2. インスタンスプロファイルのIAMロールへのIAMポリシのアタッチ (handson-cli-policy)¶
作業の目的 [why]¶
IAMインスタンスプロファイル"handson-cli-instanceprofile"にアタッチされているIAMロール"handson-cli-role"にIAMポリシ"handson-cli-policy"をアタッチします。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- IAMインスタンスプロファイル"handson-cli-instanceprofile"がアタッチされているIAMロール"handson-cli-role"に、IAMポリシ"handson-cli-policy"がアタッチされている。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- IAMインスタンスプロファイル"handson-cli-instanceprofile"が存在する。
- 事前条件2
- IAMインスタンスプロファイル"handson-cli-instanceprofile"にIAMロール"handson-cli-role"がアタッチされている。
- 事前条件3
- IAMポリシ"handson-cli-policy"が存在する。
- 事前条件4
- IAMロール"handson-cli-role"にIAMポリシ"handson-cli-policy"がアタッチされていない。
作業対象 [what]¶
- IAMサービス
標準時間(合計)¶
8分
パラメータ設定¶
| パラメータ設定の標準時間: | 2分 |
|---|
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: IAMインスタンスプロファイル名
- ポリシをアタッチするロールと関連付けられているIAMインスタンスプロファイルの名称です。
- 今回は"handson-cli-instanceprofile"とします。
リソース2: IAMポリシー名
- インスタンスプロファイルに関連付けるIAMポリシーの名称です。
- 今回は"handson-cli-policy"とします。
パラメータの指定¶
作業に必要なパラメータを変数に格納をします。
0.1. IAMインスタンスプロファイル名の指定¶
IAMインスタンスプロファイル名を指定します。
変数の設定:
IAM_INSTANCE_PROFILE_NAME='handson-cli-instanceprofile'
パラメータの保存¶
設定されている変数の保存先となるファイル名を指定します。
変数の設定:
DIR_PARAMETER="${HOME}/tmp/parameter-handson-cli" FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-iam-role_policy_attach_Local-update-expand-instance_profile.env" \ && echo ${FILE_PARAMETER}
結果(例):
${HOME}/tmp/parameter-handson-cli/2019-04-30-iam-role_policy_attach_Local-update-expand-instance_profile.env
各変数に正しいパラメータ値が格納されていることを確認しながら保存します。
変数の確認:
cat << EOF > ${FILE_PARAMETER} # 0.1. IAM_INSTANCE_PROFILE_NAME:"handson-cli-instanceprofile" IAM_INSTANCE_PROFILE_NAME="${IAM_INSTANCE_PROFILE_NAME}" # 0.2. IAM_POLICY_NAME:"handson-cli-policy" IAM_POLICY_NAME="${IAM_POLICY_NAME}" EOF cat ${FILE_PARAMETER}
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。
タスクの実施¶
| タスク標準時間: | 6分 |
|---|
1. 前処理¶
1.1. 処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: IAMインスタンスプロファイル"handson-cli-instanceprofile"が存在する。
「IAMインスタンスプロファイル"handson-cli-instanceprofile"が存在する。」ことを確認します。
コマンド:
aws iam list-instance-profiles \ --query "InstanceProfiles[?InstanceProfileName == \`${IAM_INSTANCE_PROFILE_NAME}\`].InstanceProfileName" \ --output text
結果(例):
handson-cli-instanceprofile
事前条件2: IAMインスタンスプロファイル"handson-cli-instanceprofile"にIAMロール"handson-cli-role"がアタッチされている。
「IAMインスタンスプロファイル"handson-cli-instanceprofile"にIAMロール"handson-cli-role"がアタッチされている。」ことを確認します。
コマンド:
aws iam get-instance-profile \ --instance-profile-name ${IAM_INSTANCE_PROFILE_NAME} \ --query 'InstanceProfile.Roles[].RoleName' \ --output text
結果(例):
handson-cli-role
IAMロール名を取得します。
コマンド:
ARRAY_IAM_ROLES=$( \ aws iam get-instance-profile \ --instance-profile-name ${IAM_INSTANCE_PROFILE_NAME} \ --query 'InstanceProfile.Roles[].RoleName' \ --output text ) \ && echo ${ARRAY_IAM_ROLES}
結果(例):
handson-cli-role
今回は、1つのIAMロールが表示されるはずなので、そのまま変数IAM_ROLE_NAMEに格納します。
変数の設定:
IAM_ROLE_NAME="${ARRAY_IAM_ROLES}" \ && echo ${IAM_ROLE_NAME}
結果(例):
handson-cli-role
事前条件3: IAMポリシ"handson-cli-policy"が存在する。
「IAMポリシ"handson-cli-policy"が存在する。」ことを確認します。
コマンド:
aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \ --output text
結果(例):
handson-cli-policy
事前条件4: IAMロール"handson-cli-role"にIAMポリシ"handson-cli-policy"がアタッチされていない。
「IAMロール"handson-cli-role"にIAMポリシ"handson-cli-policy"がアタッチされていない。」ことを確認します。
コマンド:
aws iam list-attached-role-policies \ --role-name ${IAM_ROLE_NAME} \ --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \ --output text
結果(例):
(出力なし)
1.2. 主処理に必要な情報の取得¶
IAMポリシーのARN取得
IAMポリシーのARNを取得します。
変数の設定:
IAM_POLICY_ARN=$( \ aws iam list-policies \ --scope Local \ --max-items 1000 \ --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \ --output text \ ) \ && echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::XXXXXXXXXXXX:policy/handson-cli-policy
2. 主処理¶
IAMポリシの追加¶
変数の確認:
cat << ETX # IAM_ROLE_NAME:"handson-cli-role" IAM_ROLE_NAME="${IAM_ROLE_NAME}" # IAM_POLICY_ARN:"arn:aws:iam::XXXXXXXXXXXX:policy/handson-cli-policy" IAM_POLICY_ARN="${IAM_POLICY_ARN}" ETX
コマンド:
aws iam attach-role-policy \ --role-name ${IAM_ROLE_NAME} \ --policy-arn ${IAM_POLICY_ARN}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: IAMインスタンスプロファイル"handson-cli-instanceprofile"がアタッチされているIAMロール"handson-cli-role"に、IAMポリシ"handson-cli-policy"がアタッチされている。
「IAMインスタンスプロファイル"handson-cli-instanceprofile"がアタッチされているIAMロール"handson-cli-role"に、IAMポリシ"handson-cli-policy"がアタッチされている。」ことを確認します。
コマンド:
aws iam list-attached-role-policies \ --role-name ${IAM_ROLE_NAME} \ --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \ --output text
結果(例):
handson-cli-policy