{IAM}MFA制限付きロール

AWS

 

https://zoo200.net/aws-cli-switch-role-restrict-mfa/

https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-role.html#cli-configure-role-mfa


アカウントAで、アカウントBが引き受けできる共有ロールを、MFA制限ありで作成する

MFAがない場合、アカウントBが共有ロールを引き受けできないこと確認する


-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

 

-- 1.2 jqインストール
sudo yum -y install jq


-- 2. 共有ロールの作成

-- 2.1 許可ポリシーの作成


vim policy01.json

 

{
  "Version": "2012-10-17",
  "Id": "id01",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [ "s3:*" ],
      "Resource": "arn:aws:s3:::bucket123/*"
    }
  ]
}


aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json


-- 2.2 ロールの作成
※MFA制限あり

vim role01.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::888888888888:root"
      },
      "Condition": { "Bool": { "aws:multifactorAuthPresent": true } },
      "Action": "sts:AssumeRole"
    }
  ]
}

aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json

-- 2.3 許可ポリシーをロールにアタッチ

aws iam attach-role-policy --policy-arn arn:aws:iam::999999999999:policy/policy01 --role-name role01

 

 

-- 3. 動作確認

-- 3.1 アカウントBの管理者ユーザ(MFA認証あり)でserial-numberオプションありで実行した場合

aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test10 \
--serial-number arn:aws:iam::888888888888:mfa/iamuser \
--token-code 111111

→ Credentialsが表示される


Credentials=$(aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test10 \
--serial-number arn:aws:iam::888888888888:mfa/iamuser \
--token-code 222222 | jq -r .Credentials)

echo $Credentials
AccessKeyId=$(echo $Credentials | jq -r .AccessKeyId)
SecretAccessKey=$(echo $Credentials | jq -r .SecretAccessKey)
SessionToken=$(echo $Credentials | jq -r .SessionToken)

echo $AccessKeyId
echo $SecretAccessKey
echo $SessionToken

export AWS_ACCESS_KEY_ID=$AccessKeyId
export AWS_SECRET_ACCESS_KEY=$SecretAccessKey
export AWS_SESSION_TOKEN=$SessionToken


aws sts get-caller-identity


-- 3.2 アカウントBの管理者ユーザ(MFA認証あり)でserial-numberオプションなしで実行した場合

aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test11

→ An error occurred (AccessDenied)

-- 3.3 アカウントBの管理者ユーザ(MFA認証なし)で実行した場合

aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test12

→ An error occurred (AccessDenied)

 


-- 4. クリーンアップ

-- ロールの削除
aws iam list-roles | grep role01

aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::999999999999:policy/policy01

aws iam delete-role --role-name role01

 

-- 許可ポリシーの削除
aws iam list-policies | grep policy01

aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01