2.3. IAMロールのポリシー追加 (EC2InstanceProfileEnvMaintRolePolicy)¶
作業の目的 [why]¶
IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"をアタッチします。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされている。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- IAMロール"EC2InstanceProfileEnvMaintRole"が存在する。
- 事前条件2
- IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされていない。
- 事前条件3
- IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。
前提と異なることが判明した場合、直ちに処理を中止します。
作業対象 [what]¶
- IAMロール
標準時間¶
8分
前提条件¶
作業環境条件 [where]¶
本作業は、以下の作業環境で行います。
作業環境条件1: OSとバージョン
Amazon Linuxの以下のバージョンで動作確認済
コマンド:
cat /etc/issue | head -1
結果(例):
Amazon Linux AMI release 2016.09
作業環境条件2: シェルとバージョン
bashの以下のバージョンで動作確認済
コマンド:
bash --version -v | head -1
結果(例):
GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)
作業環境条件3: AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.14.18
コマンド:
aws --version
結果(例):
aws-cli/1.14.18 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.22
バージョンが古い場合は最新版に更新しましょう。
コマンド:
sudo -H pip install -U awscli
開始条件¶
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: IAMロール名
- 作成するIAMロールの名称です。
- 今回は"EC2InstanceProfileEnvMaintRole"とします。
リソース2: IAMポリシー名
- 作成するIAMポリシーの名称です。
- 今回は"EC2InstanceProfileEnvMaintRolePolicy"とします。
タスクの実施¶
0. パラメータの指定¶
まず変数の確認をします。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE: <IAMのフル権限を許可されたプロファイル> AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}" # 0.1. IAM_ROLE_NAME: EC2InstanceProfileEnvMaintRole IAM_ROLE_NAME="${IAM_ROLE_NAME}" # 0.2. IAM_POLICY_NAME: EC2InstanceProfileEnvMaintRolePolicy IAM_POLICY_NAME="${IAM_POLICY_NAME}" ETX
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。
0.a. プロファイルの指定¶
プロファイルの一覧を確認します。
コマンド:
cat ~/.aws/credentials \ | grep '\[' \ | sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13 <IAMのフル権限を許可されたプロファイル>
変数の設定:
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
再確認¶
設定されている変数の内容を再確認します。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE: <IAMのフル権限を許可されたプロファイル> AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}" # 0.1. IAM_ROLE_NAME: EC2InstanceProfileEnvMaintRole IAM_ROLE_NAME="${IAM_ROLE_NAME}" # 0.2. IAM_POLICY_NAME: EC2InstanceProfileEnvMaintRolePolicy IAM_POLICY_NAME="${IAM_POLICY_NAME}" ETX
1. 前処理¶
1.1. 作業対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: IAMロール"EC2InstanceProfileEnvMaintRole"が存在する。
「IAMロール"EC2InstanceProfileEnvMaintRole"が存在する。」ことを確認します。
コマンド:
aws iam list-roles \ --query "Roles[?RoleName == \`${IAM_ROLE_NAME}\`].RoleName"
結果(例):
[ "EC2InstanceProfileEnvMaintRole" ]
事前条件2: IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされていない。
「IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされていない。」ことを確認します。
コマンド:
aws iam list-attached-role-policies \ --role-name ${IAM_ROLE_NAME} \ --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[]
事前条件3: IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。
「IAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"が存在する。」ことを確認します。
コマンド:
aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[ "EC2InstanceProfileEnvMaintRolePolicy" ]
1.2. 主処理に必要な情報の取得¶
IAMポリシーのARN取得
IAMポリシーのARNを取得します。
変数の設定:
IAM_POLICY_ARN=$( \ aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \ --output text \ ) \ && echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy
2. 主処理¶
ポリシーの追加¶
変数の確認:
cat << ETX # IAM_ROLE_NAME: EC2InstanceProfileEnvMaintRole IAM_ROLE_NAME="${IAM_ROLE_NAME}" # IAM_POLICY_ARN: arn:aws:iam::XXXXXXXXXXXX:policy/EC2InstanceProfileEnvMaintRolePolicy IAM_POLICY_ARN="${IAM_POLICY_ARN}" ETX
コマンド:
aws iam attach-role-policy \ --role-name ${IAM_ROLE_NAME} \ --policy-arn ${IAM_POLICY_ARN}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされている。
「IAMロール"EC2InstanceProfileEnvMaintRole"にIAMポリシー"EC2InstanceProfileEnvMaintRolePolicy"がアタッチされている。」ことを確認します。
コマンド:
aws iam list-attached-role-policies \ --role-name ${IAM_ROLE_NAME} \ --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"
結果(例):
[ "EC2InstanceProfileEnvMaintRolePolicy" ]