2.3. IAMグループのポリシ追加 (handson-iam-group: ReadOnlyAccess)

作業の目的 [why]

IAMグループ"handson-iam-group "にIAMポリシ"ReadOnlyAccess"をアタッチします。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされている。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
IAMグループ"handson-iam-group"が存在する。
事前条件2
IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされていない。
事前条件3
AWS管理ポリシ"ReadOnlyAccess"が存在する。

作業対象 [what]

  • IAMグループ

標準時間(合計)

8分

パラメータ設定

パラメータ設定の標準時間:2分

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: IAMグループ名

  • IAMポリシを適用するIAMグループの名称です。
  • 今回は"handson-iam-group"とします。

リソース2: IAMポリシ名

  • IAMグループに適用するIAMポリシの名称です。
  • 今回は"ReadOnlyAccess"とします。

パラメータの指定

作業に必要なパラメータを変数に格納をします。

0.1. IAMグループ名の指定

ポリシをアタッチするIAMグループを指定します。

変数の設定:

IAM_GROUP_NAME='handson-iam-group'

0.2. IAMグループに適用するIAMポリシの決定

ポリシ名を決めます。

変数の設定:

IAM_POLICY_NAME='ReadOnlyAccess'

パラメータの保存

設定されている変数の保存先となるファイル名を指定します。

変数の設定:

DIR_PARAMETER="${HOME}/tmp/parameter-handson-iam"
FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-iam-group_policy_attach_AWS-update.env" \
  && echo ${FILE_PARAMETER}

結果(例):

${HOME}/tmp/parameter-handson-iam/2019-04-30-iam-group_policy_attach_AWS-update.env

各変数に正しいパラメータ値が格納されていることを確認しながら保存します。

変数の確認:

cat << EOF > ${FILE_PARAMETER}

  # 0.1. IAM_GROUP_NAME:"handson-iam-group"
         IAM_GROUP_NAME="${IAM_GROUP_NAME}"
  # 0.2. IAM_POLICY_NAME:"ReadOnlyAccess"
         IAM_POLICY_NAME="${IAM_POLICY_NAME}"

EOF

cat ${FILE_PARAMETER}

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

タスクの実施

タスク標準時間:6分

1. 前処理

1.1. 処理対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: IAMグループ"handson-iam-group"が存在する。

「IAMグループ"handson-iam-group"が存在する。」ことを確認します。

コマンド:

aws iam list-groups \
  --query "Groups[?GroupName == \`${IAM_GROUP_NAME}\`].GroupName" \
  --output text

結果(例):

handson-iam-group

事前条件2: IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされていない。

「IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされていない。」ことを確認します。

コマンド:

aws iam list-attached-group-policies \
  --group-name ${IAM_GROUP_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

(出力なし)

事前条件3: AWS管理ポリシ"ReadOnlyAccess"が存在する。

「AWS管理ポリシ"ReadOnlyAccess"が存在する。」ことを確認します。

コマンド:

aws iam list-policies \
  --scope AWS \
  --max-items 1000 \
  --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

ReadOnlyAccess

1.2. 主処理に必要な情報の取得

IAMポリシのARN取得

変数の設定:

IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --scope AWS \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${IAM_POLICY_ARN}"

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

2. 主処理

IAMポリシのアタッチ

変数の確認:

cat << ETX

  # IAM_GROUP_NAME:"handson-iam-group "
    IAM_GROUP_NAME="${IAM_GROUP_NAME}"
  # IAM_POLICY_ARN:"arn:aws:iam::aws:policy/ReadOnlyAccess"
    IAM_POLICY_ARN="${IAM_POLICY_ARN}"

ETX

コマンド:

aws iam attach-group-policy \
  --group-name ${IAM_GROUP_NAME} \
  --policy-arn ${IAM_POLICY_ARN}

結果(例):

(出力なし)

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされている。

「IAMグループ"handson-iam-group"にAWS管理ポリシ"ReadOnlyAccess"がアタッチされている。」ことを確認します。

コマンド:

aws iam list-attached-group-policies \
  --group-name ${IAM_GROUP_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

ReadOnlyAccess

完了