IAMセッションポリシーの利用(GetFederationToken)

2021/08/16 2021/08/16

GetFederationTokenでのセッションポリシーは、呼び出し元のIAMユーザーのポリシーで許可されたアクションを絞り込みます。

元のCLI実行ユーザーは、STS GetFederationToken、EC2FullAccess、S3FullAccessをポリシーで許可しています。
ですので以下のような実行が許可されています。

aws s3 ls
aws ec2 describe-regions

aws s3 ls

aws ec2 describe-regions

get-federation-tokenでAWS管理ポリシーのAmazonS3FullAccessだけを指定しました。

aws sts get-federation-token --name feduser --policy-arns arn=arn:aws:iam::aws:policy/AmazonS3FullAccess

1 2	aws sts get-federation-token --name feduser --policy-arns arn=arn:aws:iam::aws:policy/AmazonS3FullAccess

GetFederationTokenで取得した、AccessKeyId、SecretAccessKey、SessionTokenを以下の環境変数にセットします。

export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_SESSION_TOKEN=

export AWS_ACCESS_KEY_ID=

export AWS_SECRET_ACCESS_KEY=

export AWS_SESSION_TOKEN=

以下のコマンドを実行すると、S3のアクションは許可されますが、EC2のアクションは権限エラーになります。
これは、先にセッションポリシーが評価されて許可されていなければ暗黙的な拒否で終了しています。

aws s3 ls
aws ec2 describe-regions

aws s3 ls

aws ec2 describe-regions

get-caller-identityで確認するとfederated-userが出力されます。

aws sts get-caller-identity
{
    "UserId": "123456789012:feduser",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:federated-user/feduser"
}

aws sts get-caller-identity

{

"UserId": "123456789012:feduser",

"Account": "123456789012",

"Arn": "arn:aws:sts::123456789012:federated-user/feduser"

}

セッションポリシーなしの元のIAMユーザーのみに戻るには、端末でunsetしておきました。

unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

unset AWS_ACCESS_KEY_ID

unset AWS_SECRET_ACCESS_KEY

unset AWS_SESSION_TOKEN

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam, sts

: AWS CDKでクロススタックリファレンスをする

CloudFormationで複数のスタックで参照することがあります。それをC …

: Amazon Glacierでボールトロックポリシーの作成開始をしてみました

Glacierを単体で使用することもそうそうないので、確認しました。まずボール …

: AWS Transit GatewayのVPCアタッチメント

構成これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …

: AWS Organizationsで新規メンバー登録したアカウントを組織から離して解約

2021年現在ではこの方法しかないと認識していますので書き残します。そのうち新 …

: Rocket.ChatにAPIで投稿するテスト(Postman)

トレーニング期間中で一時利用するチャットが欲しいなあと思い、Rocket.Cha …

: PyCharmにAWS Tool kitをインストールしてサンプルのLambda関数をデプロイして実行しました

この記事はJetBrainsIDE Advent Calendar 2018に参 …

: ACM(AWS Certificate Manager)の承認メールを受け取るためにAmazon SESを設定する

何のためでもいいのですが、ドメインは持っているけど、そのドメイン宛にメールを送ら …

: AWS Toolkit for Eclipseで「Error Message: Unable to find a region via the region provider chain. Must provide an explicit region in the builder or setup environment to supply a region.」

AWS Toolkit for Eclipseをセットアップ(2021年版)の環 …

: AWS認定試験の自宅受験で壁のポスターを注意されちゃいました

AWS認定オンライン受験をしてみましたに書きましたとおり、自宅受験デビューしまし …

: クロスリージョンでEFSをマウントしてみる

ニーズがあるかどうかはさておき、クロスリージョンでのEFSファイルシステムをマウ …

PREV: AWS Storage Gatewayボリュームゲートウェイを作成してWindowsから使用
NEXT: IAMアクセス許可の境界でIAMロールの権限を制御する

IAMセッションポリシーの利用(GetFederationToken)

ad

ad

関連記事

AWS CDKでクロススタックリファレンスをする

Amazon Glacierでボールトロックポリシーの作成開始をしてみました

AWS Transit GatewayのVPCアタッチメント

AWS Organizationsで新規メンバー登録したアカウントを組織から離して解約

Rocket.ChatにAPIで投稿するテスト(Postman)

PyCharmにAWS Tool kitをインストールしてサンプルのLambda関数をデプロイして実行しました

ACM(AWS Certificate Manager)の承認メールを受け取るためにAmazon SESを設定する

AWS Toolkit for Eclipseで「Error Message: Unable to find a region via the region provider chain. Must provide an explicit region in the builder or setup environment to supply a region.」

AWS認定試験の自宅受験で壁のポスターを注意されちゃいました

クロスリージョンでEFSをマウントしてみる