CloudShellを最小権限で起動してみた
こんにちは、東京オフィスのあしさんです。
CloudShellってとても便利ですよね、AWS CLIの実行環境として一番お手軽なサービスなのに無料で使えることが素晴らしく、私も毎日のようにお世話になっています。
同僚ののんピやカジと何気ない会話をしていたところ、「CloudShellの権限周りの設定ってどうなってるんだっけ?」という話題になり、「ログインしているユーザやロールの権限を使ってる」のようなざっくりとした知識はありましたが、そこまで詳しく理解できてないな、と思ったことが今回のブログのきっかけです。
権限周りの設定について調べる、といっても範囲が広すぎるので、何かないかなと公式ドキュメントを読んでいたところ、Managing AWS CloudShell access and usage with IAM policiesにて以下の記載を見つけました。
To launch AWS CloudShell from the AWS Management Console, an IAM user needs permissions for the following actions:
- CreateEnvironment
- CreateSession
- GetEnvironmentStatus
- StartEnvironment
If any of these actions aren't explicitly allowed by an attached policy, an IAM permissions error is returned when you try to launch CloudShell.
要するに、マネジメントコンソールからCloudShellを起動したい場合は最低限上記の4アクションの許可が必要だ、ということが書いてあります。
CloudShellを使うときはとりあえずAWS管理ポリシーのCloudShellFullAccess
だ!って思ってしまっていた節があった私です。
なんとなく最低限の権限で起動したらおもしろそうだなとひらめいたので、試しにCloudShellを最小権限で起動してみることにしました。
いきなりまとめ
CloudShellを起動に必要な最小権限(4アクション)で起動すると、以下のようなことがわかった。
- できたこと
- CloudShellの起動
- ClousShellセッションの開始
- 使用シェルの選択
- ファイル、ストレージ機能(ファイル削除含む)
- CloudShell画面のカスタマイズ
- できなかったこと
- CloudShellからのファイルダウンロード、アップロード
- ClousShellセッションの終了
- 動作リージョンの選択
- AWS CLIの実行
- 総括
- CloudShellを最小権限で起動すると、
ログイン中のAWSクレデンシャル情報を保持しない
CLI実行環境が使用できる- AWSクレデンシャル情報をデフォルトで持っていないため、AWS CLI等のコマンドは使えない
- サポートしているシェル(bash,zsh,powershell)はすべて利用可能
- Actionsタブの機能がTabs Layout以外すべて使えなくなる。
- できないこと:ファイルアップロード、ダウンロード、CloudShell再起動、ホームディレクトリリセット
- CloudShellを最小権限で起動すると、
実際にやってみた
CloudShell起動に必要な4アクションのみを有効化したIAMロールを準備、そのロールをAssumeRoleした状態でCloudShellを起動し、できること/できないことを確認してみました。
できたこと
CloudShellの起動
これができないと以降の検証ひとつもできないですからね、、、
使用シェルの選択
サポートしている3種類(bash,zsh,powershell)はどれも選択して使用できます。
[cloudshell-user@ip-10-0-126-170 ~]$ [cloudshell-user@ip-10-0-126-170 ~]$ bash [cloudshell-user@ip-10-0-126-170 ~]$ [cloudshell-user@ip-10-0-126-170 ~]$ zsh [cloudshell-user@ip-10-0-126-170]~% [cloudshell-user@ip-10-0-126-170]~% pwsh PowerShell 7.1.4 Copyright (c) Microsoft Corporation. https://aka.ms/powershell Type 'help' to get help. A new PowerShell stable release is available: v7.2.1 Upgrade now, or check out the release page at: https://aka.ms/PowerShell-Release?tag=v7.2.1 PS /home/cloudshell-user>
ファイル、ストレージ機能(ファイル削除含む)
ファイル・ディレクトリの作成や削除など、通常のCLI実行環境と同じように利用可能です。
[cloudshell-user@ip-10-0-126-170]~% mkdir test-dir [cloudshell-user@ip-10-0-126-170]~% cd test-dir [cloudshell-user@ip-10-0-126-170]~/test-dir% [cloudshell-user@ip-10-0-126-170]~/test-dir% pwd /home/cloudshell-user/test-dir [cloudshell-user@ip-10-0-126-170]~/test-dir% [cloudshell-user@ip-10-0-126-170]~/test-dir% touch test.file [cloudshell-user@ip-10-0-126-170]~/test-dir% ls -l total 0 -rw-rw-r-- 1 cloudshell-user cloudshell-user 0 Dec 17 17:01 test.file [cloudshell-user@ip-10-0-126-170]~/test-dir% rm test.file [cloudshell-user@ip-10-0-126-170]~/test-dir% [cloudshell-user@ip-10-0-126-170]~/test-dir% ls -l total 0 [cloudshell-user@ip-10-0-126-170]~/test-dir%
ただし、ホームディレクトリ配下以外は永続ストレージではなく、かつ永続ストレージであるホームディレクトリ配下も1GBまでの容量制限
があり、120日アクセスされていないと自動で削除
される設定になっているので注意が必要です。
ClousShellセッションの開始
セッションの開始はCloudShellが起動できた時点でできる
ということになるので、とくに言及するところはないです。
CloudShell画面のカスタマイズ
以下のような画面レイアウト等のカスタマイズはできました。
- タブのレイアウト
- フォントサイズ
- テーマ
- 安全なペースト
タブのレイアウトの変更はActionsのTabs layout
から行うことができます。
切り替えられるタブ増やしたり、縦に表示するタブを増やしたり、横に表示するタブを増やすことができます。
他についてはPreference
から変更可能です。
フォントサイズはSmallest〜Largest
まで変更ができます。(画像はLarge)
テーマはライト
or ダーク
が選択可能です。
安全なペーストはオンにすると、複数行の文字列のペースト時に確認ウインドウが表示されます。
このようにフロント側で何かする、に対しては最小権限でも制約がないようですね。
以上が、最小権限でできたこと、でした。
できなかったこと
CloudShellからのファイルダウンロード、アップロード
ファイルのアップロードやダウンロードはCloudShell画面のActionsタブから選択可能です。
ダウンロードは、ダウンロード実行時に実行が拒否される警告が表示され
アップロードは、一旦実行はできますが、「File upload failed(アップロードに失敗した)」という警告が表示されました。
CloudShellセッションの終了
セッションの終了もCloudShell画面のActionsタブから選択可能です。
しかし、最小権限だとRestart
を選択しても何も起きません。
後でCloudTrailを確認したところ、APIアクション「StopEnvironment」は実行できていてAccess Denied
となっていました。
CloudShellホームディレクトリの削除
セッションの終了と同様にCloudShell画面のActionsタブから選択可能です。
こちらもDelete
を選択しても何も起きず。
CloudTrailからAPIアクション「DeleteEnvironment」は実行できているが、Access Denied
となっていることが確認できます。
動作リージョンの選択
「500 - Internal Server Error」となりました。
エラー出力をみるとコンテナロールからクレデンシャル情報が取得できていないように見えます。
Error when retrieving credentials from container-role: Error retrieving metadata: Received non 200 response (500) from ECS metadata
[cloudshell-user@ip-10-0-126-170]~% aws configure list Name Value Type Location ---- ----- ---- -------- profile <not set> None None Error when retrieving credentials from container-role: Error retrieving metadata: Received non 200 response (500) from ECS metadata: <?xml version="1.0" encoding="iso-8859-1"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <title>500 - Internal Server Error</title> </head> <body> <h1>500 - Internal Server Error</h1> </body> </html> [cloudshell-user@ip-10-0-126-170]~%
参考までに、CloudShellFullAccess
が付与されたロールで起動したCloudShellから同じコマンドを実行すると、以下のように出力されます。
[cloudshell-user@ip-10-0-189-190 ~]$ aws configure list Name Value Type Location ---- ----- ---- -------- profile <not set> None None access_key ******************** container-role secret_key ******************** container-role region ap-northeast-1 env ['AWS_REGION', 'AWS_DEFAULT_REGION']
access_key、secret_keyの欄にType:container-role
とあってよくわからなかったので調べてみたところ、以下公式ドキュメントの抜粋ですがcredential_source
という項目でEcsContainer
のパラメータを選択可能であることがわかりました。
Amazon EC2 インスタンスまたは EC2 コンテナ内で使用され、role_arn パラメータで指定したロールを引き受けるために使用する認証情報を AWS CLI が検索できる場所を指定します。source_profile と credential_source の両方を同じプロファイルで指定することはできません。 EcsContainer – AWS CLI が ECS コンテナにアタッチされた IAM ロールをソースの認証情報として使用することを指定します。
この情報から、CloudShellが設定なしでAWS CLIコマンドを実行できるのは、内部的かつ自動的にCloudShellの実態であるECSコンテナに付与されたIAMロール経由でクレデンシャル情報が渡されているからである、と理解できました。
AWS CLIの実行
今回は例としてEC2のインスタンス一覧を取得するAWS CLIコマンドでやってみました。
1つ前の動作リージョンの選択
の項目でAWSクレデンシャル情報が取得できていないことによるエラーが出ていたので予測はできましたが、同様にクレデンシャルのエラーで実行できませんでした。
[cloudshell-user@ip-10-0-76-64 ~]$ aws ec2 describe-instances Error when retrieving credentials from container-role: Error retrieving metadata: Received non 200 response (500) from ECS metadata: <?xml version="1.0" encoding="iso-8859-1"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <title>500 - Internal Server Error</title> </head> <body> <h1>500 - Internal Server Error</h1> </body> </html> [cloudshell-user@ip-10-0-76-64 ~]$
以上が、最小権限でできなかったこと、でした。
まとめ(再掲)
- できたこと
- CloudShellの起動
- ClousShellセッションの開始
- 使用シェルの選択
- ファイル、ストレージ機能(ファイル削除含む)
- CloudShell画面のカスタマイズ
- できなかったこと
- CloudShellからのファイルダウンロード、アップロード
- ClousShellセッションの終了
- 動作リージョンの選択
- AWS CLIの実行
- 総括
- CloudShellを最小権限で起動すると、
ログイン中のAWSクレデンシャル情報を保持しない
CLI実行環境が使用できる- AWSクレデンシャル情報をデフォルトで持っていないため、AWS CLI等のコマンドは使えない
- サポートしているシェル(bash,zsh,powershell)はすべて利用可能
- Actionsタブの機能がTabs Layout以外すべて使えなくなる。
- できないこと:ファイルアップロード、ダウンロード、CloudShell再起動、ホームディレクトリリセット
- CloudShellを最小権限で起動すると、
結局、最小権限のCloud Shell環境って使えるの?
今回AWS Credentialが利用できずAWS CLIコマンドが実行できなかったのは、起動に必要な最小権限のアクションしか権限付与していなかったことで、PutCredentials
アクションが有効化されていないことが原因です。
CloudTrailからCloudShell起動時のAPIログを確認してみると、PutCredentials
アクションが拒否されていることから、予測できました(CLI実行時ではありません)。
このことから、PutCredentials
アクションを拒否してしまえば、AWSクレデンシャル情報を持っていないただのCLI環境を提供できる、ということがわかります。
用件によっては、お手軽なCLI実行環境の使用は許可したいけど、AWSクレデンシャル情報は渡したくない
、というユースケースがありうるかもしれません。
そんなケースをAWS側も想定していて、CloudShell環境へのアクセスは許可するがPutCredentials
を禁止にしてAWSクレデンシャルを使用できないようにしたポリシーの例が、公式ドキュメント(Managing AWS CloudShell access and usage with IAM policies)に参考として記載されています。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }
このようなポリシーを付与すれば、他の細かい設定なしで、最小権限のCloudShellを使うことを強制できます。
最大1GBの容量制限
のある半永続ストレージ(120日アクセスで削除)しか使えないという制限事項はありますが、利用料金は無料
という破格での提供のため、Cloud9など他との比較次第では出番はあるはずです。
公式ドキュメントでは上記のケースのほかに、CloudShellへアクセスできないようにする
、CloudShell環境は普通に使えるけどファイルアップロード・ダウンロードのみ禁止にする
、の2パターンのポリシー設定の例が挙げられていました。
こちらも用件次第で役に立ちそうです。
感想
今回CloudShellを題材にAWSサービスを最小権限で動かしてみましたが、限定された権限でどこまで動くのかを考えながらサービスに触れていると、AWSってAPIアクションのひとつひとつによって動いているんだな再認識できます。(注釈:当たり前な話なのですが)
マネジメントコンソールだけに触れているとAWSがどのように動いているのか理解しづらいので、今回のように権限を限定してAPI単位で意識するところまではいかなくとも、CLIからAWSサービスに触れることでコンソールからやると省略されてしまう細かい設定項目について理解できたりといいことがたくさんあるかもしれません。
以上、東京オフィスのあしさんでした!