Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM #76 IAMポリシーの追加 (CodeBuildServiceRole)

More than 3 years have passed since last update.

AWS CLIを利用して、CodeBuild利用に必要な権限をIAMロールに追加してみます。

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.14
コマンド
aws --version

結果(例):

  aws-cli/1.11.70 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.5.33

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

まず変数の確認をします。

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
        IAM_ROLE_NAME        (0.2) ${IAM_ROLE_NAME}
        IAM_POLICY_ARN       (0.3) ${IAM_POLICY_ARN}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
  IAM_ROLE_NAME        (0.2) CodeBuildServiceRole
  IAM_POLICY_ARN       (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRole

変数が入っていない、適切でない場合は、それぞれの手順番号について作業を
行います。

0.1. プロファイルの指定

プロファイルの一覧を確認します。

コマンド
cat ~/.aws/credentials \
       | grep '\[' \
       | sed 's/\[//g' | sed 's/\]//g'

結果(例):

  iamFull-prjz-mbpr13
  <IAMのフル権限を許可されたプロファイル>
変数の設定
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'

0.2. IAMロール名の指定

変数の設定
IAM_ROLE_NAME='CodeBuildServiceRole'

0.3. IAMロールポリシーの決定

今回必要となる権限については、すでにカスタマ管理ポリシーで
'CodeBuildServiceRolePolicy'という名前で作成済みです。

'CodeBuildServiceRolePolicy'というキーワードでAWS管理ポリシーから検索
してみましょう。

変数の設定
SEARCH_KEYWORD='CodeBuildServiceRolePolicy'
コマンド
aws iam list-policies \
        --scope AWS \
        --max-items 1000 \
        --query "Policies[?contains(PolicyName, \`${SEARCH_KEYWORD}\`)].PolicyName"

結果(例):

  [
    "CodeBuildServiceRolePolicy"
  ]

利用するIAMポリシーを指定します。

変数の設定
IAM_POLICY_NAME='CodeBuildServiceRolePolicy'

ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRolePolicy

最終確認

変数の確認
cat << ETX

        AWS_DEFAULT_PROFILE: (0.1) ${AWS_DEFAULT_PROFILE}
        IAM_ROLE_NAME        (0.2) ${IAM_ROLE_NAME}
        IAM_POLICY_ARN       (0.3) ${IAM_POLICY_ARN}

ETX

結果(例):

  AWS_DEFAULT_PROFILE: (0.1) <IAMのフル権限を許可されたプロファイル>
  IAM_ROLE_NAME        (0.2) CodeBuildServiceRole
  IAM_POLICY_ARN       (0.3) arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRole

1. 事前作業

1.1. IAMポリシーの確認

IAMポリシのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}

結果(例):

  {
    "PolicyVersion": {
      "CreateDate": "2017-04-17T01:23:45Z",
      "VersionId": "v1",
      "Document": {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "CloudWatchLogsPolicy",
            "Effect": "Allow",
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "CodeCommitPolicy",
            "Effect": "Allow",
            "Action": [
              "codecommit:GitPull"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3GetObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:GetObject",
              "s3:GetObjectVersion"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "S3PutObjectPolicy",
            "Effect": "Allow",
            "Action": [
              "s3:PutObject"
            ],
            "Resource": [
              "*"
            ]
          },
          {
            "Sid": "SNSSendMessagePolicy",
            "Effect": "Allow",
            "Action": [
              "sns:SendMessage",
              "sns:Publish"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
      },
      "IsDefaultVersion": true
    }
  }

1.2. IAMロールの確認

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}

結果(例):

  {
      "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Principal": {
                        "Service": "codepipeline.amazonaws.com"
                    },
                    "Effect": "Allow",
                    "Sid": ""
                }
            ]
        },
        "RoleId": "AROAXXXXXXXXXXXXXXXXX",
        "CreateDate": "2017-04-17T01:23:45Z",
        "RoleName": "CodeBuildServiceRole",
        "Path": "/",
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/CodeBuildServiceRole"
      }
  }

1.3. ロールポリシーの確認

IAMロールのロールポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果:

  {
      "AttachedPolicies": [], 
  }

2. ロールポリシーの適用

ロールポリシーの適用

ロールポリシーをIAMロールに適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_POLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}

結果:

  (戻り値なし)

3. 事後作業

ロールポリシの確認

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果(例):

  {
    "AttachedPolicies": [
      {
        "PolicyName": "CodeBuildServiceRolePolicy",
        "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/CodeBuildServiceRolePolicy"
      }
    ]
  }

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away