EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

2021/08/20 2021/08/20

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限を短くする」方法がわからなかったので、CLIで無理やり実験してみました。

結論

EC2インスタンスプロファイルに頼るのではなく、sts:AssumeRoleをCLIやSDKで実行して有効期限を指定してあげたほうがいいですね。

IAMロール

S3:ListAllMyBucketsのみ許可したIAMロールを作ってEC2インスタンスに設定しました。
あとセッションマネージャー使いたいのでAWS管理ポリシーのAmazonSSMManagedInstanceCoreはアタッチしてます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:ListAllMyBuckets",

"Resource": "*"

}

]

}

EC2メタデータから取得

$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

1 2	$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

EC2インスタンスにセッションマネージャーで接続して、メタデータから認証情報を取得しました。

export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_SESSION_TOKEN=

export AWS_ACCESS_KEY_ID=

export AWS_SECRET_ACCESS_KEY=

export AWS_SESSION_TOKEN=

取得した認証情報をローカルのmacOSのターミナルで環境変数に設定しました。

$ aws sts get-caller-identity
{
    "UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"
}

$ aws sts get-caller-identity

{

"UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"

}

sts get-caller-identityコマンドで確認してみるとIAMロールにたいしてEC2インスタンスプロファイルが取得したセッションの認証になっていることがわかりました。

$ aws s3 ls

1 2	$ aws s3 ls

s3 lsコマンドで該当のバケット一覧を確認しました。

EC2からIAMロールをデタッチしてみる

CloudShellから以下 CLIでAssociationIdを確認しました。

$ aws ec2 describe-iam-instance-profile-associations
{
    "IamInstanceProfileAssociations": [
        {
            "AssociationId": "iip-assoc-0daa74c36a84893ac",
            "InstanceId": "i-092e5563d3b1e27a9",
            "IamInstanceProfile": {
                "Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",
                "Id": "AIPARFDUEEVTKCUPD6M4M"
            },
            "State": "associated"
        }
    ]
}

$ aws ec2 describe-iam-instance-profile-associations

{

"IamInstanceProfileAssociations": [

{

"AssociationId": "iip-assoc-0daa74c36a84893ac",

"InstanceId": "i-092e5563d3b1e27a9",

"IamInstanceProfile": {

"Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",

"Id": "AIPARFDUEEVTKCUPD6M4M"

"State": "associated"

}

]

}

そのままCloudShellからIAMロールのEC2との関連付けをデタッチしてみました。

$ aws ec2 disassociate-iam-instance-profile \
--association-id iip-assoc-0daa74c36a84893ac

$ aws ec2 disassociate-iam-instance-profile \

--association-id iip-assoc-0daa74c36a84893ac

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

有効です。
そのまま10分ぐらい経過しても aws s3 lsでバケット一覧は取得できました。
関連付けがなくなるだけで認証情報が無効化されたわけではないのですね。

セッション無効化しないといけないのか？

マネジメントコンソールの[アクティブなセッション無効化]を実行すると以下のインラインポリシーがアタッチされます。
[policy creation time]には無効化を実行した時間が入ります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "DateLessThan": {
          "aws:TokenIssueTime": "[policy creation time]"
        }
      }
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"*"

"Resource": [

"*"

"Condition": {

"DateLessThan": {

"aws:TokenIssueTime": "[policy creation time]"

}

]

}

無効化してからmacOSのターミナルで試してみます。

$ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

$ aws s3 ls

An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

aws:TokenIssueTimeが指定時間よりも過去になる条件が追加されたので拒否されました。
そりゃそうですね。

まとめ

無効化するためには、条件つきのインラインポリシーを追加する。
“aws:TokenIssueTime”がインラインポリシーよりも後の認証情報を作成するために、IAMプロファイルインスタンスをdisassociateして、associateする。

って、こんなことするのであれば、sts:AssumeRoleで有効期限を指定するのが普通のやりかたですね。
EC2インスタンスプロファイルのローテーション期間を指定できるのなら嬉しいですが。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: Cloud9初回アクセス時にCodeCommitのリポジトリを自動でクローンする

CloudFormationからCloud9環境を作成する際に、Reposito …

: AWS Transit GatewayのVPN接続

上記のような構成で、オンプレミス側は東京リージョンのVPCでVyOSを起動して接 …

: 特定AWSアカウント特定リージョンのSNSトピックを削除するLambda(Python)

やりたいこと特定アカウント内特定リージョン内のSNSトピックを全部削除したいで …

: Systems Manager パブリックパラメータCLIでAWSのサービス数を出力してみました(2020/5/26)

先日のAWSのサービス数を数えてみました(2020/5/23)を見られて、お師匠 …

: AWS認定試験の自宅受験で壁のポスターを注意されちゃいました

AWS認定オンライン受験をしてみましたに書きましたとおり、自宅受験デビューしまし …

: 「JAWS-UG 名古屋 2022年 “re:Invent”の復習~忘年会~」に参加しました

re:Inventのおみやげも飲み物、ピザ、お寿司もたくさん。コラボベースさん …

: Route53でドメインを新規取得してDNSレコードを設定する

Elastic IPをAWSで発行しているのですから、DNSの設定も同じようにマ …

: Cloud9でCodeWhispererを使用する

アクセス権限 Cloud9のEC2に設定するIAMロールのIAMポリシーで co …

: EC2インスタンスWindowsでセッションマネージャーを使う

WindowsのEC2インスタンスでセッションマネージャーを使ってみたことがない …

: 「雲勉第1回【勉強会：新技術好き!】AWSマネージドサービス勉強会」に行ってきました

「雲勉第1回【勉強会：新技術好き!】AWSマネージドサービス勉強会」に行ってき …

PREV: Amazon S3オブジェクトロック
NEXT: macOS Big Sur 11.5で特定のアプリケーションのマルウェア対策(実行拒否)を解除する

EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

結論

IAMロール

EC2メタデータから取得

EC2からIAMロールをデタッチしてみる

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

セッション無効化しないといけないのか？

まとめ

ad

ad

関連記事

Cloud9初回アクセス時にCodeCommitのリポジトリを自動でクローンする

AWS Transit GatewayのVPN接続

特定AWSアカウント特定リージョンのSNSトピックを削除するLambda(Python)

Systems Manager パブリックパラメータCLIでAWSのサービス数を出力してみました(2020/5/26)

AWS認定試験の自宅受験で壁のポスターを注意されちゃいました

「JAWS-UG 名古屋 2022年 “re:Invent”の復習~忘年会~」に参加しました

Route53でドメインを新規取得してDNSレコードを設定する

Cloud9でCodeWhispererを使用する

EC2インスタンスWindowsでセッションマネージャーを使う

「雲勉第1回【勉強会：新技術好き!】AWSマネージドサービス勉強会」に行ってきました