ハンズオン(簡易版): CloudShell環境構築 (CloudFormation版)

作成者:

波田野 裕一

公開日:

2024-07-25

更新日:

2025-02-11

目的

ハンズオン用のCloudShell環境を構築します。

前提

作業権限条件

作業権限条件: 必要な権限

• AWS(ルート)アカウント

  注釈

  自力で適宜手順の読み替えできる場合は、以下の権限のあるIAMユーザでも実施可能です。

  • AWSCloudShellFullAccess

  • AWSCloudFormationFullAccess

  • IAMFullAccess

作業環境条件

本作業は、以下の環境で行います。

AWSマネジメントコンソール環境条件

AWSマネジメントコンソール手順については、以下の環境で行います。

• AWSマネジメントコンソールでサポートされるブラウザ

  注釈

  https://aws.amazon.com/jp/premiumsupport/knowledge-center/browsers-management-console/

  動作確認は、Firefox(手順作成時点の最新バージョン)で行なっています。

構成

本手順書で構築するAWSリソースの構成は以下の図のようになります。

1. CloudShell環境の構築 (ルートユーザー)

この手順で構築するAWSリソースと順番は以下の図のようになります。

1.0. AWSルートユーザーでのサインイン

• 1.0. マネジメントコンソールへのサインイン (ルートユーザー: MFA利用)

1.1. CloudShell用環境の構築 (CloudFormation利用)

• 1.1. CloudFormationスタックの作成 (CAPABILITY_NAMED_IAM & URL指定: handson-cli-env-stack)

1.2. IAMユーザー用サインインURLの確認

• 1.2. IAMユーザー用サインインURLの確認

1.3. AWSルートユーザーからのサインアウト

• 1.3. マネジメントコンソールからのサインアウト (ルートユーザー)

2. CloudShell環境の構築 (IAMユーザー)

警告

handson-cli-signin-userを利用するためには、以下を実施する必要があります。

• 初期パスワードの変更

• MFAの設定 (MFAの設定が完了するまで、MFAの設定以外の操作はできません。)

2.0. サインイン用ユーザーでのサインイン

注釈

サインイン後、パスワードの変更が要求されます。

• 2.0. マネジメントコンソールへのサインイン (IAMユーザー: handson-cli-signin-user)

2.1. MFAの設定

注釈

サインイン直後にMFAの設定をする必要があります。

• 2.1.1. 仮想MFAデバイスの作成 (handson-cli-signin-user-mfa)
• 2.1.2. バーチャルMFAデバイスの有効化 (handson-cli-signin-user)

2.2. サインイン用ユーザーのサインアウト

注釈

MFAの設定後、サインインしなおすと、MFAの設定以外の操作ができるようになります。

• 2.2. マネジメントコンソールからのサインアウト (IAMユーザー)

警告

複数のタブでAWSマネジメントコンソールを開いている場合、全てのタブについてサインアウトをしてください。

(一部のタブを開いたまま、再サインインした場合、MFA設定フラグがfalseのままになり、次のスイッチロールに失敗する可能性があります。)

3. CloudShell環境の利用

3.0. サインイン用ユーザーのサインイン

• 3.0. マネジメントコンソールへのサインイン (IAMユーザー(MFA利用): handson-cli-signin-user)

警告

リージョンの表示があるサービスを開いている場合に、OrganizationsのSCP(サービスコントロールポリシー)などで禁止されているリージョンを選択しているときは、スイッチロールに失敗します。

スイッチロールに失敗する場合は、マネジメントコンソールの右上に表示されているリージョンを「禁止されていないリージョン」に切り替えるか、IAMなどのグローバルサービスのダッシュボードに画面を切り替えてください。

3.1. ハンズオンの事前作業

ハンズオンに必要な権限のアタッチ

• 3.1.1. マネジメントコンソールの操作 (スイッチロール: handson-cli-ctrl-role)
• 3.1.2. IAMロールへのIAMポリシーのアタッチ (配列渡し: handson-cli-env-role)

ハンズオンに使用する環境へのアクセス

• 3.1.3a. (CloudShell環境の場合). マネジメントコンソールの操作 (スイッチロール: handson-cli-env-role)

3.2. (参考) CloudShellハンズオンの実施

ハンズオンの実施 (handson-cli-env-role)

注釈

• ハンズオンを実施します。

  コマンド:

  aws s3 ls
  

  結果(例):

  2022-07-19 22:47:06 cf-templates-94ho6sk5misho-ap-northeast-1
  

3.3. ハンズオンの事後作業

ハンズオンに使用した権限のデタッチ

• 3.3.1. マネジメントコンソールの操作 (スイッチロール: handson-cli-ctrl-role)
• 3.3.2. IAMロールからのIAMポリシーのデタッチ (配列渡し: handson-cli-env-role)

サインイン用ユーザーへのスイッチバック

• 3.3.3. マネジメントコンソールの操作 (ロールのスイッチバック)

3.4. サインイン用ユーザーのサインアウト

• 3.4. マネジメントコンソールからのサインアウト (IAMユーザー)

アンケート

今後の参考にするため、本手順についてご意見・コメントをお願いします。

注釈

• 必須項目はありません。お気軽にご回答ください。

• 内容が違えばお一人何回回答していただいても問題ありません。

• はまりどころや誤字・脱字などの修正のご指摘もお待ちしています。

• どんな職種ですか? 選んでください。 運用エンジニア 構築エンジニア 開発エンジニア アーキテクト トレーナー マネージャー 学生 営業 記者
• はまり所はありましたか?
• この手順に関する感想やコメント
• 興味があるAWSサービス

注釈

このアンケートシステムはS3 + Cognitoで構築しています。

クリーンアップ. CloudShell環境の破棄

CloudShell環境が不要になった場合は破棄を行います。

0. AWSルートユーザーでのサインイン

• クリーンアップ0. マネジメントコンソールへのサインイン (ルートユーザー: MFA利用)

1. MFAの無効化・削除

• クリーンアップ1.1. 仮想MFAデバイスの無効化 (handson-cli-signin-user)
• クリーンアップ1.2. 仮想VIRTUAL_MFAデバイスの削除 (handson-cli-signin-user-mfa)

2. CloudShell用環境の破棄 (CloudFormation利用)

• クリーンアップ2. CloudFormationスタックの削除 (handson-cli-env-stack)

3. AWSルートユーザーからのサインアウト

• クリーンアップ3. マネジメントコンソールからのサインアウト (ルートユーザー)