Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM #51 IAMロールの作成 (AWS IoT Logging Put)

More than 3 years have passed since last update.

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLI

以下のバージョンで動作確認済

  • AWS CLI 1.10.60
コマンド
aws --version
結果(例)
      aws-cli/1.11.14 Python/2.7.10 Darwin/15.6.0 botocore/1.4.71

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

0.1. 変数の確認

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFull-prjz-mbp13        env    AWS_DEFAULT_PROFILE
      access_key     ****************XXXX shared-credentials-file
      secret_key     ****************XXXX shared-credentials-file
          region        ap-northeast-1        env    AWS_DEFAULT_REGION

今回は、IAMでの作業となるため、リージョンはどこになっていても影響ありません。

0.2. ロールに適用するIAMポリシーの決定

利用するIAMポリシーを決めます。

変数の設定
IAM_POLICY_NAME='AWSIoTLoggingPutRolePolicy'

次に、ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"
結果(例)
      arn:aws:iam::aws:policy/service-role/AWSIoTLoggingPutRolePolicy

ポリシーの内容を見るために、そのポリシーの最新バージョン名を取得します

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}
結果(例)
      v1

ポリシーの最新バージョンの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}
結果(例)
      {
        "PolicyVersion": {
          "CreateDate": "2016-11-17T01:23:45Z",
          "VersionId": "v1",
          "Document": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": [
                          "logs:CreateLogGroup",
                          "logs:CreateLogStream",
                          "logs:PutLogEvents",
                          "logs:PutMetricFilter",
                          "logs:PutRetentionPolicy"
                      ],
                      "Resource": [
                          "*"
                      ],
                      "Effect": "Allow"
                  }
              ]
          },
          "IsDefaultVersion": true
        }
      }

1. 事前作業

1.1. IAMロール名の決定

作成するIAMロールの名称を決定します。

変数の設定
IAM_ROLE_NAME='AWSIoTLoggingPutRole'

同じ名前のIAMロールが存在しないことを確認します。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name AWSIoTRole cannot be found.

1.2. プリンシパルの指定

作成するIAMロールを利用することができるサービス(プリンシパル)を指定し
ます。

変数の設定
IAM_PRINCIPAL='iot.amazonaws.com'

上記の場合、このIAMロールを利用することができるのはiot.amazonaws.comで
動作するサービスに限定されます。

2. IAMロールの作成

IAMロールを作成していきます。

2.1. assumeロールポリシードキュメントの作成

IAMロールを作成するために、まずassumeロールポリシーを記述したドキュメ
ントをJSON形式で作成します。

変数の設定
FILE_INPUT="${IAM_ROLE_NAME}.json" \
        && echo ${FILE_INPUT}
変数の確認
cat << ETX

        FILE_INPUT:    ${FILE_INPUT}
        IAM_PRINCIPAL: ${IAM_PRINCIPAL}

ETX
コマンド
cat << EOF > ${FILE_INPUT}
{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Principal": {
              "Service": "${IAM_PRINCIPAL}"
            },
            "Effect": "Allow",
            "Sid": ""
          }
        ]
}
EOF

cat ${FILE_INPUT}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_INPUT}

エラーが出力されなければOKです。

2.2. IAMロールの作成

assumeロールポリシーを記述したら、次に実際にIAMロールを作成します。

変数の確認
cat << ETX

        IAM_ROLE_NAME: ${IAM_ROLE_NAME}
        FILE_INPUT:    ${FILE_INPUT}

ETX
コマンド
aws iam create-role \
        --role-name ${IAM_ROLE_NAME} \
        --assume-role-policy-document file://${FILE_INPUT}
結果(例)
      {
         "Role": {
           "AssumeRolePolicyDocument": {
               "Version": "2012-10-17",
               "Statement": [
                   {
                       "Action": "sts:AssumeRole",
                       "Sid": "",
                       "Effect": "Allow",
                       "Principal": {
                           "Service": "iot.amazonaws.com"
                       }
                   }
               ]
           },
           "RoleId": "AROAXXXXXXXXXXXXXXXXX",
           "CreateDate": "2016-11-17T01:23:45.678Z",
           "RoleName": "AWSIoTRole",
           "Path": "/",
           "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/AWSIoTRole"
         }
       }

2.3. IAMロールの確認

作成したIAMロールの内容を確認しましょう。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      {
          "Role": {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Action": "sts:AssumeRole",
                        "Principal": {
                            "Service": "iot.amazonaws.com"
                        },
                        "Effect": "Allow",
                        "Sid": ""
                    }
                ]
            },
            "RoleId": "AROAXXXXXXXXXXXXXXXXX",
            "CreateDate": "2016-11-17T01:23:45Z",
            "RoleName": "AWSIoTRole",
            "Path": "/",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/AWSIoTRole"
          }
      }

出力結果の'AssumeRolePolicyDocument'が、assumeロールポリシードキュメントと同一の内容になっていれば、問題ありません。

この時点で、'iot.amazonaws.com'で動作するサービスからこのIAMロールを利
用することが可能となりました。

3. IAMポリシーの適用

3.1. IAMポリシーの確認

IAMロールに適用されているIAMポリシーを確認してみましょう。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果
      {
          "AttachedPolicies": [], 
      }

作成直後のIAMロールには、適用されているIAMポリシーはありません。

3.2. IAMポリシーの適用

IAMロールにIAMポリシーを適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_POLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}
結果
      (戻り値なし)

3.3. ポリシーの確認

IAMロールに適用されているIAMポリシーを再度確認してみましょう。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "AttachedPolicies": [
          {
              "PolicyName": "AWSIoTLoggingPutRolePolicy",
              "PolicyArn": "arn:aws:iam::aws:policy/service-role/AWSIoTLoggingPutRolePolicy"
          }
        ]
      }

完了

以上で、IAMロールの作成は完了です。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away