AWS CLIでプロキシサーバを使う場合の注意
はじめに
こんにちは。
くコ:彡がトレードマークの阿部です。
プロキシサーバがある環境でAWS CLIを使った所、嵌ったので共有します。
プロキシサーバの指定
AWS CLIではプロキシサーバを利用する事が可能です。
環境変数 HTTP_PROXYとHTTPS_PROXYにプロキシサーバのIPアドレスとポート番号を指定します。
$ export HTTP_PROXY=http://xxx.xxx.xxx.xxx:xxxxx $ export HTTPS_PROXY=http://xxx.xxx.xxx.xxx:xxxx
ここで嵌った
プロキシサーバとIAMロールを利用する場合、注意が必要です。
環境変数を設定しIAMロールを利用している環境で、aws ec2 describe-instancesコマンドを実行してみます。
EC2インスタンスの一覧が表示される事を期待しますが、クレデンシャルが読み込めない旨のエラーメッセージが表示されます。
$ aws ec2 describe-instances Unable to locate credentials. You can configure credentials by running "aws configure".
プロキシの除外設定を追加し、aws ec2 describe-instancesコマンドを実行すると、インスタンス一覧が表示されます。
$ export NO_PROXY=169.254.169.254 $ aws ec2 describe-instances ( 略 )
なぜ、除外設定が必要?
除外した169.254.169.254はインスタンスメタデータへのアクセスに利用されます。
インスタンスメタデータには、そのインスタンス自体内からのみアクセス出来ます。
利用出来るデータは、こちらにまとめられています。
試しにAMI IDを表示してみましょう。
curlコマンドでami-idを指定すると、そのインスタンスのAMI IDが表示されます。
$ curl http://169.254.169.254/latest/meta-data/ami-id ami-0a1b3c4d
IAMロールを利用する場合、AWS CLIはインスタンスメタデータiam/security-credentials/role-nameを利用します。
メタデータには以下のような、一時的なセキュリティ認証情報が格納されます。
{
"Code" : "Success",
"LastUpdated" : "20XX-XX-XXTxx:xx:xxZ",
"Type" : "AWS-HMAC",
"AccessKeyId" : "AKIAEGRGCCMEXAMPLE",
"SecretAccessKey" : "afeiu8Gb2Ynse/L9WNIWEG/mvIPoiCMEXAMPLEKEY",
"Token" : "token",
"Expiration" : "20YY-YY-YYTyy:yy:yyZ"
}
プロキシサーバを経由するとメタデータに格納された認証情報にアクセスできないため、クレデンシャルエラーが出たという事がわかりました。
同じ事象が起きた場合は、NO_PROXYを設定してみて下さい。
参考
以下を参考にしました。
AWS Command Line Interface User Guide
Amazon Elastic Compute Cloud Linux インスタンス用ユーザーガイド
おわりに
AWS CLIとプロキシサーバを利用する場合の注意点について、まとめました。
クレデンシャルエラーが出た場合、この記事を思い出して頂けると嬉しいです。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
