Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] STS: #1 AssumeRoleによる権限の付与 (S3管理者)

More than 3 years have passed since last update.

AWS CLIを利用して、S3へのフルアクセスが可能なIAMロールをIAMユーザに付与してみます。

(AssumeRole権限のあるユーザで作業します。)

前提条件

AssumeRoleへの権限

  • AssumeRoleに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.10.0
  • AWS CLI 1.9.11
コマンド
aws --version
結果(例)
aws-cli/1.10.0 Python/2.7.5 Darwin/13.4.0 botocore/1.3.22

0. 準備

変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

変数の確認
export AWS_DEFAULT_PROFILE='taro-prjZ-mbp13'
変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile          taro-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. IAMロール名の指定

変数の設定
IAM_ROLE_NAME='s3FullforAssumeRole'

IAMロールのARNを取得します。

コマンド
IAM_ROLE_ARN=$(\
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text \
      ) \
        && echo ${IAM_ROLE_ARN}

1.2. (任意) S3バケット名の指定 (権限テスト用)

変数の設定
ORG_NAME=<組織名>
変数の設定
S3_BUCKET_NAME="${ORG_NAME}-handson-$(date +%Y%m%d)" \
        && echo ${S3_BUCKET_NAME}

同名のバケットが存在しないことを確認します。(存在する場合は、別の名前に変更してください。)

コマンド
aws s3 ls ${S3_BUCKET_NAME}
結果(例)
      A client error (NoSuchBucket) occurred when calling the ListObjects operation: The specified bucket does not exist

1.3. (任意) コマンドの確認 (権限テスト: 失敗)

まだ権限が無いS3へのバケット作成に失敗することを確認します。

コマンド(失敗例)
aws s3 mb s3://${S3_BUCKET_NAME}
結果(例)
      make_bucket failed: s3://example-handson-20151207/ A client error (AccessDenied) occurred when calling the CreateBucket operation: Access Denied

1.4. トークンの有効期間の指定

15-60の間の値を指定します。

変数の設定
EXPIRATION_MINUTES='60'

2. トークンの発行

変数の設定
EXPIRATION_SECONDS=$(expr 60 \* ${EXPIRATION_MINUTES})
FILE_ASSUME_ROLE_OUTPUT="${IAM_ROLE_NAME}-output.json"
ROLE_SESSION_NAME="${IAM_ROLE_NAME}-session"

AssumeRoleTokenを取得します。

変数の確認
cat << ETX

          IAM_ROLE_ARN:            ${IAM_ROLE_ARN}
          EXPIRATION_SECONDS:      ${EXPIRATION_SECONDS}
          FILE_ASSUME_ROLE_OUTPUT: ${FILE_ASSUME_ROLE_OUTPUT}
          ROLE_SESSION_NAME:       ${ROLE_SESSION_NAME}

ETX
コマンド
aws sts assume-role \
        --role-arn ${IAM_ROLE_ARN} \
        --role-session-name ${ROLE_SESSION_NAME} \
        --duration-seconds ${EXPIRATION_SECONDS} \
        > ${FILE_ASSUME_ROLE_OUTPUT} \
        && cat ${FILE_ASSUME_ROLE_OUTPUT}

トークン発行時刻を確認しておきましょう。

コマンド
date

3. トークンの利用

3.1. トークン情報の抽出

ここでは環境変数を利用してAssumeRoleTokenを利用します。

変数の設定
FILE_ASSUME_ROLE_ENV="${IAM_ROLE_NAME}.env"
コマンド
cat ${FILE_ASSUME_ROLE_OUTPUT} | \
awk '
        $1 == "\"AccessKeyId\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_ACCESS_KEY_ID="$2
        }
        $1 == "\"SecretAccessKey\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SECRET_ACCESS_KEY="$2
        }
        $1 == "\"SessionToken\":" {
          gsub(/\"/,""); gsub(/,/,""); print "export AWS_SESSION_TOKEN="$2
        }
        ' \
      > ${FILE_ASSUME_ROLE_ENV} \
        && cat ${FILE_ASSUME_ROLE_ENV}

3.2. 一時認証の利用

コマンド
unset AWS_DEFAULT_PROFILE
source ${FILE_ASSUME_ROLE_ENV}

3.3. (任意) コマンドの実行 (権限テスト: 成功)

コマンド(成功例)
aws s3 mb s3://${S3_BUCKET_NAME}
結果(例)
      make_bucket: s3://example-handson-20151207/

4. (任意) マネージメントコンソールでのロール切り替え

  • メニュー > アカウント名 > ロールの切り替え

  • ロールの切り替え

  • ロールの切り替え(画面)

アカウント: AWS IDを入力します。

参考(コマンドでのAWS-IDの取得方法)
AWS_ID=$( \
        aws iam get-role \
          --role-name ${IAM_ROLE_NAME} \
          --query 'Role.Arn' \
          --output text | \
          sed 's/^.*:://' | \
          sed 's/:.*$//' \
      ) \
        && echo ${AWS_ID}
結果(例)
XXXXXXXXXXXX

ロール: 以下のロール名を入力します。

     s3FullforAssumeRole
  • ロールの切り替え(ボタン)を押す。

5. 有効期間終了後

5.1. (任意) コマンドの確認 (権限テスト: 失敗)

変数の設定
S3_BUCKET_NAME="${ORG_NAME}-handson-$(date +%Y%m%d)-2" \
        && echo ${S3_BUCKET_NAME}

同名のバケットが存在しないことを確認します。(存在する場合は、別の名前に変更してください。)

コマンド
aws s3 mb s3://${S3_BUCKET_NAME}
結果(例)
make_bucket failed: s3://example-handson-20151207-2/ A client error (ExpiredToken) occurred when calling the CreateBucket operation: The provided token has expired.

5.2. 変数のunset

コマンド
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした