はじめに
本記事はMFA認証のあるユーザーでAWSCLIを利用する際の手順を整理しています。同様の記事は多いとは思いますが自身の記録用として記載します。CLIを利用するたびに手順確認するのが面倒な方向けです。(私を含む)では〜!
前提条件
- AWS CLIがインストール済み
- IAMユーザーアカウントが作成済み
- MFAデバイスが設定済み
- [任意]jqコマンド(JSONを扱うのに便利なツール)がインストール済み
参考情報
先んじて公式より展開されている認証方法をご共有。
設定方法
0.アクセスキーの設定
まず、アクセスキーを発行します。
AWSマネジメントコンソールにて、発行可能です。
IAM > ユーザー > 確認したいIAMユーザー > セキュリティ認証情報 > アクセスキー > アクセスキーを作成
アクセスキーは一度しか表示されないため、.csvファイルをダウンロードするなど忘れずに管理してください。
$ aws configure
AWS Access Key ID [None]: 取得したID
AWS Secret Access Key [None]: 取得したシークレットキー
Default region name [None]: 任意のリージョン(東京ならap-northeast-1)
Default output format [None]: 任意の出力方法(json[デフォルト],yaml,yaml-stream,text,tableなど。未入力でデフォルト設定)
対話形式で先ほど取得したアクセスキーを保存します。紐付け時、プロファイル名の指定がない場合はdefaultという名前で保存されます。
1.現在の認証情報の確認
現在のAWS認証情報を確認します。
$ cat ~/.aws/credentials
[default]
aws_access_key_id = hoge
aws_secret_access_key = fuga
2.MFAデバイスの確認
次に設定されているMFAデバイスを確認します。
$ aws iam list-mfa-devices --profile default
{
"MFADevices": [
{
"UserName": "{IAMユーザー名}", # IAMユーザー
"SerialNumber": "arn:aws:iam::{AWSアカウントID}:{MFADevice名}", # MFAデバイスのARN
"EnableDate": "2024-08-16T01:11:11+00:00" # 作成日
}
]
}
SerialNumberの値を次のステップで利用します。
AWSコンソール上からも同様に確認が可能です。
IAM > ユーザー > 確認したいIAMユーザー > セキュリティ認証情報 > 多要素認証
3.一時的なセッショントークンの取得
MFAデバイスから取得した認証コードを使って、一時的なセッショントークンを取得します。
$ aws sts get-session-token \
--serial-number arn:aws:iam::{AWSアカウントID}:{MFADevice名} \ # MFAデバイスのARN
--token-code {6桁コード} \ # MFAデバイスに表示されている6桁のコード
--profile default \ # 使用するプロファイル
--output json # 出力形式
--duration-seconds 129600 # 有効期限
こんな感じで表示されている6桁の数字です。
一時セッションはデフォルト43,200秒(=12時間)有効です。
最大129,600秒(=36時間)まで指定可能です。
4.取得したクレデンシャルの設定
取得した一時的なクレデンシャルをmfaプロファイルに新規設定します。すでに作成済みファイルの場合は上書き更新されます。
$ aws configure set aws_access_key_id {hoge} --profile mfa
$ aws configure set aws_secret_access_key {huga} --profile mfa
$ aws configure set aws_session_token {piyo} --profile mfa
これにより、mfaプロファイルを使用するとMFA認証された状態でAWS CLIコマンドを実行できます。
5.更新後の認証情報の確認
AWS認証情報を確認します。mfaという認証情報が登録できていればOK!
$ cat ~/.aws/credentials
[default]
aws_access_key_id = hoge
aws_secret_access_key = fuga
[mfa]
aws_access_key_id = hoge
aws_secret_access_key = fuga
aws_session_token = piyo
簡単1コマンド実行方法
上記のステップをすべて1つのコマンドで実行できます。
OUTPUT=$(aws sts get-session-token --serial-number arn:aws:iam::{AWSアカウントID}:{MFADevice名} --token-code {6桁コード} --profile default --output json) && \
aws configure set aws_access_key_id $(echo $OUTPUT | jq -r '.Credentials.AccessKeyId') --profile mfa && \
aws configure set aws_secret_access_key $(echo $OUTPUT | jq -r '.Credentials.SecretAccessKey') --profile mfa && \
aws configure set aws_session_token $(echo $OUTPUT | jq -r '.Credentials.SessionToken') --profile mfa
このコマンドでは、jqコマンドを使用して JSON 出力から値を抽出しています。
使用方法
設定後は、以下のように--profile mfaオプションを付けてコマンドを実行します:
aws s3 ls --profile mfa
これで、MFA認証された状態でAWSリソースにアクセスできます!
まとめ
今回はAWSCLI利用時に、作業開始前に行う設定方法をまとめました。複数の認証情報を管理できることを学んだので、複数のAWSアカウントごとに適切に管理したり、正しく認証情報を扱えるようもっと理解を深めていきたいと思います。引き続き取り組んでいきます〜!
その他参考情報