-- 1. コマンド等のインストール [アカウントAの管理者ユーザで実行]
-- 1.1 aws cli version 2 インストール [アカウントAの管理者ユーザで実行]
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 2. S3 バケットを作成する [アカウントAの管理者ユーザで実行]
aws s3 mb s3://bucket123
aws s3 ls
-- 3. アカウント A の正規ユーザーIDの確認 [アカウントAの管理者ユーザで実行]
aws s3api list-buckets --query Owner.ID --output text
-- 4. バケットポリシーをアタッチ [アカウントAの管理者ユーザで実行]
-- オブジェクトをアップロードするアップロード時要ACL付与条件付きのアクセス許可をアカウント B の管理者に付与する
vim a.json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "111",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket123/*"
},
{
"Sid": "112",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket123/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-grant-full-control": "id=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
}
}
]
}
aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json
-- 5. アカウント C クロスアカウントアクセス用 IAM ロールをアカウント A に作成する [アカウントAの管理者ユーザで実行]
-- 5.1 ポリシーの作成 [アカウントAの管理者ユーザで実行]
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket123/*"
}
]
}
aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json
-- 5.2 ロールの作成 [アカウントAの管理者ユーザで実行]
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::777777777777:root"
},
"Action": "sts:AssumeRole"
}
]
}
aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json
-- 5.3 ポリシーをロールにアタッチ [アカウントAの管理者ユーザで実行]
aws iam attach-role-policy --policy-arn arn:aws:iam::999999999999:policy/policy01 --role-name role01
-- 6. バケットにオブジェクトをアップロードする [アカウントBの管理者ユーザで実行]
echo test01 > test01.txt
aws s3api put-object --bucket bucket123 --key test01.txt --body test01.txt
→ ACLを指定していないためエラーとなる
aws s3api put-object --bucket bucket123 --key test01.txt --body test01.txt --grant-full-control id="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
→ アップロード可能
-- 7. IAMユーザ(testiamuser)を作成する [アカウントCの管理者ユーザで実行]
aws iam create-user --user-name testiamuser
aws iam create-access-key --user-name testiamuser
-- 8. アカウント A の role01 ロールで sts:AssumeRole アクセス許可を testiamuser に委任する testiamuser IAM ユーザー用のインラインポリシーを作成 [アカウントCの管理者ユーザで実行]
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole"],
"Resource": "arn:aws:iam::999999999999:role/role01"
}
]
}
aws iam create-policy \
--policy-name policy02 \
--policy-document file://policy02.json
aws iam attach-user-policy \
--policy-arn arn:aws:iam::777777777777:policy/policy02 \
--user-name testiamuser
-- 9. オブジェクトにアクセスする [アカウントCのtestiamuserユーザで実行]
aws sts assume-role --role-arn arn:aws:iam::999999999999:role/role01 --role-session-name test
※aws_session_tokenも環境変数(AWS_SESSION_TOKEN)に設定する
aws s3api get-object --bucket bucket123 --key test01.txt test11.txt
aws s3api get-object-acl --bucket bucket123 --key test01.txt
→ 許可されていないためエラーとなる
unset AWS_SESSION_TOKEN
-- 10. クリーンアップ
-- ロールの削除 [アカウントAの管理者ユーザで実行]
aws iam list-roles | grep role01
aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::999999999999:policy/policy01
aws iam delete-role --role-name role01
-- ポリシーの削除 [アカウントAの管理者ユーザで実行]
aws iam list-policies | grep policy01
aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01
-- バケットの削除 [アカウントAの管理者ユーザで実行]
aws s3 ls
aws s3 rb s3://bucket123 --force
-- IAMユーザ削除 [アカウントCの管理者ユーザで実行]
aws iam list-users
aws iam detach-user-policy \
--user-name testiamuser \
--policy-arn arn:aws:iam::777777777777:policy/policy02
aws iam delete-access-key \
--user-name testiamuser \
--access-key-id XXXXXXXXXXXXXXXXXXXX
aws iam delete-user --user-name testiamuser
-- ポリシーの削除 [アカウントCの管理者ユーザで実行]
aws iam list-policies | grep policy02
aws iam delete-policy \
--policy-arn arn:aws:iam::777777777777:policy/policy02
