ハンズオン(簡易版): Cloud9 (AWS CLI環境)入門

事前作業5.1. IAMポリシードキュメントの作成 (CloudShell: handson-Cloud9IAMAllowRolePolicy-policy)

手順の目的

IAMポリシー"LogsStreamWrite"のポリシドキュメントを作成します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. ポリシードキュメント用ディレクトリ名

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_IAM_POLICY_DOC="${HOME}/conf-handson-cloud9"

ディレクトリが存在することを確認し、存在しない場合は作成します。

コマンド:

ls -d ${DIR_IAM_POLICY_DOC} > /dev/null 2>&1 \
  || mkdir -p ${DIR_IAM_POLICY_DOC}

結果(例):

(出力なし)

2. IAMポリシードキュメント名

IAMポリシードキュメント名を指定します。

変数の設定:

IAM_POLICY_DOC_NAME='handson-Cloud9IAMAllowRolePolicy-policy'

変数の設定:

FILE_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}/${IAM_POLICY_DOC_NAME}.json" \
  && echo ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cloud9/handson-Cloud9IAMAllowRolePolicy-policy.json

3. IAMロール名

IAMロール名を指定します。

変数の設定:

IAM_ROLE_NAME='handson-cloud9-environment-role'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. DIR_IAM_POLICY_DOC:"${HOME}/conf-handson-cloud9"
       DIR_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}"
  # 2. IAM_POLICY_DOC_NAME:"handson-Cloud9IAMAllowRolePolicy-policy"
       IAM_POLICY_DOC_NAME="${IAM_POLICY_DOC_NAME}"
  # 3. IAM_ROLE_NAME:"handson-cloud9-environment-role"
       IAM_ROLE_NAME="${IAM_ROLE_NAME}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMロールのARNを取得します。

コマンド:

iam_role_arn=$( \
  aws iam get-role \
    --role-name ${IAM_ROLE_NAME} \
    --query 'Role.Arn' \
    --output text \
) \
  && echo ${iam_role_arn}

結果(例):

arn:aws:iam::XXXXXXXXXXXX:role/handson-cloud9/handson-cloud9-environment-role

IAMポリシードキュメントを作成します。

変数の確認:

cat << END

  # FILE_IAM_POLICY_DOC:"${HOME}/conf-handson-cloud9/handson-Cloud9IAMAllowRolePolicy-policy.json"
    FILE_IAM_POLICY_DOC="${FILE_IAM_POLICY_DOC}"
  # iam_role_arn:"arn:aws:iam::XXXXXXXXXXXX:role/handson-cloud9/handson-cloud9-environment-role"
    iam_role_arn="${iam_role_arn}"

END

コマンド:

cat << EOF > ${FILE_IAM_POLICY_DOC}
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:AttachRolePolicy",
      "iam:detachRolePolicy"
    ],
    "Resource": [
      "${iam_role_arn}"
    ]
  }
}
EOF

cat ${FILE_IAM_POLICY_DOC}

結果(例):

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:AttachRolePolicy",
      "iam:detachRolePolicy"
    ],
    "Resource": [
      "arn:aws:iam::XXXXXXXXXXXX:role/handson-cloud9/handson-cloud9-environment-role"
    ]
  }
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:

cat ${FILE_IAM_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null

結果(例):

(出力なし)

注釈

エラーが出力されなければOKです。

完了確認

「IAMポリシードキュメント"${HOME}/conf-handson-cloud9/handson-Cloud9IAMAllowRolePolicy-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cloud9/handson-Cloud9IAMAllowRolePolicy-policy.json

手順の完了