AWS CLIの 新しい認証情報設定方法 aws loginコマンドの実態 第46回 JAWS-UG札幌 勉強会 若松剛志 

Who am I ? 若松 剛志 AWS ﾁｮｯﾄﾃﾞｷﾙ エンジニア 秋田出身、札幌在住 @t_wkm2 

AWS CLIのクレデンシャル設定は みなさんどうしているでしょう？ 

.aws/config で sso ですか？ .aws/credentials に直書き？ 

その .aws/config や .aws/credentials は セキュアですか？ 

そこで aws login ですよ、奥さん 

aws login コマンドとは ● ブラウザのAWSマネージメントコンソールにログインしていれ ば aws loginコマンドを実行するだけでマネコンの認証情報を ローカルのCLIに共有してくれる ● ローカルに余計な設定もクレデンシャルも保存しなくていい！ 11/19のアップデートなので正確にはre:Inventのアップデートじゃないけど、そこは御愛嬌ということで。。 

実際の動作 

要件 ● AWS CLI 2.32.0 以上 ● AWSマネジメントコンソールにログインできること 

AWSマネジメントコンソールにログイン ● デフォルトブラウザでログインしていること 

aws loginコマンドを実行 ● 最初だけリージョン聞かれる 

aws loginコマンドを実行 ● デフォルトブラウザでサインインページが表示されるので、ログインしているユー ザーを選ぶ 

aws loginコマンドを実行 ● デフォルトブラウザでサインインページが表示されるので、ログインしているユー ザーを選ぶ 

aws loginコマンドを実行 ● aws sts get-caller-identityを実行して認証情報がきてることを確認 

aws loginコマンドを実行 ● .aws/config ○ 最初はdefaultにSSOの設定があったせいで、エラーになった ■ Error when retrieving token from sso: Token has expired and refresh failed ○ aws loginもdefaultを書き換える仕様らしい ● .aws/credentials ○ .aws/config より .aws/credentialsが優先されるので、.aws/credentials は使わない [default] login_session = arn:aws:sts::xxxxxx:assumed-role/AWSReservedSSO_RoleName_xxxxxxxx/wakamatsu region = ap-northeast-1 

めっちゃ楽 

めっちゃ楽 ● 複数アカウントを切り替えて使うときマネコンに入れればいい ● ローカルにクレデンシャルを置かなくていいのでセキュア 

めちゃくちゃ書いてあるじゃん、、 

aws loginコマンドでセキュアに AWS CLIを使いましょう！