ハンズオン(簡易版): SSM基礎 セッションマネージャ

事前作業3.1. IAMポリシードキュメントの作成 (handson-SSMSessionManagerPermissions-policy)

手順の目的 [why]

IAMポリシー"handson-SSMSessionManagerPermissions-policy"のポリシードキュメントを作成します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. ポリシードキュメント用ディレクトリ名

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_IAM_POLICY_DOC="${HOME}/environment/conf-handson-cli-ssm-session-manager"

ディレクトリが存在することを確認します。

コマンド:

ls -d ${DIR_IAM_POLICY_DOC}

結果(例:存在する場合):

${HOME}/environment/conf-handson-cli-ssm-session-manager

存在しない場合は作成します。

コマンド:

mkdir -p ${DIR_IAM_POLICY_DOC}

結果(例):

(出力なし)

2. IAMポリシードキュメント名

IAMポリシードキュメント名を指定します。

変数の設定:

IAM_POLICY_DOC_NAME='handson-SSMSessionManagerPermissions-policy'

変数の設定:

FILE_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}/${IAM_POLICY_DOC_NAME}.json" \
  && echo ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerPermissions-policy.json

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. DIR_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-ssm-session-manager"
       DIR_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}"
  # 2. IAM_POLICY_DOC_NAME:"handson-SSMSessionManagerPermissions-policy"
       IAM_POLICY_DOC_NAME="${IAM_POLICY_DOC_NAME}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

AWS IDを取得します。

コマンド:

AWS_ID=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${AWS_ID}

結果(例):

XXXXXXXXXXXX

IAMポリシードキュメントを作成します。

変数の確認:

cat << EOF

  # FILE_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerPermissions-policy.json"
    FILE_IAM_POLICY_DOC="${FILE_IAM_POLICY_DOC}"
  # AWS_ID:"XXXXXXXXXXXX"
    AWS_ID="${AWS_ID}"

EOF

コマンド:

cat << EOF > ${FILE_IAM_POLICY_DOC}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        }
    ]
}
EOF

cat ${FILE_IAM_POLICY_DOC}

結果(例):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        }
    ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:

cat ${FILE_IAM_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null

結果(例):

(出力なし)

注釈

エラーが出力されなければOKです。

完了確認

「IAMポリシードキュメント"${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerPermissions-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerPermissions-policy.json

手順の完了