EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

2021/08/20 2021/08/20

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限を短くする」方法がわからなかったので、CLIで無理やり実験してみました。

結論

EC2インスタンスプロファイルに頼るのではなく、sts:AssumeRoleをCLIやSDKで実行して有効期限を指定してあげたほうがいいですね。

IAMロール

S3:ListAllMyBucketsのみ許可したIAMロールを作ってEC2インスタンスに設定しました。
あとセッションマネージャー使いたいのでAWS管理ポリシーのAmazonSSMManagedInstanceCoreはアタッチしてます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:ListAllMyBuckets",

"Resource": "*"

}

]

}

EC2メタデータから取得

$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

1 2	$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/S3LSforEC2

EC2インスタンスにセッションマネージャーで接続して、メタデータから認証情報を取得しました。

export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_SESSION_TOKEN=

export AWS_ACCESS_KEY_ID=

export AWS_SECRET_ACCESS_KEY=

export AWS_SESSION_TOKEN=

取得した認証情報をローカルのmacOSのターミナルで環境変数に設定しました。

$ aws sts get-caller-identity
{
    "UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"
}

$ aws sts get-caller-identity

{

"UserId": "AROARFDUEEVTDCNWI5K3W:i-092e5563d3b1e27a9",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:assumed-role/S3LSforEC2/i-092e5563d3b1e27a9"

}

sts get-caller-identityコマンドで確認してみるとIAMロールにたいしてEC2インスタンスプロファイルが取得したセッションの認証になっていることがわかりました。

$ aws s3 ls

1 2	$ aws s3 ls

s3 lsコマンドで該当のバケット一覧を確認しました。

EC2からIAMロールをデタッチしてみる

CloudShellから以下 CLIでAssociationIdを確認しました。

$ aws ec2 describe-iam-instance-profile-associations
{
    "IamInstanceProfileAssociations": [
        {
            "AssociationId": "iip-assoc-0daa74c36a84893ac",
            "InstanceId": "i-092e5563d3b1e27a9",
            "IamInstanceProfile": {
                "Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",
                "Id": "AIPARFDUEEVTKCUPD6M4M"
            },
            "State": "associated"
        }
    ]
}

$ aws ec2 describe-iam-instance-profile-associations

{

"IamInstanceProfileAssociations": [

{

"AssociationId": "iip-assoc-0daa74c36a84893ac",

"InstanceId": "i-092e5563d3b1e27a9",

"IamInstanceProfile": {

"Arn": "arn:aws:iam::123456789012:instance-profile/S3LSforEC2",

"Id": "AIPARFDUEEVTKCUPD6M4M"

"State": "associated"

}

]

}

そのままCloudShellからIAMロールのEC2との関連付けをデタッチしてみました。

$ aws ec2 disassociate-iam-instance-profile \
--association-id iip-assoc-0daa74c36a84893ac

$ aws ec2 disassociate-iam-instance-profile \

--association-id iip-assoc-0daa74c36a84893ac

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

有効です。
そのまま10分ぐらい経過しても aws s3 lsでバケット一覧は取得できました。
関連付けがなくなるだけで認証情報が無効化されたわけではないのですね。

セッション無効化しないといけないのか？

マネジメントコンソールの[アクティブなセッション無効化]を実行すると以下のインラインポリシーがアタッチされます。
[policy creation time]には無効化を実行した時間が入ります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "DateLessThan": {
          "aws:TokenIssueTime": "[policy creation time]"
        }
      }
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"*"

"Resource": [

"*"

"Condition": {

"DateLessThan": {

"aws:TokenIssueTime": "[policy creation time]"

}

]

}

無効化してからmacOSのターミナルで試してみます。

$ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

$ aws s3 ls

An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

aws:TokenIssueTimeが指定時間よりも過去になる条件が追加されたので拒否されました。
そりゃそうですね。

まとめ

無効化するためには、条件つきのインラインポリシーを追加する。
“aws:TokenIssueTime”がインラインポリシーよりも後の認証情報を作成するために、IAMプロファイルインスタンスをdisassociateして、associateする。

って、こんなことするのであれば、sts:AssumeRoleで有効期限を指定するのが普通のやりかたですね。
EC2インスタンスプロファイルのローテーション期間を指定できるのなら嬉しいですが。

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: CloudFormationドリフト検出

CloudFormationスタックのドリフト検出を確認しました。 CloudF …

: S3バケットのデフォルト暗号化はデフォルトだったことを確認しました

S3バケットのデフォルト暗号化は名前のとおりだとデフォルトなので、暗号化を指定し …

: AWS Organizationsで組織全体のAWS CloudTrailを有効にしました

Organizationsのサービスメニューから、CloudTrailを選択して …

: php-fpm で Out of memoryが発生した際にメール通知する(AWS CloudWatch , Amazon SNS)

AWS CloudWatch LogsエージェントでAmazon EC2上のNg …

: Cloud9でSAMローカルテスト

せっかくテストするので、Amazon CloudSearchからAmazon E …

: AWS EC2 インスタンスステータスのチェックで失敗原因はPHP-FPMのOOM-KILLER

先週に引き続きEC2のインスタンスステータスチェックで失敗再起動するも失敗する …

: WordPress、プラグインのアップデートしてBlue/Greenデプロイ

現在のブログの構成です。 WordPressとプラグインのアップデートをして、デ …

: JAWS FESTA 2017 Reverse X re:Birth

JAWS FESTA 2017 中四国今年はブログタイトル「JAWS FEST …

: EC2:RunInstances APIにリクエストしてEC2インスタンスを起動(署名バージョン4、Postman)

AWSのAPIリクエストってHTTPでもよかったですよね？って思って、確認のため …

: IAMセッションポリシーの利用(GetFederationToken)

GetFederationTokenでのセッションポリシーは、呼び出し元のIAM …

PREV: Amazon S3オブジェクトロック
NEXT: macOS Big Sur 11.5で特定のアプリケーションのマルウェア対策(実行拒否)を解除する

EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

結論

IAMロール

EC2メタデータから取得

EC2からIAMロールをデタッチしてみる

EC2との関連付けをデタッチしたあとに認証はまだ有効なのか？

セッション無効化しないといけないのか？

まとめ

ad

ad

関連記事

CloudFormationドリフト検出

S3バケットのデフォルト暗号化はデフォルトだったことを確認しました

AWS Organizationsで組織全体のAWS CloudTrailを有効にしました

php-fpm で Out of memoryが発生した際にメール通知する(AWS CloudWatch , Amazon SNS)

Cloud9でSAMローカルテスト

AWS EC2 インスタンスステータスのチェックで失敗原因はPHP-FPMのOOM-KILLER

WordPress、プラグインのアップデートしてBlue/Greenデプロイ

JAWS FESTA 2017 Reverse X re:Birth

EC2:RunInstances APIにリクエストしてEC2インスタンスを起動(署名バージョン4、Postman)

IAMセッションポリシーの利用(GetFederationToken)