EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

2021/08/20 2021/08/20

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限を短くする」方法がわからなかったので、CLIで無理やり実験してみました。

結論

EC2インスタンスプロファイルに頼るのではなく、sts:AssumeRoleをCLIやSDKで実行して有効期限を指定してあげたほうがいいですね。

IAMロール

S3:ListAllMyBucketsのみ許可したIAMロールを作ってEC2インスタンスに設定しました。
あとセッションマネージャー使いたいのでAWS管理ポリシーのAmazonSSMManagedInstanceCoreはアタッチしてます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:ListAllMyBuckets",

"Resource": "*"

}

]

}

EC2メタデータから取得

$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

1 2	$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

EC2インスタンスにセッションマネージャーで接続して、メタデータから認証情報を取得しました。

export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_SESSION_TOKEN=

export AWS_ACCESS_KEY_ID=

export AWS_SECRET_ACCESS_KEY=

export AWS_SESSION_TOKEN=

取得した認証情報をローカルのmacOSのターミナルで環境変数に設定しました。

$ aws sts get-caller-identity
{
    "UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"
}

$ aws sts get-caller-identity

{

"UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"

}

sts get-caller-identityコマンドで確認してみるとIAMロールにたいしてEC2インスタンスプロファイルが取得したセッションの認証になっていることがわかりました。

$ aws s3 ls

1 2	$ aws s3 ls

s3 lsコマンドで該当のバケット一覧を確認しました。

EC2からIAMロールをデタッチしてみる

CloudShellから以下 CLIでAssociationIdを確認しました。

$ aws ec2 describe-iam-instance-profile-associations
{
    "IamInstanceProfileAssociations": [
        {
            "AssociationId": "iip-assoc-0daa74c36a84893ac",
            "InstanceId": "i-092e5563d3b1e27a9",
            "IamInstanceProfile": {
                "Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",
                "Id": "AIPARFDUEEVTKCUPD6M4M"
            },
            "State": "associated"
        }
    ]
}

$ aws ec2 describe-iam-instance-profile-associations

{

"IamInstanceProfileAssociations": [

{

"AssociationId": "iip-assoc-0daa74c36a84893ac",

"InstanceId": "i-092e5563d3b1e27a9",

"IamInstanceProfile": {

"Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",

"Id": "AIPARFDUEEVTKCUPD6M4M"

"State": "associated"

}

]

}

そのままCloudShellからIAMロールのEC2との関連付けをデタッチしてみました。

$ aws ec2 disassociate-iam-instance-profile \
--association-id iip-assoc-0daa74c36a84893ac

$ aws ec2 disassociate-iam-instance-profile \

--association-id iip-assoc-0daa74c36a84893ac

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

有効です。
そのまま10分ぐらい経過しても aws s3 lsでバケット一覧は取得できました。
関連付けがなくなるだけで認証情報が無効化されたわけではないのですね。

セッション無効化しないといけないのか？

マネジメントコンソールの[アクティブなセッション無効化]を実行すると以下のインラインポリシーがアタッチされます。
[policy creation time]には無効化を実行した時間が入ります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "DateLessThan": {
          "aws:TokenIssueTime": "[policy creation time]"
        }
      }
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"*"

"Resource": [

"*"

"Condition": {

"DateLessThan": {

"aws:TokenIssueTime": "[policy creation time]"

}

]

}

無効化してからmacOSのターミナルで試してみます。

$ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

$ aws s3 ls

An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

aws:TokenIssueTimeが指定時間よりも過去になる条件が追加されたので拒否されました。
そりゃそうですね。

まとめ

無効化するためには、条件つきのインラインポリシーを追加する。
“aws:TokenIssueTime”がインラインポリシーよりも後の認証情報を作成するために、IAMプロファイルインスタンスをdisassociateして、associateする。

って、こんなことするのであれば、sts:AssumeRoleで有効期限を指定するのが普通のやりかたですね。
EC2インスタンスプロファイルのローテーション期間を指定できるのなら嬉しいですが。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: Selenium, Headless ChromeとAWS Lambdaで夜な夜なスクレイピング

このようなアーキテクチャで、Alexaスキルの開発を進めていまして、元となる情報 …

: AWS CodeStarで静的webサイトのテンプレートプロジェクトを作成する

執筆環境の検討中です。 CodeCommitは使うつもりで、コミットしたときにE …

: サイトのHTTPステータスを5分おきにチェックして200以外ならSlackに通知する

すいません。ここ最近出費が重なりまして、某監視サービスのプランを有料プランからF …

: WordPress(EC2)の画像のS3へのオフロードをMedia Cloudで

タイトル通りですが、画像をwebサーバー(EC2)からではなく、S3バケットから …

: AWS Systems Manager セッションマネージャを使用するために必要な設定

AWS Systems Manager セッションマネージャを使用するために必要 …

: EC2 Windows インスタンス PowerShellでメタデータを見る

Linuxインスタンスならcurlコマンドで確認すればいいのですが、Window …

: EFSのマウントターゲットがデフォルトで作成されるようになってました

ひさしぶりにAmazon EFSファイルシステムを作成しました。作成手順がすご …

: EC2インスタンスWindowsでセッションマネージャーを使う

WindowsのEC2インスタンスでセッションマネージャーを使ってみたことがない …

: BearからNotionへの引っ越し(Amazon Q Developer for CLIに丸投げ)

MacとiPhoneでのテキスト管理と共有で長年Bearを使っていましたが、Wi …

: NGINXで500と502のエラーが実は頻発していたらしい

先日Mackerelで当ブログの外形監視を始めたのですが、500と502のエラー …

PREV: Amazon S3オブジェクトロック
NEXT: macOS Big Sur 11.5で特定のアプリケーションのマルウェア対策(実行拒否)を解除する