Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM #64 IAMロールのポリシー作成 (CodeBuildService)

More than 3 years have passed since last update.

AWS CLIを利用して、CodeBuild用のIAMポリシを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

STSへの権限

  • get-caller-identityサブコマンドを実行する権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.14
コマンド
aws --version

結果(例):

  aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

まず変数の確認をします。

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>

変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。

0.1. プロファイルの確認

プロファイルの一覧を確認します。

コマンド
cat ~/.aws/credentials \
       | grep '\[' \
       | sed 's/\[//g' | sed 's/\]//g'

結果(例):

  iamFull-prjz-mbpr13
  <IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'

再確認

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>

1. 事前作業

1.1. IAMポリシー名の決定

ポリシー名を決めます。

変数の設定
IAM_POLICY_NAME='CodeBuildServiceRolePolicy'

同じ名前のポリシーが無いことを確認します。

コマンド
aws iam list-policies \
        --scope Local \
        --max-items 1000 \
        --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

  []

1.2. IAMポリシードキュメントの作成

ポリシードキュメントのファイル名を決めます。

変数の設定
FILE_INPUT="${IAM_POLICY_NAME}.json" \
          && echo ${FILE_INPUT}
変数の確認
cat << EOF

        FILE_INPUT: ${FILE_INPUT}

EOF
コマンド
cat << EOF > ${FILE_INPUT}
{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "CloudWatchLogsPolicy",
            "Effect": "Allow",
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "CodeCommitPolicy",
            "Effect": "Allow",
            "Action": [
              "codecommit:GitPull"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3GetObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:GetObject",
              "s3:GetObjectVersion"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3PutObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:PutObject"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "SNSSendMessagePolicy",
            "Effect": "Allow",
            "Action": [
              "sns:SendMessage",
              "sns:Publish"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
}
EOF

cat ${FILE_INPUT}

結果(例):

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "CloudWatchLogsPolicy",
        "Effect": "Allow",
        "Action": [
          "logs:CreateLogGroup",
          "logs:CreateLogStream",
          "logs:PutLogEvents"
        ],
        "Resource": [
          "*"
        ]
      },
      {
        "Sid": "CodeCommitPolicy",
        "Effect": "Allow",
        "Action": [
          "codecommit:GitPull"
        ],
        "Resource": [
          "*"
        ]
      },
      {
        "Sid": "S3GetObjectPolicy",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetObjectVersion"
        ],
        "Resource": [
          "*"
        ]
      },
      {
        "Sid": "S3PutObjectPolicy",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject"
        ],
        "Resource": [
          "*"
        ]
      },
      {
        "Sid": "SNSSendMessagePolicy",
        "Effect": "Allow",
        "Action": [
          "sns:SendMessage",
          "sns:Publish"
        ],
        "Resource": [
          "*"
        ]
      }
    ]
  }

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
jsonlint -q ${FILE_INPUT}

エラーが出力されなければOKです。

2. 本作業

IAMポリシーの作成

変数の確認
cat << ETX

        IAM_POLICY_NAME: ${IAM_POLICY_NAME}
        FILE_INPUT:      ${FILE_INPUT}

ETX
コマンド
aws iam create-policy \
        --policy-name ${IAM_POLICY_NAME} \
        --policy-document file://${FILE_INPUT}

結果(例):

  {
    "Policy": {
      "PolicyName": "CodeBuildServiceRolePolicy",
      "CreateDate": "2017-04-17T01:23:45.678Z",
      "AttachmentCount": 0,
      "IsAttachable": true,
      "PolicyId": "ANPAXXXXXXXXXXXXXXXXX",
      "DefaultVersionId": "v1",
      "Path": "/",
      "Arn": "arn:aws:iam:::XXXXXXXXXXXXpolicy/CodeBuildServiceRolePolicy",
      "UpdateDate": "2017-04-17T01:23:45.678Z"
    }
  }

3. 事後作業

IAMポリシーの確認

ARNを取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRolePolicy

ポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}

結果(例):

  {
    "PolicyVersion": {
      "CreateDate": "2017-04-17T01:23:45Z",
      "VersionId": "v1",
      "Document": {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "CloudWatchLogsPolicy",
            "Effect": "Allow",
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "CodeCommitPolicy",
            "Effect": "Allow",
            "Action": [
              "codecommit:GitPull"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3GetObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:GetObject",
              "s3:GetObjectVersion"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3PutObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:PutObject"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "SNSSendMessagePolicy",
            "Effect": "Allow",
            "Action": [
              "sns:SendMessage",
              "sns:Publish"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
      },
      "IsDefaultVersion": true
    }
  }

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away