ハンズオン(簡易版): Cloud9 (AWS CLI環境)入門 CloudFormation版

1.1. 仮想MFAデバイスの作成 (CloudShell: handson-cloud9-user-mfa)

手順の目的

仮想MFAデバイス"handson-cloud9-user-mfa"を作成します。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. 仮想MFAデバイス名

仮想MFAデバイス名を指定します。

変数の設定:

MFA_DEVICE_NAME='handson-cloud9-user-mfa'

2. MFAブートストラップメソッド名

MFAブートストラップメソッド名を指定します。

変数の設定:

MFA_BOOTSTRAP_METHOD='QRCodePNG'

3. MFAブートストラップ出力ファイル名

MFAブートストラップ出力ファイル用ディレクトリを指定します。

変数の設定:

DIR_MFA_OUTFILE="${HOME}/tmp-handson-cloud9"

ディレクトリが存在することを確認し、存在しない場合は作成します。

コマンド:

ls -d ${DIR_MFA_OUTFILE} > /dev/null 2>&1 \
  || mkdir -p ${DIR_MFA_OUTFILE}

結果(例):

(出力なし)

MFAブートストラップ出力ファイル名を指定します。

変数の設定:

FILE_MFA_OUTFILE="${DIR_MFA_OUTFILE}/${MFA_DEVICE_NAME}.png" \
  && echo ${FILE_MFA_OUTFILE}

結果(例):

${HOME}/tmp-handson-cloud9/handson-cloud9-user-mfa.png

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. MFA_DEVICE_NAME:"handson-cloud9-user-mfa"
       MFA_DEVICE_NAME="${MFA_DEVICE_NAME}"
  # 2. MFA_BOOTSTRAP_METHOD:"QRCodePNG"
       MFA_BOOTSTRAP_METHOD="${MFA_BOOTSTRAP_METHOD}"
  # 3. FILE_MFA_OUTFILE:"${HOME}/tmp-handson-cloud9/handson-cloud9-user-mfa.png"
       FILE_MFA_OUTFILE="${FILE_MFA_OUTFILE}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

仮想MFAデバイスを作成します。

変数の確認:

cat << END

  # MFA_DEVICE_NAME:"handson-cloud9-user-mfa"
    MFA_DEVICE_NAME="${MFA_DEVICE_NAME}"
  # MFA_BOOTSTRAP_METHOD:"QRCodePNG"
    MFA_BOOTSTRAP_METHOD="${MFA_BOOTSTRAP_METHOD}"
  # FILE_MFA_OUTFILE:"${HOME}/tmp-handson-cloud9/handson-cloud9-user-mfa.png"
    FILE_MFA_OUTFILE="${FILE_MFA_OUTFILE}"

END

コマンド:

aws iam create-virtual-mfa-device \
  --virtual-mfa-device-name ${MFA_DEVICE_NAME} \
  --bootstrap-method ${MFA_BOOTSTRAP_METHOD} \
  --outfile ${FILE_MFA_OUTFILE}

結果(例):

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cloud9-user-mfa"
    }
}

完了確認

AWS IDを取得します。

コマンド:

aws_account_id=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${aws_account_id}

結果(例):

XXXXXXXXXXXX

「仮想MFAデバイス"handson-cloud9-user-mfa"が存在する。」ことを確認します。

コマンド:

aws iam list-virtual-mfa-devices \
  --query "VirtualMFADevices[?SerialNumber == \`arn:aws:iam::${aws_account_id}:mfa/${MFA_DEVICE_NAME}\`].SerialNumber" \
  --output text

結果(例):

arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cloud9-user-mfa

「MFAブートストラップ出力ファイル"${HOME}/tmp-handson-cloud9/handson-cloud9-user-mfa.png"が存在する。」ことを確認します。

コマンド:

ls ${FILE_MFA_OUTFILE}

結果(例):

${HOME}/tmp-handson-cloud9/handson-cloud9-user-mfa.png

手順の完了

(参考) マネジメントコンソールの確認

マネジメントコンソールでは、仮想MFAデバイスの登録はIAMユーザーへの紐付けと同時に行うため、本手順に対する確認手順はありません。