growing hard days.

IAMユーザーのマネジメントコンソールログインパスワードを変更してDynamoDBに記録するLambda(Python)

2020/01/12 2020/01/19

目次

やりたいこと

IAMユーザーのマネジメントコンソールへのサインインパスワードを動的に変更したくて、上記のアーキテクチャにしました。
Lambda(Python3.8)で実行しています。

SecretsManagerでランダムパスワードを生成します。
IAMユーザーのログインプロファイルをアップデートします。
結果をDynamoDBに書きこみます。

AWS複数アカウントのリソースをLambda(Python)から一括操作したくてのLambda関数に追加して呼び出してます。

def iam_user_password(session, user_name):
    try:
        sm = session.client('secretsmanager')
        password = sm.get_random_password(
            PasswordLength=16,
            ExcludeCharacters='lI0O1',
            ExcludeNumbers=False,
            ExcludePunctuation=False,
            ExcludeUppercase=False,
            ExcludeLowercase=False,
            IncludeSpace=False,
            RequireEachIncludedType=True
        )

        iam = session.resource('iam')
        login_profile = iam.LoginProfile(user_name)
        response = login_profile.update(
            Password=password['RandomPassword'],
            PasswordResetRequired=False
        )
        logger.info(response)
        return password['RandomPassword']

    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())


def password_putitem(account_id, user_name, password, table_name):
    try:
        dynamodb = boto3.resource('dynamodb')
        table = dynamodb.Table(table_name)
        table.put_item(
            Item={
                'account_id': account_id,
                'iam_user': user_name,
                'password': password
            }
        )
    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

def iam_user_password(session, user_name):

try:

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

def password_putitem(account_id, user_name, password, table_name):

try:

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

SecretsManagerでのランダムパスワードの生成

sm = session.client('secretsmanager')
password = sm.get_random_password(
    PasswordLength=16,
    ExcludeCharacters='lI0O1',
    ExcludeNumbers=False,
    ExcludePunctuation=False,
    ExcludeUppercase=False,
    ExcludeLowercase=False,
    IncludeSpace=False,
    RequireEachIncludedType=True
)

1

2

3

4

5

6

7

8

9

10

11

12

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

boto3 SecretsManagerのクライアントAPIで、get_random_passwordを使ってパスワードを生成しています。

PasswordLength パスワードの長さ。
ExcludeCharacters 除外する文字。見分けがつきにくい文字を除外しました。
ExcludeNumbers 数字を除外するか。含めるのでFalseにしてます。
ExcludePunctuation 記号を除外するか。含めるのでFalseにしてます。
ExcludeUppercase 大文字を除外するか。含めるのでFalseにしてます。
ExcludeLowercase 小文字を除外するか。含めるのでFalseにしてます。
IncludeSpace スペースを含めるか。含めないのでFalseにしてます。
RequireEachIncludedType すべての文字種を1つ以上含めるか。含めるのでTrueにしてます。

IAMユーザーのログインプロファイルをアップデート

iam = session.resource('iam')
login_profile = iam.LoginProfile(user_name)
response = login_profile.update(
    Password=password['RandomPassword'],
    PasswordResetRequired=False
)
logger.info(response)
return password['RandomPassword']

1

2

3

4

5

6

7

8

9

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

IAMのリソースAPIで指定したユーザーのログインプロファイルが操作できました。
updateにパスワードを含めます。
ログイン時にユーザーへのパスワード変更は、今回の要件では必要ないので、PasswordResetRequired=False としてます。

結果をDynamoDBへの書き込み

dynamodb = boto3.resource('dynamodb')
table = dynamodb.Table(table_name)
table.put_item(
    Item={
        'account_id': account_id,
        'iam_user': user_name,
        'password': password
    }
)

1

2

3

4

5

6

7

8

9

10

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

今回は1アイテムしか扱いませんので、batch_writerは使わずに、put_itemで書き込んでます。
DynamoDBのパーティションキーはaccount_id、ソートキーは iam_userで、課金方式はたまに書き込むだけなのでオンデマンド方式です。

できました！

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITトレーナー2年目のSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb, iam, python, secretsmanager

Tweet

関連記事

: Amazon LinuxにRedmine をインストールする(手順整理版)

Amazon LinuxにRedmineをインストールしました手順を記載します。 …

: S3に置いたMP3ファイルをTwilioから電話再生する(AWS Lambda Python)

Google Calendar Twilio ReminderのTwilioを使 …

: AWS Lambdaで「Process exited before completing request」

AWS lambdaで「Process exited before comple …

: AWS Lambda(Python)でDynamoDB テーブルを日次で削除/作成(オートスケーリング付き)

この記事はAWS #2 Advent Calendar 2018に参加した記事で …

: AWS Summit Tokyo 2017 Day3 開場~基調講演~Dev Day Night

AWS Summit Tokyo 2017 参加2日目のDay3です。基調講演 …

: Amazon Connectの新規作成からプッシュボタン入力と発信元電話番号をLambdaで処理するまで

とりあえずやりたいことはタイトルに書いたとおり、「電話をかけて、プッシュボタンに …

: AWS DeepLensセットアップの儀

AWS DeepLensのセットアップを開始します。 AWS DeepLensを …

: AWS Summit 2016 Tokyoに参加してきました (Day3)

飛天3日目です。 JAWS-UGブースのすぐ前にあったこのお水がめちゃめちゃおい …

: AWS Step Functions まずはパラレルでLambdaを並列実行してみました

複数のlambdaの実行制御をLambdaでやってましたが、その部分をStep …

: AWS EC2 Amazon Linuxにmauticをインストールする(Sendgrid, Nginx, MySQL on RDS)

mauticをAmazon LinuxとNginx,MySQL on RDSにイ …

PREV: AWS複数アカウントのリソースをLambda(Python)から一括操作したくて
NEXT: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

NEW POST

: Systems Manager パブリックパラメータCLIでAWSのサービス数を出力してみました(2020/5/26)

先日のAWSのサービス数を数えてみました(2020/5/23)を見られて、お師匠 …

: 「Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯」リモート開催に参加しました

Youtube Liveでリモート開催の「Fin-JAWS 第13回 PCI D …

: Remotehourを使ってみました

Remotehour 最近、なかなかお会い出来てない知人が、ご担当のプロダクトで …

: AWSのサービス数を数えてみました(2020/5/23)

何をもってサービスという単位にするかというのはあるかもしれませんが、とりあえず情 …

: グリーンTシャツで半袖ワイシャツネクタイをしていることにしてみる

タイムラインにTシャツ側を背景にするという、イカしたメソッドが流れてきましたので …

配信ライブカレンダー

[PR] AWS認定試験対策 AWS クラウドプラクティショナー

[PR] AWSではじめるLinux入門ガイド

タグ
alexa alexaday2018 alexaday2019 api apigateway AWS CentOS cloud9 devsumi2018 dynamodb EC2 gas git google iot iphone Java jaws kintone lambda Linux mac mac-mini Markdown mint MySQL Nginx oracle Pandoc PHP python Raspberry-Pi RDS re:dash Redmine remote s3 seminor Silver Twilio windows WordPress yamamugi zoom 勉強会

アーカイブ
アーカイブ

AMAZONアソシエイト

「Amazon.co.jpアソシエイト」または「ヤマムギ」は、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。