ヤマムギ

growing hard days.

*

Cloud9のデフォルト設定での権限確認(AWS managed temporary credentials)

      2021/06/20

Cloud9の環境を作成した際のデフォルトアクセス権限は、環境を作成したIAMユーザーの認証が設定されると思うのですが、はっきり試したことがなかったので試しました。

デフォルト環境の確認

Cloud9の環境直後の状態です。
右上の歯車からPreferences-[AWS Settings]を確認すると、Credentialsでは、AWS managed temporary credentialsがONになっています。

ターミナルでaws configure listコマンドで確認すると、credentialファイルに記録されているようです。

credentialsファイルを確認すると、設定されています。

このCloud9環境を作成したIAMユーザーには、以下のAWS管理ポリシーをアタッチしています。

  • AWSCloud9User
  • AmazonEC2ReadOnlyAccess

ec2 describe-regionsは許可されました。

s3 lsコマンドは拒否されました。

IAMユーザーにAmazonS3ReadOnlyAccessポリシーを追加して再度試しました。

許可されました。

AWS managed temporary credentials(AWS管理一時認証情報)をオフにする

[AWS Settings]のCredentialsで、AWS managed temporary credentialsをOFFにしてみました。

認証以前に、デフォルトリージョンまでなくなったようです。

リージョン指定すると、credentialsがない、となりました。

やっぱりないのですね。
この状態でCloud9環境のEC2にIAMロールを設定すれば、その権限が使えますね。
.aws/credentialsを残したまま、IAMロールを設定しても、CLIやSDKは.aws/credentialsを優先するので要注意ですね。

再度、[AWS Settings]のCredentialsで、AWS managed temporary credentialsをONにしてみました。

先ほどとは違う認証情報が設定されました。

Cloud9の環境を構築したIAMユーザーの認証が使われていることが明確になりました。

AWS managed temporary credentialsの自動更新の確認

AWS managed temporary credentials (AWS 管理の一時認証情報)

こちらのユーザーガイドを見ていると、以下の記述がありました。

AWS 管理の一時認証情報は、以下のいずれかの条件の下で更新されます。
* 一定の時間が経過するたび。現在、これは5分ごとです。
* 環境の IDE を表示する Web ブラウザタブを再ロードするたび。

これは試してみよう。

5分後ぐらいに更新されるか

まずは今時点の確認

5分ちょい後、credentialsファイルのタイムスタンプが更新されてアクセスキーIDもシークレットアクセスキーも更新されました。
8分ぐらい経ってるぽいですが、まあそこは良しと。

ブラウザのリロード

ブラウザをリロードしてすぐに確認したら更新されてました。

AWS managed temporary credentials、本当に一時的な認証情報でした。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

AWS EC2 でインスタンスにIPアドレスを紐付ける

AWS EC2で作ったサーバは何もしなければ起動するたびにIPアドレスが変わって …

Amazon EMR 「Hadoop を使用してビッグデータを分析」チュートリアルをやってみました

AWS認定データアナリティクス受験準備の一環で、Amazon EMRのチュートリ …

Lambda関数で自分自身の環境変数を更新する

Twitterでツイート検索するAPIを試してみるでツイートの取得を重複させない …

Amazon EC2のスクリーンショットとは

ドキュメント見てたらAmazon EC2でスクリーンショットって機能があったので …

Amazon Pinpoint Workshopの1(Eメール)

Amazon Pinpoint Workshop ここ数年、AWS re:Inv …

AWS Systems Manager セッションマネージャを使用するために必要な設定

AWS Systems Manager セッションマネージャを使用するために必要 …

AWS Lambda(Python)で生成した文字をAmazon Connectで音声を設定して発信する

Amazon Connectから発信する電話の音声を動的に設定します。 Lamb …

Cloud9初回アクセス時にCodeCommitのリポジトリを自動でクローンする

CloudFormationからCloud9環境を作成する際に、Reposito …

DynamoDB IAMポリシーで特定属性だけを許可する

検証記録です。 対象テーブル 書籍のサンプルで作ったこちらです。 所属バンドの楽 …

別アカウントのVPCからAWS PrivateLinkを使う

VPC エンドポイントサービス (AWS PrivateLink)を参考にしまし …