AWS CodeBuild を使用して AssumeRole の一時的な認証情報を Docker ランタイムに渡す方法を教えてください。
最終更新日: 2020 年 9 月 24 日
AWS CodeBuild を使用して AssumeRole の一時的な認証情報を Docker ランタイムに渡したいと考えています。
簡単な説明
CodeBuild は、ビルドコンテナと Docker ランタイムのデフォルトの AWS 認証情報として CodeBuild サービスロールを使用します。
AssumeRole 認証情報を環境変数としてエクスポートします。次に、docker build の --build-arg パラメータを使用して、これらの変数を Docker ランタイムに渡します。詳細については、Docker Docs のウェブサイトの docker build を参照してください。
解決方法
1. Docker ランタイムの新しいロール (Secretassumeroleなど) を作成します。次に、新しいロールを使用して、AWS Secrets Manager からシークレット AWSExampleSecret の値を取得します。以下はその例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:ap-northeast-1:$account_id:secret:tutorials/AWSExampleSecret-EHWYme"
]
}
]
}
注意: Docker ランタイム中に、任意の操作のアクセス許可を付与できます。
2. CodeBuild サービスロールに sts:assumeRole のアクセス許可を追加して、AssumeRole 操作を許可します。以下はその例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::$account_id:role:role/Secretassumerole"
}
]
}
3. ビルド仕様を使用して、AssumeRole 認証情報を環境変数にエクスポートします。次に、docker build コマンドを使用して Docker ランタイムに認証情報を渡します。以下はその例です。
version: 0.2
phases:
install:
runtime-versions:
nodejs: 8
commands:
- ASSUME_ROLE_ARN="arn:aws:iam::$account_id:role/Secretassumerole"
- TEMP_ROLE=`aws sts assume-role --role-arn $ASSUME_ROLE_ARN --role-session-name test`
- export TEMP_ROLE
- echo $TEMP_ROLE
- export AWS_ACCESS_KEY_ID=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.AccessKeyId')
- export AWS_SECRET_ACCESS_KEY=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.SecretAccessKey')
- export AWS_SESSION_TOKEN=$(echo "${TEMP_ROLE}" | jq -r '.Credentials.SessionToken')
- echo $AWS_ACCESS_KEY_ID
- echo $AWS_SECRET_ACCESS_KEY
- echo $AWS_SESSION_TOKEN
pre_build:
commands:
- echo Build started on `date`
- echo Building the Docker image...
- docker build --build-arg AWS_ACCESS_KEY_ID=$AWS_ACCESS_KEY_ID --build-arg AWS_SECRET_ACCESS_KEY=$AWS_SECRET_ACCESS_KEY --build-arg AWS_SESSION_TOKEN=$AWS_SESSION_TOKEN
注意: --duration-seconds を使用すると、引き受けるロールの最大セッション期間を設定できます。--duration-seconds オプションでは、1 時間から 12 時間までの値を指定できます。12 時間を超える値を設定すると、操作は失敗します。
4. Dockerfile で、イメージをビルドするときに AssumeRole 認証情報を取得します。以下はその例です。
FROM amazonlinux:latest
RUN yum -y install aws-cli
ARG AWS_DEFAULT_REGION
ARG AWS_ACCESS_KEY_ID
ARG AWS_SECRET_ACCESS_KEY
ARG AWS_SESSION_TOKEN
RUN echo $AWS_DEFAULT_REGION
RUN echo $AWS_ACCESS_KEY_ID
RUN echo $AWS_SECRET_ACCESS_KEY
RUN echo $AWS_SESSION_TOKEN
RUN aws sts get-caller-identity
RUN aws secretsmanager get-secret-value --secret-id tutorials/AWSExampleSecret
注意: 一時的な認証情報を出力する buildspec と Dockerfile から echo 文を削除することができます。
次のような出力が表示されます。
Step 8/11 : RUN echo $AWS_ACCESS_KEY_ID
---> Running in 7349ee896c1a
ASIAWNOF2TBWYN3DC7RX
Removing intermediate container 7349ee896c1a
---> 32a8170f9697
Step 9/11 : RUN echo $AWS_SECRET_ACCESS_KEY
---> Running in 9f16f1252d93
KJq+JNqmnNq1JirNUBkxc+kRVavgZwhpFFIJjxD6
Removing intermediate container 9f16f1252d93
---> 91fe8de3d301
Step 10/11 : RUN echo $AWS_SESSION_TOKEN
---> Running in 12ddfe17d5de
FQoGZXIvYXdzEJP//////////wEaDPTjooaOAaU8NDj5oyKkAjVwT4uQHTZJdCtfOZxa6wTZVOy0Zkw+laN1RRVZhvhdPOWhU8VgK2d7ZgTlqaXn4NSrdWlnub6g5JobP4o509t3VLdMUR5ZJJcpnSlJAY5YM7vlPndroGcV+Y689ztVzQ1uVxdtpjQK1qh87fw6m0dHt7Q8Y8TferRNVvCM4kOroxPzovTbO6IkLDcBp8PhOVgtVtxEpON6nZrN990zzUmhXjT0vrtpDtAi339hhs7fzDOrnllQHSAmSerT0NhMOYVqBH1HJOq3FYnG+TUbHENpSq3kwTiPL2uoTw7/Ufrrgz4i3ENHm3rIWlbD8VuleDl5yhooKifmKDPjQAHs5HbVjD9lnxQFrCIuyvZdmsqzgoIjPt6z5H8lzugLHAAmbgiOwDoo+Oba7QU=
Removing intermediate container 12ddfe17d5de
---> 0cc838f3c865
Step 11/11 : RUN aws sts get-caller-identity
---> Running in 98b7c2f07621
{
"Account": “xxxxxxxxx”,
"UserId": "AROAWNOF2TBWS3TGMQRV3:test",
"Arn": "arn:aws:sts::$account_id:assumed-role/Secretassumerole/test"
}
Removing intermediate container 6d525393d667
---> 2da2f38adc77
Step 12/12 : RUN aws secretsmanager get-secret-value --secret-id tutorials/AWSExampleSecret --region ap-northeast-1
---> Running in c8ac00304416
{
"Name": "tutorials/AWSExampleSecret",
"VersionId": "3f37aa26-691e-4b4b-ad80-861680464cb9",
"SecretString": "{\"username\":\"myserviceusername\",\"password\":\"MyVerySecureP@ssw0rd!\"}",
"VersionStages": [
"AWSCURRENT"
],
"CreatedDate": 1558616482.926,
"ARN": "arn:aws:secretsmanager:ap-northeast-1:$account_id:secret:tutorials/M-EHWYme"
}
Removing intermediate container c8ac00304416
---> c3be32e39b0e
Successfully built c3be32e39b0e