ヤマムギ

growing hard days.

*

Cloud9のデフォルト設定での権限確認(AWS managed temporary credentials)

      2021/06/20

Cloud9の環境を作成した際のデフォルトアクセス権限は、環境を作成したIAMユーザーの認証が設定されると思うのですが、はっきり試したことがなかったので試しました。

デフォルト環境の確認

Cloud9の環境直後の状態です。
右上の歯車からPreferences-[AWS Settings]を確認すると、Credentialsでは、AWS managed temporary credentialsがONになっています。

ターミナルでaws configure listコマンドで確認すると、credentialファイルに記録されているようです。

credentialsファイルを確認すると、設定されています。

このCloud9環境を作成したIAMユーザーには、以下のAWS管理ポリシーをアタッチしています。

  • AWSCloud9User
  • AmazonEC2ReadOnlyAccess

ec2 describe-regionsは許可されました。

s3 lsコマンドは拒否されました。

IAMユーザーにAmazonS3ReadOnlyAccessポリシーを追加して再度試しました。

許可されました。

AWS managed temporary credentials(AWS管理一時認証情報)をオフにする

[AWS Settings]のCredentialsで、AWS managed temporary credentialsをOFFにしてみました。

認証以前に、デフォルトリージョンまでなくなったようです。

リージョン指定すると、credentialsがない、となりました。

やっぱりないのですね。
この状態でCloud9環境のEC2にIAMロールを設定すれば、その権限が使えますね。
.aws/credentialsを残したまま、IAMロールを設定しても、CLIやSDKは.aws/credentialsを優先するので要注意ですね。

再度、[AWS Settings]のCredentialsで、AWS managed temporary credentialsをONにしてみました。

先ほどとは違う認証情報が設定されました。

Cloud9の環境を構築したIAMユーザーの認証が使われていることが明確になりました。

AWS managed temporary credentialsの自動更新の確認

AWS managed temporary credentials (AWS 管理の一時認証情報)

こちらのユーザーガイドを見ていると、以下の記述がありました。

AWS 管理の一時認証情報は、以下のいずれかの条件の下で更新されます。
* 一定の時間が経過するたび。現在、これは5分ごとです。
* 環境の IDE を表示する Web ブラウザタブを再ロードするたび。

これは試してみよう。

5分後ぐらいに更新されるか

まずは今時点の確認

5分ちょい後、credentialsファイルのタイムスタンプが更新されてアクセスキーIDもシークレットアクセスキーも更新されました。
8分ぐらい経ってるぽいですが、まあそこは良しと。

ブラウザのリロード

ブラウザをリロードしてすぐに確認したら更新されてました。

AWS managed temporary credentials、本当に一時的な認証情報でした。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

EC2 Global Viewで不要なインスタンスを見つけて4つほど終了しました

EC2 Global Viewという機能がリリースされました。 EC2コンソール …

RDS + VPC + Lambda + API Gateway + CloudFront + WAF + ACMでAPIを構築する

RDSのMySQLの情報を与えられたリクエストをキーにしてjsonで返すAPIを …

Amazon EC2のAMIイメージを自動取得して保持日数が過ぎたら削除

画像の保存をEC2に戻した事もあってEC2のバックアップの自動取得を勉強がてらや …

新規アカウントでAWS Budgetsの設定をしました

新規で組織を作ってAWS Budgetsを久しぶりに設定しました。 作成してすぐ …

再会の日 ~re:Union 2018 Osaka by JAWS-UG~

8/5は大阪でre:Unionでした。 「再会」と名うったこのイベントは、6月に …

Amazon SES(Simple Email Service)でメール受信時のアクションでLambdaを実行して渡されるデータを見てみる

Amazon SESで受信したメールをS3に保存して、S3のトリガーでLambd …

CloudTrailイベントのコストしか発生していないリージョンのコスト発生源を調査しました

調査のきっかけ ふと検証用AWSアカウントのCostExplorerを見てました …

Cloud9初回アクセス時にCodeCommitのリポジトリを自動でクローンする

CloudFormationからCloud9環境を作成する際に、Reposito …

S3バケットポリシーでクロスアカウントのPrincipalについて確認

確認したこと ドキュメントではこちらで確認しました。 AWS JSON ポリシー …

特定のIAMロールをLambda(Python)で削除する

やりたいこと 特定アカウントの特定の名前が含まれるIAMロールをまとめて削除した …