ハンズオン(簡易版): IAM Identity Center基礎

クリーンアップ4.1. SSO Admin許可セットからのAWS管理ポリシーのデタッチ (handson-cli-iic-permission-set: ReadOnlyAccess)

手順の目的

SSO_ADMIN許可セット名"handson-cli-iic-permission-set"を作成します。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. SSO_ADMIN許可セット名

SSO_ADMIN許可セット名を指定します。

変数の設定:

SSO_ADMIN_PERMISSION_SET_NAME='handson-cli-iic-permission-set'

2. IAMポリシー名

IAMポリシー名を指定します。

変数の設定:

IAM_POLICY_NAME='ReadOnlyAccess'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. SSO_ADMIN_PERMISSION_SET_NAME:"handson-cli-iic-permission-set"
       SSO_ADMIN_PERMISSION_SET_NAME="${SSO_ADMIN_PERMISSION_SET_NAME}"
  # 2. IAM_POLICY_NAME:"ReadOnlyAccess"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

インスタンスのARNを取得します。

コマンド:

sso_admin_instance_arn=$( \
  aws sso-admin list-instances \
    --query "Instances[].InstanceArn" \
    --output text \
) \
  && echo ${sso_admin_instance_arn}

結果(例):

arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx

許可セットのARNを取得します。

コマンド:

for i in $(
  aws sso-admin list-permission-sets \
    --instance-arn ${sso_admin_instance_arn} \
    --query 'PermissionSets[]' \
    --output text \
); do

  name=$(
    aws sso-admin describe-permission-set \
      --instance-arn ${sso_admin_instance_arn} \
      --permission-set-arn ${i} \
      --query 'PermissionSet.Name' \
      --output text
  )

  if [ ${name}x == ${SSO_ADMIN_PERMISSION_SET_NAME}x ]; then
    sso_admin_permission_set_arn=$(
      aws sso-admin describe-permission-set \
        --instance-arn ${sso_admin_instance_arn} \
        --permission-set-arn ${i} \
        --query 'PermissionSet.PermissionSetArn' \
        --output text
    )
  fi
done \
  && echo ${sso_admin_permission_set_arn}

結果(例):

arn:aws:sso:::permissionSet/ssoins-xxxxxxxxxxxxxxxx/ps-xxxxxxxxxxxxxxxx

IAMポリシーARNを取得します。

変数の設定:

iam_policy_arn=$( \
  aws iam list-policies \
    --scope AWS \
    --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${iam_policy_arn}"

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

許可セットからAWS管理ポリシーのデタッチ

許可セットからAWS管理ポリシーをデタッチします。

変数の確認:

cat << END

  # sso_admin_instance_arn:"arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx"
    sso_admin_instance_arn="${sso_admin_instance_arn}"
  # sso_admin_permission_set_arn:"arn:aws:sso:::permissionSet/ssoins-xxxxxxxxxxxxxxxx/ps-xxxxxxxxxxxxxxxx"
    sso_admin_permission_set_arn="${sso_admin_permission_set_arn}"
  # iam_policy_arn:"arn:aws:iam::aws:policy/ReadOnlyAccess"
    iam_policy_arn="${iam_policy_arn}"

END

コマンド:

aws sso-admin detach-managed-policy-from-permission-set \
  --instance-arn ${sso_admin_instance_arn} \
  --permission-set-arn ${sso_admin_permission_set_arn} \
  --managed-policy-arn ${iam_policy_arn}

結果(例):

(出力なし)

完了確認

「SSO Admin許可セット名"handson-cli-iic-permission-set"にAWS管理ポリシー"ReadOnlyAccess"がアタッチされていない。」ことを確認します。

コマンド:

aws sso-admin list-managed-policies-in-permission-set \
  --instance-arn ${sso_admin_instance_arn} \
  --permission-set-arn ${sso_admin_permission_set_arn} \
  --query "AttachedManagedPolicies[?Name == \`${IAM_POLICY_NAME}\`].Name" \
  --output text

結果(例):

(出力なし)

手順の完了

(参考) マネジメントコンソールの確認

SSO Admin許可セットのARNの取得をします。

コマンド:

for i in $(
  aws sso-admin list-permission-sets \
    --instance-arn ${sso_admin_instance_arn} \
    --query 'PermissionSets[]' \
    --output text \
); do

  name=$(
    aws sso-admin describe-permission-set \
      --instance-arn ${sso_admin_instance_arn} \
      --permission-set-arn ${i} \
      --query 'PermissionSet.Name' \
      --output text
  )

  if [ ${name}x == ${SSO_ADMIN_PERMISSION_SET_NAME}x ]; then
    sso_admin_permission_set_arn=$(
      aws sso-admin describe-permission-set \
        --instance-arn ${sso_admin_instance_arn} \
        --permission-set-arn ${i} \
        --query 'PermissionSet.PermissionSetArn' \
        --output text
    )
  fi
done \
  && echo ${sso_admin_permission_set_arn}

結果(例):

arn:aws:sso:::permissionSet/ssoins-xxxxxxxxxxxxxxxx/ps-xxxxxxxxxxxxxxxx

ARNをコピーします。

  • IAM Identity Centerダッシュボード ( https://console.aws.amazon.com/singlesignon/home )にアクセスします。

    • 左ペイン "許可セット"をクリックします。

    • 許可セットの検索フォームにARNをペーストします。

    • 許可セット名(リンク)をクリックします。

      • 「許可」(タブ)の「AWSマネージドポリシー」に「ReadOnlyAccess」が表示されていなければ正常です。