AWS CLI を使用して IAM ロールを引き受けるにはどうすればよいですか?

所要時間3分

AWS Command Line Interface (AWS CLI) を使用して AWS Identity and Access Management (IAM) ロールを引き受けたいと考えています。

解決策

AWS CLI を使用して IAM ロールを引き受け、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの読み取り専用アクセス権を持つには、以下を実行してください。

**注:**AWS CLI コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を実行しているか確認してください。

重要: 以下の手順でコマンドを実行すると、パスワードなどの認証情報がプレーンテキストで表示されます。IAM ロールを引き受けたら、パスワードを変更することをお勧めします。

ロールを引き受ける権限を持つ IAM ユーザーを作成する

1. 次のコマンドを使用して AWS CLI で IAM ユーザーを作成します。

**注:**Bob は IAM ユーザー名に置き換えてください。

aws iam create-user --user-name Bob

2. AWS CLI を使用して、Bob にアクセス権限を付与する IAM ポリシーを作成します。任意のテキストエディタを使用して、IAM ポリシーを定義する JSON ファイルを作成します。例えば、Linuxで一般的に使用されているテキストエディタであるvimを次のように使用します。

**注:**example は、独自のポリシー名、ユーザー名、ロール、JSON ファイル名、プロファイル名、およびキーに置き換えてください。

vim example-policy.json

3. example-policy.json ファイルの内容は次のようなものです。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "iam:ListRoles",
        "sts:AssumeRole"
      ],
      "Resource": "*"
    }
  ]
}

IAM ポリシーの作成の詳細については、「IAM ポリシーの作成」、「IAM アイデンティティベースのポリシーの例」、および「IAM JSON ポリシーリファレンス」を参照してください。

IAM ポリシーを作成する

1. 次の aws iam create-policy コマンドを使用します。

aws iam create-policy --policy-name example-policy --policy-document file://example-policy.json

aws iam create-policy コマンドは、IAM ポリシーの ARN (Amazon リソースネーム) を含むいくつかの情報を次のように出力します。

arn:aws:iam::123456789012:policy/example-policy

**注:**123456789012 をご自分のアカウントに置き換えてください。

2. 出力にある IAM ポリシー ARN を書き留め、attach-user-policy コマンドを使用してポリシーを Bob にアタッチします。次に、以下のように list-attached-user-policies コマンドを使用して、アタッチメントが適切に配置されていることを確認します。

aws iam attach-user-policy --user-name Bob --policy-arn "arn:aws:iam::123456789012:policy/example-policy"
aws iam list-attached-user-policies --user-name Bob

IAM ロールの信頼関係を定義する JSON ファイルを作成する

1. 信頼関係を定義する JSON ファイルを以下のように作成します。

vim example-role-trust-policy.json

2. example-role-trust-policy.json ファイルの内容は次のようになります。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {
      "AWS": "123456789012"
    },
    "Action": "sts:AssumeRole"
  }
}

この信頼ポリシーにより、アカウント 123456789012 のユーザーとロールは、権限ポリシーで sts:AssumeRole アクションを許可していれば、このロールを引き継ぐことができます。また、信頼関係を制限して、特定の IAM ユーザーのみが IAM ロールを引き受けられるようにすることもできます。これを行うには、arn:aws:iam::123456789012:user/example-usernameのようなプリンシパルを指定します。詳細については、「AWS JSON ポリシーの要素: Principal」を参照してください。

IAM ロールを作成してポリシーをアタッチする

Amazon Relational Database Service (Amazon RDS) インスタンスへの読み取り専用アクセス権を持つ Bob が引き受けられる IAM ロールを作成します。IAM ロールは IAM ユーザーが引き受けるため、IAM ユーザーがそのロールを引き受けることを許可するプリンシパルを指定する必要があります。例えば、arn:aws:iam::123456789012:root のようなプリンシパルでは、アカウントのすべての IAM アイデンティティがその役割を引き受けることができます。詳細については、「IAM ユーザーにアクセス権限を委任するロールの作成」を参照してください。

1. Amazon RDS DB インスタンスへの読み取り専用アクセス権を持つ IAM ロールを作成します。セキュリティ要件に従って IAM ポリシーを IAM ロールにアタッチします。

aws iam create-role コマンドは IAM ロールを作成し、前のセクションで作成した JSON ファイルに従って信頼関係を定義します。aws iam attach-role-policy コマンドは、AWS マネージドポリシー AmazonRDSReadOnlyAccess をロールにアタッチします。セキュリティ要件に応じて、さまざまなポリシー (管理ポリシーとカスタムポリシー) をアタッチできます。aws iam list-attached-role-policies コマンドを実行すると、IAM ロールの example-roleにアタッチされている IAM ポリシーが表示されます。以下のコマンドの例を参照してください。

aws iam create-role --role-name example-role --assume-role-policy-document file://example-role-trust-policy.json
aws iam attach-role-policy --role-name example-role --policy-arn "arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess"
aws iam list-attached-role-policies --role-name example-role

**注:**Bob が EC2 インスタンスへの読み取り専用アクセス権を持ち、example-role を引き受けられることを確認します。

2.以下のコマンドで Bob のアクセスキーを作成します。

aws iam create-access-key --user-name Bob

AWS CLI コマンドは、アクセスキー ID とシークレットアクセスキーを出力します。これらのキーは必ず書き留めておいてください。

アクセスキーを設定する

1. アクセスキーを設定するには、デフォルトのプロファイルまたは特定のプロファイルを使用します。デフォルトのプロファイルを設定するには、aws configureを実行します。新しいプロファイルを作成するには、aws configure --profile example_-_profile-nameを実行します。この例では、デフォルトのプロファイルが次のように設定されています。

aws configure
AWS Access Key ID [None]: ExampleAccessKeyID1
AWS Secret Access Key [None]: ExampleSecretKey1
Default region name [None]: eu-west-1
Default output format [None]: json

注:****[デフォルトリージョン名] ででAWS リージョンを指定します。

AWS CLI コマンドが呼び出されたことを検証し、IAM ユーザーアクセスを確認する

1.次のように aws sts get-caller-identity コマンドを実行します。

aws sts get-caller-identity

aws sts get-caller-identity コマンドは、ARN を含む 3 つの情報を出力します。この出力では、arn:aws:iam::123456789012:user/Bob のような内容が表示され、AWS CLI コマンドが Bobとして呼び出されたことを確認できます。

2. 次のコマンドを実行して、IAM ユーザーが EC2 インスタンスへの読み取り専用アクセス権を持ち、Amazon RDS DB インスタンスにはアクセスできないことを確認します。

aws ec2 describe-instances --query "Reservations[*].Instances[*].[VpcId, InstanceId, ImageId, InstanceType]"
aws rds describe-db-instances --query "DBInstances[*].[DBInstanceIdentifier, DBName, DBInstanceStatus, AvailabilityZone, DBInstanceClass]"

aws ec2 describe-instances コマンドを実行すると、eu-west-1 リージョンにあるすべての EC2 インスタンスが表示されます。Bob は Amazon RDS にアクセスできないため、aws rds describe-db-instances コマンドを実行すると、アクセス拒否のエラーメッセージが生成されます。

IAM ロールを引き受ける

次のいずれかを実行します:

~/.aws/config ファイルにプロファイルを作成して IAM ロールを使用します。詳細については、「AWS CLI で IAM ロールを使用する」を参照してください。

または、

以下を実行して IAM ロールを引き受けます。

1. 次のコマンドを実行して、ロールの ARN を取得します。

aws iam list-roles --query "Roles[?RoleName == 'example-role'].[RoleName, Arn]"

2. このコマンドは IAM ロールを一覧表示しますが、出力をロール名でフィルタリングします。IAM ロールを引き受けるには、以下のコマンドを実行します。

aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/example-role" --role-session-name AWSCLI-Session

AWS CLI コマンドは、いくつかの情報を出力します。認証情報ブロック内では、AccessKeyId、SecretAccessKey、およびSessionTokenが必要です。この例では、環境変数 RoleAccessKeyID、RoleSecretKey、および RoleSessionTokenを使用しています。有効期限フィールドのタイムスタンプは UTC タイムゾーンであることに注意してください。タイムスタンプは、IAM ロールの一時的な認証情報がいつ期限切れになるかを示します。一時的な認証情報が期限切れになった場合は、sts:AssumeRole API コールを再度呼び出す必要があります。

注:DurationSeconds パラメータを使用して、IAM ロールの一時的な認証情報の最大セッション有効期間を延ばすことができます。

IAM ロールを引き受けてアクセスを確認するための環境変数を作成する

1. IAM ロールを引き受ける環境変数を 3 つ作成します。これらの環境変数には、次の出力が入力されます。

export AWS_ACCESS_KEY_ID=RoleAccessKeyID
export AWS_SECRET_ACCESS_KEY=RoleSecretKey
export AWS_SESSION_TOKEN=RoleSessionToken

注: Windows システムの場合は、このコマンドの export を set に置き換えてください。

2. 次のコマンドを実行して、IAM ロールを引き受けたことを確認します。

aws sts get-caller-identity

AWS CLI コマンドは ARN を arn:aws:iam::123456789012:user/Bob ではなく arn:aws:sts::123456789012:assumed-role/example-role/AWSCLI-Session として出力して、example-roleを引き受けたことを確認します。

3. 次のコマンドを使用して、Amazon RDS DB インスタンスへの読み取り専用アクセス権を持ち、EC2 インスタンスにはアクセスできない IAM ロールを作成したことを確認します。

aws ec2 describe-instances --query "Reservations[*].Instances[*].[VpcId, InstanceId, ImageId, InstanceType]"
aws rds describe-db-instances --query "DBInstances[*].[DBInstanceIdentifier, DBName, DBInstanceStatus, AvailabilityZone, DBInstanceClass]"

aws ec2 describe-instances コマンドを実行すると、アクセス拒否のエラーメッセージが生成されます。aws rds describe-db-instances コマンドは、Amazon RDS DB インスタンスを返します。これにより、IAM ロールに割り当てられた権限が正しく機能していることが確認されます。

4. IAM ユーザーに戻るには、以下のように環境変数を削除します。

unset AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN
aws sts get-caller-identity

unset コマンドは環境変数を削除し、aws sts get-caller-identity コマンドはあなたが IAM ユーザー Bobとして返されたことを確認します。

**注:**Windows システムの場合は、次のように環境変数を空の文字列に設定して内容を消去します。

SET AWS_ACCESS_KEY_ID=
SET AWS_SECRET_ACCESS_KEY=
SET AWS_SESSION_TOKEN=