ハンズオン(簡易版): CFnテンプレート入門(EC2::SubnetRouteTableAssociation)

事後作業3.1. IAMロールのポリシーデタッチ (CloudShell: AmazonEC2FullAccess)

手順の目的 [why]

AWS CloudShellを利用して、IAMロール"handson-cloud9-environment-role"からIAMポリシー"AmazonEC2FullAccess"をデタッチします。

注釈

マネジメントコンソールのヘッダーにあるCloudShellアイコンをクリックします。

以後、本手順でのコマンド実行は、CloudShell環境で実施します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. IAMロール名

IAMロール名を指定します。

変数の設定:

IAM_ROLE_NAME='handson-cloud9-environment-role'

2. IAMポリシー名

IAMポリシー名を指定します。

変数の設定:

IAM_POLICY_NAME='AmazonEC2FullAccess'

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. IAM_ROLE_NAME:"handson-cloud9-environment-role"
       IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # 2. IAM_POLICY_NAME:"AmazonEC2FullAccess"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMポリシーARNを取得します。

変数の設定:

IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --scope AWS \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${IAM_POLICY_ARN}"

結果(例):

arn:aws:iam::aws:policy/AmazonEC2FullAccess

ポリシーをデタッチします。

変数の確認:

cat << END

  # IAM_ROLE_NAME:"handson-cloud9-environment-role"
    IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # IAM_POLICY_ARN:"arn:aws:iam::aws:policy/AmazonEC2FullAccess"
    IAM_POLICY_ARN="${IAM_POLICY_ARN}"

END

コマンド:

aws iam detach-role-policy \
  --role-name ${IAM_ROLE_NAME} \
  --policy-arn ${IAM_POLICY_ARN}

結果(例):

(戻り値なし)

完了確認

「IAMロール"handson-cloud9-environment-role"にAWS管理ポリシー"AmazonEC2FullAccess"がアタッチされていない。」ことを確認します。

コマンド:

aws iam list-attached-role-policies \
  --role-name ${IAM_ROLE_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

(出力なし)

手順の完了

(参考) マネジメントコンソールの確認

ロール一覧(画面)

  • 検索欄にロール名"handson-cloud9-environment-role"を入力して、エンターキーを押します。

  • ロール名"handson-cloud9-environment-role"をクリックします。

ロール概要(画面)

  • "アクセス権限"(タブ)をクリックします。

ロール概要/アクセス権限(タブ)

  • ポリシー名"AmazonEC2FullAccess"が表示されていないことを確認します。