LoginSignup
6

More than 5 years have passed since last update.

[JAWS-UG CLI] STS:#3 AssumeRole

Last updated at Posted at 2015-08-29

AWS CLIを利用して、AssumeRoleを利用します。

前提条件

EC2、S3、IAM、STSへの権限

  • EC2、S3、IAM、STSに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.7.39
コマンド
aws --version
結果(例)
aws-cli/1.7.39 Python/2.7.6 Darwin/14.4.0

0. 準備

0.1. リージョンの指定

リージョンを指定しておきます。

コマンド
export AWS_DEFAULT_REGION=ap-northeast-1

0.2. 変数の確認

プロファイルが想定のものになっていることを確認します。(EC2/S3/IAM/STSフル権限が必要です。)

コマンド
aws configure list
結果(例)
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                  iamFull           manual    --profile
access_key     ****************IK5Q shared-credentials-file    
secret_key     ****************nA0/ shared-credentials-file    
    region           ap-northeast-1              env    AWS_DEFAULT_REGION

0.3. 作業用ディレクトリの確認

カレントディレクトリにファイルを出力する為、作業用のディレクトリをご用意ください。

コマンド
pwd
ls -l

1. 事前準備

1.1. AWS IDの取得

ここで、AWS_IDを取得しておきます。

コマンド
AWS_ID=`aws iam get-user \
  --query 'User.Arn' \
  --output text | sed 's/^.*:://' | sed 's/:.*$//'` \
  && echo ${AWS_ID}
結果(例)
123456789012

1.2. AssumeRoleするIAMユーザの作成

作成予定のIAMユーザが存在しないことを確認します。

変数の設定
IAM_USER_NAME=AssumeRoleUser
コマンド
aws iam get-user \
  --user-name ${IAM_USER_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name AssumeRoleUser cannot be found.

IAMユーザを作成します。

コマンド
aws iam create-user \
  --user-name ${IAM_USER_NAME}
結果(例)
{
    "User": {
        "UserName": "AssumeRoleUser", 
        "Path": "/", 
        "CreateDate": "2015-07-18T12:20:05.016Z", 
        "UserId": "AIDAIPV37O2FG3D2FLUAA", 
        "Arn": "arn:aws:iam::123456789012:user/AssumeRoleUser"
    }
}

1.3. IAMユーザに割り当てるポリシーの作成

AssumeRoleするIAMユーザに割り当てるポリシーを準備します。

変数の設定
IAM_USER_POLICY_NAME=${IAM_USER_NAME}_Policy \
  && echo ${IAM_USER_POLICY_NAME}

FILE_IAM_USER_POLICY=${IAM_USER_POLICY_NAME}.json \
  && echo ${FILE_IAM_USER_POLICY}

AssumeRoleするIAMユーザには、AssumeRoleする権限とEC2へのフルアクセスのみを付与します。

コマンド
cat << EOF > ${FILE_IAM_USER_POLICY}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
EOF

cat ${FILE_IAM_USER_POLICY}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_IAM_USER_POLICY}

作成予定のIAMポリシーが存在しないことを確認します。

コマンド
aws iam get-policy \
  --policy-arn arn:aws:iam::${AWS_ID}:policy/${IAM_USER_POLICY_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetPolicy operation: Policy arn:aws:iam::123456789012:policy/AssumeRoleUser_Policy does not exist.

IAMポリシーを作成します。

コマンド
aws iam create-policy \
  --policy-name ${IAM_USER_POLICY_NAME} \
  --policy-document file://./${FILE_IAM_USER_POLICY}
結果(例)
{
    "Policy": {
        "PolicyName": "AssumeRoleUser_Policy", 
        "CreateDate": "2015-07-18T12:32:57.113Z", 
        "AttachmentCount": 0, 
        "IsAttachable": true, 
        "PolicyId": "ANPAIWXOFZB7YS2ZLY7FW", 
        "DefaultVersionId": "v1", 
        "Path": "/", 
        "Arn": "arn:aws:iam::123456789012:policy/AssumeRoleUser_Policy", 
        "UpdateDate": "2015-07-18T12:32:57.113Z"
    }
}

作成したポリシーのARNを取得します。

コマンド
IAM_USER_POLICY_ARN=$(aws iam list-policies \
  --scope Local \
  --query "Policies[?PolicyName==\`${IAM_USER_POLICY_NAME}\`].Arn[]" \
  --output text) \
  && echo ${IAM_USER_POLICY_ARN}

1.4. ポリシーのIAMユーザへの割り当て

作成したポリシーをIAMユーザに割り当てます。

コマンド
aws iam attach-user-policy \
  --user-name ${IAM_USER_NAME} \
  --policy-arn ${IAM_USER_POLICY_ARN}
結果(例)
(戻り値なし)

設定したIAMユーザとそのポリシーを確認します。

コマンド
aws iam get-account-authorization-details \
    --filter User \
    --query "UserDetailList[?UserName==\`${IAM_USER_NAME}\`]"
結果(例)
[
    {
        "UserName": "AssumeRoleUser", 
        "GroupList": [], 
        "CreateDate": "2015-07-18T12:20:05Z", 
        "UserId": "AIDAIPV37O2FG3D2FLUAA", 
        "Path": "/", 
        "AttachedManagedPolicies": [
            {
                "PolicyName": "AssumeRoleUser_Policy", 
                "PolicyArn": "arn:aws:iam::123456789012:policy/AssumeRoleUser_Policy"
            }
        ], 
        "Arn": "arn:aws:iam::123456789012:user/AssumeRoleUser"
    }
]
コマンド
aws iam get-account-authorization-details \
    --filter LocalManagedPolicy \
    --query "Policies[?PolicyName==\`${IAM_USER_POLICY_NAME}\`]"
結果(例)
[
    {
        "PolicyName": "AssumeRoleUser_Policy", 
        "CreateDate": "2015-07-18T12:32:57Z", 
        "AttachmentCount": 1, 
        "IsAttachable": true, 
        "PolicyId": "ANPAIWXOFZB7YS2ZLY7FW", 
        "DefaultVersionId": "v1", 
        "PolicyVersionList": [
            {
                "CreateDate": "2015-07-18T12:32:57Z", 
                "VersionId": "v1", 
                "Document": {
                    "Version": "2012-10-17", 
                    "Statement": [
                        {
                            "Action": "ec2:*", 
                            "Resource": "*", 
                            "Effect": "Allow"
                        }, 
                        {
                            "Action": "sts:AssumeRole", 
                            "Resource": "*", 
                            "Effect": "Allow"
                        }
                    ]
                }, 
                "IsDefaultVersion": true
            }
        ], 
        "Path": "/", 
        "Arn": "arn:aws:iam::123456789012:policy/AssumeRoleUser_Policy", 
        "UpdateDate": "2015-07-18T12:32:57Z"
    }
]

1.5. AssumeRoleされるIAMロールの作成

クロスアカウント環境を用意するのは難しいと思いますので、今回は同一AWSアカウント内でAssumeRoleします。
IAMロールのTrusted Entitiy(IAMロール利用を許可する対象)を定義しておきます。
先に作成したIAMユーザからのみAssumeRoleを許可します。

変数の設定
FILE_ASSUME_ROLE_POLICY=assume-role-policy.json
コマンド
cat << EOF > ${FILE_ASSUME_ROLE_POLICY}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::${AWS_ID}:user/${IAM_USER_NAME}"
            }
        }
    ]
}
EOF

cat ${FILE_ASSUME_ROLE_POLICY}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_ASSUME_ROLE_POLICY}

作成予定のIAMロールが存在しないことを確認します。

変数の設定
IAM_ROLE_NAME=AssumedRole
コマンド
aws iam get-role \
  --role-name=${IAM_ROLE_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name AssumedRole cannot be found.

IAMロールを作成します。

コマンド
aws iam create-role \
  --role-name ${IAM_ROLE_NAME} \
  --assume-role-policy-document file://./${FILE_ASSUME_ROLE_POLICY}  
結果(例)
{
    "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": "sts:AssumeRole", 
                    "Effect": "Allow", 
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:user/AssumeRoleUser"
                    }
                }
            ]
        }, 
        "RoleId": "AROAIYJKSO3BOXIHFYL7S", 
        "CreateDate": "2015-07-18T13:18:11.938Z", 
        "RoleName": "AssumedRole", 
        "Path": "/", 
        "Arn": "arn:aws:iam::123456789012:role/AssumedRole"
    }
}

1.6. IAMロールに割り当てるポリシーの作成

IAMロールに割り当てるポリシーを準備します。

変数の設定
IAM_ROLE_POLICY_NAME=${IAM_ROLE_NAME}_Policy
FILE_IAM_ROLE_POLICY=${IAM_ROLE_POLICY_NAME}.json

AssumeRoleするIAMユーザには、AssumeRoleする権限とEC2へのフルアクセスのみを付与します。

コマンド
cat << EOF > ${FILE_IAM_ROLE_POLICY}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}
EOF

cat ${FILE_IAM_ROLE_POLICY}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_IAM_ROLE_POLICY}

作成予定のIAMポリシーが存在しないことを確認します。

コマンド
aws iam get-policy \
  --policy-arn arn:aws:iam::${AWS_ID}:policy/${IAM_ROLE_POLICY_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetPolicy operation: Policy arn:aws:iam::123456789012:policy/AssumedRole_Policy does not exist.

IAMポリシーを作成します。

コマンド
aws iam create-policy \
  --policy-name ${IAM_ROLE_POLICY_NAME} \
  --policy-document file://./${FILE_IAM_ROLE_POLICY}
結果(例)
{
    "Policy": {
        "PolicyName": "AssumedRole_Policy", 
        "CreateDate": "2015-07-18T13:21:24.728Z", 
        "AttachmentCount": 0, 
        "IsAttachable": true, 
        "PolicyId": "ANPAI3CYOIQ6J2SAC3I3E", 
        "DefaultVersionId": "v1", 
        "Path": "/", 
        "Arn": "arn:aws:iam::123456789012:policy/AssumedRole_Policy", 
        "UpdateDate": "2015-07-18T13:21:24.728Z"
    }
}

作成したポリシーのARNを取得します。

コマンド
IAM_ROLE_POLICY_ARN=$(aws iam list-policies \
  --scope Local \
  --query "Policies[?PolicyName==\`${IAM_ROLE_POLICY_NAME}\`].Arn[]" \
  --output text) \
  && echo ${IAM_ROLE_POLICY_ARN}

1.7. ポリシーのIAMロールへの割り当て

作成したポリシーをIAMロールに割り当てます。

コマンド
aws iam attach-role-policy \
  --role-name ${IAM_ROLE_NAME} \
  --policy-arn ${IAM_ROLE_POLICY_ARN}
結果(例)
(戻り値なし)

設定したIAMロールとそのポリシーを確認します。

コマンド
aws iam get-account-authorization-details \
    --filter Role \
    --query "RoleDetailList[?RoleName==\`${IAM_ROLE_NAME}\`]"
結果(例)
[
    {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": "sts:AssumeRole", 
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:user/AssumeRoleUser"
                    }, 
                    "Effect": "Allow", 
                    "Sid": ""
                }
            ]
        }, 
        "RoleId": "AROAIYJKSO3BOXIHFYL7S", 
        "CreateDate": "2015-07-18T13:18:11Z", 
        "InstanceProfileList": [], 
        "RoleName": "AssumedRole", 
        "Path": "/", 
        "AttachedManagedPolicies": [
            {
                "PolicyName": "AssumedRole_Policy", 
                "PolicyArn": "arn:aws:iam::123456789012:policy/AssumedRole_Policy"
            }
        ], 
        "RolePolicyList": [], 
        "Arn": "arn:aws:iam::123456789012:role/AssumedRole"
    }
]
コマンド
aws iam get-account-authorization-details \
    --filter LocalManagedPolicy \
    --query "Policies[?PolicyName==\`${IAM_ROLE_POLICY_NAME}\`]"
結果(例)
[
    {
        "PolicyName": "AssumedRole_Policy", 
        "CreateDate": "2015-07-18T13:21:24Z", 
        "AttachmentCount": 1, 
        "IsAttachable": true, 
        "PolicyId": "ANPAI3CYOIQ6J2SAC3I3E", 
        "DefaultVersionId": "v1", 
        "PolicyVersionList": [
            {
                "CreateDate": "2015-07-18T13:21:24Z", 
                "VersionId": "v1", 
                "Document": {
                    "Version": "2012-10-17", 
                    "Statement": [
                        {
                            "Action": "s3:*", 
                            "Resource": "*", 
                            "Effect": "Allow"
                        }
                    ]
                }, 
                "IsDefaultVersion": true
            }
        ], 
        "Path": "/", 
        "Arn": "arn:aws:iam::123456789012:policy/AssumedRole_Policy", 
        "UpdateDate": "2015-07-18T13:21:24Z"
    }
]

2. AssumeRole利用

2.1. IAMユーザのアクセスキー発行

AssumeRoleするIAMユーザのアクセスキーを発行しておきます。

変数の設定
FILE_IAM_USER_ACCEESS_KEY=${IAM_USER_NAME}_AccessKey.json
コマンド
aws iam create-access-key \
  --user-name ${IAM_USER_NAME} \
  > ${FILE_IAM_USER_ACCEESS_KEY} &&
  cat ${FILE_IAM_USER_ACCEESS_KEY}
結果(例)
{
    "AccessKey": {
        "UserName": "AssumeRoleUser", 
        "Status": "Active", 
        "CreateDate": "2015-07-18T13:33:14.757Z", 
        "SecretAccessKey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
        "AccessKeyId": "AKIAxxxxxxxxxxxxxxxx"
    }
}

2.2. Configファイル準備

IAMユーザのアクセスキーをConfigファイルに設定します。

変数の設定
PROFILE_IAM_USER=assume-user
FILE_PROFILE_IAM_USER_CONFIG=${PROFILE_IAM_USER}.config
コマンド
echo "[profile ${PROFILE_IAM_USER}]" > ${FILE_PROFILE_IAM_USER_CONFIG}
cat ${FILE_IAM_USER_ACCEESS_KEY} | awk '
  $1 == "\"AccessKeyId\":" {
    gsub(/\"/,""); gsub(/,/,""); print "aws_access_key_id = "$2
  }
  $1 == "\"SecretAccessKey\":" {
    gsub(/\"/,""); gsub(/,/,""); print "aws_secret_access_key = "$2
  }
' >> ${FILE_PROFILE_IAM_USER_CONFIG} \
  && cat ${FILE_PROFILE_IAM_USER_CONFIG}

ここでAssumeRoleする為のプロファイルも追記しておきます。

変数の設定
PROFILE_IAM_ROLE=assumed-role
コマンド
echo "[profile ${PROFILE_IAM_ROLE}]" >> ${FILE_PROFILE_IAM_USER_CONFIG}
echo "role_arn = arn:aws:iam::${AWS_ID}:role/${IAM_ROLE_NAME}" >> ${FILE_PROFILE_IAM_USER_CONFIG}
echo "source_profile = ${PROFILE_IAM_USER}" >> ${FILE_PROFILE_IAM_USER_CONFIG}

作成したファイルの内容を確認しておきましょう。

コマンド
cat ${FILE_PROFILE_IAM_USER_CONFIG}
結果(例)
[profile assume-user]
aws_secret_access_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
aws_access_key_id = AKIAxxxxxxxxxxxxxxxx
[profile assumed-role]
role_arn = arn:aws:iam::123456789012:role/AssumedRole
source_profile = assume-user

2.3. AssumeRoleするIAMユーザでの動作確認

作成したConfigファイルをプロファイルとして環境変数で設定します。

環境変数指定
export AWS_DEFAULT_PROFILE=${PROFILE_IAM_USER}
export AWS_CONFIG_FILE=${FILE_PROFILE_IAM_USER_CONFIG}

AssumeRoleするIAMユーザ用のプロファイルに変更されていることを確認します。

コマンド
aws configure list
結果(例)
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile              assume-user           manual    --profile
access_key     ****************BPKQ      config-file    
secret_key     ****************tgBm      config-file    
    region           ap-northeast-1              env    AWS_DEFAULT_REGION

AssumeRoleするIAMユーザでは、EC2にアクセス可能、S3にアクセス不可であることを確認しておきます。

コマンド(例)
aws ec2 describe-regions
コマンド(例)
aws s3 ls

2.4. ConfigファイルによるAssumeRoleの利用

AssumeRoleしたプロファイルで同様のコマンド結果を確認します。
正しく設定できていれば、先程とは逆の結果になるはずです。

コマンド(失敗例)
aws ec2 describe-regions --profile ${PROFILE_IAM_ROLE}
コマンド(成功例)
aws s3 ls --profile ${PROFILE_IAM_ROLE}

2.5. 手動でのAssumeRoleの利用

念の為、手動でもAssumeRoleを利用できることを確認します。
Tokenの有効期限を15分(60*15)に設定します。

変数の設定
EXPIRATION_SECONDS=`expr 60 \* 15`
FILE_ASSUME_ROLE_OUTPUT=assume_role_output.json
ROLE_SESSION_NAME=assumed-role-session
IAM_ROLE_ARN=arn:aws:iam::${AWS_ID}:role/${IAM_ROLE_NAME}

AssumeRoleTokenを取得します。

変数の確認
cat << ETX

        IAM_ROLE_ARN: ${IAM_ROLE_ARN}
        ROLE_SESSION_NAME: ${ROLE_SESSION_NAME}
        EXPIRATION_SECONDS: ${EXPIRATION_SECONDS}
        FILE_ASSUME_ROLE_OUTPUT: ${FILE_ASSUME_ROLE_OUTPUT}

ETX
コマンド
aws sts assume-role \
  --role-arn ${IAM_ROLE_ARN} \
  --role-session-name ${ROLE_SESSION_NAME} \
  --duration-seconds ${EXPIRATION_SECONDS} \
  > ${FILE_ASSUME_ROLE_OUTPUT} \
  && cat ${FILE_ASSUME_ROLE_OUTPUT}    

ここでは環境変数を利用してAssumeRoleTokenを利用します。

変数の設定
FILE_ASSUME_ROLE_ENV=assume_role.env
コマンド
cat ${FILE_ASSUME_ROLE_OUTPUT} | awk '
    $1 == "\"AccessKeyId\":" {
      gsub(/\"/,""); gsub(/,/,""); print "export AWS_ACCESS_KEY_ID="$2
    }
    $1 == "\"SecretAccessKey\":" {
      gsub(/\"/,""); gsub(/,/,""); print "export AWS_SECRET_ACCESS_KEY="$2
    }
    $1 == "\"SessionToken\":" {
      gsub(/\"/,""); gsub(/,/,""); print "export AWS_SESSION_TOKEN="$2
    }
' > ${FILE_ASSUME_ROLE_ENV} \
  && cat ${FILE_ASSUME_ROLE_ENV}

unset AWS_DEFAULT_PROFILE
source ${FILE_ASSUME_ROLE_ENV}

手動で取得したAssumeRoleTokenでも、Configファイル利用の場合と同様に、EC2にアクセス不可、S3にアクセス可能であることを確認します。

コマンド(失敗例)
aws ec2 describe-regions
コマンド(成功例)
aws s3 ls

3. 作成リソースの削除

3.1. 環境変数等の初期化

必要に応じて環境変数の削除、再設定を行って、作業開始時(管理者)の権限に初期化(または再設定)してください。
プロファイルが想定のものになっていることを確認します。

コマンド
aws configure list
結果(例)
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                  iamFull           manual    --profile
access_key     ****************IK5Q shared-credentials-file    
secret_key     ****************nA0/ shared-credentials-file    
    region           ap-northeast-1              env    AWS_DEFAULT_REGION

3.2. IAMユーザの削除

IAMユーザとそれに紐付くリソースを全て削除します。

変数の設定
IAM_USER_NAME=AssumeRoleUser
IAM_USER_POLICY_NAME=${IAM_USER_NAME}_Policy
IAM_USER_POLICY_ARN=$(aws iam list-policies \
  --scope Local \
  --query "Policies[?PolicyName==\`${IAM_USER_POLICY_NAME}\`].Arn[]" \
  --output text)
ACCESS_KEY_ID=$(aws iam list-access-keys \
  --user-name ${IAM_USER_NAME} \
  --query "AccessKeyMetadata[].AccessKeyId[]" \
  --output text)
コマンド
aws iam detach-user-policy \
  --user-name ${IAM_USER_NAME} \
  --policy-arn ${IAM_USER_POLICY_ARN}
コマンド
aws iam delete-policy \
  --policy-arn ${IAM_USER_POLICY_ARN}
コマンド
aws iam delete-access-key \
  --access-key-id ${ACCESS_KEY_ID} \
  --user-name ${IAM_USER_NAME}
コマンド
aws iam delete-user \
  --user-name ${IAM_USER_NAME}

3.3. IAMロールの削除

IAMロールとそれに紐付くリソースを全て削除します。

変数の設定
IAM_ROLE_NAME=AssumedRole
IAM_ROLE_POLICY_NAME=${IAM_ROLE_NAME}_Policy
IAM_ROLE_POLICY_ARN=$(aws iam list-policies \
  --scope Local \
  --query "Policies[?PolicyName==\`${IAM_ROLE_POLICY_NAME}\`].Arn[]" \
  --output text)
コマンド
aws iam detach-role-policy \
  --role-name ${IAM_ROLE_NAME} \
  --policy-arn ${IAM_ROLE_POLICY_ARN}
コマンド
aws iam delete-policy \
  --policy-arn ${IAM_ROLE_POLICY_ARN}
コマンド
aws iam delete-role --role-name ${IAM_ROLE_NAME}

3.4. 作業用ファイルの削除

念の為、不要となったカレントディレクトリのローカルファイルも削除してください。

完了

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6