1.8. CFnリソースファイルの作成 (IAM::Role PermissionsBoundary Role0)¶

手順の目的¶

リソース(Role0)のCloudFormationリソースファイルを更新します。

設定値の指定¶

手順に必要な設定値を変数に格納をします。

1. リソースファイル名¶

リソースファイル名を指定します。

変数の設定:

TEMPLATE_CFN_RESOURCE_NAME='Role0'

変数の設定:

DIR_TEMPLATE_CFN_RESOURCE="${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources"

変数の設定:

FILE_TEMPLATE_CFN_RESOURCE="${DIR_TEMPLATE_CFN_RESOURCE}/${TEMPLATE_CFN_RESOURCE_NAME}.txt" \
  && echo ${FILE_TEMPLATE_CFN_RESOURCE}

結果(例):

${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources/Role0.txt

2. アクセス許可境界に使用する管理ポリシー名¶

アクセス許可境界に使用する管理ポリシー名を指定します。

変数の設定:
IAM_POLICY_NAME='ReadOnlyAccess'

設定値の確認¶

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. FILE_TEMPLATE_CFN_RESOURCE:"${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources/Role0.txt"
       FILE_TEMPLATE_CFN_RESOURCE="${FILE_TEMPLATE_CFN_RESOURCE}"
  # 2. IAM_POLICY_NAME:"ReadOnlyAccess"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行¶

IAMポリシーのARNを取得します。

変数の設定:

iam_policy_arn=$( \
  aws iam list-policies \
    --scope AWS \
    --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${iam_policy_arn}"

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

CFnリソースファイルを作成します。

変数の確認:

cat << END

  # FILE_TEMPLATE_CFN_RESOURCE:"${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources/Role0.txt"
    FILE_TEMPLATE_CFN_RESOURCE="${FILE_TEMPLATE_CFN_RESOURCE}"
  # iam_policy_arn:"arn:aws:iam::aws:policy/ReadOnlyAccess"
    iam_policy_arn="${iam_policy_arn}"

END

コマンド:

if [ ! "$( grep 'Properties:' ${FILE_TEMPLATE_CFN_RESOURCE})" ];then
cat << EOF >> ${FILE_TEMPLATE_CFN_RESOURCE}
    Properties: 
EOF
fi

if [ ! "$( grep 'PermissionsBoundary:' ${FILE_TEMPLATE_CFN_RESOURCE})" ];then
cat << EOF >> ${FILE_TEMPLATE_CFN_RESOURCE}
      PermissionsBoundary: ${iam_policy_arn}
EOF
fi

cat ${FILE_TEMPLATE_CFN_RESOURCE}

結果(例):

Role0:
  Type: AWS::IAM::Role
  Properties:
    Path: /handson-cli/
    Description: Role for handson-cli-cfn-iam-Role.
    AssumeRolePolicyDocument:
      Version: 2012-10-17
      Statement:
        - Effect: Allow
          Principal:
            Service:
              - lambda.amazonaws.com
          Action:
            - sts:AssumeRole
    MaxSessionDuration: 43200
    ManagedPolicyArns:
      - !Ref ManagedPolicy0
      - arn:aws:iam::aws:policy/ReadOnlyAccess
      - arn:aws:iam::aws:policy/AWSCloudFormationFullAccess
      - arn:aws:iam::059067559142:policy/handson-cloud9/handson-cloud9-Cloud9EnvironmentOwner-policy
    Policies:
      - PolicyName: InlinePolicy
        PolicyDocument:
          Statement:
          - Action:
            - iam:ListUsers
            Effect: Allow
            Resource: '*'
            Sid: Stmt1709336354131
          Version: '2012-10-17'
    PermissionsBoundary: |IAM_POLICY_ARN|

完了確認¶

本手順の主処理は、以下の完了条件を満たしたときに成功したものとします。

完了条件1: リソースファイル"${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources/Role0.txt"にアクセス許可境界リソース名が存在する。

「リソースファイル"${HOME}/environment/conf-handson-cli-cfn-iam-Role/resources/Role0.txt"にアクセス許可境界リソース名が存在する。」ことを確認します。

コマンド:

cat ${FILE_TEMPLATE_CFN_RESOURCE} \
  | grep 'PermissionsBoundary:'

結果:

PermissionsBoundary: arn:aws:iam::aws:policy/ReadOnlyAccess

1.8. CFnリソースファイルの作成 (IAM::Role PermissionsBoundary Role0)¶

手順の目的¶

設定値の指定¶

1. リソースファイル名¶

2. アクセス許可境界に使用する管理ポリシー名¶

設定値の確認¶

処理の実行¶

完了確認¶

手順の完了¶