growing hard days.

IAMユーザーのマネジメントコンソールログインパスワードを変更してDynamoDBに記録するLambda(Python)

2020/01/12 2020/01/19

目次

やりたいこと

IAMユーザーのマネジメントコンソールへのサインインパスワードを動的に変更したくて、上記のアーキテクチャにしました。
Lambda(Python3.8)で実行しています。

SecretsManagerでランダムパスワードを生成します。
IAMユーザーのログインプロファイルをアップデートします。
結果をDynamoDBに書きこみます。

AWS複数アカウントのリソースをLambda(Python)から一括操作したくてのLambda関数に追加して呼び出してます。

def iam_user_password(session, user_name):
    try:
        sm = session.client('secretsmanager')
        password = sm.get_random_password(
            PasswordLength=16,
            ExcludeCharacters='lI0O1',
            ExcludeNumbers=False,
            ExcludePunctuation=False,
            ExcludeUppercase=False,
            ExcludeLowercase=False,
            IncludeSpace=False,
            RequireEachIncludedType=True
        )

        iam = session.resource('iam')
        login_profile = iam.LoginProfile(user_name)
        response = login_profile.update(
            Password=password['RandomPassword'],
            PasswordResetRequired=False
        )
        logger.info(response)
        return password['RandomPassword']

    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())


def password_putitem(account_id, user_name, password, table_name):
    try:
        dynamodb = boto3.resource('dynamodb')
        table = dynamodb.Table(table_name)
        table.put_item(
            Item={
                'account_id': account_id,
                'iam_user': user_name,
                'password': password
            }
        )
    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

def iam_user_password(session, user_name):

try:

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

def password_putitem(account_id, user_name, password, table_name):

try:

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

SecretsManagerでのランダムパスワードの生成

sm = session.client('secretsmanager')
password = sm.get_random_password(
    PasswordLength=16,
    ExcludeCharacters='lI0O1',
    ExcludeNumbers=False,
    ExcludePunctuation=False,
    ExcludeUppercase=False,
    ExcludeLowercase=False,
    IncludeSpace=False,
    RequireEachIncludedType=True
)

1

2

3

4

5

6

7

8

9

10

11

12

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

boto3 SecretsManagerのクライアントAPIで、get_random_passwordを使ってパスワードを生成しています。

PasswordLength パスワードの長さ。
ExcludeCharacters 除外する文字。見分けがつきにくい文字を除外しました。
ExcludeNumbers 数字を除外するか。含めるのでFalseにしてます。
ExcludePunctuation 記号を除外するか。含めるのでFalseにしてます。
ExcludeUppercase 大文字を除外するか。含めるのでFalseにしてます。
ExcludeLowercase 小文字を除外するか。含めるのでFalseにしてます。
IncludeSpace スペースを含めるか。含めないのでFalseにしてます。
RequireEachIncludedType すべての文字種を1つ以上含めるか。含めるのでTrueにしてます。

IAMユーザーのログインプロファイルをアップデート

iam = session.resource('iam')
login_profile = iam.LoginProfile(user_name)
response = login_profile.update(
    Password=password['RandomPassword'],
    PasswordResetRequired=False
)
logger.info(response)
return password['RandomPassword']

1

2

3

4

5

6

7

8

9

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

IAMのリソースAPIで指定したユーザーのログインプロファイルが操作できました。
updateにパスワードを含めます。
ログイン時にユーザーへのパスワード変更は、今回の要件では必要ないので、PasswordResetRequired=False としてます。

結果をDynamoDBへの書き込み

dynamodb = boto3.resource('dynamodb')
table = dynamodb.Table(table_name)
table.put_item(
    Item={
        'account_id': account_id,
        'iam_user': user_name,
        'password': password
    }
)

1

2

3

4

5

6

7

8

9

10

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

今回は1アイテムしか扱いませんので、batch_writerは使わずに、put_itemで書き込んでます。
DynamoDBのパーティションキーはaccount_id、ソートキーは iam_userで、課金方式はたまに書き込むだけなのでオンデマンド方式です。

できました！

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb, iam, python, secretsmanager

Tweet

関連記事

: Amazon RDS MySQLでCSVをload data するときに「Access denied」発生

超小ネタです。 AWSのデータベースサービスの Amazon RDSのMySQL …

: Amazon Connect 発信イベントをEventBridgeで確認

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …

: Amazon BedrockがGAしたので触りました(boto3からも)

Amazon Bedrock Is Now Generally Availabl …

: EC2 Instance Connect エンドポイントの作成

このブログのSystems Managerは機能としてセッションマネージャーしか …

: AWS Lambda(Python)で生成した文字をAmazon Connectで音声を設定して発信する

Amazon Connectから発信する電話の音声を動的に設定します。 Lamb …

: Amazon CodeCatalystのスペースとプロジェクトを作成してみました

Amazon CodeCatalystはIAMユーザーで操作するのではなく、AW …

: AWS EC2 でインスタンスにIPアドレスを紐付ける

AWS EC2で作ったサーバは何もしなければ起動するたびにIPアドレスが変わって …

: AWSアカウントのルートユーザーのセキュリティ認証情報

アカウント作成時にはMFA設定するためにIAMダッシュボードからアクセスするので …

: Cloud9環境を共有した際の環境認証

Cloud9を環境を構築したIAMユーザー以外に共有したとき、その環境から実行す …

: EC2スケジュールリザーブドインスタンスって終わりましたん？

ユーザーガイドのScheduled Reserved Instancesを見ると …

PREV: AWS複数アカウントのリソースをLambda(Python)から一括操作したくて
NEXT: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)