การใช้งาน AWS CLI กับ Cloud9 ด้วย IAM Role
2024.04.29บทความนี้แปลมาจากบทความที่เป็นภาษาญี่ปุ่นที่ชื่อว่า Cloud9からIAM Roleの権限でAWS CLIを実行する โดยเจ้าของบทความนี้คือ คุณ Kitano Yuichi
Cloud9 เป็น IDE(Integrated Development Environment) บน Cloud ที่สามารถเขียนโค้ดโดยใช้เว็บเบราว์เซอร์
โดยค่าเริ่มต้น Cloud9 จะเปิดใช้งาน AMTC(AWS Managed Temporary Credentials) ซึ่งระบบจะให้ credential key แบบชั่วคราวที่มีสิทธ์เหมือนกับผู้ใช้ที่เข้าสู่ระบบ AWS Management Console โดยอัตโนมัติ และสามารถใช้งาน AWS CLI กับ Cloud9 ได้ทันที
Note: แต่การดำเนินการบางอย่างกับ IAM จะถูกจำกัด
ในบทความนี้เราจะแนะนำวิธีการใช้ AWS CLI จาก Cloud9 ด้วย IAM Role ในกรณีที่ต้องการใช้บริการที่มี IAM จาก Cloud9
Step 1: สร้าง Cloud9
การสร้าง Cloud9 นั้นง่ายมากๆ สามารถทำได้ภายในไม่กี่นาที โดยเข้ามาที่หน้า Cloud9 และคลิก Create environment
ตั้งชื่อตามต้องการ โดยในบทความนี้จะตั้งชื่อว่า cloud9-test จากนั้นเลื่อนลงมาด้านล่าง
ไม่จำเป็นต้องตั้งค่าเพิ่มเติมในหน้านี้ ให้คลิก Create
ในส่วนการสร้าง Cloud9 ก็เสร็จเรียบร้อย
Step 2: ปิดการใช้งาน AMTC บน Cloud9
หากไม่ได้ปิด AMTC จะไม่สามารถใช้งาน AWS CLI ด้วย IAM Role ได้
จากหน้าจอด้านบนของ Cloud9 ที่พึ่งสร้างไป ให้เลือก Cloud9 ที่ด้านบนซ้าย
ในส่วน AWS SETTINGS ให้ปิดการทำงาน AWS managed temporary credentials
Step 3: ติดตั้ง IAM Role ให้กับ EC2 instance ของ Cloud9
หนึ่งในวิธีการเรียกใช้บริการ AWS จาก Cloud9 ก็คือการติดตั้ง IAM Role ให้กับ EC2 instance
- อ้างอิง: Calling AWS services from an environment in AWS Cloud9
เมื่อสร้าง Cloud9 จะเห็นว่ามี EC2 instances เพิ่มขึ้นมาใน region เดียวกันกับที่สร้าง Cloud9
เราต้องการติดตั้ง IAM Role ให้กับ EC2 instances แต่ก่อนอื่นเราต้องสร้าง IAM Role ก่อน
เข้าไปที่ IAM เพื่อสร้าง Role
เนื่องจากเป็น Role ที่ใช้กับ EC2 ดังนั้นในหัวข้อ Use case เลือก EC2 แล้วคลิก Next
ในส่วนของ policy เราจะเลือก AdministratorAccess (เลือก policy โดยอิงตามสิทธ์การใช้งานที่จำเป็นเท่านั้น)
ตั้งชื่อ Role ตามที่ต้องการซึ่งในบทความนี้จะตั้งชื่อว่า cloud9-test-role เลื่อนลงมาด้านล่างแล้วคลิก Create role
จากนั้นจึงนำ IAM Role ไปใช้กับ EC2 instances
เลือก IAM Role ที่พึ่งสร้างจากนั้นคลิก Update IAM role
เพียงเท่านี้ขั้นตอนการติดตั้ง IAM Role ให้กับ EC2 instance ของ Cloud9 ก็เสร็จเรียบร้อย
Step 4: การใช้ AWS CLI กับ Cloud9
เมื่อเราติดตั้ง IAM Role ให้กับ EC2 instance ของ Cloud9
Cloud9 จะได้รับ credential key แบบชั่วคราวโดยอัตโนมัติ ซึ่งสามารถตรวจสอบสถานะได้โดยใช้คำสั่ง aws configure list ใน Terminal ของ Cloud9
ในกรณีที่ region เป็นคำว่า not set ให้ใช้คำสั่งตามด้านล่าง เพื่อตั้งค่า region ของเราให้เป็น ap-southeast-1 สามารถดูตัวอย่างได้ในบทความต้นฉบับ
export AWS_DEFAULT_REGION=ap-southeast-1
- อ้างอิง: Environment variables to configure the AWS CLI
ทุกครั้งที่ใช้ Cloud9 จะต้องมีการกำหนดตัวแปรทุกครั้ง ดังนั้นเพื่อความสะดวก เราสามารถใช้คำสั่งตามนี้เพื่อบันทึกข้อมูลการตั้งค่าไว้ในไฟล์
$ echo '[default]' >> ~/.aws/config $ echo 'region = ap-southeast-1' >> ~/.aws/config
- อ้างอิง: Configuration and credential file settings
ตอนนี้เราสามารใช้ AWS CLI โดยการใช้สิทธิ์ IAM Role นอกจากนี้ยังใช้คำสั่งที่เกี่ยวข้องกับ IAM อย่างเช่น aws iam create-user ที่ต้องปิดการใช้งาน AMTC ก่อน
หากเราใช้คำสั่ง aws iam create-user ด้วยสิทธ์ AMTC ก็จะเกิด error ขึ้นตามภาพ
ส่วนสุดท้าย
เราได้แนะนำวิธีเรียกใช้ AWS CLI จาก Cloud9 ด้วยสิทธิ์ของ IAM Role
บทความต้นฉบับ
Cloud9からIAM Roleの権限でAWS CLIを実行する(ภาษาญี่ปุ่น)
บทความที่เกี่ยวข้อง
- Calling AWS services from an environment in AWS Cloud9(ภาษาอังกฤษ)
- Environment variables to configure the AWS CLI(ภาษาอังกฤษ)
- Configuration and credential file settings(ภาษาอังกฤษ)
