Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
0
Help us understand the problem. What are the problem?

More than 5 years have passed since last update.

@tcsh

[JAWS-UG CLI] IAM:#32 AssumeRole利用者ユーザの作成

AWS CLIを利用して、STS AssumeRoleへのフルアクセスが可能なIAMユーザを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.10.0
    • AWS CLI 1.9.11
コマンド
aws --version
結果(例)
aws-cli/1.10.0 Python/2.7.5 Darwin/13.4.0 botocore/1.3.22

0. 準備

0.1. リージョンの決定

作成するユーザのデフォルトリージョンを決めます。

(カレントユーザが利用するカレントリージョンも切り変わります。)

コマンド(東京リージョンの場合)
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. 変数の確認

プロファイルとリージョンが想定のものになっていることを確認します。

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFull-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. 組織名、プロジェクト名の決定

今回のハンズオンでは、IAMユーザ名にプロジェクト名と作業場所を埋め込み
ます。

コマンド
PRJ_NAME=<プロジェクト名>
MEMBER_NAME=<個人名>
LOC_NAME=<作業場所名>

1.2. IAMグループの決定

コマンド
aws iam list-groups \
        --query 'Groups[].GroupName'
変数の設定
IAM_GROUP_NAME="assumeRoleFull"

1.3. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。

コマンド
aws iam list-attached-group-policies \
        --group-name ${IAM_GROUP_NAME}
結果
      {
        "AttachedPolicies": [
          {
              "PolicyName": "assumeRoleFull",
              "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/assumeRoleFull"
          },
          {
              "PolicyName": "ReadOnlyAccess",
              "PolicyArn": "arn:aws:iam::aws:policy/ReadOnlyAccess"
          }
        ]
      }

1.4. IAMユーザの決定

変数の設定
IAM_USER_NAME="${MEMBER_NAME}-${PRJ_NAME}-${LOC_NAME}" \
        && echo ${IAM_USER_NAME}

同じ名前のIAMユーザが存在しないことを確認します。

コマンド
aws iam get-user \
        --user-name ${IAM_USER_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name taro-prjz-mbp13 cannot be found.

2. ユーザの作成

2.1. 作成

IAMユーザを作成します。

変数の確認
cat << ETX

          IAM_USER_NAME: ${IAM_USER_NAME}

ETX
コマンド
aws iam create-user \
        --user-name ${IAM_USER_NAME}
結果
      {
        "User": {
          "UserName": "taro-prjz-mbp13",
          "Path": "/",
          "CreateDate": "2015-04-06T12:04:00.042Z",
          "UserId": "AIDAXXXXXXXXXXXXXXXXX",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/taro-prjz-mbp13"
        }
      }

2.2. IAMユーザの確認

作成したIAMユーザが存在することを確認します。

コマンド
aws iam get-user \
        --user-name ${IAM_USER_NAME}
結果
      {
        "User": {
          "UserName": "taro-prjz-mbp13",
          "Path": "/",
          "CreateDate": "2015-04-06T12:04:00Z",
          "UserId": "AIDAXXXXXXXXXXXXXXXXX",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/taro-prjz-mbp13"
        }
      }

3. グループへのユーザ追加

3.1. 追加

IAMユーザに権限を付与するために、IAMグループに追加します。

変数の確認
cat << ETX

        IAM_GROUP_NAME: ${IAM_GROUP_NAME}
        IAM_USER_NAME:  ${IAM_USER_NAME}

ETX
コマンド
aws iam add-user-to-group \
        --group-name ${IAM_GROUP_NAME} \
        --user-name ${IAM_USER_NAME}
結果
      (戻り値なし)

3.2. ユーザのグループ所属確認

IAMユーザが、IAMグループに所属していることを確認します。

コマンド
aws iam list-groups-for-user \
        --user-name ${IAM_USER_NAME} \
        --query 'Groups[].GroupName'
結果
      {
        "GroupName": "assumeRoleFull"
      }

3.3. グループへのユーザ所属確認

IAMグループにIAMユーザが所属していることを確認します。

コマンド
aws iam get-group \
        --group-name ${IAM_GROUP_NAME} \
        --query "Users[?UserName==\`${IAM_USER_NAME}\`]"
結果
      [
        {
          "UserName": "taro-prjz-mbp13",
          "Path": "/",
          "CreateDate": "2015-12-06T14:11:08Z",
          "UserId": "AIDAXXXXXXXXXXXXXXXXX",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/taro-prjz-mbp13"
        }
      ]

4. ユーザのAPIアクセス設定

4.1. access keyの作成と取得

変数の確認
cat << ETX

        IAM_USER_NAME:  ${IAM_USER_NAME}

ETX
コマンド
aws iam create-access-key \
        --user-name ${IAM_USER_NAME} \
        > ${IAM_USER_NAME}.json \
          && cat ${IAM_USER_NAME}.json
結果
      {
        "AccessKey": {
          "UserName": "taro-prjz-mbp13",
          "Status": "Active",
          "CreateDate": "2015-04-06T12:06:37.018Z",
          "SecretAccessKey": ""XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,
          "AccessKeyId": "AKIAXXXXXXXXXXXXXXXX"
        }
      }

4.2. 認証情報の作成

sourceディレクトリ作成

コマンド
mkdir -p ~/.aws/source
結果
      (戻り値なし)

rcファイル作成

コマンド
cat ${IAM_USER_NAME}.json |\
        jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
        sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
        sed 's/AccessKeyId/aws_access_key_id/' |\
        sed 's/SecretAccessKey/aws_secret_access_key/' \
        > ~/.aws/source/${IAM_USER_NAME}.rc \
        && cat ~/.aws/source/${IAM_USER_NAME}.rc
結果
      aws_access_key_id=AKIAIOSFODNN7EXAMPLE
      aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

configファイル(単体)作成

変数の設定
REGION_AWS_CONFIG="${AWS_DEFAULT_REGION}"
変数の設定
FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"

echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
  && echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
  && echo "" >> ${FILE_USER_CONFIG} \
  && cat ${FILE_USER_CONFIG}
結果
      [profile user-project-sample]
      region=ap-northeast-1

~/.aws/credentials作成

バックアップ
cp ~/.aws/credentials ~/.aws/credentials.old
コマンド
file="${HOME}/.aws/credentials"
if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for i in `ls ${HOME}/.aws/source/*.rc`; do \
        name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
        && echo "[$name]" >> ${file} \
        && cat $i >> ${file} \
        && echo "" >> ${file} ;done \
        && cat ${file}
結果
      [user-project-sample]
      aws_access_key_id=AKIAIOSFODNN7EXAMPLE
      aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

~/.aws/config作成

バックアップ
cp ~/.aws/config ~/.aws/config.old
コマンド
cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \
        && cat ${HOME}/.aws/config
結果
      [profile user-project-sample]
      region=ap-northeast-1

5. ユーザの切り替え

5.1. 現在のユーザの確認

変数の確認
aws configure list | grep profile
結果(例)
      profile       taro-prjZ-mbp13              env    AWS_DEFAULT_PROFILE

5.2. 切替後ユーザの確認

変数の確認
cat << ETX

        new:     IAM_USER_NAME:       ${IAM_USER_NAME}

ETX

5.3. ユーザの切り替え

コマンド
export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}
  echo ${AWS_DEFAULT_PROFILE}

5.4. コマンドテスト

コマンド
aws s3 ls
結果(例)
      2015-09-25 06:08:59 example-bucket
コマンド
aws iam list-roles
結果(例)
      {
        "Roles": []
      }

6. 認証ファイルの削除

コマンド
rm ${IAM_USER_NAME}.json

7. ユーザの戻し

コマンド
export AWS_DEFAULT_PROFILE='元のIAMユーザ'
echo ${AWS_DEFAULT_PROFILE}

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
0
Help us understand the problem. What are the problem?