Q&A
スイッチロール「してきた」ユーザというのがよくわからないのですが、今回言ってるのはSwitchRole元である開発環境で使用しているcredentialの情報をSwitchRole先で使用したい、ということでしょうか?
あと、プロファイル名は使用者が勝手に決めるだけなので、プロファイル名を取得してもあまり意味がないかと…。
よろしくお願いします。
【追記しました】
やりたいこと
aws cliを使ってスイッチロールしてきたユーザを特定。そのユーザのprofileを取得したい。です。
*** 流れ
環境は本番、ステージング、開発がある。
作業者は自身のIAMで開発環境にログイン。
その後スイッチロールで、ステージング(または、本番)へスイッチロール。
スイッチロール先(ステージング)はcloud9のターミナルを開く。
あらかじめ用意されているシェルバッチを実行して作業。
バッチ内には aws cliで S3やセキュリティグループに対する操作を行う処理が含まれている。
この時、開発環境からスイッチロールしてきたIAMユーザを捉え、
シェルバッチを実行する際に捉えたIAMユーザのprofile名を
aws cliのprofileオプションに自動設定して aws cliが実行できるようにしたい。
このとき、IAMユーザに紐づいているprofile名を捉えるには、どういう条件、どういう処理を行わせれば良いかが分からず、この点をご教授頂きたいです。
ご回答にあたり過不足の情報があればご指摘ください。追記させて頂きます。
よろしくおねがいします。
ご回答ありがとうございます。
説明の不足点を本文に掲載しました。
ご質問に対してですが1つ目は仰る通りです。2つ目はバッチの中でawscliを実行しておりそこでprofileを設定するにあたり、いちいち設定しなくてもユーザをみて自動で割り当てれると良いと思っています。
回答1件
0
ベストアンサー
元のCredentialを取得することは多分難しいので、開発環境の何かしらのロールの権限をaws sts assume-roleで呼び出してクロスアカウントアクセスで操作するといいのではないでしょうか。
別にそのユーザ(厳密にはユーザを呼び出しているのではなく、開発環境のユーザで各環境のロールを呼び出しているんだと思いますが)の呼び出し元がわからなくても、なにか操作をしたい環境の権限が何らかの形で取得できれば十分でしょう。
コマンド実行すると一時キーが発行されるので、それを環境変数に設定することによってその発行した一時キーの権限を使うことができます。
不要になったら環境変数の値をクリアすればいいです。
cliでAssumeRoleする方法については例えば下記をご参照ください。
AWS CLI を使用して IAM ロールを引き受ける方法を教えてください。
キーを発行して環境変数にセットするまでをシェルスクリプトとかにしておくと楽かもしれません。
そもそもAssumeRoleとは、みたいな話はこちらが参考になります。
IAMロール徹底理解 〜 AssumeRoleの正体
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた
投稿2021/05/27 06:38
総合スコア7588
あなたの回答
tips
プレビュー
