3.1. IAMロールのアクセス許可境界の作成 (AWS管理ポリシー: handson-cli-iam-role-role)

手順の目的

IAMロール"handson-cli-iam-role-role"のアクセス許可境界を作成します。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. IAMロール名

IAMロール名を指定します。

変数の設定:

IAM_ROLE_NAME='handson-cli-iam-role-role'

2. IAMポリシー名

IAMポリシー名を指定します。

変数の設定:

IAM_POLICY_NAME='ReadOnlyAccess'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. IAM_ROLE_NAME:"handson-cli-iam-role-role"
       IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # 2. IAM_POLICY_NAME:"ReadOnlyAccess"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMポリシーARNを取得します。

変数の設定:

iam_policy_arn=$( \
  aws iam list-policies \
    --scope AWS \
    --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${iam_policy_arn}"

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

アクセス許可境界を作成します。

変数の確認:

cat << END

  # IAM_ROLE_NAME:"handson-cli-iam-role-role"
    IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # iam_policy_arn:"arn:aws:iam::aws:policy/ReadOnlyAccess"
    iam_policy_arn="${iam_policy_arn}"

END

コマンド:

aws iam put-role-permissions-boundary \
  --role-name ${IAM_ROLE_NAME} \
  --permissions-boundary ${iam_policy_arn}

結果(例):

(出力なし)

完了確認

「IAMロール"handson-cli-iam-role-role"のアクセス許可境界としてIAMポリシー"ReadOnlyAccess"が指定されている。」ことを確認します。

コマンド:

aws iam get-role \
  --role-name ${IAM_ROLE_NAME} \
  --query 'Role.PermissionsBoundary.PermissionsBoundaryArn' \
  --output text

結果(例):

arn:aws:iam::aws:policy/ReadOnlyAccess

手順の完了

(参考) マネジメントコンソールの確認

• IAMダッシュボード( https://console.aws.amazon.com/iam/home )にアクセスします。

• 左ペインの"ロール"をクリックします。

ロール (一覧画面)

• 検索欄にロール名"handson-cli-iam-role-role"を入力して、エンターキーを押します。

• ロール名"handson-cli-iam-role-role"をクリックします。

ロール (概要画面)

• "許可"(タブ)をクリックします。

許可(タブ)

• "アクセス許可の境界"欄にポリシー名"ReadOnlyAccess"(AWS管理)が表示されていることを確認します。