Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS CLIでCMKを沢山作ってみたら 困ったこと

Yuki_Kurono
July 25, 2022
Programming
1
180

AWS CLIでCMKを沢山作ってみたら 困ったこと

Yuki_Kurono

July 25, 2022
Tweet

More Decks by Yuki_Kurono

See All by Yuki_Kurono
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
79
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい
yuki_kurono
0
290
回転re:Invent寿司
yuki_kurono
0
22
AWSのinfrastructure as codeを1年振り返って ~セッションレポート~
yuki_kurono
0
42
Terraform CloudでAWSリソース運用をより楽に
yuki_kurono
0
100
AWS CDK for Terraform 入門してみた
yuki_kurono
0
75
IaC運用してみて感じた 素晴らしさとアンチパターン
yuki_kurono
0
240
CloudFormationアンチパターンのお話
yuki_kurono
0
50
TerraformでAWS環境を構築する際のハマりどころ
yuki_kurono
0
580

Other Decks in Programming

See All in Programming
Multiprocess PHP Containers with S6 Overlay - ConFoo 2023
johanjanssens
0
160
Blazor WASMのアプリをMAUI Blazorに移行してみる
tomokusaba
0
140
ゲームQAはノーコードの自動化で救えるのか? / Why QA learns programming?
tomotaka_yamasaki
1
150
10Xにおけるdbtの事例紹介
10xinc
0
870
Money Forward XでのGo利用事例について
keitaro1020
3
300
コルーチンのエラーをテストするためのTips / Tips for testing Kotlin Coroutine errors
tkmnzm
0
150
プルリク毎の検証環境を建てよう
takashimiyahara
0
2.7k
オンサイトキックオフでロケットスタート〜貴重なリアル対面を活かすやり方と構造〜
sasakendayo
0
280
CSC309 Lecture 19
javiergs
PRO
0
120
How many copies did you buy the first print?
m_seki
1
300
PHP8によるデザインパターン入門 / Introduction to Design Patterns with PHP8
fendo181
1
220
Designing State Machines with the Symfony Workflow Component
hhamon
2
100

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
10
1.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
24
5.1k
Statistics for Hackers
jakevdp
785
210k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
128
8.8k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
How STYLIGHT went responsive
nonsquared
89
4.2k
Build your cross-platform service in a week with App Engine
jlugia
221
17k
YesSQL, Process and Tooling at Scale
rocio
159
12k
Product Roadmaps are Hard
iamctodd
38
7.9k
Designing Experiences People Love
moore
130
22k
Mobile First: as difficult as doing things right
swwweet
213
7.9k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k

Transcript

  1. AWS CLIでCMKを沢山作ってみたら
    困ったこと
    黒野 雄稀
    JAWS-UG CLI専門支部 #270R
    2022/07/24

    View Slide

  2. 自己紹介
    名前 黒野 雄稀
    AWS歴 

    ・約3年

    ・2022 APN ALL AWS Certifications Engineer

    所属 アイレット株式会社
    普段の業務

    ・基幹系インフラ構築

    ・システム運用構築


    View Slide

  3. 背景
    CloudTrail皆さん使っていますか?



    今回は複数のAWSアカウント(約16アカウント)でCloudTrailの有効化に伴い、

    CMKの作成が必要となりました。


    コンソールで作るのは流石に大変。。ということでAWS CLIを使ってCMKを作成

    してみました。


    View Slide

  4. 対象となるリージョン
    ● 東京
    ● バージニア北部
    ● シンガポール
    ● フランクフルト
    ● 北京

    View Slide

  5. スクリプト概要

    View Slide

  6. aws-vault設定
    ここからスクリプトの中からポイントの部
    分に解説を入れていきます。
    ※スクリプト全体はQiitaに記載しておき
    ます。
    #スイッチロールの設定を行う。
    export SWICHROLE=$ROLE
    echo $SWICHROLE
    shopt -s expand_aliases
    alias av='aws-vault exec $SWICHROLE --no-session --'
    #結果出力先ファイルの設定を行う。
    export OUTPUT=./result-kms/create/${SWICHROLE}-kms-result-${NOW}.txt
    #アカウントIDの取得を行う。
    ACCOUNT=$(av aws sts get-caller-identity | jq -r .Account)
    コマンド


    View Slide

  7. キーポリシー
    ファイル作成
    ベースとなるポリシーファイルを
    用意して、固有情報(アカウントID、リー
    ジョン)だけ書き換えを行っています。
    echo -e "\U2705KMSキーポリシー作成 "
    cp ./base-key-policy.json ./key-policy-${SWICHROLE}.json
    sudo sed -i -e "s/ap-northeast-1/${REGION}/" ./key-policy-${SWICHROLE}.json
    sudo sed -i -e "s/12345678910/${ACCOUNT}/" ./key-policy-${SWICHROLE}.json
    コマンド


    View Slide

  8. CMK、エイリアスの
    作成
    上記で作成した、キーポリシーを元に
    CMKの作成とエイリアスの作成を行う。
    #上記で作成したキーポリシーを使用して、 CKMの作成を行う。
    echo -e "\U2705KMSキー作成"
    KEYID=$(av aws kms create-key --key-usag ENCRYPT_DECRYPT \
    --origin AWS_KMS --policy file://key-policy-${SWICHROLE}.json \
    --region $REGION | jq -r .KeyMetadata.KeyId)
    echo -e "\U2705 KEYID:${KEYID}"
    #作成したCKMに対して、エイリアスの作成を行う。
    echo -e "\U2705エイリアス作成"
    av aws kms create-alias --alias-name alias/$KEYNAME \
    --target-key-id $KEYID --region $REGION
    コマンド


    View Slide

  9. 作成したCMK、
    エイリアスの確認
    最後に作成したCMKのエイリアスと設定
    内容を確認する。
    #作成したCKMにエイリアスが作成されて、適切な設定が行われているか確認する。
    echo -e "\U2705KMSキー確認"
    av aws kms list-aliases --key-id ${KEYID} > $OUTPUT
    コマンド


    実行結果

    View Slide

  10. しかしここで失敗する。。
    ・フランクフルトリージョンまで上手くいっていたが、中国で何故かスクリプトが失 敗する。。


    ・調べてみるとキーポリシーの作成で以下の様な記述がありました。

    {
    "Version": "2012-10-17",
    "Id": "Key policy created by CloudTrail",
    "Statement": [
    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456578910:root"
    },
    "Action": "kms:*",
    "Resource": "*"
    },

    View Slide

  11. 馴染のある方、勘のいい方はお気づきかもしれません。
    そう、AWS中国のARNはarn:awsではなくarn:aws-cnでした。
    なので、以下の様な処理を追加する必要がありました。
    if [ $REGION = "cn-north-1" ]; then
    sudo sed -i -e "s/arn:aws/arn:aws-cn/" ./key-policy-${SWICHROLE}.json
    fi

    View Slide

  12. まとめ
    ● TerraformやCFnでも同じような、落とし穴があると思いますので注意が必要だったなと
    思いました。

    ○ 中国など慣れない環境は事前調査大事


    ● シェルスクリプト自体の知識が浅く、エラーハンドリングが甘いので深堀し ていきた
    い。



    View Slide

  13. 参考
    Qiita:
    https://qiita.com/kurono/items/b
    3362e16a3a396b9b2a7

    View Slide

  14. おまけ
    以下の様なコマンドを使用するとbashでユニコードを扱うことができます。

    作業してるとテンションが上がります。


    echo -e "\U2705KMSキー確認"
    コマンド


    実行結果

    View Slide

  15. ご清聴ありがとうございま
    した

    View Slide