Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM:#34 AssumeRole用S3管理者ロールの作成

More than 3 years have passed since last update.

AWS CLIを利用して、IAMユーザがS3の管理者権限を得るためのIAMロールを作成してみます。

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.10.0
  • AWS CLI 1.9.11
コマンド
aws --version
結果(例)
aws-cli/1.10.0 Python/2.7.5 Darwin/13.4.0 botocore/1.3.22

0. 準備

0.1. 変数の確認

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFull-prjZ-mbp13iamFull-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************XXXX shared-credentials-file
      secret_key     ****************XXXX shared-credentials-file
          region                eu-west-1              env    AWS_DEFAULT_REGION

0.2. AWSアカウントIDの取得

コマンド
AWS_ID=$( \
        aws iam get-user \
          --query 'User.Arn' \
          --output text | \
          sed 's/^.*:://' | \
          sed 's/:.*$//' \
      ) \
        && echo ${AWS_ID}
結果(例)
XXXXXXXXXXXX

1. 事前作業

1.1. ロールの利用を許可するユーザの指定

変数の設定
IAM_USER_NAME=<IAMユーザ名>
変数の設定
ORG=<組織名>

1.2. IAMロール名の決定

変数の設定
IAM_ROLE_NAME='s3FullforAssumeRole'

同じ名前のIAMロールが存在しないことを確認します。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name s3FullforAssumeRole cannot be found.

1.2. assumeロールポリシドキュメントの作成

変数の設定
FILE_ROLE_DOC="${IAM_ROLE_NAME}-${ORG}.json" \
        && echo ${FILE_ROLE_DOC}
変数の確認
cat << ETX

        FILE_ROLE_DOC: ${FILE_ROLE_DOC}
        AWS_ID:        ${AWS_ID}
        IAM_USER_NAME: ${IAM_USER_NAME}

ETX
コマンド
cat << EOF > ${FILE_ROLE_DOC}
{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Principal": {
              "AWS": "arn:aws:iam::${AWS_ID}:user/${IAM_USER_NAME}"
            },
            "Effect": "Allow"
          }
        ]
}
EOF

cat ${FILE_ROLE_DOC}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_ROLE_DOC}
結果
      (戻り値なし)

1.3. IAMロールポリシーの決定

存在するユーザ管理ポリシーを確認します。

コマンド
aws iam list-policies \
        --scope AWS \
        --max-items 1000 \
        --query 'Policies[].PolicyName'

利用するIAMポリシーを決めます。

変数の設定
IAM_POLICY_NAME='AmazonS3FullAccess'

ARNを取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --scope AWS \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
      ) \
        && echo "${IAM_POLICY_ARN}"
結果(例)
arn:aws:iam::aws:policy/AmazonS3FullAccess

ポリシのバージョンを取得します。

変数の設定
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --scope AWS \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
      ) \
        && echo ${IAM_POLICY_VERSION}
結果(例)
      v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}
結果(例)
      {
          "PolicyVersion": {
              "CreateDate": "2015-02-06T18:40:58Z", 
              "VersionId": "v1", 
              "Document": {
                  "Version": "2012-10-17", 
                  "Statement": [
                      {
                          "Action": "s3:*", 
                          "Resource": "*", 
                          "Effect": "Allow"
                      }
                  ]
              }, 
              "IsDefaultVersion": true
          }
      }

2. IAMロールの作成

2.1. IAMロールの作成

変数の確認
cat << ETX

        IAM_ROLE_NAME: ${IAM_ROLE_NAME}
        FILE_ROLE_DOC: ${FILE_ROLE_DOC}

ETX
コマンド
aws iam create-role \
        --role-name ${IAM_ROLE_NAME} \
        --assume-role-policy-document file://${FILE_ROLE_DOC}
結果(例)
      {
        "Role": {
          "AssumeRolePolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": "sts:AssumeRole",
                      "Effect": "Allow",
                      "Principal": {
                          "AWS": "arn:aws:iam::XXXXXXXXXXXX:user/taro-prjz-mbp13"
                      }
                  }
              ]
          },
          "RoleId": "AROAXXXXXXXXXXXXXXXXX",
          "CreateDate": "2015-06-30T01:29:32.382Z",
          "RoleName": "s3FullforAssumeRole",
          "Path": "/",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/s3FullforAssumeRole"
        }
      }

3. ロールポリシーの適用

3.1. ロールポリシーの確認

IAMロールのロールポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果
      {
          "AttachedPolicies": [], 
      }

3.2. ロールポリシーの適用

ロールポリシーをIAMロールに適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_ROLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}
結果
      (戻り値なし)

4. 事後作業

4.1. IAMロールの確認

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "Role": {
          "AssumeRolePolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": "sts:AssumeRole",
                      "Principal": {
                          "AWS": "arn:aws:iam::XXXXXXXXXXXX:user/taro-prjz-mbp13"
                      },
                      "Effect": "Allow",
                  }
              ]
          },
          "RoleId": "AROAXXXXXXXXXXXXXXXXX",
          "CreateDate": "2015-12-06T01:23:45Z",
          "RoleName": "s3FullforAssumeRole",
          "Path": "/",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/s3FullforAssumeRole"
        }
      }

4.2. ロールポリシの確認

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "AttachedPolicies": [
          {
              "PolicyName": "AmazonS3FullAccess",
              "PolicyArn": "arn:aws:iam::aws:policy/service-role/AmazonS3FullAccess"
          }
        ],
      }

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away