LoginSignup
0
0

More than 5 years have passed since last update.

@tcsh(Hirokazu HATANO)

[JAWS-UG CLI] IAM #55 IAMロールのポリシー追加 (CodeDeploy: Local / CodeDeployEC2InstanceP rofileRolePolicy)

Last updated at Posted at 2016-11-21

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.14
コマンド
aws --version

結果(例):

  aws-cli/1.11.14 Python/2.7.10 Darwin/15.6.0 botocore/1.4.71

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

0.1. 変数の確認

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list

結果(例):

        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile       lambdaFull-prjz-mbp13        env    AWS_DEFAULT_PROFILE
  access_key     ****************XXXX shared-credentials-file
  secret_key     ****************XXXX shared-credentials-file
      region        ap-northeast-1        env    AWS_DEFAULT_REGION

0.2. IAMロールの指定

ポリシーをアタッチするIAMロールを指定します。

変数の設定
IAM_ROLE_NAME='CodeDeployEC2InstanceProfileRole'

1. 事前作業

1.1. 追加するポリシーの指定

変数の設定
IAM_POLICY_NAME='CodeDeployEC2InstanceProfileRolePolicy'

1.2. IAMポリシーのARN取得

ARNを取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::XXXXXXXXXXXX:policy/CodeDeployEC2InstanceProfileRolePolicy

1.3. IAMポリシーの内容確認

ポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}

結果(例):

  {
    "PolicyVersion": {
      "CreateDate": "2016-11-20T08:10:22Z",
      "VersionId": "v1",
      "Document": {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Action": [
                      "s3:Get*",
                      "s3:List*"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              }
          ]
      },
      "IsDefaultVersion": true
    }
  }

2. ポリシーの追加

2.1. 現在のポリシーの確認

ポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果:

  {
      "AttachedPolicies": [], 
  }

2.2. ポリシーの適用

ポリシーをロールに適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_POLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}

結果:

  (戻り値なし)

3. 事後作業

ポリシーの確認

ポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果(例):

  {
    "AttachedPolicies": [
      {
        "PolicyName": "CodeDeployEC2InstanceProfileRolePolicy",
        "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/CodeDeployEC2InstanceProfileRolePolicy"
      }
    ]
  }

完了

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0