AWS
IAM
aws-cli
CodeBuild

[JAWS-UG CLI] IAM #64 IAMロールのポリシー作成 (CodeBuildService)

More than 1 year has passed since last update.

AWS CLIを利用して、CodeBuild用のIAMポリシを作成してみます。


前提条件


IAMへの権限


  • IAMに対してフル権限があること。


STSへの権限


  • get-caller-identityサブコマンドを実行する権限があること。


AWS CLIのバージョン

以下のバージョンで動作確認済


  • AWS CLI 1.11.14


コマンド

aws --version


結果(例):

  aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33

バージョンが古い場合は最新版に更新しましょう。


コマンド

sudo -H pip install -U awscli



0. 準備

まず変数の確認をします。


変数の確認

cat << ETX

AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX


結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>

変数が入っていない、適切でない場合は、それぞれの手順番号について作業を

行います。


0.1. プロファイルの確認

プロファイルの一覧を確認します。


コマンド

cat ~/.aws/credentials \

| grep '\[' \
| sed 's/\[//g' | sed 's/\]//g'

結果(例):

  iamFull-prjz-mbpr13

<IAMのフル権限を許可されたプロファイル>


変数の設定

export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'



再確認


変数の確認

cat << ETX

AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX


結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>


1. 事前作業


1.1. IAMポリシー名の決定

ポリシー名を決めます。


変数の設定

IAM_POLICY_NAME='CodeBuildServiceRolePolicy'


同じ名前のポリシーが無いことを確認します。


コマンド

aws iam list-policies \

--scope Local \
--max-items 1000 \
--query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

  []


1.2. IAMポリシードキュメントの作成

ポリシードキュメントのファイル名を決めます。


変数の設定

FILE_INPUT="${IAM_POLICY_NAME}.json" \

&& echo ${FILE_INPUT}


変数の確認

cat << EOF

FILE_INPUT: ${FILE_INPUT}

EOF



コマンド

cat << EOF > ${FILE_INPUT}

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}
EOF

cat ${FILE_INPUT}


結果(例):

  {

"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。


コマンド

jsonlint -q ${FILE_INPUT}


エラーが出力されなければOKです。


2. 本作業


IAMポリシーの作成


変数の確認

cat << ETX

IAM_POLICY_NAME: ${IAM_POLICY_NAME}
FILE_INPUT:
${FILE_INPUT}

ETX



コマンド

aws iam create-policy \

--policy-name ${IAM_POLICY_NAME} \
--policy-document file://${FILE_INPUT}

結果(例):

  {

"Policy": {
"PolicyName": "CodeBuildServiceRolePolicy",
"CreateDate": "2017-04-17T01:23:45.678Z",
"AttachmentCount": 0,
"IsAttachable": true,
"PolicyId": "ANPAXXXXXXXXXXXXXXXXX",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam:::XXXXXXXXXXXXpolicy/CodeBuildServiceRolePolicy",
"UpdateDate": "2017-04-17T01:23:45.678Z"
}
}


3. 事後作業


IAMポリシーの確認

ARNを取得します。


変数の設定

IAM_POLICY_ARN=$( \

aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRolePolicy

ポリシのバージョンを取得します。


コマンド

IAM_POLICY_VERSION=$( \

aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシの内容を見てみましょう。


コマンド

aws iam get-policy-version \

--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}

結果(例):

  {

"PolicyVersion": {
"CreateDate": "2017-04-17T01:23:45Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsPolicy",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "CodeCommitPolicy",
"Effect": "Allow",
"Action": [
"codecommit:GitPull"
],
"Resource": [
"*"
]
},
{
"Sid": "S3GetObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "S3PutObjectPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"*"
]
},
{
"Sid": "SNSSendMessagePolicy",
"Effect": "Allow",
"Action": [
"sns:SendMessage",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
},
"IsDefaultVersion": true
}
}


完了