Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] STS: #2 AssumeRoleによる権限の付与 (Administrator)

More than 5 years have passed since last update.

AWS CLIを利用して、フルアクセス(Administrator)が可能なIAMロールをIAMユーザに付与してみます。

(AssumeRole権限のあるユーザで作業します。)

前提条件

AssumeRoleへの権限

  • AssumeRoleに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.9.15
コマンド
aws --version
結果(例)
      aws-cli/1.9.15 Python/2.7.5 Darwin/13.4.0 botocore/1.3.15

0. 準備

変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

変数の確認
export AWS_DEFAULT_PROFILE='taro-prjZ-mbp13'
変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile          taro-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. IAMロール名の指定

変数の設定
IAM_ROLE_NAME='AdministratorforAssumeRole'

IAMロールのARNを取得します。

コマンド
IAM_ROLE_ARN=$(\
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text \
      ) \
        && echo ${IAM_ROLE_ARN}

1.2. トークンの有効期間の指定

15-60の間の値を指定します。

変数の設定
EXPIRATION_MINITES='60'

2. トークンの発行

変数の設定
EXPIRATION_SECONDS=$(expr 60 \* ${EXPIRATION_MINITES})
FILE_ASSUME_ROLE_OUTPUT="${IAM_ROLE_NAME}-output.json"
ROLE_SESSION_NAME="${IAM_ROLE_NAME}-session"

AssumeRoleTokenを取得します。

変数の確認
cat << ETX

          IAM_ROLE_ARN:            ${IAM_ROLE_ARN}
          EXPIRATION_SECONDS:      ${EXPIRATION_SECONDS}
          FILE_ASSUME_ROLE_OUTPUT: ${FILE_ASSUME_ROLE_OUTPUT}
          ROLE_SESSION_NAME:       ${ROLE_SESSION_NAME}

ETX
コマンド
aws sts assume-role \
        --role-arn ${IAM_ROLE_ARN} \
        --role-session-name ${ROLE_SESSION_NAME} \
        --duration-seconds ${EXPIRATION_SECONDS} \
        > ${FILE_ASSUME_ROLE_OUTPUT} \
        && cat ${FILE_ASSUME_ROLE_OUTPUT}

トークン発行時刻を確認しておきましょう。

コマンド
date

3. トークンの利用

3.1. トークン情報の抽出

ここでは環境変数を利用してAssumeRoleTokenを利用します。

変数の設定
FILE_ASSUME_ROLE_ENV="${IAM_ROLE_NAME}.env"
コマンド
cat ${FILE_ASSUME_ROLE_OUTPUT} | \
awk '
        $1 == "\"AccessKeyId\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_ACCESS_KEY_ID="$2
        }
        $1 == "\"SecretAccessKey\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SECRET_ACCESS_KEY="$2
        }
        $1 == "\"SessionToken\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SESSION_TOKEN="$2
        }
        ' \
      > ${FILE_ASSUME_ROLE_ENV} \
        && cat ${FILE_ASSUME_ROLE_ENV}

3.2. 一時認証の利用

コマンド
unset AWS_DEFAULT_PROFILE
source ${FILE_ASSUME_ROLE_ENV}

4. (任意) マネージメントコンソールでのロール切り替え

  1. メニュー > アカウント名 > ロールの切り替え

  2. ロールの切り替え

  3. ロールの切り替え(画面)

アカウント: AWS IDを入力します。

参考(コマンドでのAWS-IDの取得方法)
AWS_ID=$( \
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text | \
          sed 's/^.*:://' | \
          sed 's/:.*$//' \
      ) \
        && echo ${AWS_ID}
結果(例)
XXXXXXXXXXXX

ロール: 以下のロール名を入力します。

     AdministratorforAssumeRole
  • ロールの切り替え(ボタン)を押す。

参考. 有効期間終了後

コマンド
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away