IAMセッションポリシーの利用(GetFederationToken)
2021/08/16
GetFederationTokenでのセッションポリシーは、呼び出し元のIAMユーザーのポリシーで許可されたアクションを絞り込みます。
元のCLI実行ユーザーは、STS GetFederationToken、EC2FullAccess、S3FullAccessをポリシーで許可しています。
ですので以下のような実行が許可されています。
|
1 2 3 |
aws s3 ls aws ec2 describe-regions |
get-federation-tokenでAWS管理ポリシーのAmazonS3FullAccessだけを指定しました。
|
1 2 |
aws sts get-federation-token --name feduser --policy-arns arn=arn:aws:iam::aws:policy/AmazonS3FullAccess |
GetFederationTokenで取得した、AccessKeyId、SecretAccessKey、SessionTokenを以下の環境変数にセットします。
|
1 2 3 4 |
export AWS_ACCESS_KEY_ID= export AWS_SECRET_ACCESS_KEY= export AWS_SESSION_TOKEN= |
以下のコマンドを実行すると、S3のアクションは許可されますが、EC2のアクションは権限エラーになります。
これは、先にセッションポリシーが評価されて許可されていなければ暗黙的な拒否で終了しています。
|
1 2 3 |
aws s3 ls aws ec2 describe-regions |
get-caller-identityで確認するとfederated-userが出力されます。
|
1 2 3 4 5 6 7 |
aws sts get-caller-identity { "UserId": "123456789012:feduser", "Account": "123456789012", "Arn": "arn:aws:sts::123456789012:federated-user/feduser" } |
セッションポリシーなしの元のIAMユーザーのみに戻るには、端末でunsetしておきました。
|
1 2 3 4 |
unset AWS_ACCESS_KEY_ID unset AWS_SECRET_ACCESS_KEY unset AWS_SESSION_TOKEN |
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
CloudWatch インテリジェントオペレーションでこのブログのログを調査してみました
CloudWatch インテリジェントオペレーションを設定しました。 設定 マネ …
-
-
「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた
サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …
-
-
AWS CloudFormationでAmazon DynamoDBテーブルを作ってアイテムを追加する
デモ用にDynamoDBテーブルを作って消して、ということをたまにするので、Cl …
-
-
AWS CodeStarで静的webサイトのテンプレートプロジェクトを作成する
執筆環境の検討中です。 CodeCommitは使うつもりで、コミットしたときにE …
-
-
Aurora Serverless Data APIを有効にしてQuery Editorを使ってみました
Aurora ServerlessのMySQLでData APIを有効にして作成 …
-
-
Amazon Q Developer for CLIでAWS Diagram MCP Serverを使ってAWSアイコンを使った図を書いてもらいました
MacにインストールしているAmazon Q Developer for CLI …
-
-
AWS CDK とにかくサンプルでやってみる
Cloud9でAWS CDK環境で作った環境でサンプルプロジェクトからのデプロイ …
-
-
Route 53 の加重ラウンドロビンルーティングでロードバランサー
Route 53の加重ラウンドロビンで両方1に設定してみました。 上図はイメージ …
-
-
「機械学習モデルをトレーニングする」チュートリアル
Amazon SageMaker Clarifyのデモを記録しておきたいので「機 …
-
-
EC2のAMIとRDSのスナップショットを他のAWSアカウントに共有してブログサイトをAWSアカウント間で引っ越す
当ブログで使用しているEC2とRDSを環境の整理のため、他のAWSアカウントへ引 …