ヤマムギ

growing hard days.

*

Cloud9のデフォルト設定での権限確認(AWS managed temporary credentials)

      2021/06/20

Cloud9の環境を作成した際のデフォルトアクセス権限は、環境を作成したIAMユーザーの認証が設定されると思うのですが、はっきり試したことがなかったので試しました。

デフォルト環境の確認

Cloud9の環境直後の状態です。
右上の歯車からPreferences-[AWS Settings]を確認すると、Credentialsでは、AWS managed temporary credentialsがONになっています。

ターミナルでaws configure listコマンドで確認すると、credentialファイルに記録されているようです。

credentialsファイルを確認すると、設定されています。

このCloud9環境を作成したIAMユーザーには、以下のAWS管理ポリシーをアタッチしています。

  • AWSCloud9User
  • AmazonEC2ReadOnlyAccess

ec2 describe-regionsは許可されました。

s3 lsコマンドは拒否されました。

IAMユーザーにAmazonS3ReadOnlyAccessポリシーを追加して再度試しました。

許可されました。

AWS managed temporary credentials(AWS管理一時認証情報)をオフにする

[AWS Settings]のCredentialsで、AWS managed temporary credentialsをOFFにしてみました。

認証以前に、デフォルトリージョンまでなくなったようです。

リージョン指定すると、credentialsがない、となりました。

やっぱりないのですね。
この状態でCloud9環境のEC2にIAMロールを設定すれば、その権限が使えますね。
.aws/credentialsを残したまま、IAMロールを設定しても、CLIやSDKは.aws/credentialsを優先するので要注意ですね。

再度、[AWS Settings]のCredentialsで、AWS managed temporary credentialsをONにしてみました。

先ほどとは違う認証情報が設定されました。

Cloud9の環境を構築したIAMユーザーの認証が使われていることが明確になりました。

AWS managed temporary credentialsの自動更新の確認

AWS managed temporary credentials (AWS 管理の一時認証情報)

こちらのユーザーガイドを見ていると、以下の記述がありました。

AWS 管理の一時認証情報は、以下のいずれかの条件の下で更新されます。
* 一定の時間が経過するたび。現在、これは5分ごとです。
* 環境の IDE を表示する Web ブラウザタブを再ロードするたび。

これは試してみよう。

5分後ぐらいに更新されるか

まずは今時点の確認

5分ちょい後、credentialsファイルのタイムスタンプが更新されてアクセスキーIDもシークレットアクセスキーも更新されました。
8分ぐらい経ってるぽいですが、まあそこは良しと。

ブラウザのリロード

ブラウザをリロードしてすぐに確認したら更新されてました。

AWS managed temporary credentials、本当に一時的な認証情報でした。

最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

2017年、このブログ(WordPress(Amazon EC2 + RDS))で対応してきたこと

Amazon Web Services Advent Calendar 2017 …

AlexaにAWSの最新Feedを読み上げてもらう(Lambda Python)

年末にAmazon Echo Dotを購入しましたので、練習がてらAlexaスキ …

CloudTrailのログファイルの整合性検証をAWS CLIで実行しました

CloudTrailのログファイルの検証を「有効」にしました。 上記のようなCl …

「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた

サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …

Amazon RDS MySQLでCSVをload data するときに「Access denied」発生

超小ネタです。 AWSのデータベースサービスの Amazon RDSのMySQL …

AWSのサービス数を数えてみました(2020/5/23)

何をもってサービスという単位にするかというのはあるかもしれませんが、とりあえず情 …

Rocket.ChatからOut Going Webhookを設定してみる

API GatewayとLambda とりあえず、どんなデータが飛んでくるのか見 …

AWS東京リージョンのAZ(apne1-az1)障害時の当ブログで発生していたことの記録

日本時間2/19 23:01頃より、東京リージョン、特定AZの1つでEC2インス …

AWS Transfer Family S3向けのSFTP対応サーバーをVPCで作成してEIPをアタッチ

EIPの作成 同じリージョンでEIPを作成しておきます。 SFTP対応サーバーの …

Amazon S3バケットでMFA Deleteを有効にする

バージョニングが有効なバケットでバージョン削除でMFA Deleteを有効にして …

PREV
EC2インスタンスWindowsでセッションマネージャーを使う
NEXT
YoutubeチャンネルにカスタムURLを設定しました