AWS
IAM
aws-cli
lambda
Inspector

[JAWS-UG CLI] #91 Amazon Inspector入門 (7) : IAMロールのポリシー作成 (lambda_inspector_policy)

AWS CLIを利用して、Lambdaでinspectorをキックする用のIAMポリシを作成してみます。

本記事について

本記事はJAWS-UG CLI専門支部の実施する予定だったハンズオン手順書です。
Lambdaでスケジュール実行するための手順でしたが、CloudWatch Eventから直接スケジュール実行が可能になったためこちらは廃止としました。

最新の全工程については下記総合案内をご確認ください。
#91 Amazon Inspector 入門 (CloudWatch Eventで定期診断編)

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

STSへの権限

  • get-caller-identityサブコマンドを実行する権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.122
コマンド
aws --version

結果(例):

  aws-cli/1.11.122 Python/2.7.10 Linux/4.1.27-25.49.amzn1.x86_64 botocore/1.5.85

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

まず変数の確認をします。

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>

変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。

0.1. プロファイルの確認

プロファイルの一覧を確認します。

コマンド
cat ~/.aws/credentials \
       | grep '\[' \
       | sed 's/\[//g' | sed 's/\]//g'

結果(例):

  iamFull-prjz-mbpr13
  <IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'

再確認

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>

1. 事前作業

1.1. IAMポリシー名の決定

ポリシー名を決めます。

変数の設定
IAM_POLICY_NAME='lambda_inspector_policy'

同じ名前のポリシーが無いことを確認します。

コマンド
aws iam list-policies \
        --scope Local \
        --max-items 1000 \
        --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

  []

1.2. IAMポリシードキュメントの作成

ポリシードキュメントのファイル名を決めます。

変数の設定
FILE_INPUT="${IAM_POLICY_NAME}.json" \
          && echo ${FILE_INPUT}
変数の確認
cat << EOF

        FILE_INPUT: ${FILE_INPUT}

EOF
コマンド
cat << EOF > ${FILE_INPUT}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}
EOF

cat ${FILE_INPUT}

結果(例):

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_INPUT}

エラーが出力されなければOKです。

2. 本作業

IAMポリシーの作成

変数の確認
cat << ETX

        IAM_POLICY_NAME: ${IAM_POLICY_NAME}
        FILE_INPUT:      ${FILE_INPUT}

ETX
コマンド
aws iam create-policy \
        --policy-name ${IAM_POLICY_NAME} \
        --policy-document file://${FILE_INPUT}

結果(例):

  {
      "Policy": {
          "PolicyName": "lambda_inspector_policy",
          "CreateDate": "2017-07-20T02:23:22.330Z",
          "AttachmentCount": 0,
          "IsAttachable": true,
          "PolicyId": "xxxxxxxxxxxx",
          "DefaultVersionId": "v1",
          "Path": "/",
          "Arn": "arn:aws:iam::xxxx:policy/lambda_inspector_policy",
          "UpdateDate": "2017-07-20T02:23:22.330Z"
      }
  }

3. 事後作業

IAMポリシーの確認

ARNを取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::XXXXXXXXXXXX:policy/lambda_inspector_policy

ポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}

結果(例):

 {
     "PolicyVersion": {
         "CreateDate": "2017-07-24T06:13:51Z",
         "VersionId": "v1",
         "Document": {
             "Version": "2012-10-17",
             "Statement": [
                 {
                     "Action": [
                         "inspector:StartAssessmentRun",
                         "logs:CreateLogGroup",
                         "logs:CreateLogStream",
                         "logs:PutLogEvents"
                     ],
                     "Resource": "*",
                     "Effect": "Allow"
                 }
             ]
         },
         "IsDefaultVersion": true
     }
 }

完了