Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM:#10 ElasticBeanstalk管理者グループとユーザを作成する

More than 5 years have passed since last update.

http://jawsug-cli.doorkeeper.jp/events/19360 でのハンズオン資料です。

AWS CLIを利用して、ElasticBeanstalkへのフルアクセスが可能なIAMグループとIAMユーザを作成してみます。

前提条件

IAMへの権限

  • IAMに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.7.12

0. 事前準備

変数の確認

変数の確認
cat << ETX

AWS_DEFAULT_PROFILE: ${AWS_DEFAULT_PROFILE}

ETX

1. 事前作業

1.1. 組織名、プロジェクト名の決定

コマンド
PRJ_NAME=<プロジェクト名>
LOC_NAME=<作業場所名>

1.2. IAMグループの決定

コマンド
IAM_GROUP_NAME="beanstalk_full"

同じ名前のIAMグループが存在しないことを確認します。

command
aws iam get-group --group-name ${IAM_GROUP_NAME}
result
A client error (NoSuchEntity) occurred when calling the GetGroup operation: The group with name cloudtrail-builder cannot be found.

1.3. IAMグループポリシーの作成

ポリシー名を決めます。

コマンド
IAM_GPOLICY_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}"
      echo ${IAM_GPOLICY_NAME}

ポリシーファイルのファイル名を決めます。

コマンド
FILE_POLICY_DOC="${IAM_GPOLICY_NAME}.json"
      echo ${FILE_POLICY_DOC}

ポリシーファイルを作成します。

コマンド
cat << EOF > ${FILE_POLICY_DOC}
{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "elasticbeanstalk:*",
              "ec2:*",
              "elasticloadbalancing:*",
              "autoscaling:*",
              "cloudwatch:*",
              "s3:*",
              "sns:*",
              "cloudformation:*",
              "rds:*",
              "sqs:*",
              "iam:CreateRole",
              "iam:CreateInstanceProfile",
              "iam:GetUser",
              "iam:ListInstanceProfiles",
              "iam:ListRoles", 
              "iam:PassRole"
            ],
            "Resource": "*"
          }
        ]
}
EOF

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド
cat ${FILE_POLICY_DOC} | json_verify
結果
      JSON is valid

json_verifyでエラーが出たときはjsonlintでチェックします。

コマンド
cat ${FILE_IAM_POLICY} | jsonlint

1.4. IAMユーザの決定

コマンド
IAM_USER_NAME="${IAM_GROUP_NAME}-${PRJ_NAME}-${LOC_NAME}"
      echo ${IAM_USER_NAME}

同じ名前のIAMユーザが存在しないことを確認します。

command
aws iam get-user --user-name ${IAM_USER_NAME}
result
A client error (NoSuchEntity) occurred when calling the GetUser operation: The user with name taro cannot be found.

2. グループの作成

2.1. IAMグループの作成

変数の確認
cat << ETX

      IAM_GROUP_NAME: ${IAM_GROUP_NAME}

ETX

IAMグループを作成します。

コマンド
aws iam create-group --group-name ${IAM_GROUP_NAME}
結果
      {
        "Group": {
            "Path": "/",
            "CreateDate": "2015-01-17T11:33:25.902Z",
            "GroupId": "AGPAXXXXXXXXXXXXXXXXX",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
            "GroupName": "beanstalk_full"
        }
      }

2.2. IAMグループの確認

コマンド
aws iam get-group --group-name ${IAM_GROUP_NAME}
結果
      {
        "Group": {
            "Path": "/",
            "CreateDate": "2015-01-19T06:36:27Z",
            "GroupId": "AGPAXXXXXXXXXXXXXXXXX",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
            "GroupName": "beanstalk_full"
        },
        "Users": []
      }

3. グループポリシーの適用

3.1. IAMグループポリシーの適用

変数の確認
cat << ETX

        IAM_GROUP_NAME:   ${IAM_GROUP_NAME}
        IAM_GPOLICY_NAME: ${IAM_GPOLICY_NAME}
        FILE_POLICY_DOC:  ${FILE_POLICY_DOC}

ETX

グループポリシーをIAMグループに適用します。

command
aws iam put-group-policy \
        --group-name ${IAM_GROUP_NAME} \
        --policy-name ${IAM_GPOLICY_NAME} \
        --policy-document file://${FILE_POLICY_DOC}
result
      (戻り値なし)

3.2. IAMグループポリシーの確認

IAMグループのグループポリシーを確認します。

コマンド
aws iam get-group-policy \
        --group-name ${IAM_GROUP_NAME} \
        --policy-name ${IAM_GPOLICY_NAME}
結果
      {
          "GroupName": "beanstalk_full", 
          "PolicyDocument": {
              "Version": "2012-10-17", 
              "Statement": [
                  {
                      "Action": [
                          "elasticbeanstalk:*", 
                          "ec2:*", 
                          "elasticloadbalancing:*", 
                          "autoscaling:*", 
                          "cloudwatch:*", 
                          "s3:*", 
                          "sns:*", 
                          "cloudformation:*", 
                          "rds:*", 
                          "sqs:*", 
                          "iam:CreateRole",
                          "iam:CreateInstanceProfile",
                          "iam:GetUser",
                          "iam:ListInstanceProfiles",
                          "iam:ListRoles", 
                          "iam:PassRole"
                      ], 
                      "Resource": "*", 
                      "Effect": "Allow"
                  }
              ]
          }, 
          "PolicyName": "beanstalk_full-prj04"
      }

4. ユーザの作成

4.1. 作成

変数の確認
cat << ETX

        IAM_USER_NAME: ${IAM_USER_NAME}

ETX

IAMユーザを作成します。

コマンド
aws iam create-user --user-name ${IAM_USER_NAME}
結果
      {
        "User": {
            "UserName": "beanstalk_full",
            "Path": "/",
            "CreateDate": "2015-01-18T02:03:54.449Z",
            "UserId": "AIDAIxxxxxxxxxxxxxxxx",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
        }
      }

4.2. IAMユーザの確認

作成したIAMユーザが存在することを確認します。

コマンド
aws iam get-user --user-name ${IAM_USER_NAME}
結果
      {
        "User": {
            "UserName": "beanstalk_full",
            "Path": "/",
            "CreateDate": "2015-01-18T02:03:01Z",
            "UserId": "AIDAxxxxxxxxxxxxxxxxxx",
            "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
        }
      }

5. グループへのユーザ追加

5.1. 追加

変数の確認
cat << ETX

        IAM_GROUP_NAME: ${IAM_GROUP_NAME}
        IAM_USER_NAME:  ${IAM_USER_NAME}

ETX

IAMユーザに権限を付与するために、IAMグループに追加します。

command
aws iam add-user-to-group \
        --group-name ${IAM_GROUP_NAME} \
        --user-name ${IAM_USER_NAME}
result
      (戻り値なし)

5.2. ユーザのグループ所属確認

IAMユーザが、IAMグループに所属していることを確認します。

コマンド
aws iam list-groups-for-user --user-name ${IAM_USER_NAME} |\
        jq -r --arg group_name ${IAM_GROUP_NAME} '.Groups[] | select( .GroupName == $group_name )'
結果
      {
        "Path": "/",
        "CreateDate": "2015-01-18T02:03:09Z",
        "GroupId": "AGPAxxxxxxxxxxxxxxxxx",
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:group/beanstalk_full",
        "GroupName": "beanstalk_full"
      }

5.3. グループへのユーザ所属確認

IAMグループにIAMユーザが所属していることを確認します。

コマンド
aws iam get-group --group-name ${IAM_GROUP_NAME} |\
        jq -r --arg user_name ${IAM_USER_NAME} '.Users[] | select( .UserName == $user_name )'
結果
      {
        "UserName": "beanstalk_full",
        "Path": "/",
        "CreateDate": "2015-01-18T02:03:07Z",
        "UserId": "AIDAxxxxxxxxxxxxxxxxx",
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/beanstalk_full"
      }

6. ユーザのAPIアクセス設定

6.1. access keyの作成と取得

変数の確認
cat << ETX

        IAM_USER_NAME: ${IAM_USER_NAME}

ETX
コマンド
aws iam create-access-key --user-name ${IAM_USER_NAME} > ${IAM_USER_NAME}.json \
        && cat ${IAM_USER_NAME}.json
結果
      {
        "AccessKey": {
            "UserName": "beanstalk_full",
            "Status": "Active",
            "CreateDate": "2015-01-18T03:57:05.919Z",
            "SecretAccessKey": "XXxxxxxXXXxXXXXxXXxXxXXXXXxxxXxXxXXXXXXX",
            "AccessKeyId": "AKIAxxxxxxxxxxxxxxxx"
        }
      }

6.2. 認証情報の作成

sourceディレクトリ作成

コマンド
mkdir -p ~/.aws/source
結果
      (戻り値なし)

rcファイル作成

コマンド
cat ${IAM_USER_NAME}.json |\
        jq '.AccessKey | {AccessKeyId, SecretAccessKey}' |\
        sed '/[{}]/d' | sed 's/[\" ,]//g' | sed 's/:/=/' |\
        sed 's/AccessKeyId/aws_access_key_id/' |\
        sed 's/SecretAccessKey/aws_secret_access_key/' \
        > ~/.aws/source/${IAM_USER_NAME}.rc \
        && cat ~/.aws/source/${IAM_USER_NAME}.rc
結果
      aws_access_key_id=AKIAIOSFODNN7EXAMPLE
      aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

configファイル(単体)作成

コマンド
REGION_AWS_CONFIG='us-west-2'
コマンド
FILE_USER_CONFIG="${HOME}/.aws/source/${IAM_USER_NAME}.config"

echo "[profile ${IAM_USER_NAME}]" > ${FILE_USER_CONFIG} \
        && echo "region=${REGION_AWS_CONFIG}" >> ${FILE_USER_CONFIG} \
        && echo "" >> ${FILE_USER_CONFIG} \
        && cat ${FILE_USER_CONFIG}
結果
      [profile user-project-sample]
      region=us-west-2

~/.aws/credentials作成

バックアップ
cp ~/.aws/credentials ~/.aws/credentials.old
コマンド
file="${HOME}/.aws/credentials"
if [ -e ${file} ]; then mv ${file} ${file}.bak; fi
for i in `ls ${HOME}/.aws/source/*.rc`; do \
        name=`echo $i | sed 's/^.*\///' | sed 's/\.rc$//'` \
        && echo "[$name]" >> ${file} \
        && cat $i >> ${file} \
        && echo "" >> ${file} ;done \
        && cat ${file}
結果
      [user-project-sample]
      aws_access_key_id=AKIAIOSFODNN7EXAMPLE
      aws_secret_access_key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

~/.aws/config作成

バックアップ
cp ~/.aws/config ~/.aws/config.old
コマンド
cat ${HOME}/.aws/source/*.config > ${HOME}/.aws/config \
        && cat ${HOME}/.aws/config
結果
      [profile user-project-sample]
      region=us-west-2

7. ユーザの切り替え

7.1. ユーザの切り替え

変数の確認
cat << ETX

        current: AWS_DEFAULT_PROFILE: ${AWS_DEFAULT_PROFILE}
        new:     IAM_USER_NAME:       ${IAM_USER_NAME}

ETX
コマンド
export AWS_DEFAULT_PROFILE=${IAM_USER_NAME}
      echo ${AWS_DEFAULT_PROFILE}

7.2. コマンドテスト

command
aws elasticbeanstalk describe-applications 
result
      {
          "Applications": []
      }

8. 認証ファイルの削除

コマンド
rm ${IAM_USER_NAME}.json

9. マネジメントコンソールへのアクセス許可 (任意)

ハンズオンで、マネジメントコンソールで動作確認すると理解が深まります。

マネジメントコンソールからのログイン許可: http://qiita.com/tcsh/items/4fd15161e9539c0f36b8

完了

今回のハンズオンでは、このIAMユーザで作業することを前提とします。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした