ヤマムギ

growing hard days.

*

IAMセッションポリシーの利用(GetFederationToken)

      2021/08/16

GetFederationTokenでのセッションポリシーは、呼び出し元のIAMユーザーのポリシーで許可されたアクションを絞り込みます。

元のCLI実行ユーザーは、STS GetFederationToken、EC2FullAccess、S3FullAccessをポリシーで許可しています。
ですので以下のような実行が許可されています。

get-federation-tokenでAWS管理ポリシーのAmazonS3FullAccessだけを指定しました。

GetFederationTokenで取得した、AccessKeyId、SecretAccessKey、SessionTokenを以下の環境変数にセットします。

以下のコマンドを実行すると、S3のアクションは許可されますが、EC2のアクションは権限エラーになります。
これは、先にセッションポリシーが評価されて許可されていなければ暗黙的な拒否で終了しています。

get-caller-identityで確認するとfederated-userが出力されます。

セッションポリシーなしの元のIAMユーザーのみに戻るには、端末でunsetしておきました。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

ヤマムギ vol.9 (AWS)EC2からAWS CLIコマンドを実行してみようハンズオン 手順

このブログは2020/5/5に開催しました、「ヤマムギ vol.9 (AWS)E …

Amazon Aurora Serverlessを使い始めてみました(1日経過しての課金結果も)

祝!!! Amazon Aurora ServerlessがGAになりました! …

AWS CDKでクロススタックリファレンスをする

CloudFormationで複数のスタックで参照することがあります。 それをC …

Amazon Location Service入門ワークショップ-ジオコーディング

ジオコーディングにより住所を緯度経度に変換したり、逆に緯度経度から住所を求めたり …

Amazon Connectで電話を転送する

かかってきた電話を転送するようにしました。 問い合わせフローで[終了/転送]から …

EC2 VyOSで/etc/resolv.confを設定しました

EC2でVyOSを起動してSSHで接続して確認していたところ、どうもVyOSから …

リザーブドインスタンスはじめました

このブログも2014年9月にはじめたので、もうすぐ3年。 1件~17件とばらつき …

別アカウントのVPCからAWS PrivateLinkを使う

VPC エンドポイントサービス (AWS PrivateLink)を参考にしまし …

特定のIAMロールをLambda(Python)で削除する

やりたいこと 特定アカウントの特定の名前が含まれるIAMロールをまとめて削除した …

re:Invent 徒歩記(シアトルも)

このブログは、AWS re:invent 2018 Advent Calenda …