AWS
CloudFormation
aws-cli

[JAWS-UG CLI] CloudFormation:#4 ハンズオン用IAMユーザの作成 (AWS管理ポリシ: Administrator)

More than 3 years have passed since last update.

AWS CLIとCloudFormationを利用して、フルアクセスが可能なIAMユーザを作成してみます。


前提条件


IAMへの権限


  • IAMに対してフル権限があること。

  • CloudFormationに対してフル権限があること。


AWS CLIのバージョン



  • 以下のバージョンで動作確認済


    • AWS CLI 1.7.39

    • AWS CLI 1.7.22

    • AWS CLI 1.7.18




コマンド

aws --version



結果(例)

aws-cli/1.7.39 Python/2.7.5 Darwin/13.4.0



0. 準備


0.1. リージョンの決定

作成するユーザのデフォルトリージョンを決めます。

(カレントユーザが利用するカレントリージョンも切り変わります。)


コマンド(東京リージョンの場合)

export AWS_DEFAULT_REGION='ap-northeast-1'



0.2. 変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。


変数の確認

aws configure list



結果(例)

            Name                    Value             Type    Location

---- ----- ---- --------
profile iamFullCf-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************LOAQ shared-credentials-file
secret_key ****************I1O1 shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION


1. 事前作業


1.1. 組織名、プロジェクト名の決定

今回のハンズオンでは、IAMユーザ名にプロジェクト名と作業場所を埋め込みます。


コマンド

PRJ_NAME=<プロジェクト名>

LOC_NAME=<作業場所名>


1.2. IAMグループの決定


コマンド

aws iam list-groups \

--query 'Groups[].GroupName'

表示されたグループから選択して、変数に定義します。


コマンド

IAM_GROUP_NAME="administrator"



1.3. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。


コマンド

aws iam list-attached-group-policies \

--group-name ${IAM_GROUP_NAME}


結果

      {

"AttachedPolicies": [
{
"PolicyName": "AdministratorAccess",
"PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/AdministratorAccess"
}
],
"IsTruncated": false
}


コマンド

IAM_POLICY_NAME="AdministratorAccess"


ARNを取得します。


コマンド

IAM_POLICY_ARN=$( \

aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].Arn" \
--output text \
) \
&& echo ${IAM_POLICY_ARN}


結果(例)

      arn:aws:iam::XXXXXXXXXXXX:policy/AdministratorAccess


ポリシのバージョンを取得します。


コマンド

IAM_POLICY_VERSION=$( \

aws iam list-policies \
--query "Policies[?contains(PolicyName,\`${IAM_POLICY_NAME}\`)].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}


結果(例)

      v1


ポリシの内容を見てみましょう。


コマンド

aws iam get-policy-version \

--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}


結果(例)

      (略)



1.4. IAMユーザの決定


コマンド

IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}" \

&& echo ${IAM_USER_NAME}

同じ名前のIAMユーザが存在しないことを確認します。


コマンド

aws iam get-user \

--user-name ${IAM_USER_NAME}


結果(例)

      A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name administrator-prjz-mbp13 cannot be found.



1.5. パスワードの決定

マネジメントコンソールログイン用のパスワードを決定します。


コマンド

IAM_PASSWORD_NEW='#userPass123'



2. CloudFormationテンプレートの作成

テンプレートを作成します。


コマンド

CF_DESC="${IAM_GROUP_NAME} for handson."

CF_USER_NAME=`echo ${IAM_USER_NAME} | sed 's/[-_]//g'`
CF_GROUP_NAME=`echo ${IAM_GROUP_NAME} | sed 's/[-_]//g'`
FILE_CF_TEMPLATE="cf-${IAM_GROUP_NAME}-handson.template"


変数の確認

cat << ETX

IAM_USER_NAME: ${IAM_USER_NAME}
IAM_PASSWORD_NEW:
${IAM_PASSWORD_NEW}
IAM_GROUP_NAME:
${IAM_GROUP_NAME}
CF_DESC:
${CF_DESC}
CF_USER_NAME:
${CF_USER_NAME}
FILE_CF_TEMPLATE:
${FILE_CF_TEMPLATE}

ETX



コマンド

cat << EOF > ${FILE_CF_TEMPLATE}

{
"AWSTemplateFormatVersion": "2010-09-09",
"Description": "
${CF_DESC}",
"Resources": {
"
${CF_USER_NAME}": {
"Type": "AWS::IAM::User",
"Properties": {
"LoginProfile": {
"Password": "
${IAM_PASSWORD_NEW}"
}
}
},
"
${CF_IAM_NAME}BelongGroups": {
"Type": "AWS::IAM::UserToGroupAddition",
"Properties": {
"GroupName": "
${IAM_GROUP_NAME}",
"Users": [
{
"Ref": "
${CF_USER_NAME}"
}
]
}
}
},
"Outputs" : {
"UserName" : {
"Value" : { "Ref" : "
${CF_USER_NAME}" },
"Description" : "UserName of new user"
}
}
}
EOF

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。


コマンド

jsonlint -q ${FILE_CF_TEMPLATE}


エラーが出力されなければOKです。

validate-templateサブコマンドで、簡単な検証ができます。


コマンド

aws cloudformation validate-template \

--template-body file://${FILE_CF_TEMPLATE}


結果(例)

      {

"CapabilitiesReason": "The following resource(s) require capabilities: [AWS::IAM::User, AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::UserToGroupAddition]",
"Description": "administrator for handson.",
"Parameters": [],
"Capabilities": [
"CAPABILITY_IAM"
]
}


3. CloudFormationスタックの作成


3.1. スタックの作成


コマンド

CF_STACK_NAME="${IAM_USER_NAME}"



変数の確認

cat << ETX

CF_STACK_NAME: ${CF_STACK_NAME}
FILE_CF_TEMPLATE:
${FILE_CF_TEMPLATE}

ETX



コマンド

aws cloudformation create-stack \

--stack-name "${CF_STACK_NAME}" \
--template-body file://${FILE_CF_TEMPLATE} \
--capabilities 'CAPABILITY_IAM'


結果(例)

      {

"StackId": "arn:aws:cloudformation:ap-northeast-1:XXXXXXXXXXX:stack/administrator-prjz-mbp13/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}


3.2. スタックのステータス確認


コマンド

CF_STACK_STATUS=$( \

aws cloudformation list-stacks \
--query "StackSummaries[?contains(StackName, \`${CF_STACK_NAME}\`)].StackStatus" \
--output text \
) \
&& echo ${CF_STACK_STATUS}


結果

CREATE_COMPLETE


'CREATE_COMPLETE'になっていれば作成は完了です。

それ以外が表示されている場合は、下記コマンドでFailedの文字が出ている前後を見て原因を調べます。


コマンド

aws cloudformation describe-stack-events \

--stack-name ${CF_STACK_NAME}


3.3. スタックの内容確認

作成されたスタックの内容を確認します。


コマンド

aws cloudformation get-template \

--stack-name ${CF_STACK_NAME}


結果(例)

      {

"TemplateBody": {
"AWSTemplateFormatVersion": "2010-09-09",
"Outputs": {
"UserName": {
"Description": "UserName of new user",
"Value": {
"Ref": "administratorprj05mbp13"
}
}
},
"Description": "administrator for handson.",
"Resources": {
"administratorprj05mbp13": {
"Type": "AWS::IAM::User",
"Properties": {
"LoginProfile": {
"Password": "#userPass123"
}
}
},
"BelongGroups": {
"Type": "AWS::IAM::UserToGroupAddition",
"Properties": {
"GroupName": "administrator",
"Users": [
{
"Ref": "administratorprj05mbp13"
}
]
}
}
}
}
}


3.4. スタックのユーザ名取得


コマンド

CF_STACK_OUTPUT_KEY='UserName'



コマンド

STR_QUERY="Stacks[].Outputs[?OutputKey==\`${CF_STACK_OUTPUT_KEY}\`].OutputValue" \

&& echo ${STR_QUERY}

CF_STACK_OUTPUT_VALUE=$( \
aws cloudformation describe-stacks \
--stack-name ${CF_STACK_NAME} \
--query ${STR_QUERY} \
--output text \
) \
&& echo ${CF_STACK_OUTPUT_VALUE}



コマンド

IAM_USER_NAME=${CF_STACK_OUTPUT_VALUE}



4. 確認


4.1. ユーザの確認


コマンド

aws iam get-user \

--user-name ${IAM_USER_NAME}


結果(例)

      {

"User": {
"UserName": "administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B",
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"UserId": "AIDAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B"
}
}


4.2. ユーザのグループ所属確認

IAMユーザが、所属しているIAMグループを確認します。


コマンド

IAM_GROUP_NAME=`aws iam list-groups-for-user \

--user-name ${IAM_USER_NAME} \
--query 'Groups[].GroupName' \
--output text` \
&& echo ${IAM_GROUP_NAME}


結果

administrator



4.3. IAMグループの確認

IAMユーザが所属しているIAMグループの詳細を確認します。


コマンド

aws iam get-group \

--group-name ${IAM_GROUP_NAME}


結果

      {

"Group": {
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"GroupId": "AGPAJSBNUPBB4HP3BZBII",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/administrator",
"GroupName": "administrator"
},
"Users": [
{
"UserName": "administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B",
"Path": "/",
"CreateDate": "2015-02-06T01:23:45Z",
"UserId": "AIDAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/administrator-prjz-mbp13-administratorprj05mbp13-1PNNTXCPADD3B"
}
]
}


5. ユーザのAPIアクセス設定


5.1. access keyの作成と取得


変数の確認

cat << ETX

IAM_USER_NAME: ${IAM_USER_NAME}

ETX



コマンド

aws iam create-access-key \

--user-name ${IAM_USER_NAME} \
> ${IAM_USER_NAME}.json \
&& cat ${IAM_USER_NAME}.json


結果

      {

"AccessKey": {
"UserName": "administrator-prjz-mbp13-administratorprjzmbp13-1PNNTXCPADD3B",
"Status": "Active",
"CreateDate": "2015-04-06T13:00:44.596Z",
"SecretAccessKey": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
"AccessKeyId": "AKIAXXXXXXXXXXXXXXXXX"
}
}


5.2. 認証情報の作成


sourceディレクトリ作成


コマンド

mkdir -p ~/.aws/source



結果

      (戻り値なし)



rcファイル作成


コマンド

cat ${IAM_USER_NAME}.json |\

jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
sed 's/AccessKeyId/aws_access_key_id/' |\
sed 's/SecretAccessKey/aws_secret_access_key/' \
> ~/.aws/source/${IAM_USER_NAME}.rc \
&& cat ~/.aws/source/${IAM_USER_NAME}.rc


結果

aws_access_key_id=AKIAXXXXXXXXXXXXXXXXX

aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


configファイル(単体)作成


コマンド

REGION_AWS_CONFIG="${AWS_DEFAULT_REGION}"



コマンド

FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"

echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
&& echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
&& echo "" >> ${FILE_USER_CONFIG} \
&& cat ${FILE_USER_CONFIG}



結果

[profile user-project-sample]

region=us-west-2


~/.aws/credentials作成


バックアップ

cp ~/.aws/credentials ~/.aws/credentials.old



コマンド

file="${HOME}/.aws/credentials"

if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for
i in `ls ${HOME}/.aws/source/*.rc`; do \
name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
&& echo "[$name]" >> ${file} \
&& cat $i >> ${file} \
&& echo "" >> ${file} ;done \
&& cat ${file}


結果

[user-project-sample]

aws_access_key_id=AKIAXXXXXXXXXXXXXXXXX
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


~/.aws/config作成


バックアップ

cp ~/.aws/config ~/.aws/config.old



コマンド

cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \

&& cat ${HOME}/.aws/config


結果

[profile user-project-sample]

region=ap-northeast-1


6. ユーザの切り替え


6.1. 現在のユーザの確認


変数の確認

aws configure list | grep profile



結果(例)

      profile      iamFullCf-prjZ-mbp13    env   AWS_DEFAULT_PROFILE



6.2. 切替後ユーザの確認


変数の確認

cat << ETX

new: IAM_USER_NAME: ${IAM_USER_NAME}

ETX



6.3. ユーザの切り替え


コマンド

export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}

echo ${AWS_DEFAULT_PROFILE}


6.4. コマンドテスト


コマンド

aws ec2 describe-vpcs 



結果(例)

      {

"Vpcs": [
{
"VpcId": "vpc-XXXXXXXX",
"InstanceTenancy": "default",
"State": "available",
"DhcpOptionsId": "dopt-XXXXXXXX",
"CidrBlock": "172.31.0.0/16",
"IsDefault": true
}
]
}


7. 認証ファイルの削除


コマンド

rm ${IAM_USER_NAME}.json



完了