EC2 内の Docker コンテナで IAM ロール認証情報を利用する方法を教えてください
困っていた内容
EC2 インスタンスに IAM ロールをアタッチし、インスタンスプロファイル認証情報を利用していますが、EC2 内にインストールした Docker 上のコンテナアプリケーションからも IAM ロールの認証情報を利用したい要件があります。実現する方法を教えてください。
どう対応すればいいの?
対象 EC2 インスタンスの HttpPutResponseHopLimit という属性を変更することで、EC2 内の Docker コンテナ上からも IAM ロールの認証情報を取得できるようになります。
まずは対象インスタンスに対して ec2 describe-instances コマンドを実行し、現在の設定を確認します。
初期状態では HttpPutResponseHopLimit が 1 になっているはずです。
コマンド例
$ aws ec2 describe-instances --instance-id [インスタンスID] --region [リージョン名] --query "Reservations[*].Instances[*].MetadataOptions"
[
[
{
"State": "applied",
"HttpEndpoint": "enabled",
"HttpTokens": "optional",
"HttpPutResponseHopLimit": 1
}
]
]
そこで、 ec2 modify-instance-metadata-options コマンドで HttpPutResponseHopLimit の値を 2 に変更します。
コマンド例
$ aws ec2 modify-instance-metadata-options --instance-id [インスタンスID] --region [リージョン名] --http-put-response-hop-limit 2 --http-endpoint enabled
{
"InstanceId": "i-xxxxxxxxxx",
"InstanceMetadataOptions": {
"State": "pending",
"HttpEndpoint": "enabled",
"HttpTokens": "optional",
"HttpPutResponseHopLimit": 2
}
}
以上の設定で、EC2 上の Docker コンテナからも IAM ロールの認証情報を利用できるようになります。
やってみた
実際に検証してみました。実施した内容は以下の通りです。
- Amazon Linux 2 の EC2 インスタンスを起動し、EC2 の操作権限が付与された IAM ロールをアタッチする。
- EC2 内で IAM ロールの認証情報が取得できていることを確認し
HttpPutResponseHopLimitの設定を変更する。 - EC2 内にインストールした Docker 上で Amazon Linux 2 のコンテナを起動し、コンテナ内の OS でも IAM ロールの認証情報が取得できていることを確認する。
まずは Amazon Linux 2 の EC2 インスタンスを起動し AmazonEC2FullAcccess のポリシーが付与された IAM ロールをアタッチします。
IAM ロール名は "test-ec2-role" とします。
対象 EC2 インスタンスに SSH 接続し aws sts get-caller-identity コマンドを実行します。
アタッチした IAM ロール が認証情報として使用されているのを確認します。
続いて先述の aws ec2 modify-instance-metadata-options コマンドを EC2 インスタンス自身に対して実行し HttpPutResponseHopLimit の値を 2 に設定します。
$ aws ec2 modify-instance-metadata-options --instance-id [インスタンスID] --region [リージョン名] --http-put-response-hop-limit 2 --http-endpoint enabled
{
"InstanceId": "i-xxxxxxxxxx",
"InstanceMetadataOptions": {
"State": "pending",
"HttpEndpoint": "enabled",
"HttpTokens": "optional",
"HttpPutResponseHopLimit": 2
}
}
ここまでできたら、次は EC2 に Docker をインストールします。
ここでは説明を省略しますが、筆者は文末の参考資料[1]を参考にしました。
Docker をインストールできたら、Amazon Linux 2 のコンテナを起動し、コンテナ内で AWS CLI のインストールを実行します。 (EC2 側の Amazon Linux 2 には AWS CLI が最初から入っていますが、Docker コンテナで起動した Amazon Linux 2 には AWS CLI が入っていないため、インストールが必要になります)
(EC2 内で実行) Docker コンテナ起動
$ docker run -it amazonlinux:2
(Dockerコンテナ内で実行) AWS CLI のインストールとバージョン確認
$ yum install unzip less $ curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip" $ unzip awscliv2.zip $ ./aws/install $ aws --version
コンテナ内で AWS CLI をインストールできたら、今度はコンテナ内で aws sts get-caller-identity コマンドを実行します。
先ほど EC2 側で確認したのと同じ IAM ロール認証情報が表示されていれば、コンテナ内でも IAM ロールの認証情報が使用できる状態になっています。
aws ec2 describe-instances などの CLI コマンドが実行できることも確認してみましょう。
以上、EC2 内の Docker コンテナ上で IAM ロール認証情報を使用するまでの手順をご紹介しました。
この情報がどなたかのお役に立てば幸いです!
参考資料
- [1] AWS EC2上にDockerをインストールし簡単なWebアプリを起動する
- [2] Docker 公式イメージで手軽に Amazon Linux AMI や Amazon Linux 2 の検証環境をローカルマシンへ手に入れる | DevelopersIO
- [3] AWS CLI の最新バージョンを使用してインストールまたは更新を行う - AWS Command Line Interface
- [4] PUT レスポンスホップリミットを変更する - Amazon Elastic Compute Cloud
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
![[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
