ハンズオン(簡易版): CFnテンプレート入門(IAM::User)

1.8. CFnリソースファイルの更新 (IAM::User PermissionsBoundary User0)

手順の目的

リソース(User0)のCloudFormationリソースファイルを更新します。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. CloudFormationリソース名

CloudFormationリソース名を指定します。

変数の設定:

TEMPLATE_CFN_RESOURCE_NAME='User0'

2. リソースファイル名

リソースファイル名を指定します。

変数の設定:

DIR_TEMPLATE_CFN_RESOURCE="${HOME}/environment/conf-handson-cli-cfn-iam-User/resources"

変数の設定:

FILE_TEMPLATE_CFN_RESOURCE="${DIR_TEMPLATE_CFN_RESOURCE}/${TEMPLATE_CFN_RESOURCE_NAME}.txt" \
  && echo ${FILE_TEMPLATE_CFN_RESOURCE}

結果(例):

${HOME}/environment/conf-handson-cli-cfn-iam-User/resources/User0.txt

3. アクセス許可境界に使用する管理ポリシー名

アクセス許可境界に使用する管理ポリシー名を指定します。

変数の設定:

IAM_POLICY_NAME='ReadOnlyAccess'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. TEMPLATE_CFN_RESOURCE_NAME:"User0"
       TEMPLATE_CFN_RESOURCE_NAME="${TEMPLATE_CFN_RESOURCE_NAME}"
  # 2. FILE_TEMPLATE_CFN_RESOURCE:"${HOME}/environment/conf-handson-cli-cfn-iam-User/resources/User0.txt"
       FILE_TEMPLATE_CFN_RESOURCE="${FILE_TEMPLATE_CFN_RESOURCE}"
  # 3. IAM_POLICY_NAME:"ReadOnlyAccess"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMポリシーのARNを取得します。

変数の設定:

iam_policy_arn=$( \
  aws iam list-policies \
    --scope AWS \
    --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${iam_policy_arn}"

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

CFnリソースファイルを作成します。

変数の確認:

cat << END

  # FILE_TEMPLATE_CFN_RESOURCE:"${HOME}/environment/conf-handson-cli-cfn-iam-User/resources/User0.txt"
    FILE_TEMPLATE_CFN_RESOURCE="${FILE_TEMPLATE_CFN_RESOURCE}"
  # iam_policy_arn:"arn:aws:iam::aws:policy/ReadOnlyAccess"
    iam_policy_arn="${iam_policy_arn}"

END

コマンド:

if [ ! $( grep 'Properties:' ${FILE_TEMPLATE_CFN_RESOURCE}) ];then
cat << EOF >> ${FILE_TEMPLATE_CFN_RESOURCE}
    Properties: 
EOF
fi

if [ ! $( grep 'PermissionsBoundary:' ${FILE_TEMPLATE_CFN_RESOURCE}) ];then
cat << EOF >> ${FILE_TEMPLATE_CFN_RESOURCE}
      PermissionsBoundary: ${iam_policy_arn}
EOF
fi

cat ${FILE_TEMPLATE_CFN_RESOURCE}

結果(例):

User0:
  Type: AWS::IAM::User
  Properties:
    LoginProfile:
      Password: "#userPass123"
    ManagedPolicyArns:
      - !Ref ManagedPolicy0
      - arn:aws:iam::aws:policy/ReadOnlyAccess
      - arn:aws:iam::aws:policy/AWSCloudFormationFullAccess
      - arn:aws:iam::XXXXXXXXXXXX:policy/handson-cloud9/handson-cloud9-Cloud9EnvironmentOwner-policy
    Policies:
      - PolicyName: InlinePolicy
        PolicyDocument:
          Statement:
          - Action:
            - iam:ListUsers
            Effect: Allow
            Resource: '*'
            Sid: Stmt1706333829409
          Version: '2012-10-17'
    PermissionsBoundary: arn:aws:iam::aws:policy/ReadOnlyAccess

完了確認

本手順の主処理は、以下の完了条件を満たしたときに成功したものとします。

完了条件1: リソースファイル"${HOME}/environment/conf-handson-cli-cfn-iam-User/resources/User0.txt"が存在する。

「リソースファイル"${HOME}/environment/conf-handson-cli-cfn-iam-User/resources/User0.txt"が存在する。」ことを確認します。

コマンド:

cat ${FILE_TEMPLATE_CFN_RESOURCE} \
  | grep 'PermissionsBoundary:'

結果:

PermissionsBoundary: arn:aws:iam::aws:policy/ReadOnlyAccess

手順の完了