[JAWS-UG CLI] IAM:#12 S3管理者グループを作成する

  • 3
    Like
  • 4
    Comment
More than 1 year has passed since last update.

AWS CLIを利用して、S3へのフルアクセスが可能なIAMグループを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.7.39
    • AWS CLI 1.7.14
コマンド
aws --version
結果(例)
aws-cli/1.7.39 Python/2.7.5 Darwin/13.4.0

0. 準備

0.1. リージョンの決定

作成するユーザのデフォルトリージョンを決めます。
(カレントユーザが利用するカレントリージョンも切り変わります。)

コマンド(東京リージョンの場合)
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. 変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

コマンド
aws configure list
結果
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFull-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.2. IAMグループ名の決定

コマンド
IAM_GROUP_NAME="s3Full"

同じ名前のIAMグループが存在しないことを確認します。

コマンド
aws iam get-group \
  --group-name ${IAM_GROUP_NAME}
結果
A client error (NoSuchEntity) occurred when calling the GetGroup operation: The group with name s3Full cannot be found.

1.2. IAMポリシーの決定

存在するユーザ管理ポリシーを確認します。

コマンド
aws iam list-policies \
        --scope AWS \
        --max-items 1000 \
        --query 'Policies[].PolicyName'

利用するIAMポリシーを決めます。

コマンド
IAM_POLICY_NAME='AmazonS3FullAccess'

1.3. IAMポリシーの確認

ARNを取得します。

コマンド
IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].Arn" \
    --output text \
) \
  && echo ${IAM_POLICY_ARN}
結果(例)
arn:aws:iam::aws:policy/AmazonS3FullAccess

ポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
  aws iam list-policies \
    --query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].DefaultVersionId" \
    --output text \
) \
  && echo ${IAM_POLICY_VERSION}
結果(例)
v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
  --policy-arn ${IAM_POLICY_ARN} \
  --version-id ${IAM_POLICY_VERSION}
結果(例)
{
    "PolicyVersion": {
        "CreateDate": "2015-02-06T18:40:58Z", 
        "VersionId": "v1", 
        "Document": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": "s3:*", 
                    "Resource": "*", 
                    "Effect": "Allow"
                }
            ]
        }, 
        "IsDefaultVersion": true
    }
}

2. グループの作成

2.1. IAMグループの作成

IAMグループを作成します。

変数の確認
cat << ETX

      IAM_GROUP_NAME: ${IAM_GROUP_NAME}

ETX
コマンド
aws iam create-group \
  --group-name ${IAM_GROUP_NAME}
結果
      {
        "Group": {
            "Path": "/",
            "CreateDate": "2015-02-06T01:23:45.678Z",
            "GroupId": "AGPAXXXXXXXXXXXXXXXXX",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/s3Full",
            "GroupName": "s3Full"
        }
      }

2.2. IAMグループの確認

コマンド
aws iam get-group \
  --group-name ${IAM_GROUP_NAME}
結果
      {
        "Group": {
            "Path": "/",
            "CreateDate": "2015-02-06T01:23:45Z",
            "GroupId": "AGPAXXXXXXXXXXXXXXXXX",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/s3Full",
            "GroupName": "s3Full"
        },
        "Users": []
      }

3.1. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。

コマンド
aws iam list-attached-group-policies \
  --group-name ${IAM_GROUP_NAME}
結果(例)
      {
          "AttachedPolicies": [], 
          "IsTruncated": false
      }

3.2. IAMグループポリシーの適用

マネージドポリシーをIAMグループに適用します。

変数の確認
cat << ETX

        IAM_GROUP_NAME:   ${IAM_GROUP_NAME}
        IAM_GPOLICY_NAME: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-group-policy \
  --group-name ${IAM_GROUP_NAME} \
  --policy-arn ${IAM_POLICY_ARN}
結果(例)
      (戻り値なし)

4. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。

コマンド
aws iam list-attached-group-policies \
  --group-name ${IAM_GROUP_NAME}
結果(例)
      {
        "AttachedPolicies": [
          {
              "PolicyName": "CloudWatchFullAccess",
              "PolicyArn": "arn:aws:iam::aws:policy/CloudWatchFullAccess"
          }
        ],
        "IsTruncated": false
      }

完了