ヤマムギ

growing hard days.

*

Cloud9のデフォルト設定での権限確認(AWS managed temporary credentials)

      2021/06/20


Cloud9の環境を作成した際のデフォルトアクセス権限は、環境を作成したIAMユーザーの認証が設定されると思うのですが、はっきり試したことがなかったので試しました。

デフォルト環境の確認

Cloud9の環境直後の状態です。
右上の歯車からPreferences-[AWS Settings]を確認すると、Credentialsでは、AWS managed temporary credentialsがONになっています。

ターミナルでaws configure listコマンドで確認すると、credentialファイルに記録されているようです。

credentialsファイルを確認すると、設定されています。

このCloud9環境を作成したIAMユーザーには、以下のAWS管理ポリシーをアタッチしています。

  • AWSCloud9User
  • AmazonEC2ReadOnlyAccess

ec2 describe-regionsは許可されました。

s3 lsコマンドは拒否されました。

IAMユーザーにAmazonS3ReadOnlyAccessポリシーを追加して再度試しました。

許可されました。

AWS managed temporary credentials(AWS管理一時認証情報)をオフにする

[AWS Settings]のCredentialsで、AWS managed temporary credentialsをOFFにしてみました。

認証以前に、デフォルトリージョンまでなくなったようです。

リージョン指定すると、credentialsがない、となりました。

やっぱりないのですね。
この状態でCloud9環境のEC2にIAMロールを設定すれば、その権限が使えますね。
.aws/credentialsを残したまま、IAMロールを設定しても、CLIやSDKは.aws/credentialsを優先するので要注意ですね。

再度、[AWS Settings]のCredentialsで、AWS managed temporary credentialsをONにしてみました。

先ほどとは違う認証情報が設定されました。

Cloud9の環境を構築したIAMユーザーの認証が使われていることが明確になりました。

AWS managed temporary credentialsの自動更新の確認

AWS managed temporary credentials (AWS 管理の一時認証情報)

こちらのユーザーガイドを見ていると、以下の記述がありました。

AWS 管理の一時認証情報は、以下のいずれかの条件の下で更新されます。
* 一定の時間が経過するたび。現在、これは5分ごとです。
* 環境の IDE を表示する Web ブラウザタブを再ロードするたび。

これは試してみよう。

5分後ぐらいに更新されるか

まずは今時点の確認

5分ちょい後、credentialsファイルのタイムスタンプが更新されてアクセスキーIDもシークレットアクセスキーも更新されました。
8分ぐらい経ってるぽいですが、まあそこは良しと。

ブラウザのリロード

ブラウザをリロードしてすぐに確認したら更新されてました。

AWS managed temporary credentials、本当に一時的な認証情報でした。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

EC2 VyOSで/etc/resolv.confを設定しました

EC2でVyOSを起動してSSHで接続して確認していたところ、どうもVyOSから …

AWS LambdaをVPC設定したときに「The provided execution role does not have permissions to call CreateNetworkInterface on EC2」

The provided execution role does not hav …

Amazon EC2 Auto ScalingのVPCは変更できる

EC2 Auto ScalingのVPCは変更できたっけ??と思いまして試しまし …

S3をトリガーにしたときのLambdaのリソースベースポリシー

LambdaのトリガーでS3を設定したとき、自動的にLambdaのリソースベース …

AWS Savings Plansを検討しました

今、個人でAWSアカウントを7つ使っています。 Savings Plansが使え …

特定AWSアカウント特定リージョンのSNSトピックを削除するLambda(Python)

やりたいこと 特定アカウント内特定リージョン内のSNSトピックを全部削除したいで …

AWS AmplifyでTodoアプリを作るハンズオンをやってみました

【お手軽ハンズオンで AWS を学ぶ】AWS Amplify で Todo アプ …

Amazon SES(Simple Email Service)でメール受信時のアクションでLambdaを実行して渡されるデータを見てみる

Amazon SESで受信したメールをS3に保存して、S3のトリガーでLambd …

EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効 …

CodeDeployでECR、ECSにデプロイするパイプラインのチュートリアル

チュートリアル: Amazon ECR ソースと、ECS と CodeDeplo …