_client ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment
    extendedKeyUsage = clientAuth

参考記事

仲間を募集しています！

ARIではエンジニア・ITコンサルタント・PM職全方位で仲間を募集しております。
カジュアル面談、随時受付中です！
ご興味ある方はこちらをご覧ください。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up