AWS CLIのプロファイル作成がうまくいかない（configファイルのrole

実現したいこと

ロールにスイッチするような運用ではない場合のconfigファイルの「role_arn」の設定方法を知りたい。

発生している問題・分からないこと

現在CLIの環境構築をしています。
その時、「credentials」ファイルと「config」ファイルの2つを用意すると思います。
credentialsファイルには、アクセスIDとシークレットIDを書いています。
configファイルには、regionやmfa_serial、role_arnなどを書いています。
この時、スイッチするロールがない場合の運用を行なうための「role_arn」の書き方を知りたいです。

該当のソースコード

■構成
C:/user/.awsフォルダ配下
・cliフォルダ
・configファイル
・credentialsファイル

■credentialsファイルの中身
[credentials_file_name] 
aws_access_key=************
aws_secret_access_key=******

■configファイルの中身
[config_file_name] #AWS CLIプロフィール名
region=ap-northeast-1
output=json
role_arn=arn:aws:iam::000000000:role/RoleName #ロールのARN  ★
sorce_profile=credentials_file_name
mfa_serial=arn:aws:iam::0000000000:mfa/UserName

こういう形で配置しています。
この時、ロールをスイッチしない場合、★には何を指定すればよろしいでしょうか？


■AWS CLIでコマンドを打った結果を以下に示します。
C:\user\user>aws s3 ls --profile credentials_file_name #credentialsファイルを指定した場合
2024-03-14 00:00:00 aws-cloudtrail-lake-query-XXXXXXX
2022-12-11 00:00:00 XXXXXXXXX
2022-12-11 00:00:00 XXXXXXXXX
2022-12-11 00:00:00 env-setup-XXXXXXXXXXX
↑この結果から、credentialsファイルの設定内容はあっていることが伺えます。

※ここで、configのrole_arnを「role_arn=」にして保存します。

C:\user\user>aws s3 ls --profile config_file_name #configファイルを指定した場合
Parameter validation failed: 
Invalid length for parameter RoleArn, value: 0, valid min lenght: 20

となります。
このエラー内容から、configには必ずrole_arnを指定しなければいけないことが分かります。
そこで、試しに、ネットで拾ったrole_arnのサンプルを指定して保存します。
「role_arn=arn:aws:iam::000000000:role/RoleName」←私のAWS環境には存在しないロール名です。

そうした場合、
C:\user\user>aws s3 ls --profile config_file_name #configファイルを指定した場合
An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::9999999:user/UUUUUUU is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::000000000:role/RoleName
となります。
実環境に存在しないロールを指定したのだからそりゃあエラーになるのはわかります。

次に、「role_arn＝」自体を消して保存します。すると、
C:\user\user>aws s3 ls --profile config_file_name 
Unable to locate credentials. You can configure credentials by running "aws configure".
となります。このことから、どんな場合でも必ず「role_arn＝」を指定する必要がある事が伺えます。

それでは、そもそもロールをスイッチしない運用をしたい場合、「role_arn＝」には何を指定すればよいのでしょうか？

試したこと・調べたこと

teratailやGoogle等で検索した
ソースコードを自分なりに変更した
知人に聞いた
その他

上記の詳細・結果

https://dev.classmethod.jp/articles/cli-switch-role/
こちらを参考に作成しましたが、スイッチするロールがない場合のrole_arnの指定方法が分かりませんでした。

補足

特になし

行動規範の内容に同意します

回答1件

ベストアンサー

こちらのLong-term credentialのタブに書いてあります。
設定ファイルと認証ファイルの形式

以下は上記ドキュメントからの引用です

.aws/credentials

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

.aws/config

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

今はアクセスキーを単純にそのまま使うことが推奨されていないのか、探しても単にアクセスキーをprofileに設定する方法にアクセスしにくくなりましたね。
実際、アクセスキーには権限を与えすぎず、AssumeRoleする権限のみを与えてロールを呼び出して使用することを推奨します。

投稿2024/04/11 16:03

yu_1985

総合スコア7447

meex

2024/04/17 08:37

「アクセスキーをprofileに設定する方法にアクセスしにくくなった」本当にそうだと感じます。ネットで探してもぜんぜん情報がなく、大変困っていました。業務上、どうしてもアクセスキーを単純にそのまま使うことしかきょかされておらず、AssumeRole権限を付与することをIT部門担当者に相談しましたが、会社の規約上無理だと言われました。 AWSに詳しい協力社員さんが今度入ってくるとのことで本件は保留となったので、解決まではできてませんが、いったん質問もクローズします。ご回答ありがとうございました。