growing hard days.

IAMユーザーのマネジメントコンソールログインパスワードを変更してDynamoDBに記録するLambda(Python)

2020/01/12 2020/01/19

目次

やりたいこと

IAMユーザーのマネジメントコンソールへのサインインパスワードを動的に変更したくて、上記のアーキテクチャにしました。
Lambda(Python3.8)で実行しています。

SecretsManagerでランダムパスワードを生成します。
IAMユーザーのログインプロファイルをアップデートします。
結果をDynamoDBに書きこみます。

AWS複数アカウントのリソースをLambda(Python)から一括操作したくてのLambda関数に追加して呼び出してます。

def iam_user_password(session, user_name):
    try:
        sm = session.client('secretsmanager')
        password = sm.get_random_password(
            PasswordLength=16,
            ExcludeCharacters='lI0O1',
            ExcludeNumbers=False,
            ExcludePunctuation=False,
            ExcludeUppercase=False,
            ExcludeLowercase=False,
            IncludeSpace=False,
            RequireEachIncludedType=True
        )

        iam = session.resource('iam')
        login_profile = iam.LoginProfile(user_name)
        response = login_profile.update(
            Password=password['RandomPassword'],
            PasswordResetRequired=False
        )
        logger.info(response)
        return password['RandomPassword']

    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())


def password_putitem(account_id, user_name, password, table_name):
    try:
        dynamodb = boto3.resource('dynamodb')
        table = dynamodb.Table(table_name)
        table.put_item(
            Item={
                'account_id': account_id,
                'iam_user': user_name,
                'password': password
            }
        )
    except:
        logger.error(traceback.format_exc())
        raise Exception(traceback.format_exc())

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

def iam_user_password(session, user_name):

try:

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

def password_putitem(account_id, user_name, password, table_name):

try:

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

except:

logger.error(traceback.format_exc())

raise Exception(traceback.format_exc())

SecretsManagerでのランダムパスワードの生成

sm = session.client('secretsmanager')
password = sm.get_random_password(
    PasswordLength=16,
    ExcludeCharacters='lI0O1',
    ExcludeNumbers=False,
    ExcludePunctuation=False,
    ExcludeUppercase=False,
    ExcludeLowercase=False,
    IncludeSpace=False,
    RequireEachIncludedType=True
)

1

2

3

4

5

6

7

8

9

10

11

12

sm = session.client('secretsmanager')

password = sm.get_random_password(

PasswordLength=16,

ExcludeCharacters='lI0O1',

ExcludeNumbers=False,

ExcludePunctuation=False,

ExcludeUppercase=False,

ExcludeLowercase=False,

IncludeSpace=False,

RequireEachIncludedType=True

)

boto3 SecretsManagerのクライアントAPIで、get_random_passwordを使ってパスワードを生成しています。

PasswordLength パスワードの長さ。
ExcludeCharacters 除外する文字。見分けがつきにくい文字を除外しました。
ExcludeNumbers 数字を除外するか。含めるのでFalseにしてます。
ExcludePunctuation 記号を除外するか。含めるのでFalseにしてます。
ExcludeUppercase 大文字を除外するか。含めるのでFalseにしてます。
ExcludeLowercase 小文字を除外するか。含めるのでFalseにしてます。
IncludeSpace スペースを含めるか。含めないのでFalseにしてます。
RequireEachIncludedType すべての文字種を1つ以上含めるか。含めるのでTrueにしてます。

IAMユーザーのログインプロファイルをアップデート

iam = session.resource('iam')
login_profile = iam.LoginProfile(user_name)
response = login_profile.update(
    Password=password['RandomPassword'],
    PasswordResetRequired=False
)
logger.info(response)
return password['RandomPassword']

1

2

3

4

5

6

7

8

9

iam = session.resource('iam')

login_profile = iam.LoginProfile(user_name)

response = login_profile.update(

Password=password['RandomPassword'],

PasswordResetRequired=False

)

logger.info(response)

return password['RandomPassword']

IAMのリソースAPIで指定したユーザーのログインプロファイルが操作できました。
updateにパスワードを含めます。
ログイン時にユーザーへのパスワード変更は、今回の要件では必要ないので、PasswordResetRequired=False としてます。

結果をDynamoDBへの書き込み

dynamodb = boto3.resource('dynamodb')
table = dynamodb.Table(table_name)
table.put_item(
    Item={
        'account_id': account_id,
        'iam_user': user_name,
        'password': password
    }
)

1

2

3

4

5

6

7

8

9

10

dynamodb = boto3.resource('dynamodb')

table = dynamodb.Table(table_name)

table.put_item(

Item={

'account_id': account_id,

'iam_user': user_name,

'password': password

}

)

今回は1アイテムしか扱いませんので、batch_writerは使わずに、put_itemで書き込んでます。
DynamoDBのパーティションキーはaccount_id、ソートキーは iam_userで、課金方式はたまに書き込むだけなのでオンデマンド方式です。

できました！

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb, iam, python, secretsmanager

Tweet

関連記事

: Amazon CloudSearchにAWS Lambda(Python)からデータをアップロードする

このブログはゆるっとアドベントカレンダー Advent Calendar 201 …

: AWS Lambda(Python)で生成した文字をAmazon Connectで音声を設定して発信する

Amazon Connectから発信する電話の音声を動的に設定します。 Lamb …

: Amazon EC2 インスタンスメタデータサービス(IMDS) v2のみにしました

今さらながらですが、EC2 インスタンスメタデータサービス(IMDS) v2を確 …

: ALBにWAFを関連付けて特定のヘッダー以外はブロックする

おかげさまで、ブログのアクセスも増えてきて、t3.nano EC2インスタンス単 …

: SendGridのイベントをAPI Gateway -> Lambda(Python) -> DynamoDBに格納する

SendGridのメールイベントログはコンソールで確認出来るのは直近7日分で一括 …

: RDS + VPC + Lambda + API Gateway + CloudFront + WAF + ACMでAPIを構築する

RDSのMySQLの情報を与えられたリクエストをキーにしてjsonで返すAPIを …

: 特定AWSアカウント特定リージョンのSQSキューを削除するLambda(Python)

やりたいこと特定アカウント内特定リージョン内のSQSキューを全部削除したいです …

: 「JAWS-UG in AWS Cloud Roadshow 2017 大阪」で運営をしました

AWS Cloud Roadshow 2017 大阪のナイトイベントで、「JAW …

: オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続

AWSクイックスタートのActive Directory Domain Serv …

: boto3(Python SDK) s3 get_object でバイト範囲を指定する

S3のGetObjectアクションでバイト範囲を指定することができます。それに …

PREV: AWS複数アカウントのリソースをLambda(Python)から一括操作したくて
NEXT: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

NEW POST

: 「コミュニティリーダーズサミット in 高知 2022初鰹編」に参加しました

「コミュニティリーダーズサミット in 高知 2022初鰹編」に現地参加してきま …

: CloudTrailのログファイルの整合性検証をAWS CLIで実行しました

CloudTrailのログファイルの検証を「有効」にしました。上記のようなCl …

: Organizations対応のAWS CloudTrailのAthenaテーブルでPartition Projectionを使用しました

パーティション向けのAlterテーブルの定期実行が面倒だと思っていたら、Part …

: EC2スポットインスタンスの中断通知を受ける

オートスケーリンググループでEC2インスタンスをスポットインスタンスで使用してい …

: AWS License ManagerでAMIからインスタンスの起動を制御

EC2 Image BuilderでRocket.ChatのAMIを作って起動テ …

配信ライブカレンダー

[PR] AWS認定試験対策 AWS クラウドプラクティショナー

[PR] AWSではじめるLinux入門ガイド

[PR] ポケットスタディ AWS認定デベロッパー – アソシエイト

[PR] AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト – プロフェッショナル

タグ
alexa alexaday2019 api apigateway AWS CentOS cloud9 cloudformation cloudwatch devsumi2018 dynamodb EC2 google iam iot iphone Java jaws jaws-ug kintone lambda Linux m1mac mac mac-mini Markdown mint MySQL organizations PHP python RDS re:dash Redmine remote s3 Silver sns ssm Twilio vpc windows WordPress yamamugi 勉強会

アーカイブ
アーカイブ

AMAZONアソシエイト

「Amazon.co.jpアソシエイト」または「ヤマムギ」は、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。