https://zoo200.net/aws-cli-switch-role-restrict-mfa/
アカウントAで、アカウントBが引き受けできる共有ロールを、MFA制限ありで作成する
MFAがない場合、アカウントBが共有ロールを引き受けできないこと確認する
-- 1. コマンド等のインストール
-- 1.1 aws cli version 2 インストール
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 1.2 jqインストール
sudo yum -y install jq
-- 2. 共有ロールの作成
-- 2.1 許可ポリシーの作成
{
"Version": "2012-10-17",
"Id": "id01",
"Statement": [
{
"Effect": "Allow",
"Action": [ "s3:*" ],
"Resource": "arn:aws:s3:::bucket123/*"
}
]
}
aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json
-- 2.2 ロールの作成
※MFA制限あり
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Condition": { "Bool": { "aws:multifactorAuthPresent": true } },
"Action": "sts:AssumeRole"
}
]
}
aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json
-- 2.3 許可ポリシーをロールにアタッチ
aws iam attach-role-policy --policy-arn arn:aws:iam::999999999999:policy/policy01 --role-name role01
-- 3. 動作確認
-- 3.1 アカウントBの管理者ユーザ(MFA認証あり)でserial-numberオプションありで実行した場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test10 \
--serial-number arn:aws:iam::888888888888:mfa/iamuser \
--token-code 111111
→ Credentialsが表示される
Credentials=$(aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test10 \
--serial-number arn:aws:iam::888888888888:mfa/iamuser \
--token-code 222222 | jq -r .Credentials)
echo $Credentials
AccessKeyId=$(echo $Credentials | jq -r .AccessKeyId)
SecretAccessKey=$(echo $Credentials | jq -r .SecretAccessKey)
SessionToken=$(echo $Credentials | jq -r .SessionToken)
echo $AccessKeyId
echo $SecretAccessKey
echo $SessionToken
export AWS_ACCESS_KEY_ID=$AccessKeyId
export AWS_SECRET_ACCESS_KEY=$SecretAccessKey
export AWS_SESSION_TOKEN=$SessionToken
-- 3.2 アカウントBの管理者ユーザ(MFA認証あり)でserial-numberオプションなしで実行した場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test11
→ An error occurred (AccessDenied)
-- 3.3 アカウントBの管理者ユーザ(MFA認証なし)で実行した場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test12
→ An error occurred (AccessDenied)
-- 4. クリーンアップ
-- ロールの削除
aws iam list-roles | grep role01
aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::999999999999:policy/policy01
aws iam delete-role --role-name role01
-- 許可ポリシーの削除
aws iam list-policies | grep policy01
aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01