ハンズオン(簡易版): SSM基礎 セッションマネージャ

事前作業3.3. インスタンスプロファイルのIAMロールへのIAMポリシのアタッチ (handson-SSMSessionManagerPermissions-policy)

手順の目的 [why]

インスタンスプロファイル"handson-cli-ssm-session-manager-instance-profile"にアタッチされているIAMロール"handson-cli-ssm-session-manager-role"にIAMポリシー"handson-SSMSessionManagerPermissions-policy"をアタッチします。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. インスタンスプロファイル名

インスタンスプロファイル名を指定します。

変数の設定:

IAM_INSTANCE_PROFILE_NAME='handson-cli-ssm-session-manager-instance-profile'

2. IAMポリシー名

IAMポリシー名を指定します。

変数の設定:

IAM_POLICY_NAME='handson-SSMSessionManagerPermissions-policy'

3. IAMポリシーパス

IAMポリシーパスを指定します。

変数の設定:

IAM_POLICY_PATH='/handson-cli/'

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. IAM_INSTANCE_PROFILE_NAME:"handson-cli-ssm-session-manager-instance-profile"
       IAM_INSTANCE_PROFILE_NAME="${IAM_INSTANCE_PROFILE_NAME}"
  # 2. IAM_POLICY_NAME:"handson-SSMSessionManagerPermissions-policy"
       IAM_POLICY_NAME="${IAM_POLICY_NAME}"
  # 3. IAM_POLICY_PATH:"/handson-cli/"
       IAM_POLICY_PATH="${IAM_POLICY_PATH}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

IAMロール名を取得します。

コマンド:

IAM_ROLE_NAME=$( \
  aws iam get-instance-profile \
    --instance-profile-name ${IAM_INSTANCE_PROFILE_NAME} \
    --query 'InstanceProfile.Roles[].RoleName' \
    --output text
) \
  && echo ${IAM_ROLE_NAME}

結果(例):

handson-cli-ssm-session-manager-role

IAMポリシーのARNを取得します。

変数の設定:

IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --scope Local \
    --path-prefix "${IAM_POLICY_PATH}" \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${IAM_POLICY_ARN}"

結果(例):

arn:aws:iam::XXXXXXXXXXXX:policy/handson-SSMSessionManagerPermissions-policy

IAMポリシーをアタッチします。

変数の確認:

cat << END

  # IAM_ROLE_NAME:"handson-cli-ssm-session-manager-role"
    IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # IAM_POLICY_ARN:"arn:aws:iam::XXXXXXXXXXXX:policy/handson-cli/handson-SSMSessionManagerPermissions-policy"
    IAM_POLICY_ARN="${IAM_POLICY_ARN}"

END

コマンド:

aws iam attach-role-policy \
  --role-name ${IAM_ROLE_NAME} \
  --policy-arn ${IAM_POLICY_ARN}

結果(例):

(出力なし)

完了確認

「インスタンスプロファイル"handson-cli-ssm-session-manager-instance-profile"がアタッチされているIAMロールにIAMポリシー"handson-SSMSessionManagerPermissions-policy"がアタッチされている。」ことを確認します。

コマンド:

aws iam list-attached-role-policies \
  --role-name ${IAM_ROLE_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

handson-SSMSessionManagerPermissions-policy

手順の完了