2.1. IAMポリシーの作成 (EC2InstanceProfileEnvMaintRolePolicy)

作業の目的 [why]

IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"を作成します。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。
完了条件2
IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
設定ファイル用ディレクトリが存在する。
事前条件2
IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。

前提と異なることが判明した場合、直ちに処理を中止します。

作業対象 [what]

  • IAMサービス

標準時間

8分

前提条件

作業権限条件 [who]

本作業は、以下の作業権限を有する人が行います。

作業権限条件: IAMへの権限

IAMに対してフル権限があること。

作業環境条件 [where]

本作業は、以下の作業環境で行います。

作業環境条件1: OSとバージョン

Amazon Linuxの以下のバージョンで動作確認済

コマンド:

cat /etc/issue | head -1

結果(例):

Amazon Linux AMI release 2016.09

作業環境条件2: シェルとバージョン

bashの以下のバージョンで動作確認済

コマンド:

bash --version -v | head -1

結果(例):

GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)

作業環境条件3: AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.14.18

コマンド:

aws --version

結果(例):

aws-cli/1.14.18 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.22

バージョンが古い場合は最新版に更新しましょう。

コマンド:

sudo -H pip install -U awscli

開始条件

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: 設定ファイル用ディレクトリ

  • 今回は"${HOME}/tmp/conf-iam"を設定ファイル用ディレクトリとします。

    ls ${HOME}/tmp/conf-iam

  • 存在しない場合は作成します。

    mkdir -p ${HOME}/tmp/conf-iam

リソース2: IAMポリシー名

  • 作成するIAMポリシーの名称です。
  • 今回は"EC2InstanceProfileEnvMaintRolePolicy"とします。

リソース3: 設定ファイル用S3バケット名

  • 設定ファイル用S3バケットの名称です。
  • 今回は"conf-<AWS ID>"とします。

リソース4: ログファイル用S3バケット名

  • ログファイル用S3バケットの名称です。
  • 今回は"log-<AWS ID>"とします。

作業開始 [when]

以下を全て満たしているとき、作業を開始します。

  • 開始の指示があった場合。

タスクの実施

0. パラメータの指定

まず変数の確認をします。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"${AWS_DEFAULT_PROFILE}"

  # 0.1. DIR_CONF:"${HOME}/tmp/conf-iam"
         DIR_CONF="${DIR_CONF}"
  # 0.2. IAM_POLICY_NAME:"EC2InstanceProfileEnvMaintRolePolicy"
         IAM_POLICY_NAME="${IAM_POLICY_NAME}"
  # 0.3. S3_BUCKET_PREFIX_CONF:"conf"
         S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}"
  # 0.4. S3_BUCKET_PREFIX_LOG:"log"
         S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}"

ETX

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。

0.a. プロファイルの指定

プロファイルの一覧を確認します。

コマンド:

cat ~/.aws/credentials \
 | grep '\[' \
 | sed 's/\[//g' | sed 's/\]//g'

結果(例):

iamFull-prjz-mbpr13
<IAMのフル権限を許可されたプロファイル>

変数の設定:

export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'

0.1. 設定ファイルディレクトリの指定

変数の設定:

DIR_CONF="${HOME}/tmp/conf-iam"

0.2. IAMポリシー名の決定

ポリシー名を決めます。

変数の設定:

IAM_POLICY_NAME='EC2InstanceProfileEnvMaintRolePolicy'

0.3. 設定ファイル用バケットの指定

変数の設定:

S3_BUCKET_PREFIX_CONF='conf'

0.4. ログ用バケットの指定

変数の設定:

S3_BUCKET_PREFIX_LOG='log'

再確認

設定されている変数の内容を再確認します。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"${AWS_DEFAULT_PROFILE}"

  # 0.1. DIR_CONF:"${HOME}/tmp/conf-iam"
         DIR_CONF="${DIR_CONF}"
  # 0.2. IAM_POLICY_NAME:"EC2InstanceProfileEnvMaintRolePolicy"
         IAM_POLICY_NAME="${IAM_POLICY_NAME}"
  # 0.3. S3_BUCKET_PREFIX_CONF:"conf"
         S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}"
  # 0.4. S3_BUCKET_PREFIX_LOG:"log"
         S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}"

ETX

1. 前処理

1.1. 処理対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: 設定ファイル用ディレクトリが存在する。

「設定ファイル用ディレクトリが存在する。」ことを確認します。

コマンド:

ls -d ${DIR_CONF}

結果(例):

${HOME}/tmp/conf-iam

事前条件2: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。

「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。」ことを確認します。

コマンド:

aws iam list-policies \
  --scope Local \
  --max-items 1000 \
  --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

[]

1.2. IAMポリシードキュメントの作成

ポリシードキュメントのファイル名を決めます。

変数の設定:

FILE_INPUT="${DIR_CONF}/${IAM_POLICY_NAME}.json" \
    && echo ${FILE_INPUT}

変数の確認:

cat << EOF

  # FILE_INPUT: ${HOME}/tmp/conf-iam/EC2InstanceProfileEnvMaintRolePolicy.json
    FILE_INPUT="${FILE_INPUT}"
  # S3_BUCKET_PREFIX_CONF: conf
    S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}"
  # S3_BUCKET_PREFIX_LOG: log
    S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}"

EOF

ポリシードキュメントを作成します。

コマンド:

cat << EOF > ${FILE_INPUT}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*",
        "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*/*" 
      ]
    },
    {
      "Action": [
        "s3:Get*",
        "s3:PutObject",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*",
        "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*/*" 
      ]
    }
  ]
}
EOF

cat ${FILE_INPUT}

結果(例):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*",
        "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*/*" 
      ]
    },
    {
      "Action": [
        "s3:Get*",
        "s3:PutObject",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*",
        "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*/*" 
      ]
    }
  ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:

jsonlint -q ${FILE_INPUT}

エラーが出力されなければOKです。

2. 主処理

IAMポリシーの作成

変数の確認:

cat << ETX

  # IAM_POLICY_NAME: EC2InstanceProfileEnvMaintRolePolicy
    IAM_POLICY_NAME="${IAM_POLICY_NAME}"
  # FILE_INPUT: ${HOME}/tmp/conf-iam/EC2InstanceProfileEnvMaintRolePolicy.json
    FILE_INPUT="${FILE_INPUT}"

ETX

コマンド:

aws iam create-policy \
  --policy-name ${IAM_POLICY_NAME} \
  --policy-document file://${FILE_INPUT}

結果(例):

{
  "Policy": {
    "PolicyName": "EC2InstanceProfileEnvMaintRolePolicy",
    "CreateDate": "2018-01-06T01:23:45.678Z",
    "AttachmentCount": 0,
    "IsAttachable": true,
    "PolicyId": "ANPAxxxxxxxxxxxxxxxxx",
    "DefaultVersionId": "v1",
    "Path": "/",
    "Arn": "arn:aws:iam:::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy",
    "UpdateDate": "2018-01-06T01:23:45.678Z"
  }
}

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。

「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。」ことを確認します。

コマンド:

aws iam list-policies \
  --scope Local \
  --max-items 1000 \
  --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

[
  "EC2InstanceProfileEnvMaintRolePolicy"
]

完了条件2: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。

「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。」ことを確認します。

作成したポリシーのARNを取得します。

変数の設定:

IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --scope Local \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${IAM_POLICY_ARN}"

結果(例):

arn:aws:iam::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy

ポリシのバージョンを取得します。

コマンド:

IAM_POLICY_VERSION=$( \
  aws iam list-policies \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
    --output text \
) \
  && echo ${IAM_POLICY_VERSION}

結果(例)

v1

ポリシの内容を確認します。

コマンド:

aws iam get-policy-version \
  --policy-arn ${IAM_POLICY_ARN} \
  --version-id ${IAM_POLICY_VERSION}

結果(例):

{
  "PolicyVersion": {
    "CreateDate": "2018-01-06T01:23:45Z",
    "VersionId": "v1",
    "Document": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": [
                    "arn:aws:s3:::conf-*",
                    "arn:aws:s3:::conf-*/*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:Get*",
                    "s3:PutObject",
                    "s3:List*"
                ],
                "Resource": [
                    "arn:aws:s3:::log-*",
                    "arn:aws:s3:::log-*/*"
                ],
                "Effect": "Allow"
            }
        ]
    },
    "IsDefaultVersion": true
  }
}

完了