![[アップデート]AWS Toolkit for VS CodeをAWS SSOのクレデンシャルで使えるようになりました](https://devio2023-media.developers.io/wp-content/uploads/2020/06/vscode-2020-eyecatch-1200x630-1.png)
[アップデート]AWS Toolkit for VS CodeをAWS SSOのクレデンシャルで使えるようになりました
AWS Toolkit for VS CodeをAWS SSOのクレデンシャルで利用できるようになりました!
- Introducing AWS SSO support in the AWS Toolkit for VS Code | AWS Developer Blog
- Using AWS SSO credentials - AWS Toolkit for VS Code
AWS Toolkit for VS Codeとは
VS Codeのextensionです。VS Code上でAWS上の各種リソースが確認できたり、デプロイできたりするようになります。特にAWS SAMとの連携が充実しています。
できることの詳細は以下ユーザーガイド配下をチェックしてください。
そんな便利ツールAWS Toolkitですが、使う際にはもちろんAWSのクレデンシャルが必要になります。で、今回AWS SSOのクレデンシャルを使えるようになったというわけです。
やってみた
AWS SSOの設定をする
まず当たり前ですが、AWS SSOを有効化して、設定を完了してください。必要な設定やその意味については以下にまとめていますのでご覧いただけると幸いです。
SSO profileを設定する
AWS SSOのユーザー(がスイッチロールするIAM Role)の権限でAWS CLIを使う際に設定するやつです。以下のような記述をクレデンシャルファイルに書きます。
[profile sso-user-1] sso_start_url = https://example.com/start sso_region = us-east-2 sso_account_id = 123456789011 sso_role_name = readOnly region = us-west-2
もちろん上記を手書きしても良いですが、aws configure ssoというコマンドを使うと質問に答えていくだけで上記記述が出来上がるので楽です。
$ aws configure sso SSO start URL [None]: https://d-xxxxxxxx.awsapps.com/start SSO Region [None]: ap-northeast-1 Attempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.ap-northeast-1.amazonaws.com/ Then enter the code: ZKTN-KTCZ
SSO start URLはSSO有効化した際に作成される、SSOポータルのURLです。SSO RegionはSSOインスタンスが存在するリージョンです。SSOを有効化したリージョンですね。
ここまで答えるとブラウザでSSOポータルが自動で開きます。profileを作りたいユーザーでログインしましょう。
ログイン成功すると以下画面に遷移し、「Sign in to AWS CLI」をクリックすると、
こういう画面に遷移します。ここまでくればブラウザは閉じて良いです。
ターミナルにて、ログインしたSSOユーザーがスイッチロールできるアカウント一覧が出てくるので、選択します。
その後同様に、選択したアカウント内のスイッチロールできるIAM Role一覧が出てくるので選択します。続いてデフォルトリージョン、デフォルトアウトプットフォーマット、最後にprofile名を訊かれます。
There are 3 AWS accounts available to you. Using the account ID 123456789012 There are 2 roles available to you. Using the role name "AdministratorAccess" CLI default client Region [ap-northeast-1]: CLI default output format : CLI profile name [AdministratorAccess-123456789012]: vscode-test To use this profile, specify the profile name using --profile, as shown: aws s3 ls --profile vscode-test
これで完了です。 ~/.aws/config末尾に以下のようなものが追記されているはずです。
[profile vscode-test] sso_start_url = https://d-xxxxxxxx.awsapps.com/start sso_region = ap-northeast-1 sso_account_id = 123456789012 sso_role_name = AdministratorAccess region = ap-northeast-1 output = json
AWS Toolkit内でSSO profileを使ってAWSに接続する
AWS Toolkit自体はVS Codeにinstall済であるとします。
VS Code左端の一覧からawsのアイコンを選び、
右上…をクリックして出てくるメニューから「Connect to AWS」を選びます。
するとクレデンシャルファイルに書かれているprofileがズラッと出てきますので、先程設定したSSOのprofileを選択します。
「外部サイト開いていい?」と訊かれるので「Open」をクリック。
すると先程aws configure ssoコマンドでprofileを設定したときと同様、ブラウザでSSOポータルが開くのログインします。
ログイン完了すれば、AWS Toolkit for VS Code内で、SSOのユーザー(がスイッチロールするIAM Role)の権限でリソースが見えるようになります。
こちらは一時認証情報なのでいずれ期限切れになります。その際は再度「Connect to AWS」からのフローを実行してください。
![[レポート] Modernize identity and enhance security with Okta and AWS #PRT042 #reinvent](https://devio2023-media.developers.io/wp-content/uploads/2022/11/eyecatch_reinvent2022_session-report.png)
