AWS CLIを使用したIAMロールの引き受けコマンドのメモ

2022/03/20

よく忘れて調べるのでメモです。

公式のこちらAWS CLI を使用して IAM ロールを引き受ける方法を教えてください。では、AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKENの値の設定方法についての記載がないので、jqコマンドで抜き出す方法を記録しておきます。
-r オプションはjqコマンドの戻り値からダブルクォーテーションを省いています。

IAMロールから認証情報を発行して環境変数に設定

アカウントID123456789012とrole-nameはそれぞれ置き換えて、session-nameは任意の値に変更してください。

role_credentials=$(aws sts assume-role \
--role-arn "arn:aws:iam::123456789012:role/role-name" \
--role-session-name session-name)
export AWS_ACCESS_KEY_ID=$(echo $role_credentials | \
jq -r '.Credentials.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $role_credentials | \
jq -r '.Credentials.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $role_credentials | \
jq -r '.Credentials.SessionToken')
aws sts get-caller-identity

role_credentials=$(aws sts assume-role \

--role-arn "arn:aws:iam::123456789012:role/role-name" \

--role-session-name session-name)

export AWS_ACCESS_KEY_ID=$(echo $role_credentials | \

jq -r '.Credentials.AccessKeyId')

export AWS_SECRET_ACCESS_KEY=$(echo $role_credentials | \

jq -r '.Credentials.SecretAccessKey')

export AWS_SESSION_TOKEN=$(echo $role_credentials | \

jq -r '.Credentials.SessionToken')

aws sts get-caller-identity

sts get-caller-identityの出力は次のようになり、IAMロールを引き受けたことがわかります。

{
    "UserId": "AWSACCESS_KEYID:session-name",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/role-name/session-name"
}

{

"UserId": "AWSACCESS_KEYID:session-name",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:assumed-role/role-name/session-name"

}

環境変数の削除

unset AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN
aws sts get-caller-identity

unset AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN

aws sts get-caller-identity

sts get-caller-identityの出力が元のユーザーになっていることが確認できます。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: 名前解決してセッションマネージャが使えるようにVyOSのhost_name.pyを編集しました

発生したエラーセッションマネージャからこんなエラーが出力されました。 [cra …

: EC2とRDSのMySQLを他のAWSアカウントへ移設する

他のAWSアカウントへシステムごと移設した場合の手順です。構成はEC2とRDS …

: S3バケットのリクエスタ支払い

S3バケットのリクエスタ支払いを試しました。バケットの設定検証用のS3バケッ …

: AWS CLIを使用せずにCodeCommitへhttpsで接続する

AWS CLIやアクセスキーID、シークレットアクセスキーなどを開発環境にセット …

: AWS CloudFormationデプロイタイムラインビューを確認しました

2024/11/11にタイムラインビューを使用して AWS CloudForma …

: AWS Transit GatewayをResource Access Managerで他アカウントと共有

AWS Transit Gatewayを他アカウントに共有しました。画面画像で …

: AWS OrganizationsでAWSアカウントを25作りたいのでPythonで作った

AWSアカウントを25作る必要があったので、Lambda Python 3.7で …

: S3オブジェクトロックを試しました

S3オブジェクトロックが必要になる要件に今のところ、出会ってないのでまだ設定した …

: AWS Summit 2016 Tokyoに参加してきました (Day2)

馬込は非常に良い天気です。泊まっている部屋が2Fでしたので窓を明けると歩いてい …

: AWSのサービス数を数えてみました(2020/5/23)

何をもってサービスという単位にするかというのはあるかもしれませんが、とりあえず情 …

PREV: Cybozu Circus Fukuokaで対談形式の「特別講演」を見ました。
NEXT: S3 Intelligent-Tieringのオブジェクトの階層移動をCloudWatchメトリクスで確認

AWS CLIを使用したIAMロールの引き受けコマンドのメモ

IAMロールから認証情報を発行して環境変数に設定

環境変数の削除

ad

ad

関連記事

名前解決してセッションマネージャが使えるようにVyOSのhost_name.pyを編集しました

EC2とRDSのMySQLを他のAWSアカウントへ移設する

S3バケットのリクエスタ支払い

AWS CLIを使用せずにCodeCommitへhttpsで接続する

AWS CloudFormationデプロイタイムラインビューを確認しました

AWS Transit GatewayをResource Access Managerで他アカウントと共有

AWS OrganizationsでAWSアカウントを25作りたいのでPythonで作った

S3オブジェクトロックを試しました

AWS Summit 2016 Tokyoに参加してきました (Day2)

AWSのサービス数を数えてみました(2020/5/23)