handson (light): aws env cloudshell (cfn)

クリーンアップ1.1. 仮想MFAデバイスの無効化 (handson-cli-signin-user)

手順の目的

IAMユーザー"handson-cli-signin-user"の仮想MFAデバイスを無効にします。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. IAMユーザー名

IAMユーザー名を指定します。

変数の設定:

IAM_USER_NAME='handson-cli-signin-user'

2. 仮想MFAデバイス名

仮想MFAデバイス名を指定します。

変数の設定:

VIRTUAL_MFA_DEVICE_NAME='handson-cli-signin-user-mfa'

3. 仮想MFAデバイスパス

仮想VIRTUAL_MFAデバイスパスを指定します。

変数の設定:

VIRTUAL_MFA_DEVICE_PATH='/'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. IAM_USER_NAME:"handson-cli-signin-user"
       IAM_USER_NAME="${IAM_USER_NAME}"
  # 2. VIRTUAL_MFA_DEVICE_NAME:"handson-cli-signin-user-mfa"
       VIRTUAL_MFA_DEVICE_NAME="${VIRTUAL_MFA_DEVICE_NAME}"
  # 3. VIRTUAL_MFA_DEVICE_PATH:"/"
       VIRTUAL_MFA_DEVICE_PATH="${VIRTUAL_MFA_DEVICE_PATH}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

AWSアカウントIDを取得します。

コマンド:

aws_account_id=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${aws_account_id}

結果(例):

XXXXXXXXXXXX

仮想MFAデバイスのシリアル番号を取得します。

コマンド:

mfa_device_serial_number=$( \
  aws iam list-virtual-mfa-devices \
    --query "VirtualMFADevices[?SerialNumber == \`arn:aws:iam::${aws_account_id}:mfa${VIRTUAL_MFA_DEVICE_PATH}${VIRTUAL_MFA_DEVICE_NAME}\`].SerialNumber" \
    --output text \
) \
  && echo ${mfa_device_serial_number}

結果(例)

arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-signin-user-mfa

仮想MFAデバイスの無効化

仮想MFAデバイスを無効化します。

変数の確認:

cat << END

  # IAM_USER_NAME:"handson-cli-signin-user"
    IAM_USER_NAME="${IAM_USER_NAME}"
  # mfa_device_serial_number:"arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-signin-user-mfa"
    mfa_device_serial_number="${mfa_device_serial_number}"

END

コマンド:

aws iam deactivate-mfa-device \
  --user-name ${IAM_USER_NAME} \
  --serial-number ${mfa_device_serial_number}

結果(例):

(出力なし)

MFAソフトウェアからの登録削除

MFAソフトウェアから該当する登録情報を削除します。

注釈

操作方法については、仮想MFAソフトウェアのマニュアルをご確認ください。

完了確認

「IAMユーザー"handson-cli-signin-user"の仮想MFAデバイスが有効になっていない。」ことを確認します。

手順の完了

(参考) マネジメントコンソールの確認

ユーザー一覧(画面)

  • 検索欄にユーザー名"handson-cli-signin-user"を入力します。

  • ユーザー名"handson-cli-signin-user"(リンク)をクリックします。

ユーザー概要(画面)

  • "認証情報"(タブ)をクリックします。

ユーザー概要/認証情報(タブ)

  • "MFA デバイスの割り当て"に"割り当てなし"が表示されていることを確認します。