7.1. S3バケットACL更新 (awsdatafeeds: handson-cli-website-https-XXXXXXXXXXXX-log)¶
作業の目的 [why]¶
CloudFrontのアクセスログをアップロードできるように、ログ用S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLを変更します。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可している。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- ACLドキュメント用ディレクトリ"${HOME}/conf/handson-cli-website-https-conf"が存在する。
- 事前条件2
- S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可していない。
作業対象 [what]¶
- S3バケットACL
標準時間(合計)¶
8分
パラメータ設定¶
| パラメータ設定の標準時間: | 2分 |
|---|
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: ACLドキュメント用ディレクトリ
- 今回は"${HOME}/conf/handson-cli-website-https-conf"をACLドキュメント用ディレクトリとします。
ディレクトリが存在することを確認します。
コマンド:
ls -d ${HOME}/conf/handson-cli-website-https-conf
結果(例:存在する場合):
${HOME}/conf/handson-cli-website-https-conf
存在しない場合は作成します。
コマンド:
mkdir -p ${HOME}/conf/handson-cli-website-https-conf
リソース2: S3バケット名
- ACLを更新するS3バケットの名称です。
- 今回は"handson-cli-website-https-XXXXXXXXXXXX-log"とします。
パラメータの指定¶
作業に必要なパラメータを変数に格納をします。
0.1. ACLドキュメント用ディレクトリの指定¶
変数の設定:
DIR_S3_BUCKET_ACL_DOC="${HOME}/conf/handson-cli-website-https-conf"
0.2. S3バケット名の指定¶
変数の設定:
S3_BUCKET_PREFIX='handson-cli-website-https'
コマンド:
AWS_ID=$( \ aws sts get-caller-identity \ --query 'Account' \ --output text \ ) \ && echo ${AWS_ID}
結果(例):
XXXXXXXXXXXX
変数の設定:
S3_BUCKET_SUFFIX='log'
変数の設定:
S3_BUCKET_NAME="${S3_BUCKET_PREFIX}-${AWS_ID}-${S3_BUCKET_SUFFIX}" \ && echo ${S3_BUCKET_NAME}
結果(例):
handson-cli-website-https-XXXXXXXXXXXX-log
パラメータの保存¶
設定されている変数の保存先となるファイル名を指定します。
変数の設定:
DIR_PARAMETER="${HOME}/tmp/parameter-handson-cli-website-https" FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-s3-bucket_acl-update-expand-awsdatafeeds.env" \ && echo ${FILE_PARAMETER}
結果(例):
${HOME}/tmp/parameter-handson-cli-website-https/2019-07-14-s3-bucket_acl-update-expand-awsdatafeeds.env
各変数に正しいパラメータ値が格納されていることを確認しながら保存します。
変数の確認:
cat << EOF > ${FILE_PARAMETER} # 0.1. DIR_S3_BUCKET_ACL_DOC:"${HOME}/conf/handson-cli-website-https-conf" DIR_S3_BUCKET_ACL_DOC="${DIR_S3_BUCKET_ACL_DOC}" # 0.2. S3_BUCKET_NAME:"handson-cli-website-https-XXXXXXXXXXXX-log" S3_BUCKET_NAME="${S3_BUCKET_NAME}" EOF cat ${FILE_PARAMETER}
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。
タスクの実施¶
| タスク標準時間: | 6分 |
|---|
1. 前処理¶
処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: ACLドキュメント用ディレクトリ"${HOME}/conf/handson-cli-website-https-conf"が存在する。
「ACLドキュメント用ディレクトリ"${HOME}/conf/handson-cli-website-https-conf"が存在する。」ことを確認します。
コマンド:
ls -d ${DIR_S3_BUCKET_ACL_DOC}
結果(例):
${HOME}/conf/handson-cli-website-https-conf
事前条件2: S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可していない。
「S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可していない。」ことを確認します。
コマンド:
aws s3api get-bucket-acl \ --bucket ${S3_BUCKET_NAME} \ --query 'Grants[?Grantee.DisplayName == `awslogsdelivery+s3_us-east-1`].Permission' \ --output text
結果(例):
(出力なし)
1.3. 主処理に必要な情報の取得¶
S3バケットオーナー名の取得
コマンド:
S3_BUCKET_OWNER_DISPLAY_NAME=$( \ aws s3api get-bucket-acl \ --bucket ${S3_BUCKET_NAME} \ --query 'Owner.DisplayName' \ --output text \ ) \ && echo ${S3_BUCKET_OWNER_DISPLAY_NAME}
結果(例):
<AWS IDの名称>
S3バケットオーナーIDの取得
コマンド:
S3_BUCKET_OWNER_ID=$( \ aws s3api get-bucket-acl \ --bucket ${S3_BUCKET_NAME} \ --query 'Owner.ID' \ --output text \ ) \ && echo ${S3_BUCKET_OWNER_ID}
結果(例):
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ACLポリシードキュメントの作成
変数の設定:
FILE_INPUT="${DIR_S3_BUCKET_ACL_DOC}/${S3_BUCKET_NAME}-acl.json" \ && echo ${FILE_INPUT}
コマンド:
cat << EOF > ${FILE_INPUT} { "Owner": { "DisplayName": "${S3_BUCKET_OWNER_DISPLAY_NAME}", "ID": "${S3_BUCKET_OWNER_ID}" }, "Grants": [ { "Grantee": { "Type": "Group", "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery" }, "Permission": "WRITE" }, { "Grantee": { "Type": "Group", "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery" }, "Permission": "READ_ACP" }, { "Grantee": { "Type": "CanonicalUser", "DisplayName": "awsdatafeeds", "ID": "c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0" }, "Permission": "FULL_CONTROL" } ] } EOF cat ${FILE_INPUT}
2. 主処理¶
ACLの変更¶
CloudFrontのログが書き込めるようにACLの設定を変更します。
変数の確認:
cat << ETX # S3_BUCKET_NAME:"handson-cli-website-https-XXXXXXXXXXXX-log" S3_BUCKET_NAME="${S3_BUCKET_NAME}" # FILE_INPUT:"${HOME}/conf/handson-cli-website-https-conf/handson-cli-website-https-XXXXXXXXXXXX-log-acl.json" FILE_INPUT="${FILE_INPUT}" ETX
コマンド:
aws s3api put-bucket-acl \ --bucket ${S3_BUCKET_NAME} \ --access-control-policy file://${FILE_INPUT}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可している。
「S3バケット"handson-cli-website-https-XXXXXXXXXXXX-log"のバケットACLが、"awsdatafeeds"に対してFULL_CONTROLを許可している。」ことを確認します。
コマンド:
aws s3api get-bucket-acl \ --bucket ${S3_BUCKET_NAME} \ --query 'Grants[?Grantee.DisplayName == `awslogsdelivery+s3_us-east-1`].Permission' \ --output text
結果(例):
FULL_CONTROL
注釈
DisplayName awsdatafeedsでACL作成を実行すると、実際にはawslogsdelivery+s3_us-east-1で作成される。