ハンズオン(簡易版): CloudFront入門

事後作業4. インスタンスプロファイルのIAMロールからのIAMポリシーのデタッチ (CloudShell: 配列渡し)

手順の目的 [why]

IAMインスタンスプロファイル"handson-cloud9-instance-profile"にアタッチされているIAMロール"handson-cloud9-environment-role"にIAMポリシー"CloudFrontFullAccess AmazonS3FullAccess"をアタッチします。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. インスタンスプロファイル名

インスタンスプロファイル名を指定します。

変数の設定:

IAM_INSTANCE_PROFILE_NAME='handson-cloud9-instance-profile'

2. IAMポリシー名の配列

IAMポリシー名の配列を指定します。

変数の設定:

ARRAY_IAM_POLICY_NAMES='CloudFrontFullAccess AmazonS3FullAccess'

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. IAM_INSTANCE_PROFILE_NAME:"handson-cloud9-instance-profile"
       IAM_INSTANCE_PROFILE_NAME="${IAM_INSTANCE_PROFILE_NAME}"
  # 2. ARRAY_IAM_POLICY_NAMES:"CloudFrontFullAccess AmazonS3FullAccess"
       ARRAY_IAM_POLICY_NAMES="${ARRAY_IAM_POLICY_NAMES}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMロール名を取得します。

コマンド:

IAM_ROLE_NAME=$( \
  aws iam get-instance-profile \
    --instance-profile-name ${IAM_INSTANCE_PROFILE_NAME} \
    --query 'InstanceProfile.Roles[].RoleName' \
    --output text \
) \
  && echo ${IAM_ROLE_NAME}

結果(例):

handson-cloud9-environment-role

IAMポリシーのARNを取得します。

変数の設定:

ARRAY_IAM_POLICY_ARNS=$(
  echo $( \
    for i in $(echo "${ARRAY_IAM_POLICY_NAMES}");do
      aws iam list-policies \
        --max-items 1000 \
        --query "Policies[?PolicyName==\`${i}\`].Arn" \
        --output text
    done \
  ) \
) \
  && echo "${ARRAY_IAM_POLICY_ARNS}"

結果(例)

arn:aws:iam::aws:policy/CloudFrontFullAccess arn:aws:iam::aws:policy/AmazonS3FullAccess

IAMポリシーをデタッチします。

変数の確認:

cat << END

  # IAM_ROLE_NAME:"handson-cloud9-environment-role"
    IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # ARRAY_IAM_POLICY_ARNS:"arn:aws:iam::aws:policy/CloudFrontFullAccess arn:aws:iam::aws:policy/AmazonS3FullAccess"
    ARRAY_IAM_POLICY_ARNS="${ARRAY_IAM_POLICY_ARNS}"

END

コマンド:

for i in $(echo "${ARRAY_IAM_POLICY_ARNS}");do
  aws iam detach-role-policy \
    --role-name ${IAM_ROLE_NAME} \
    --policy-arn ${i}
done

結果(例):

(出力なし)

完了確認

「IAMインスタンスプロファイル"handson-cloud9-instance-profile"がアタッチされているIAMロールにIAMポリシー"CloudFrontFullAccess AmazonS3FullAccess"がアタッチされていない。」ことを確認します。

コマンド:

echo $( \
  for i in $(echo "${ARRAY_IAM_POLICY_NAMES}");do
    aws iam list-attached-role-policies \
      --role-name ${IAM_ROLE_NAME} \
      --query "AttachedPolicies[?PolicyName == \`${i}\`].PolicyName" \
      --output text
  done \
)

結果(例):

(出力なし)

手順の完了

(参考) マネジメントコンソールの確認

ロール一覧(画面)

  • 検索欄にロール名"handson-cloud9-environment-role"を入力して、エンターキーを押します。

  • ロール名"handson-cloud9-environment-role"をクリックします。

ロール概要(画面)

  • "アクセス権限"(タブ)をクリックします。

ロール概要/アクセス権限(タブ)

  • ポリシー名"CloudFrontFullAccess AmazonS3FullAccess"が表示されていないことを確認します。