AWS CLIでスイッチロールする方法
AWS CLIでスイッチロールするときの手順を紹介します。
IAMユーザー作成
まずはAWS CLIで使用するIAMユーザーを作成します。
マネジメントコンソールにログインし、ユーザー名、AWS認証情報タイプを選択してIAMユーザーを作成します。名前は何でも良いですが、私は「switch-role-user」という名前で作成しました。
AWS認証情報タイプは「アクセスキー - プログラムによるアクセス」にチェックを入れます。
この時点では何も権限を与えなくて良いです。
IAMロール作成
スイッチロールするためのロールを作成します。
マネジメントコンソールにログインし、IAMのページに移動し「ロールを作成」をクリック。信頼されたエンティティタイプは「カスタム信頼ポリシー」を選択します。そうするとjsonを書けるようになるので以下を記述します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{AWSアカウントID}:user/switch-role-user"
},
"Action": "sts:AssumeRole"
}
]
}
そして「次へ」をクリックすると許可ポリシーを選べるので、このロールに持たせたい権限を追加します。私はアドミン権限を持たせました。
次にロール名を指定してロールを作成します。
私は「admin-role」という名前にしました。
IAMポリシー作成&ポリシーアタッチ
先ほど作成したIAMユーザー「switch-role-user」にアタッチするIAMポリシーを作成します。
IAMポリシーの権限は以下のようにし、「switch-admin-role-policy」という名前にしました。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::{AWSアカウントID}:role/admin-role"
}
}
そしてこのポリシーを先ほど作成したIAMユーザー「switch-role-user」にアタッチします。
AWS CLIで使うIAMユーザーを設定
以下のコマンドを入力します
aws configure
すると、
アクセスキー,シークレットアクセスキー,Default region name, Default output formatの入力が求められるので入力します。アクセスキー,シークレットアクセスキーは先ほど作成したIAMユーザーのものを、Default region nameはap-northeast-1、Default output formatは何も入力せずにエンターを押すとOKです。
~/.aws/configを修正
~/.aws/configが勝手に作成されていると思うので、vim ~/.aws/config
で ~/.aws/configファイルを開いて以下を追記します。
[profile admin]
role_arn = arn:aws:iam::{AWSアカウントID}:role/admin-role
source_profile = default
--profile adminをつけてコマンド実行
これでAWS CLIでスイッチロールするための準備はできました。
aws s3 ls --profile admin
のようなコマンドを実行するとs3のデータがあれば返って来ます。データがなくてもAccess Deniedみたいなエラーはでなくなります。
ちなみにIAMユーザー「switch-role-user」はスイッチロールする権限しかないので、aws s3 ls
を実行すると権限エラーが出ます。
Author And Source
この問題について(AWS CLIでスイッチロールする方法), 我々は、より多くの情報をここで見つけました https://zenn.dev/jojojo/articles/18eebb02b048a4著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Collection and Share based on the CC protocol