Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20220407_CloudShellでスイッチロール/cloudshell_switchrole

emi
April 07, 2022
Technology
2
890

 20220407_CloudShellでスイッチロール/cloudshell_switchrole

2022/4/7(木) JAWS-UG CLI専門支部 #253R EC2基礎 (VPC)でのLTスライドです。
(参考)
AWS CLIでスイッチロール
https://qiita.com/emiki/items/2f45f080d77c31613ec5
ヤマムギ - AWS CLIを使用したIAMロールの引き受けコマンドのメモ
https://www.yamamanx.com/aws-cli-iamrole-assumerole/
AWS CLI を使用して IAM ロールを引き受けるにはどうすればよいですか?
https://aws.amazon.com/jp/premiumsupport/knowledge-center/iam-assume-role-cli/
AWS Command Line Interface バージョン 2 のユーザーガイド - 設定の基本
https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-quickstart.html
AWS CloudShell ユーザーガイド
https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/limits.html

emi

April 07, 2022
Tweet

More Decks by emi

See All by emi
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
3
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
0
5
AWS ログ解析のオデッセイ~システムの息遣いを読み解く冒険~/aws-log-analysis-odyssey-deciphering-the-breathing-of-systems
emiki
2
1.4k
何を使って可視化する?AWSでのログ分析/What-do-you-use-to-visualise-it-log-analysis-in-AWS
emiki
2
1.5k
Terraformあれやこれ/terraform-this-and-that
emiki
9
3.3k
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
5.3k
サーバーのセキュリティ対策とコンテナのセキュリティ対策の違い/hibiyatech_differences-between-server-security-and-container-security
emiki
0
1.6k
FSx for NetApp ONTAP のエンドポイントについて語りたい/hibiyatech1-i-want-to-talk-about-fsx-for-netapp-ontap-endpoints
emiki
0
1.1k
トレーナー視点を盗む~AWSトレーニングを通して学ぶ他者への伝え方~/Imitating-the-trainers-perspective-learning-how-to-communicate-to-others-through-AWS-training
emiki
0
60

Other Decks in Technology

See All in Technology
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
複雑なState管理からの脱却
sansantech
PRO
1
140
Taming you application's environments
salaboy
0
180
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
AGIについてChatGPTに聞いてみた
blueb
0
130
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
290
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Typedesign – Prime Four
hannesfritz
40
2.4k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Happy Clients
brianwarren
98
6.7k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
Art, The Web, and Tiny UX
lynnandtonic
297
20k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Code Reviewing Like a Champion
maltzj
520
39k

Transcript

  1. CloudShellで スイッチロール 2022/4/7(木)JAWS-UG CLI専門支部 #253R EC2基礎 (VPC)

  2. 自己紹介 • 名前 • emi(木谷映見) • 業務 • 2016/4~SIer勤務5年 •

    NW機器設定 • オンプレサーバ構築(ほぼWindows) • Azureインフラ環境構築 • 2022/2~株式会社サーバーワークス • AWSリフト済システムの改善など お手伝いしています

  3. おひとりさまOrganizations始めました! • https://speakerdeck.com/opelab/20210826-jawsug-asa- organizations-region?slide=4

  4. スイッチロールのおさらい

  5. マルチアカウントでシステム運用 AWS Account AWS Account AWS Account AWS Account AWS

    Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account

  6. マルチアカウントでシステム運用 AWS Account AWS Account AWS Account AWS Account AWS

    Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account

  7. マルチアカウントでシステム運用 AWS Account AWS Account AWS Account AWS Account AWS

    Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account AWS Account

  8. スイッチロールとは Account A Account B AccountB_role スイッチ元アカウント アカウントAのユーザは、 アカウントBに スイッチロールしたい。

    アカウントAのユーザは、 アカウントBに作成された ロールを引き受ける。 スイッチ元先アカウント AccountA_user

  9. 参照 スイッチロールとは Account A Account B スイッチ元アカウント スイッチ元先アカウント アカウントBのロールを引き受けた アカウントAのユーザは、アカウントB内の

    リソースの操作が可能になる。 AccountB_role AccountA_user

  10. スイッチする前の権限確認 Account A Account B ユーザーベースのポリシー "Action": "sts:AssumeRole“ “Resource”:今回はAccountB_role ユーザーベースのポリシー

    "Action": roleができること (今回はReadOnlyAccess) 信頼ポリシー "Action": "sts:AssumeRole", "Principal": roleをかぶっていいよ、 と信頼している相手 (今回はAccountA_user) スイッチ元アカウント スイッチ元先アカウント AccountB_role AccountA_user

  11. { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource":"arn:aws:iam::アカウントBのアカウントID:role/AccountB_role"

    } } スイッチする前の権限確認 スイッチ元アカウントAのユーザ AccountA_user

  12. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {

    "AWS": "arn:aws:iam::<スイッチ元(アカウントA)AWSアカウントID>:user/AccountA_user" }, "Action": "sts:AssumeRole", "Condition": {} } ] } スイッチする前の権限確認 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "a4b:Get*", "a4b:List*", : : "xray:BatchGet*", "xray:Get*" ], "Resource": "*" } ] } AWS管理のReadOnlyAccess スイッチ先アカウントBのロール AccountB_role

  13. CloudShell でスイッチロール

  14. aws sts assume-role でスイッチロールに 必要な情報を確認する [cloudshell-user@ip-10-0-162-90 ~]$ aws sts assume-role

    ¥ > --role-arn "arn:aws:iam::<AccountBのアカウントID>:role/AccountB_role" ¥ > --role-session-name session-name { "Credentials": { "AccessKeyId": "xxxxxxxxxxxxxxxxxxxx", "SecretAccessKey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "SessionToken": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "Expiration": "2022-04-02T17:36:16+00:00" }, "AssumedRoleUser": { "AssumedRoleId": "xxxxxxxxxxxxxxxxxxxxx: session-name ", "Arn": "arn:aws:sts::<AccountBのアカウントID>:assumed-role/AccountB_role/session-name" } } [cloudshell-user@ip-10-0-162-90 ~]$ ① ② ③

  15. 環境変数を設定する準備 • aws sts assume-role の表示結果を変数role_credentialsに格納する $ role_credentials=$(aws sts assume-role

    ¥ --role-arn "arn:aws:iam::アカウントBのアカウントID:role/AccountB_role" ¥ --role-session-name session-name)

  16. 環境変数を設定する ①AccountB_roleのアクセスキーを環境変数AWS_ACCESS_KEY_IDに格納する $ export AWS_ACCESS_KEY_ID=$(echo $role_credentials | ¥ jq -r

    '.Credentials.AccessKeyId') ②AccountB_roleのシークレットアクセスキーを環境変数 AWS_SECRET_ACCESS_KEYに格納する $ export AWS_SECRET_ACCESS_KEY=$(echo $role_credentials | ¥ jq -r '.Credentials.SecretAccessKey') ③セッショントークンを環境変数AWS_SESSION_TOKENに格納する $ export AWS_SESSION_TOKEN=$(echo $role_credentials | ¥ jq -r '.Credentials.SessionToken')

  17. スイッチしたロールの情報を確認する [cloudshell-user@ip-10-0-132-110 ~]$ aws sts get-caller-identity { "UserId": “xxxxxxxxxxxxxxxxxxxxx:session-name", "Account":

    "<AccountBのアカウントID>", "Arn": "arn:aws:sts::<AccountBのアカウントID>:assumed-role/AccountB_role/session-name" } [cloudshell-user@ip-10-0-132-110 ~]$ • aws sts get-caller-identity を実行し、スイッチした現在のロール の情報を確認する

  18. スイッチ先のアカウントリソースを 見てみる • この状態で AWS CLI コマンドを普通に実行すれば、 スイッチ先(アカウントB)のリソースを操作することができる [cloudshell-user@ip-10-0-132-110 ~]$

    aws s3 ls 2022-03-26 09:36:37 emiki-bucket1 2022-03-26 09:37:07 emiki-bucket2 [cloudshell-user@ip-10-0-132-110 ~]$ アカウントBのS3 バケット 一覧が見えています

  19. スイッチバックする • スイッチバックは以下のコマンドを入力し、環境変数を削除す る。(もしくはctr+dでセッションを切断する) unset AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN • aws

    sts get-caller-identity を実行すると、アカウントAのユーザに スイッチバックしているしていることが確認できる。 [cloudshell-user@ip-10-0-47-62 ~]$ aws sts get-caller-identity { "UserId": "AxxxxxxxxxxxxxxxxxxH", "Account": "アカウントAのアカウントID", "Arn": "arn:aws:iam::アカウントAのアカウントID:user/AccountA_user" } [cloudshell-user@ip-10-0-47-62 ~]$

  20. 注意 • 最大セッション時間に注意!

  21. 注意 • 最大セッション時間に注意!

  22. 参考 • AWS CLIでスイッチロール • https://qiita.com/emiki/items/2f45f080d77c31613ec5 • ヤマムギ - AWS

    CLIを使用したIAMロールの引き受けコマンドのメモ • https://www.yamamanx.com/aws-cli-iamrole-assumerole/ • AWS CLI を使用して IAM ロールを引き受けるにはどうすればよいですか? • https://aws.amazon.com/jp/premiumsupport/knowledge-center/iam-assume-role-cli/ • AWS Command Line Interface バージョン 2 のユーザーガイド - 設定の基本 • https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-quickstart.html • AWS CloudShell ユーザーガイド • https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/limits.html