EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

2021/08/20 2021/08/20

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限を短くする」方法がわからなかったので、CLIで無理やり実験してみました。

結論

EC2インスタンスプロファイルに頼るのではなく、sts:AssumeRoleをCLIやSDKで実行して有効期限を指定してあげたほうがいいですね。

IAMロール

S3:ListAllMyBucketsのみ許可したIAMロールを作ってEC2インスタンスに設定しました。
あとセッションマネージャー使いたいのでAWS管理ポリシーのAmazonSSMManagedInstanceCoreはアタッチしてます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:ListAllMyBuckets",

"Resource": "*"

}

]

}

EC2メタデータから取得

$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

1 2	$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

EC2インスタンスにセッションマネージャーで接続して、メタデータから認証情報を取得しました。

export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_SESSION_TOKEN=

export AWS_ACCESS_KEY_ID=

export AWS_SECRET_ACCESS_KEY=

export AWS_SESSION_TOKEN=

取得した認証情報をローカルのmacOSのターミナルで環境変数に設定しました。

$ aws sts get-caller-identity
{
    "UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"
}

$ aws sts get-caller-identity

{

"UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"

}

sts get-caller-identityコマンドで確認してみるとIAMロールにたいしてEC2インスタンスプロファイルが取得したセッションの認証になっていることがわかりました。

$ aws s3 ls

1 2	$ aws s3 ls

s3 lsコマンドで該当のバケット一覧を確認しました。

EC2からIAMロールをデタッチしてみる

CloudShellから以下 CLIでAssociationIdを確認しました。

$ aws ec2 describe-iam-instance-profile-associations
{
    "IamInstanceProfileAssociations": [
        {
            "AssociationId": "iip-assoc-0daa74c36a84893ac",
            "InstanceId": "i-092e5563d3b1e27a9",
            "IamInstanceProfile": {
                "Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",
                "Id": "AIPARFDUEEVTKCUPD6M4M"
            },
            "State": "associated"
        }
    ]
}

$ aws ec2 describe-iam-instance-profile-associations

{

"IamInstanceProfileAssociations": [

{

"AssociationId": "iip-assoc-0daa74c36a84893ac",

"InstanceId": "i-092e5563d3b1e27a9",

"IamInstanceProfile": {

"Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",

"Id": "AIPARFDUEEVTKCUPD6M4M"

"State": "associated"

}

]

}

そのままCloudShellからIAMロールのEC2との関連付けをデタッチしてみました。

$ aws ec2 disassociate-iam-instance-profile \
--association-id iip-assoc-0daa74c36a84893ac

$ aws ec2 disassociate-iam-instance-profile \

--association-id iip-assoc-0daa74c36a84893ac

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

有効です。
そのまま10分ぐらい経過しても aws s3 lsでバケット一覧は取得できました。
関連付けがなくなるだけで認証情報が無効化されたわけではないのですね。

セッション無効化しないといけないのか？

マネジメントコンソールの[アクティブなセッション無効化]を実行すると以下のインラインポリシーがアタッチされます。
[policy creation time]には無効化を実行した時間が入ります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "DateLessThan": {
          "aws:TokenIssueTime": "[policy creation time]"
        }
      }
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"*"

"Resource": [

"*"

"Condition": {

"DateLessThan": {

"aws:TokenIssueTime": "[policy creation time]"

}

]

}

無効化してからmacOSのターミナルで試してみます。

$ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

$ aws s3 ls

An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

aws:TokenIssueTimeが指定時間よりも過去になる条件が追加されたので拒否されました。
そりゃそうですね。

まとめ

無効化するためには、条件つきのインラインポリシーを追加する。
“aws:TokenIssueTime”がインラインポリシーよりも後の認証情報を作成するために、IAMプロファイルインスタンスをdisassociateして、associateする。

って、こんなことするのであれば、sts:AssumeRoleで有効期限を指定するのが普通のやりかたですね。
EC2インスタンスプロファイルのローテーション期間を指定できるのなら嬉しいですが。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: Amazon VPCにオンプレミス検証環境想定プライベートDNSサーバー(BIND)をEC2で起動する

オンプレミス想定の検証で使うために、Amazon VPCにプライベート向けDNS …

: CUSTOMINEを使ってkintoneからAWS Lambdaを実行する(Cognito認証付き)

先日の記事「kintoneのカスタマイズ開発を超速にするCUSTOMINE」で書 …

: GoogleForm,GASからAPI Gateway, Lambdaで入力情報をDynamoDBに格納する

vol.26 AWS認定試験テキスト認定クラウドプラクティショナーのデモ(Dyn …

: Amazon Connectで電話を転送する

かかってきた電話を転送するようにしました。問い合わせフローで[終了/転送]から …

: JAWS-UG 大阪関西女子合同 Amazon Personalizeハンズオンやってみました

久しぶりに大阪でJAWS-UGに参加です。 Amazon Personalize …

: Amazon Quantum Ledger Database(QLDB)でサンプル台帳の作成と検証

Quantum Ledger Database(QLDB)を触ったことなかったの …

: 「JAWS-UG 名古屋 2022年 “re:Invent”の復習~忘年会~」に参加しました

re:Inventのおみやげも飲み物、ピザ、お寿司もたくさん。コラボベースさん …

: AWS Transfer Family S3向けのSFTP対応サーバーをVPCで作成してEIPをアタッチ

EIPの作成同じリージョンでEIPを作成しておきます。 SFTP対応サーバーの …

: AWS Systems Manager セッションマネージャを使用するために必要な設定

AWS Systems Manager セッションマネージャを使用するために必要 …

: AWS EC2 インスタンスステータスのチェックで失敗原因はPHP-FPMのOOM-KILLER

先週に引き続きEC2のインスタンスステータスチェックで失敗再起動するも失敗する …

PREV: Amazon S3オブジェクトロック
NEXT: macOS Big Sur 11.5で特定のアプリケーションのマルウェア対策(実行拒否)を解除する