AWS CLI を使用して IAM ロールを引き受けるにはどうすればよいですか?

所要時間4分
0

AWS Command Line Interface (AWS CLI) を使用して AWS Identity and Access Management (IAM) ロールを引き受けたいと考えています。

解決方法

AWS CLI を使用して IAM ロールを引き受け、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに対する読み取り専用アクセス権を持つには、次を実行します。

注: AWS CLI コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンが実行されていることを確認してください

重要: 次のステップでコマンドを実行すると、パスワードなどの認証情報がプレーンテキストで表示されます。IAM ロールを引き受けたら、パスワードを変更するのがベストプラクティスです。

ロールを引き受ける許可を持つ IAM ユーザーを作成する

1.    次のコマンドを実行して、AWS CLI で IAM ユーザーを作成します。

注: Bob を自らの IAM ユーザー名に置き換えてください。

aws iam create-user --user-name Bob

2.    AWS CLI を使用して Bob に権限を付与する IAM ポリシーを作成します。任意のテキストエディタを使用して、IAM ポリシーを定義する JSON ファイルを作成します。例えば、Linux で一般的に使用されているテキストエディタである vim を次のように使用できます。

注: を自分のポリシー名、ユーザー名、ロール、JSON ファイル名、プロファイル名、およびキーに置き換えます。

vim example-policy.json

3.    example-policy.json ファイルの内容は次のようになります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "iam:ListRoles",
        "sts:AssumeRole"
      ],
      "Resource": "*"
    }
  ]
}

IAM ポリシーの作成の詳細については、「IAM ポリシーの作成」、「IAM アイデンティティベースのポリシーの例」、および「IAM JSON ポリシーリファレンス」を参照してください。

IAM ポリシーを作成する

1.    次の aws iam create-policy コマンドを使用します。

aws iam create-policy --policy-name example-policy --policy-document file://example-policy.json

aws iam create-policy コマンドは、IAM ポリシーの ARN (Amazon リソースネーム) など、次のようないくつかの情報を出力します。

arn:aws:iam::123456789012:policy/example-policy

注: 123456789012 を自分のアカウントに置き換えてください。

2.    出力から IAM ポリシー ARN を書き留め、attach-user-policy コマンドを使用してポリシーを Bob にアタッチします。その後、次のような list-attached-user-policies コマンドを使用して、アタッチメントが正しい場所にあることを確認します。

aws iam attach-user-policy --user-name Bob --policy-arn "arn:aws:iam::123456789012:policy/example-policy"
aws iam list-attached-user-policies --user-name Bob

IAM ロールの信頼関係を定義する JSON ファイルを作成する

1.    次のように信頼関係を定義する JSON ファイルを作成します。

vim example-role-trust-policy.json

2.    example-role-trust-policy.json ファイルの内容は次のようになります。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {
      "AWS": "123456789012"
    },
    "Action": "sts:AssumeRole"
  }
}

この信頼ポリシーは、アカウント 123456789012 のユーザーとロールがこのロールを引き受けることを許可します (許可ポリシーで sts:AssumeRole アクションを許可する場合)。特定の IAM ユーザーのみが IAM ロールを引き受けることができるように信頼関係を制限することもできます。これを行うには、arn:aws:iam::123456789012:user/example-username のようにプリンシパルを指定します。詳細については、「AWS JSON ポリシーの要素: Principal」を参照してください。

IAM ロールを作成し、ポリシーをアタッチする

Amazon Relational Database Service (Amazon RDS) インスタンスへの読み取り専用アクセス権を持つ Bob が引き受けることができる IAM ロールを作成します。IAM ロールは IAM ユーザーが引き受けるため、IAM ユーザーがそのロールを引き受けることを許可するプリンシパルを指定する必要があります。例えば、arn:aws:iam::123456789012:root のようなプリンシパルでは、アカウントのすべての IAM ID でそのロールを引き受けることができます。詳細については、IAM ユーザーにアクセス許可を委任するロールの作成をご参照ください。

1.    Amazon RDS DB インスタンスへの読み取り専用アクセス権を持つ IAM ロールを作成します。セキュリティ要件に従って、IAM ポリシーを IAM ロールにアタッチします。

aws iam create-role コマンドは、IAM ロールを作成し、前のセクションで作成した JSON ファイルに従って信頼関係を定義します。aws iam attach-role-policy コマンドは AWS 管理ポリシー AmazonRDSReadOnlyAccess をロールにアタッチします。セキュリティ要件に応じて、異なるポリシー (管理ポリシーとカスタムポリシー) をアタッチできます。aws iam list-attached-role-policies コマンドは、IAM ロール example-role にアタッチされている IAM ポリシーを表示します。次のコマンド例を参照してください。

aws iam create-role --role-name example-role --assume-role-policy-document file://example-role-trust-policy.json
aws iam attach-role-policy --role-name example-role --policy-arn "arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess"
aws iam list-attached-role-policies --role-name example-role

注: Bob が EC2 インスタンスへの読み取り専用アクセスを付与されていて、それが example-role を引き受けることができるかを確認します。

2.    次のコマンドで Bob のアクセスキーを作成します。

aws iam create-access-key --user-name Bob

AWS CLI コマンドは、アクセスキー ID とシークレットアクセスキーを出力します。必ずこれらのキーをメモしてください。

アクセスキーを設定する

1.    アクセスキーを設定するには、デフォルトプロファイルまたは特定のプロファイルを使用します。デフォルトプロファイルを設定するには、aws configure を実行します。新しい特定のプロファイルを作成するには、aws configure --profile example-profile-name を実行します。この例では、次のようにデフォルトプロファイルが設定されています。

aws configure
AWS Access Key ID [None]: ExampleAccessKeyID1
AWS Secret Access Key [None]: ExampleSecretKey1
Default region name [None]: eu-west-1
Default output format [None]: json

注: [Default region name] (デフォルトのリージョン名) で、ご利用の AWS リージョンを指定します。

AWS CLI コマンドが呼び出され、IAM ユーザーアクセス権があることを確認する

1.    次のように aws sts get-caller-identity コマンドを実行します。

aws sts get-caller-identity

aws sts get-caller-identity コマンドは、ARN を含む 3 つの情報を出力します。出力は arn:aws:iam::123456789012:user/Bob のように表示されます。これにより、AWS CLI コマンドが Bob として呼び出されたことを確認できます。

2.    次のコマンドを実行して、IAM ユーザーが EC2 インスタンスへの読み取り専用アクセス権を持ち、Amazon RDS DB インスタンスへのアクセス権を持っていないことを確認します。

aws ec2 describe-instances --query "Reservations[*].Instances[*].[VpcId, InstanceId, ImageId, InstanceType]"
aws rds describe-db-instances --query "DBInstances[*].[DBInstanceIdentifier, DBName, DBInstanceStatus, AvailabilityZone, DBInstanceClass]"

aws ec2 describe-instances コマンドを実行すると、eu-west-1 リージョンにあるすべての EC2 インスタンスが表示されるはずです。Bob は Amazon RDS にアクセスできないため、aws rds describe-db-instances コマンドはアクセス拒否エラーメッセージを必ず生成します。

IAM ロールを引き受ける

次のいずれかを行ってください。

~/.aws/config ファイルにプロファイルを作成して IAM ロールを使用します。詳細については、AWS CLI で IAM ロールを使用するを参照してください。

-または-

次を実行することによって、IAM ロールを引き受けます。

1.    次のコマンドを実行して、ロールの ARN を取得します。

aws iam list-roles --query "Roles[?RoleName == 'example-role'].[RoleName, Arn]"

2.    このコマンドは IAM ロールを一覧表示しますが、ロール名で出力をフィルタリングします。IAM ロールを引き受けるには、次のコマンドを実行します。

aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/example-role" --role-session-name AWSCLI-Session

AWS CLI コマンドはいくつかの情報を出力します。認証情報ブロックの中には、AccessKeyIdSecretAccessKey、および SessionToken が必要です。この例では、環境変数 RoleAccessKeyIDRoleSecretKeyRoleSessionToken を使用します。有効期限のフィールドのタイムスタンプが UTC タイムゾーンであることに注意してください。タイムスタンプは、IAM ロールの一時的な認証情報が期限切れになる時期を示しています。一時的な認証情報が期限切れになった場合は、もう一度 sts:AssumeRole API コールを呼び出す必要があります。

注: DurationSeconds パラメータを使用して、IAM ロールの一時的な認証情報の最大セッション期間の有効期限を伸ばすことができます。

IAM ロールを引き受け、アクセスを確認するための環境変数を作成する

1.    IAM ロールを引き受けるために 3 つの環境変数を作成します。これらの環境変数は次の出力で入力されます。

export AWS_ACCESS_KEY_ID=RoleAccessKeyID
export AWS_SECRET_ACCESS_KEY=RoleSecretKey
export AWS_SESSION_TOKEN=RoleSessionToken

        注: Windows システムの場合は、このコマンドの exportset に置き換えてください。

2.    次のコマンドを実行して、IAM ロールを引き受けたことを検証します。

aws sts get-caller-identity

AWS CLI コマンドは ARN を arn:aws:iam::123456789012:user/Bob の代わりに arn:aws:sts::123456789012:assumed-role/example-role/AWSCLI-Session として出力する必要があります。これにより、example-role を引き受けたことを確認します。

3.    次のコマンドを実行して、Amazon RDS DB インスタンスに対する読み取り専用アクセス権を持ち、かつ、EC2 インスタンスに対するアクセス権を持たない IAM ロールを作成したことを検証します。

aws ec2 describe-instances --query "Reservations[*].Instances[*].[VpcId, InstanceId, ImageId, InstanceType]"
aws rds describe-db-instances --query "DBInstances[*].[DBInstanceIdentifier, DBName, DBInstanceStatus, AvailabilityZone, DBInstanceClass]"

aws ec2 describe-instances コマンドは、アクセス拒否エラーメッセージを生成するはずです。aws rds describe-db-instances コマンドは、Amazon RDS DB インスタンスを返すはずです。これにより、IAM ロールに割り当てられている許可が正しく機能していることを確認できます。

4.    IAM ユーザーに返すには、次のように環境変数を削除します。

unset AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN
aws sts get-caller-identity

unset コマンドは環境変数を削除し、aws sts get-caller-identity コマンドは IAM ユーザーの Bob として返されたことを確認します。

注: Windows システムでは、次のように環境変数を空の文字列に設定して内容をクリアします。

SET AWS_ACCESS_KEY_ID=
SET AWS_SECRET_ACCESS_KEY=
SET AWS_SESSION_TOKEN=

関連情報

ロールの用語と概念

create-role

AWS のサービスにアクセス許可を委任するロールの作成

コメントはありません

関連するコンテンツ