ヤマムギ

growing hard days.

*

IAMセッションポリシーの利用(GetFederationToken)

      2021/08/16

GetFederationTokenでのセッションポリシーは、呼び出し元のIAMユーザーのポリシーで許可されたアクションを絞り込みます。

元のCLI実行ユーザーは、STS GetFederationToken、EC2FullAccess、S3FullAccessをポリシーで許可しています。
ですので以下のような実行が許可されています。

get-federation-tokenでAWS管理ポリシーのAmazonS3FullAccessだけを指定しました。

GetFederationTokenで取得した、AccessKeyId、SecretAccessKey、SessionTokenを以下の環境変数にセットします。

以下のコマンドを実行すると、S3のアクションは許可されますが、EC2のアクションは権限エラーになります。
これは、先にセッションポリシーが評価されて許可されていなければ暗黙的な拒否で終了しています。

get-caller-identityで確認するとfederated-userが出力されます。

セッションポリシーなしの元のIAMユーザーのみに戻るには、端末でunsetしておきました。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

特定AWSアカウント特定リージョンのSNSトピックを削除するLambda(Python)

やりたいこと 特定アカウント内特定リージョン内のSNSトピックを全部削除したいで …

5分でAlexaスキルを作る

「JAWS-UG Osaka 第22回勉強会 東西の中の人が語る!!! Micr …

CodeWhisperer(Visual Studio Code)でセキュリティスキャン

CodeWhispererのセキュリティスキャンを実行してみました。 画面下の[ …

S3イベントのAWS Lambdaのテスト設定

S3イベントのLambda関数でよく使うのはこんなテスト設定です。 なので覚書で …

LINE Bot APIのファーストステップをLambda+API Gatewayでやってみたらものすごく簡単で驚いた

トライアル当初はホワイトリストのしばりや、初回反応するまで時間がかかったりとみな …

JAWS-UG 大阪 関西女子合同 Amazon Personalizeハンズオンやってみました

久しぶりに大阪でJAWS-UGに参加です。 Amazon Personalize …

CloudFormation StackSetsでOrganizations組織のアカウントに一気にIAMロールを作成した

Organizationsで管理している各アカウントにIAMロールを作成したい場 …

「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた

サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …

AWS CloudShellでboto3(SDK for Python)使うならpython3

本の執筆をしていて、ちょっとAWS CLIやSDKのふるまいを確認したいことがあ …

YouTubeチャンネル「ヤマムギ」をはじめました

YouTubeチャンネル「ヤマムギ」をはじめました。 2021年GWチャレンジと …