http://jawsug-cli.doorkeeper.jp/events/19360 でのハンズオン資料です。
AWS CLIを利用して、ElasticBeanstalkへのフルアクセスが可能なIAMグループとIAMユーザを作成してみます。
前提条件
IAMへの権限
- IAMに対してフル権限があること。
AWS CLIのバージョン
-
以下のバージョンで動作確認済
- AWS CLI 1.7.12
0. 事前準備
変数の確認
変数の確認
cat << ETX
AWS_DEFAULT_PROFILE: ${AWS_DEFAULT_PROFILE}
ETX
1. 事前作業
1.1. 組織名、プロジェクト名の決定
コマンド
PRJ_NAME=<プロジェクト名>
LOC_NAME=<作業場所名>
1.2. IAMグループの決定
コマンド
IAM_GROUP_NAME="beanstalk_full"
同じ名前のIAMグループが存在しないことを確認します。
command
aws iam get-group --group-name ${IAM_GROUP_NAME}
result
A client error (NoSuchEntity) occurred when calling the GetGroup operation: The group with name cloudtrail-builder cannot be found.
1.3. IAMグループポリシーの作成
ポリシー名を決めます。
コマンド
IAM_GPOLICY_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}"
echo ${IAM_GPOLICY_NAME}
ポリシーファイルのファイル名を決めます。
コマンド
FILE_POLICY_DOC="${IAM_GPOLICY_NAME}.json"
echo ${FILE_POLICY_DOC}
ポリシーファイルを作成します。
コマンド
cat << EOF > ${FILE_POLICY_DOC}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"cloudformation:*",
"rds:*",
"sqs:*",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetUser",
"iam:ListInstanceProfiles",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "*"
}
]
}
EOF
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド
cat ${FILE_POLICY_DOC} | json_verify
結果
JSON is valid
json_verifyでエラーが出たときはjsonlintでチェックします。
コマンド
cat ${FILE_IAM_POLICY} | jsonlint
1.4. IAMユーザの決定
コマンド
IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}"
echo ${IAM_USER_NAME}
同じ名前のIAMユーザが存在しないことを確認します。
command
aws iam get-user --user-name ${IAM_USER_NAME}
result
A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name taro cannot be found.
2. グループの作成
2.1. IAMグループの作成
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
ETX
IAMグループを作成します。
コマンド
aws iam create-group --group-name ${IAM_GROUP_NAME}
結果
{
"Group": {
"Path": "/",
"CreateDate": "2015-01-17T11:33:25.902Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
"GroupName": "beanstalk_full"
}
}
2.2. IAMグループの確認
コマンド
aws iam get-group --group-name ${IAM_GROUP_NAME}
結果
{
"Group": {
"Path": "/",
"CreateDate": "2015-01-19T06:36:27Z",
"GroupId": "AGPAXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
"GroupName": "beanstalk_full"
},
"Users": []
}
3. グループポリシーの適用
3.1. IAMグループポリシーの適用
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_GPOLICY_NAME: ${IAM_GPOLICY_NAME}
FILE_POLICY_DOC: ${FILE_POLICY_DOC}
ETX
グループポリシーをIAMグループに適用します。
command
aws iam put-group-policy \
--group-name ${IAM_GROUP_NAME} \
--policy-name ${IAM_GPOLICY_NAME} \
--policy-document file://${FILE_POLICY_DOC}
result
(戻り値なし)
3.2. IAMグループポリシーの確認
IAMグループのグループポリシーを確認します。
コマンド
aws iam get-group-policy \
--group-name ${IAM_GROUP_NAME} \
--policy-name ${IAM_GPOLICY_NAME}
結果
{
"GroupName": "beanstalk_full",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"cloudformation:*",
"rds:*",
"sqs:*",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetUser",
"iam:ListInstanceProfiles",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
},
"PolicyName": "beanstalk_full-prj04"
}
4. ユーザの作成
4.1. 作成
変数の確認
cat << ETX
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
IAMユーザを作成します。
コマンド
aws iam create-user --user-name ${IAM_USER_NAME}
結果
{
"User": {
"UserName": "beanstalk_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:54.449Z",
"UserId": "AIDAIxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
}
}
4.2. IAMユーザの確認
作成したIAMユーザが存在することを確認します。
コマンド
aws iam get-user --user-name ${IAM_USER_NAME}
結果
{
"User": {
"UserName": "beanstalk_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:01Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
}
}
5. グループへのユーザ追加
5.1. 追加
変数の確認
cat << ETX
IAM_GROUP_NAME: ${IAM_GROUP_NAME}
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
IAMユーザに権限を付与するために、IAMグループに追加します。
command
aws iam add-user-to-group \
--group-name ${IAM_GROUP_NAME} \
--user-name ${IAM_USER_NAME}
result
(戻り値なし)
5.2. ユーザのグループ所属確認
IAMユーザが、IAMグループに所属していることを確認します。
コマンド
aws iam list-groups-for-user --user-name ${IAM_USER_NAME} |\
jq -r --arg group_name ${IAM_GROUP_NAME} '.Groups[] | select( .GroupName == $group_name )'
結果
{
"Path": "/",
"CreateDate": "2015-01-18T02:03:09Z",
"GroupId": "AGPAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
"GroupName": "beanstalk_full"
}
5.3. グループへのユーザ所属確認
IAMグループにIAMユーザが所属していることを確認します。
コマンド
aws iam get-group --group-name ${IAM_GROUP_NAME} |\
jq -r --arg user_name ${IAM_USER_NAME} '.Users[] | select( .UserName == $user_name )'
結果
{
"UserName": "beanstalk_full",
"Path": "/",
"CreateDate": "2015-01-18T02:03:07Z",
"UserId": "AIDAxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
}
6. ユーザのAPIアクセス設定
6.1. access keyの作成と取得
変数の確認
cat << ETX
IAM_USER_NAME: ${IAM_USER_NAME}
ETX
コマンド
aws iam create-access-key --user-name ${IAM_USER_NAME} > ${IAM_USER_NAME}.json \
&& cat ${IAM_USER_NAME}.json
結果
{
"AccessKey": {
"UserName": "beanstalk_full",
"Status": "Active",
"CreateDate": "2015-01-18T03:57:05.919Z",
"SecretAccessKey": "XXxxxxxXXXxXXXXxXXxXxXXXXXxxxXxXxXXXXXXX",
"AccessKeyId": "AKIAxxxxxxxxxxxxxxxx"
}
}
6.2. 認証情報の作成
sourceディレクトリ作成
コマンド
mkdir -p ~/.aws/source
結果
(戻り値なし)
rcファイル作成
コマンド
cat ${IAM_USER_NAME}.json |\
jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
sed 's/AccessKeyId/aws_access_key_id/' |\
sed 's/SecretAccessKey/aws_secret_access_key/' \
> ~/.aws/source/${IAM_USER_NAME}.rc \
&& cat ~/.aws/source/${IAM_USER_NAME}.rc
結果
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
configファイル(単体)作成
コマンド
REGION_AWS_CONFIG='us-west-2'
コマンド
FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"
echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
&& echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
&& echo "" >> ${FILE_USER_CONFIG} \
&& cat ${FILE_USER_CONFIG}
結果
[profile user-project-sample]
region=us-west-2
~/.aws/credentials作成
バックアップ
cp ~/.aws/credentials ~/.aws/credentials.old
コマンド
file="${HOME}/.aws/credentials"
if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for i in `ls ${HOME}/.aws/source/*.rc`; do \
name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
&& echo "[$name]" >> ${file} \
&& cat $i >> ${file} \
&& echo "" >> ${file} ;done \
&& cat ${file}
結果
[user-project-sample]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
~/.aws/config作成
バックアップ
cp ~/.aws/config ~/.aws/config.old
コマンド
cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \
&& cat ${HOME}/.aws/config
結果
[profile user-project-sample]
region=us-west-2
7. ユーザの切り替え
7.1. ユーザの切り替え
変数の確認
cat << ETX
current: AWS_DEFAULT_PROFILE: ${AWS_DEFAULT_PROFILE}
new: IAM_USER_NAME: ${IAM_USER_NAME}
ETX
コマンド
export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}
echo ${AWS_DEFAULT_PROFILE}
7.2. コマンドテスト
command
aws elasticbeanstalk describe-applications
result
{
"Applications": []
}
8. 認証ファイルの削除
コマンド
rm ${IAM_USER_NAME}.json
9. マネジメントコンソールへのアクセス許可 (任意)
ハンズオンで、マネジメントコンソールで動作確認すると理解が深まります。
マネジメントコンソールからのログイン許可: http://qiita.com/tcsh/items/4fd15161e9539c0f36b8
完了
今回のハンズオンでは、このIAMユーザで作業することを前提とします。