AWS
IAM
aws-cli
DynamoDB

[JAWS-UG CLI] IAM:#7 DynamoDB管理者グループとユーザを作成する

More than 3 years have passed since last update.

https://manage.doorkeeper.jp/groups/jawsug-cli/events/19360 でのハンズオン資料です。

AWS CLIを利用して、DynamoDBへのフルアクセスが可能なIAMグループとIAMユーザを作成してみます。


前提条件


IAMへの権限


  • IAMに対してフル権限があること。


AWS CLIのバージョン



  • 以下のバージョンで動作確認済


    • AWS CLI 1.7.18




コマンド

aws --version



結果(例)

aws-cli/1.7.18 Python/2.7.5 Darwin/13.4.0



0. 準備


0.1. リージョンの決定

作成するユーザのデフォルトリージョンを決めます。

(カレントユーザが利用するカレントリージョンも切り変わります。)


コマンド(東京リージョンの場合)

export AWS_DEFAULT_REGION='ap-northeast-1'



0.2. 変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。


変数の確認

aws configure list



結果(例)

            Name                    Value             Type    Location

---- ----- ---- --------
profile iam_full-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************LOAQ shared-credentials-file
secret_key ****************I1O1 shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION


1. 事前作業


1.1. プロジェクト名、作業場所名の決定

今回のハンズオンでは、IAMグループやIAMユーザ名にプロジェクト名と作業場所を埋め込みます。


コマンド

PRJ_NAME='prj99'

LOC_NAME='ope01'


1.2. IAMグループの決定


コマンド

IAM_GROUP_NAME="dynamodb_full"


同じ名前のIAMグループが存在しないことを確認します。


コマンド

aws iam get-group --group-name ${IAM_GROUP_NAME}



結果

A client error (NoSuchEntity) occurred when calling the GetGroup operation: The group with name cloudtrail-builder cannot be found.



1.3. IAMグループポリシーの作成

ポリシー名を決めます。


コマンド

IAM_GPOLICY_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}" \

&& echo ${IAM_GPOLICY_NAME}

ポリシーファイルのファイル名を決めます。


コマンド

FILE_POLICY_DOC="${IAM_GPOLICY_NAME}.json" \

&& echo ${FILE_POLICY_DOC}

ポリシーファイルを作成します。


コマンド

cat << EOF > ${FILE_POLICY_DOC}

{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:*",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:SetAlarmState",
"sns:CreateTopic",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"sns:Subscribe",
"sns:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
EOF

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。


コマンド

jsonlint -q ${FILE_POLICY_DOC}



1.4. IAMユーザの決定


コマンド

IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}" \

&& echo ${IAM_USER_NAME}

同じ名前のIAMユーザが存在しないことを確認します。


コマンド

aws iam get-user --user-name ${IAM_USER_NAME}



結果

A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name taro cannot be found.



2. グループの作成


2.1. IAMグループの作成

IAMグループを作成します。


変数の確認

cat << ETX

IAM_GROUP_NAME: ${IAM_GROUP_NAME}

ETX



コマンド

aws iam create-group --group-name ${IAM_GROUP_NAME}



結果

      {

"Group": {
"Path": "/",
"CreateDate": "2015-01-17T11:33:25.902Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/dynamodb_full",
"GroupName": "dynamodb_full"
}
}


2.2. IAMグループの確認


コマンド

aws iam get-group --group-name ${IAM_GROUP_NAME}



結果

      {

"Group": {
"Path": "/",
"CreateDate": "2015-01-19T06:36:27Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/dynamodb_full",
"GroupName": "dynamodb_full"
},
"Users": []
}


3. グループポリシーの適用


3.1. IAMグループポリシーの適用

グループポリシーをIAMグループに適用します。


変数の確認

cat << ETX

IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_GPOLICY_NAME:
${IAM_GPOLICY_NAME}
FILE_POLICY_DOC:
${FILE_POLICY_DOC}

ETX



コマンド

aws iam put-group-policy \

--group-name ${IAM_GROUP_NAME} \
--policy-name ${IAM_GPOLICY_NAME} \
--policy-document file://${FILE_POLICY_DOC}


結果

      (戻り値なし)



3.2. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。


コマンド

aws iam get-group-policy \

--group-name ${IAM_GROUP_NAME} \
--policy-name ${IAM_GPOLICY_NAME}


結果

      {

"GroupName": "dynamodb_full",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:*",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"sns:CreateTopic",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"sns:Subscribe",
"sns:Unsubscribe"
],
"Resource": "*",
"Effect": "Allow"
}
]
},
"PolicyName": "dynamodb_full-prj04"
}


4. ユーザの作成


4.1. 作成

IAMユーザを作成します。


変数の確認

cat << ETX

IAM_USER_NAME: ${IAM_USER_NAME}

ETX



コマンド

aws iam create-user --user-name ${IAM_USER_NAME}



結果

      {

"User": {
"UserName": "dynamodb_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:54.449Z",
"UserId": "AIDAIxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/dynamodb_full"
}
}


4.2. IAMユーザの確認

作成したIAMユーザが存在することを確認します。


コマンド

aws iam get-user --user-name ${IAM_USER_NAME}



結果

      {

"User": {
"UserName": "dynamodb_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:01Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/dynamodb_full"
}
}


5. グループへのユーザ追加


5.1. 追加

IAMユーザに権限を付与するために、IAMグループに追加します。


変数の確認

cat << ETX

IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_USER_NAME:
${IAM_USER_NAME}

ETX



コマンド

aws iam add-user-to-group \

--group-name ${IAM_GROUP_NAME} \
--user-name ${IAM_USER_NAME}


結果

      (戻り値なし)



5.2. ユーザのグループ所属確認

IAMユーザが、IAMグループに所属していることを確認します。


コマンド

aws iam list-groups-for-user --user-name ${IAM_USER_NAME} |\

jq -r --arg group_name ${IAM_GROUP_NAME} '.Groups[] | select( .GroupName == $group_name )'


結果

      {

"Path": "/",
"CreateDate": "2015-01-18T02:03:09Z",
"GroupId": "AGPAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/dynamodb_full",
"GroupName": "dynamodb_full"
}


5.3. グループへのユーザ所属確認

IAMグループにIAMユーザが所属していることを確認します。


コマンド

aws iam get-group --group-name ${IAM_GROUP_NAME} |\

jq -r --arg user_name ${IAM_USER_NAME} '.Users[] | select( .UserName == $user_name )'


結果

      {

"UserName": "dynamodb_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:07Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/dynamodb_full"
}


6. ユーザのAPIアクセス設定


6.1. access keyの作成と取得


変数の確認

cat << ETX

IAM_USER_NAME: ${IAM_USER_NAME}

ETX



コマンド

aws iam create-access-key --user-name ${IAM_USER_NAME} > ${IAM_USER_NAME}.json \

&& cat ${IAM_USER_NAME}.json


結果

      {

"AccessKey": {
"UserName": "dynamodb_full",
"Status": "Active",
"CreateDate": "2015-01-18T03:57:05.919Z",
"SecretAccessKey": "XXxxxxxXXXxXXXXxXXxXxXXXXXxxxXxXxXXXXXXX",
"AccessKeyId": "AKIAxxxxxxxxxxxxxxxx"
}
}


6.2. 認証情報の作成


sourceディレクトリ作成


コマンド

mkdir -p ~/.aws/source



結果

      (戻り値なし)



rcファイル作成


コマンド

cat ${IAM_USER_NAME}.json |\

jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
sed 's/AccessKeyId/aws_access_key_id/' |\
sed 's/SecretAccessKey/aws_secret_access_key/' \
> ~/.aws/source/${IAM_USER_NAME}.rc \
&& cat ~/.aws/source/${IAM_USER_NAME}.rc


結果

      aws_access_key_id=AKIAIOSFODNN7EXAMPLE

aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


configファイル(単体)作成


コマンド

REGION_AWS_CONFIG="${AWS_DEFAULT_REGION}"



コマンド

FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"

echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
&& echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
&& echo "" >> ${FILE_USER_CONFIG} \
&& cat ${FILE_USER_CONFIG}



結果

      [profile user-project-sample]

region=ap-northeast-1


~/.aws/credentials作成


バックアップ

cp ~/.aws/credentials ~/.aws/credentials.old



コマンド

file="${HOME}/.aws/credentials"

if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for
i in `ls ${HOME}/.aws/source/*.rc`; do \
name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
&& echo "[$name]" >> ${file} \
&& cat $i >> ${file} \
&& echo "" >> ${file} ;done \
&& cat ${file}



結果

[user-project-sample]

aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


~/.aws/config作成


バックアップ

cp ~/.aws/config ~/.aws/config.old



コマンド

cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \

&& cat ${HOME}/.aws/config


結果

      (略)

[profile user-project-sample]
region=ap-northeast-1



7. ユーザの切り替え


7.1. 現在のユーザの確認


変数の確認

aws configure list | grep profile



結果(例)

profile      iam_full-prjZ-mbp13              env    AWS_DEFAULT_PROFILE



7.2. 切替後ユーザの確認


変数の確認

cat << ETX

new: IAM_USER_NAME: ${IAM_USER_NAME}

ETX



7.3. ユーザの切り替え


コマンド

export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}

echo ${AWS_DEFAULT_PROFILE}


7.4. コマンドテスト


コマンド

aws dynamodb list-tables 



結果

      {

"TableNames": []
}


8. 認証ファイルの削除


コマンド

rm ${IAM_USER_NAME}.json



ハンズオン時

ハンズオン前にやっておくとよいこと(任意): http://qiita.com/tcsh/items/c905a2d8777db4282804


ハンズオン後

ハンズオン実施後にやっておくべきこと(推奨): http://qiita.com/tcsh/items/dc966f6bd0380bda8905


完了

今回のハンズオンでは、このIAMユーザで作業することを前提とします。