growing hard days.

IAMユーザーのマネジメントコンソールログインパスワードを変更してDynamoDBに記録するLambda(Python)

2020/01/12 2020/01/19

目次

やりたいこと

IAMユーザーのマネジメントコンソールへのサインインパスワードを動的に変更したくて、上記のアーキテクチャにしました。
Lambda(Python3.8)で実行しています。

SecretsManagerでランダムパスワードを生成します。
IAMユーザーのログインプロファイルをアップデートします。
結果をDynamoDBに書きこみます。

AWS複数アカウントのリソースをLambda(Python)から一括操作したくてのLambda関数に追加して呼び出してます。

def iam_user_password(session, user_name):
    try:
        sm = session.client('secretsmanager')
        password = sm.get_random_password(
            PasswordLength=16,
            ExcludeCharacters='lI0O1',
            ExcludeNumbers=False,
            ExcludePunctuation=False,
            ExcludeUppercase=False,
            ExcludeLowercase=False,
            IncludeSpace=False,
            RequireEachIncludedType=True
        )

        iam = session.resource('iam')
        login_profile = iam.LoginProfile(user_name)
        response = login_profile.update(
            Password=password['RandomPassword'],
            PasswordResetRequired=False
        )
        logger.info(response)
        return password['RandomPassword']

    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())


def password_putitem(account_id, user_name, password, table_name):
    try:
        dynamodb = boto3.resource('dynamodb')
        table = dynamodb.Table(table_name)
        table.put_item(
            Item={
                'account_id': account_id,
                'iam_user': user_name,
                'password': password
            }
        )
    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

def iam_user_password(session, user_name):

try:

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

def password_putitem(account_id, user_name, password, table_name):

try:

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

SecretsManagerでのランダムパスワードの生成

sm = session.client('secretsmanager')
password = sm.get_random_password(
    PasswordLength=16,
    ExcludeCharacters='lI0O1',
    ExcludeNumbers=False,
    ExcludePunctuation=False,
    ExcludeUppercase=False,
    ExcludeLowercase=False,
    IncludeSpace=False,
    RequireEachIncludedType=True
)

1

2

3

4

5

6

7

8

9

10

11

12

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

boto3 SecretsManagerのクライアントAPIで、get_random_passwordを使ってパスワードを生成しています。

PasswordLength パスワードの長さ。
ExcludeCharacters 除外する文字。見分けがつきにくい文字を除外しました。
ExcludeNumbers 数字を除外するか。含めるのでFalseにしてます。
ExcludePunctuation 記号を除外するか。含めるのでFalseにしてます。
ExcludeUppercase 大文字を除外するか。含めるのでFalseにしてます。
ExcludeLowercase 小文字を除外するか。含めるのでFalseにしてます。
IncludeSpace スペースを含めるか。含めないのでFalseにしてます。
RequireEachIncludedType すべての文字種を1つ以上含めるか。含めるのでTrueにしてます。

IAMユーザーのログインプロファイルをアップデート

iam = session.resource('iam')
login_profile = iam.LoginProfile(user_name)
response = login_profile.update(
    Password=password['RandomPassword'],
    PasswordResetRequired=False
)
logger.info(response)
return password['RandomPassword']

1

2

3

4

5

6

7

8

9

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

IAMのリソースAPIで指定したユーザーのログインプロファイルが操作できました。
updateにパスワードを含めます。
ログイン時にユーザーへのパスワード変更は、今回の要件では必要ないので、PasswordResetRequired=False としてます。

結果をDynamoDBへの書き込み

dynamodb = boto3.resource('dynamodb')
table = dynamodb.Table(table_name)
table.put_item(
    Item={
        'account_id': account_id,
        'iam_user': user_name,
        'password': password
    }
)

1

2

3

4

5

6

7

8

9

10

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

今回は1アイテムしか扱いませんので、batch_writerは使わずに、put_itemで書き込んでます。
DynamoDBのパーティションキーはaccount_id、ソートキーは iam_userで、課金方式はたまに書き込むだけなのでオンデマンド方式です。

できました！

最後までお読みいただきましてありがとうございました！
【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITトレーナー2年目のSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb, iam, python, secretsmanager

Tweet

関連記事

: AWSのアカウントを新規作成と、最低限やっておいた方がいいMFAの設定

AWSのアカウントを新規作成する手順を書き出しておきます。 ※2017年8月6日 …

: AWS複数アカウントのリソースをLambda(Python)から一括操作したくて

AWSの複数アカウント(30ちょい)のリソースをまとめて自動処理したくて。とり …

: AWS Data Pipelineを使ってDynamoDBのアイテムを全件S3バケットに書き出した

ちょっと試してみたくてやってみました。手順はこちらのチュートリアルを参考にすす …

: JAWS DAYS 2018 「Cost-Driven AWS クラウドアーキテクチャデザインとコスト最適化方法 – Cost-Driven AWS Cloud Architecture Design : The Lean Startup on AWS」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …

: Cloud9でAWS CDK環境

最初ローカルに作ろうと思ったのですが、環境依存がというか、Macbookの環境で …

: EC2 Amazon Linux 2 にAmazon LinuxからWordPressを移行

このブログを新しいインスタンスに移行することにしました。 2015年5月にAma …

: AWS Summit 2016 Tokyoに参加してきました (Day2)

馬込は非常に良い天気です。泊まっている部屋が2Fでしたので窓を明けると歩いてい …

: AWS BatchでPandocコンテナイメージを実行する

「ECR(Amazon Elastic Container Registry)に …

: php-fpm で Out of memoryが発生した際にメール通知する(AWS CloudWatch , Amazon SNS)

AWS CloudWatch LogsエージェントでAmazon EC2上のNg …

: 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」を執筆いたしました

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」という本の第 …

PREV: AWS複数アカウントのリソースをLambda(Python)から一括操作したくて
NEXT: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)