2.1. IAMポリシーの作成 (EC2InstanceProfileEnvMaintRolePolicy)¶
作業の目的 [why]¶
IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"を作成します。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。
- 完了条件2
- IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- 設定ファイル用ディレクトリが存在する。
- 事前条件2
- IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。
前提と異なることが判明した場合、直ちに処理を中止します。
作業対象 [what]¶
- IAMサービス
標準時間¶
8分
前提条件¶
作業環境条件 [where]¶
本作業は、以下の作業環境で行います。
作業環境条件1: OSとバージョン
Amazon Linuxの以下のバージョンで動作確認済
コマンド:
cat /etc/issue | head -1
結果(例):
Amazon Linux AMI release 2016.09
作業環境条件2: シェルとバージョン
bashの以下のバージョンで動作確認済
コマンド:
bash --version -v | head -1
結果(例):
GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)
作業環境条件3: AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.14.18
コマンド:
aws --version
結果(例):
aws-cli/1.14.18 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.22
バージョンが古い場合は最新版に更新しましょう。
コマンド:
sudo -H pip install -U awscli
開始条件¶
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: 設定ファイル用ディレクトリ
今回は"${HOME}/tmp/conf-iam"を設定ファイル用ディレクトリとします。
ls ${HOME}/tmp/conf-iam
存在しない場合は作成します。
mkdir -p ${HOME}/tmp/conf-iam
リソース2: IAMポリシー名
- 作成するIAMポリシーの名称です。
- 今回は"EC2InstanceProfileEnvMaintRolePolicy"とします。
リソース3: 設定ファイル用S3バケット名
- 設定ファイル用S3バケットの名称です。
- 今回は"conf-<AWS ID>"とします。
リソース4: ログファイル用S3バケット名
- ログファイル用S3バケットの名称です。
- 今回は"log-<AWS ID>"とします。
タスクの実施¶
0. パラメータの指定¶
まず変数の確認をします。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE:"${AWS_DEFAULT_PROFILE}" # 0.1. DIR_CONF:"${HOME}/tmp/conf-iam" DIR_CONF="${DIR_CONF}" # 0.2. IAM_POLICY_NAME:"EC2InstanceProfileEnvMaintRolePolicy" IAM_POLICY_NAME="${IAM_POLICY_NAME}" # 0.3. S3_BUCKET_PREFIX_CONF:"conf" S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}" # 0.4. S3_BUCKET_PREFIX_LOG:"log" S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}" ETX
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。
0.a. プロファイルの指定¶
プロファイルの一覧を確認します。
コマンド:
cat ~/.aws/credentials \ | grep '\[' \ | sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13 <IAMのフル権限を許可されたプロファイル>
変数の設定:
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
再確認¶
設定されている変数の内容を再確認します。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE:"${AWS_DEFAULT_PROFILE}" # 0.1. DIR_CONF:"${HOME}/tmp/conf-iam" DIR_CONF="${DIR_CONF}" # 0.2. IAM_POLICY_NAME:"EC2InstanceProfileEnvMaintRolePolicy" IAM_POLICY_NAME="${IAM_POLICY_NAME}" # 0.3. S3_BUCKET_PREFIX_CONF:"conf" S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}" # 0.4. S3_BUCKET_PREFIX_LOG:"log" S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}" ETX
1. 前処理¶
1.1. 処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: 設定ファイル用ディレクトリが存在する。
「設定ファイル用ディレクトリが存在する。」ことを確認します。
コマンド:
ls -d ${DIR_CONF}
結果(例):
${HOME}/tmp/conf-iam
事前条件2: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。
「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在しない。」ことを確認します。
コマンド:
aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[]
1.2. IAMポリシードキュメントの作成¶
ポリシードキュメントのファイル名を決めます。
変数の設定:
FILE_INPUT="${DIR_CONF}/${IAM_POLICY_NAME}.json" \ && echo ${FILE_INPUT}
変数の確認:
cat << EOF # FILE_INPUT: ${HOME}/tmp/conf-iam/EC2InstanceProfileEnvMaintRolePolicy.json FILE_INPUT="${FILE_INPUT}" # S3_BUCKET_PREFIX_CONF: conf S3_BUCKET_PREFIX_CONF="${S3_BUCKET_PREFIX_CONF}" # S3_BUCKET_PREFIX_LOG: log S3_BUCKET_PREFIX_LOG="${S3_BUCKET_PREFIX_LOG}" EOF
ポリシードキュメントを作成します。
コマンド:
cat << EOF > ${FILE_INPUT} { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*", "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*/*" ] }, { "Action": [ "s3:Get*", "s3:PutObject", "s3:List*" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*", "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*/*" ] } ] } EOF cat ${FILE_INPUT}
結果(例):
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*", "arn:aws:s3:::${S3_BUCKET_PREFIX_CONF}-*/*" ] }, { "Action": [ "s3:Get*", "s3:PutObject", "s3:List*" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*", "arn:aws:s3:::${S3_BUCKET_PREFIX_LOG}-*/*" ] } ] }
JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。
コマンド:
jsonlint -q ${FILE_INPUT}
エラーが出力されなければOKです。
2. 主処理¶
IAMポリシーの作成¶
変数の確認:
cat << ETX # IAM_POLICY_NAME: EC2InstanceProfileEnvMaintRolePolicy IAM_POLICY_NAME="${IAM_POLICY_NAME}" # FILE_INPUT: ${HOME}/tmp/conf-iam/EC2InstanceProfileEnvMaintRolePolicy.json FILE_INPUT="${FILE_INPUT}" ETX
コマンド:
aws iam create-policy \ --policy-name ${IAM_POLICY_NAME} \ --policy-document file://${FILE_INPUT}
結果(例):
{ "Policy": { "PolicyName": "EC2InstanceProfileEnvMaintRolePolicy", "CreateDate": "2018-01-06T01:23:45.678Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ANPAxxxxxxxxxxxxxxxxx", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam:::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy", "UpdateDate": "2018-01-06T01:23:45.678Z" } }
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。
「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。」ことを確認します。
コマンド:
aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[ "EC2InstanceProfileEnvMaintRolePolicy" ]
完了条件2: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。
「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"に必要な権限が付与されている。」ことを確認します。
作成したポリシーのARNを取得します。
変数の設定:
IAM_POLICY_ARN=$( \ aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \ --output text \ ) \ && echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy
ポリシのバージョンを取得します。
コマンド:
IAM_POLICY_VERSION=$( \ aws iam list-policies \ --max-items 1000 \ --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \ --output text \ ) \ && echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシの内容を確認します。
コマンド:
aws iam get-policy-version \ --policy-arn ${IAM_POLICY_ARN} \ --version-id ${IAM_POLICY_VERSION}
結果(例):
{ "PolicyVersion": { "CreateDate": "2018-01-06T01:23:45Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::conf-*", "arn:aws:s3:::conf-*/*" ], "Effect": "Allow" }, { "Action": [ "s3:Get*", "s3:PutObject", "s3:List*" ], "Resource": [ "arn:aws:s3:::log-*", "arn:aws:s3:::log-*/*" ], "Effect": "Allow" } ] }, "IsDefaultVersion": true } }